水利部黃河水利委員會信息中心 宋宇捷

通信網絡安全與維護

水利部黃河水利委員會信息中心 宋宇捷

一、通信網絡安全的定義及其重要性

通信網絡安全是指信息安全和控制安全這兩部分。從國際標準化組織的角度來看，信息安全是指信息的完整性、可用性、保密性和可靠性。控制安全是指身份認證、不可否認性、授權和訪問控制。通信網絡作為信息傳遞的一種主要載體，在推進信息化建設的過程中與多種社會經濟生活有著十分緊密的聯系。這種聯系一方面帶來了巨大的社會價值和經濟價值；另一方面也意味著巨大的潛在危險，即一旦通信網絡出現安全事故時，就有可能使成千上萬人之間的通信出現障礙，帶來社會價值和經濟價值無法估計的損失。

二、通信網絡安全分析

針對計算機系統(tǒng)及網絡固有的開放性等特點，一定要加強和提高網絡管理人員的安全意識和技術水平。

1.密碼安全分析。如果明密界限不清，密件明發(fā)，且長期重復使用一種密鑰，將導致密碼交易被破譯，如在下發(fā)口令及密碼后沒有及時地收回，致使在口令和密碼到期后仍能通過原密碼進入網絡系統(tǒng)，將造成系統(tǒng)被侵入。

2.系統(tǒng)遠程登錄功能漏洞。為了方便管理，部分軟硬件系統(tǒng)在設計時留有遠程終端的登錄控制通道，同時在軟件設計時不可避免地存在著許多不完善或是未發(fā)現的漏洞（bug），加上商用軟件源程序完全或部分公開，使得在使用通信網絡的過程中，如果沒有必要的安全等級鑒別和防護措施，攻擊者可以利用上述軟硬件漏洞直接侵入網絡系統(tǒng)，破壞或竊取通信信息。

3.電磁輻射產生的問題。如果傳輸信道沒有采取相應的電磁屏蔽措施，那么在信息傳輸過程中將會向外產生電磁輻射，從而使得某些不法分子可以利用專門設備接收并竊取機密信息。

三、通信網絡安全維護措施及技術

隨著通信網絡功能的越來越強大，保護通信網絡中的硬件、軟件及其數據不受偶然或惡意的破壞、更改和泄露；保障系統(tǒng)連續(xù)可靠地運行；保證網絡服務不中斷，成為通信網絡安全工作的主要內容。為了實現對非法入侵的監(jiān)測、防偽、審查和追蹤，從通信線路的建立到進行信息的傳輸，我們可以運用以下幾種防衛(wèi)措施。

1.身份鑒別措施。身份鑒別可以通過用戶口令和密碼等鑒別方式達到網絡系統(tǒng)權限分級的功能，權限受限用戶在連接過程中就會被終止，從而達到網絡分級的效果。網絡授權通過向終端發(fā)放訪問許可證書來防止非授權用戶訪問網絡和網絡資源。數據保護則可以利用數據加密后的數據包發(fā)送與訪問的指向性，即使被截獲也會由于在不同協(xié)議層中加入了不同的加密機制，從而使密碼變得幾乎不可破解。

2.收發(fā)確認措施。收發(fā)確認是用發(fā)送確認信息的方式，表示對發(fā)送數據和接收數據的確認，以避免不承認發(fā)送過的數據和不承認接受過數據等而引起的爭執(zhí)。

3.保證數據的完整性措施。保證數據的完整性，一般是通過數據檢查核對的方式完成的，數據檢查核對方式通常有2種：一種是邊發(fā)送接收邊核對檢查，一種是接收完或后進行核對檢查。業(yè)務流分析可阻止垃圾信息大量出現而造成的擁塞，同時也使得惡意網絡終端無法從網絡業(yè)務流的分析中獲得相關用戶的信息。

4.通信網絡安全維護措施。為了實現上述種種的安全措施，必須采用多種安全技術來構筑防御系統(tǒng)，常用的主要有以下幾種技術。

（1）防火墻技術。在網絡的對外接口采用防火墻技術，在網絡層上進行訪問控制。通過鑒別、限制、更改跨越防火墻的數據流，來實現對網絡的安全保護，最大限度地阻止網絡中黑客訪問網絡并防止黑客隨意更改、移動甚至刪除網絡上的重要信息。因而防火墻是一種行之有效且應用廣泛的網絡安全機制。

（2）入侵檢測技術。防火墻可保護內部網絡不受外部網絡的攻擊，但它對內部網絡的一些非法活動的監(jiān)控還不夠完善，入侵檢測系統(tǒng)是對防火墻技術的重要補充，它積極主動地提供對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵，提高系統(tǒng)的安全性。

（3）網絡加密技術。網絡加密技術的作用就是防止公用或私有的信息在網絡上被攔截和竊取，它是網絡安全的核心。采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性和完整性，它可解決在公網上數據傳輸的安全問題，也可解決遠程用戶訪問內網的安全問題。

（4）身份認證技術。提供基于身份的認證，在各種認證機制中都可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性和可控性等特性。

（5）虛擬專用網技術。通過一個公用網（一般是因特網）建立一個臨時的、安全的連接，它是一條穿過混亂的公用網絡的安全和穩(wěn)定的隧道。通過安全的數據通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等跟公司的內網連接起來，構成一個擴展的公司企業(yè)網。在該網中的主機并不會覺察到公共網絡的存在，仿佛所有的機器都處于同一個網絡之中。

（6）漏洞掃描技術。面對網絡的復雜性和不斷變化的情況，僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不夠的，我們必須通過網絡安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大限度地彌補最新的安全漏洞并消除安全隱患。

目前，解決網絡安全問題的大部分技術是先進和可靠的，但是隨著社會的發(fā)展，人們對網絡功能的要求也在不斷提高，這就意味著通信網絡的安全維護是一個長遠和持久的工作。為此，我們必須適應社會發(fā)展的需求，不斷地提高技術水平，以保證網絡安全維護工作的順利進行。