通信网络安全问题综述

1通信网络安全的定义及其重要性

可以从不同角度对网络安全作出不同的解释。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。当今社会，通信网络的普及和演进让人们改变了信息沟通的方式，通信网络作为信息传递的一种主要载体，在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值，另一方面也意味着巨大的潜在危险——一旦通信网络出现安全事故，就有可能使成千上万人之间的沟通出现障碍，带来社会价值和经济价值的无法预料的损失。

2互联网的特点

近年来，由于互联网的迅猛发展，新业务及传统业务的迅速IP化，终端设备的智能化，网络规模越来越大，网络的安全问题也越来越突出，加上互联网的不可管理，不可控制，网络只保证通达，而把安全问题交给了用户的一些网络设计中，这样就进一步恶化。上面所谈的一些威胁安全的种类都是由于互联网及其业务的发展所引起的。而当今互联网已把PSTN和移动网紧密地联系起来了，如VoIP业务的迅猛发展更是和每个网络有关系。这样上述的网络安全的种种自然也带给了电信网络。

3对通信网络安全的认识

3．1安全工作的定义

目前业界对于通信网络安全工作有着许多不同的理解。综合各方的看法，笔者在这里尝试对通信网络安全工作下一个定义：在技术手段、制度流程、组织机构、人员队伍、外部环境等几个方面，确保通信网络能够正常运行，稳定承载业务与应用，并确保通信网络不受非法利用、秘密探测及恶意破坏等攻击行为影响而开展的所有工作统称为通信网络安全工作。

3．2通信网络安全的分类

根据通信网络安全问题的性质不同，可以把通信网络安全问题分为传统和非传统两类。传统的通信网络安全是指在通信网络的结构、路由组织、网络与业务承载关系、线路及端口的冗余备份、抵抗灾害等方面存在的安全问题，主要是指通信网络自身所存在的拓扑结构如链状结构、单节点单路由等的问题这类安全问题在传统的通信网络中一直存在，并可以在设计、建设阶段或者运行阶段通过合理的组网、优化措施、适当的资金、维护投入加以有效地解决。非传统的通信网络安全是指外部力量通过各类技术手段利用通信网络自身存在的漏洞、隐患，实施对通信网络的非法利用、秘密探测和恶意破坏等攻击行为。其特点是外部力量的主观故意性和对通信网络攻击的趋利化或敌意性。这类安全问题在传统的电信网络中已经存在，比如对通话的窃听等，但矛盾并不突出，影响面比较小，防护措施也相对比较成熟。随着三网融合的推进，这类安全事件的影响将日益扩大。

3．3非传统通信网络安全问题

非传统通信网络安全问题主要包括三方面的内容：非法利用，如宽带的非法私接行为，移动电话的非法盗号行为，语音通信的电话骚扰及主叫号码修改行为；秘密探测，如互联网的木马攻击、钓鱼网站；恶意破坏，如互联网的僵尸网络、DDOS攻击、无线通信的频率干扰攻击。

3．4基础通信运营企业的使命

在非传统通信网络安全日益突出的形势下，对于基础通信运营企业来讲，机遇与挑战并存。机遇主要是指严峻的通信网络安全问题必然催生出市场对于网络安全产品的需求，基础通信运营企业在这方面具有一定的网络基础优势，但用户对于业务、应用的选择主要还是取决于基础通信运营企业自身网络的安全状况。只有自身的通信网络安全了，才能保证用户业务的正常使用和企业的正常运营。通信运营企业必须以通信网络安全防护工作为载体，全面提升通信网络安全防护能力。

4维护电信网络安全的对策思考

当前通信网络功能越来越强大，在日常生活中占据了越来越重要的地位，我们必须采用有效的措施，把网络风险降到最低限度。于是，保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露，保障系统连续可靠地运行，网络服务不中断，就成为通信网络安全的主要内容。

4．1发散性的技术方案设计思路

在采用电信行业安全解决方案时，首先需要对关键资源进行定位，然后以关键资源为基点，按照发散性的思路进行安全分析和保护，并将方案的目的确定为电信网络系统建立一个统一规范的安全系统，使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。

4．2网络层安全解决方案

网络层安全要基于以下几点考虑：控制不同的访问者对网络和设备的访问；划分并隔离不同安全域；防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域，即关键服务器区域和外部接入网络区域，在这两大区域之间需要进行安全隔离。同时，应结合网络系统的安全防护和监控需要，与实际应用环境、工作业务流程以及机构组织形式进行密切结合，在系统中建立一个完善的安全体系，包括企业级的网络实时监控、入侵检测和防御，系统访问控制，网络入侵行为取证等，形成综合的和全面的端到端安全管理解决方案，从而大大加强系统的总体可控性。

4．3网络层方案配置

在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品，将工作站直接连接到主干交换机的监控端口fSPANPort)，用以监控局域网内各网段间的数据包，并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。

4．4主机、操作系统、数据库配置方案

由于电信行业的网络系统基于Intranet体系结构，兼呈局域网和广域网的特性，是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络，它面J临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范，并在中央安全管理平台上部署中央管理控制台，对全部的核心防护产品进行中央管理。

4．5系统、数据库漏洞扫描

系统和数据库的漏洞扫描对电信行业这样的大型网络而言，具有重要的意义。充分利用已有的扫描工具完成这方面的工作，可免去专门购买其他的系统／数据库漏洞扫描工具。

4．6需要建立安全管理机制

例如，口令管理；各种密钥的生成，分发与管理；全网统一的管理员身份鉴别与授权；建立全系统的安全评估体系；建立安全审计制度；建立系统及数据的备份制度；建立安全事件，安全报警反应机制和处理预案；建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力，应制定灾难性事故的应急计划，如紧急行动方案，资源(硬件，软件，数据等)备份及操作计划，系统恢复和检测方法等。