胡平平

【摘 要】作為為鐵通公司提供收入保障重要數(shù)據(jù)的鐵通計費管理網(wǎng)，由于數(shù)據(jù)的敏感性，在該網(wǎng)絡(luò)中應(yīng)用了多種網(wǎng)絡(luò)安全技術(shù)。本文詳細介紹了網(wǎng)絡(luò)安全技術(shù)在鐵通計費管理網(wǎng)中的具體應(yīng)用，并且還提出了網(wǎng)絡(luò)現(xiàn)存的安全問題并給出了相應(yīng)的對策。

【關(guān)鍵詞】網(wǎng)絡(luò)安全，鐵通計費管理網(wǎng)，網(wǎng)絡(luò)安全技術(shù)，安全問題，對策

【中圖分類號】F626【文獻標識碼】A【文章編號】1672-5158（2013）02-0132-02

鐵通計費管理網(wǎng)系統(tǒng)（DCN）是鐵通公司支撐網(wǎng)系統(tǒng)中的重要組成部分，該系統(tǒng)為鐵通公司的運營提供了計費、營業(yè)、結(jié)算、攤分、賬務(wù)和決策支持的平臺。作為為鐵通公司提供收入保障重要數(shù)據(jù)的計費管理網(wǎng)，由于數(shù)據(jù)的敏感性，從設(shè)計規(guī)劃的初期就高度重視網(wǎng)絡(luò)的安全，并且逐步實施了多種網(wǎng)絡(luò)安全技術(shù)。這些網(wǎng)絡(luò)安全技術(shù)的使用，保證了鐵通計費管理網(wǎng)的信息安全，使鐵通計費管理網(wǎng)經(jīng)受了多次安全攻擊的考驗，為鐵通公司的經(jīng)營活動提供了有力的支撐。

1.網(wǎng)絡(luò)安全技術(shù)在鐵通計費管理網(wǎng)中的具體應(yīng)用

網(wǎng)絡(luò)安全的常見技術(shù)措施主要有：訪問控制技術(shù)、網(wǎng)絡(luò)入侵檢測系統(tǒng)與安全漏洞掃描、病毒防范技術(shù)、加密技術(shù)、數(shù)據(jù)備份與恢復(fù)技術(shù)、建立完善的安全管理制度和加強主機安全七個方面。

鐵通公司出于投資回報的考慮，目前只采用最必要的且與數(shù)據(jù)損失成本相適應(yīng)的網(wǎng)絡(luò)安全技術(shù)。同時，在管理方面，不斷建立健全各項安全管理規(guī)章制度，調(diào)動網(wǎng)絡(luò)安全管理中最活躍因素中的人的積極因素，保證各項技術(shù)手段行之有效的落實和發(fā)揮作用。這些措施都保證了鐵通計費管理網(wǎng)的網(wǎng)絡(luò)安全。

1.1 訪問控制技術(shù)

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要方法，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，而只允許有訪問權(quán)限的用戶獲得網(wǎng)絡(luò)資源。同時控制用戶可以訪問的網(wǎng)絡(luò)資源范圍以及可以對網(wǎng)絡(luò)資源進行的操作。訪問控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

1.1.1 物理隔離技術(shù)

鐵通公司從企業(yè)內(nèi)部和外部實現(xiàn)計費管理網(wǎng)與其他網(wǎng)絡(luò)物理隔離。鐵通計費管理網(wǎng)是企業(yè)的內(nèi)部專用網(wǎng)，基本與外網(wǎng)隔離。在公司內(nèi)部，生產(chǎn)網(wǎng)與辦公網(wǎng)是物理隔離的，嚴格禁止公司員工使用生產(chǎn)設(shè)備通過撥號或其他方式訪問互聯(lián)網(wǎng)。

1.1.2 路由訪問控制

鐵通計費管理網(wǎng)是以集團總部計費中心為單一根結(jié)點的樹型廣域計算機網(wǎng)，為適應(yīng)集團總部-省公司-地市公司的垂直管理體系，數(shù)據(jù)信息也是由根結(jié)點到葉結(jié)點垂直流動。出于管理上的需要，鐵通公司在集團總部計費中心路由器上通過ACL（訪問控制列表）等技術(shù)防止省與省之間的訪問。省與省之間禁止水平訪問，以保護各省計費賬務(wù)中心的網(wǎng)絡(luò)安全。

1.1.3防火墻技術(shù)

鐵通計費管理網(wǎng)在與外網(wǎng)物理連接的邊界結(jié)點設(shè)置防火墻以防止外部用戶對計費管理網(wǎng)以及計費管理網(wǎng)內(nèi)網(wǎng)用戶對外網(wǎng)的非法訪問。鐵通公司使用的是百兆速率的基于通用操作系統(tǒng)的防火墻硬件設(shè)備。銀行代收系統(tǒng)與鐵通計費管理網(wǎng)之間設(shè)有防火墻，以保證銀行和鐵通公司的專網(wǎng)之間的訪問是按約定端口進行的，是安全的。防火墻具有包過濾，封堵禁止的訪問行為，記錄通過防火墻的信息和活動等功能。

1.1.4身份認證與口令管理

操作人員對鐵通計費管理網(wǎng)系統(tǒng)的訪問通過口令進行身份認證?？诹畎踩芾戆凑瞻踩芾斫M口令保管員、口令使用者（超級用戶管理員、普通使用者）兩個層次、三種角色構(gòu)成口令安全管理體系框架?？诹铋L度須在9～15位之間，并且由字母、數(shù)字及各種特殊字符共同組成。每月定期修改口令。

1.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)與安全漏洞掃描

入侵檢測能彌補訪問控制技術(shù)在某些方面的不足，為網(wǎng)絡(luò)安全提供實時的入侵監(jiān)測。網(wǎng)絡(luò)安全漏洞掃描實際上是通過模擬網(wǎng)絡(luò)攻擊的方式，提前獲得可能被攻擊的薄弱環(huán)節(jié)，為系統(tǒng)安全提供可信的分析報告，從而為提高網(wǎng)絡(luò)安全性提供重要的依據(jù)。

鐵通公司主要用人工檢測輔以簡易的安全漏洞掃描工具的方式，尋找安全漏洞、發(fā)現(xiàn)安全隱患，不斷完善安全防護體系。例如，安全管理組口令保管員定期抽查用戶口令的更新情況；系統(tǒng)管理員定期查看日志；網(wǎng)絡(luò)管理員每天監(jiān)控網(wǎng)絡(luò)流量，如有異常，則采取屏蔽地址的方式，以防止病毒或黑客的攻擊。

1.3 病毒防范技術(shù)

為了減少病毒在企業(yè)網(wǎng)絡(luò)內(nèi)部的傳播，必須采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的預(yù)防、病毒的檢測、以及殺毒技術(shù)，它們提供了完整的多級病毒防護系統(tǒng)，可以有效的保護網(wǎng)絡(luò)不受病毒的侵害。

技術(shù)上，公司在所有接入鐵通計費管理網(wǎng)的PC機上安裝統(tǒng)一配置的網(wǎng)絡(luò)版防毒軟件來防毒，并且自動地定期更新病毒特征庫和全面殺毒以及下載操作系統(tǒng)安全補??；管理上，公司規(guī)定使用外來文件時必須執(zhí)行查毒、殺毒程序，切斷病毒利用可移動媒介傳播的途徑，防止感染病毒。當(dāng)發(fā)現(xiàn)計算機感染病毒時，立即拔掉網(wǎng)線，斷開與計費管理網(wǎng)的連接，在查殺病毒確保無毒之后才能重新接入計費管理網(wǎng)。

1.4數(shù)據(jù)備份與恢復(fù)技術(shù)

數(shù)據(jù)備份是在系統(tǒng)出現(xiàn)災(zāi)難性事件時重要的恢復(fù)手段。數(shù)據(jù)備份顧名思義，就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其他特定情況下，重新加以利用的一個過程。數(shù)據(jù)備份的根本目的，是重新利用，這也就是說，備份工作的核心是恢復(fù)，一個無法恢復(fù)的備份，對任何系統(tǒng)來說都是毫無意義的。

2.鐵通計費管理網(wǎng)現(xiàn)存的安全問題

雖然鐵通計費管理網(wǎng)在六個方面采取了措施來保證網(wǎng)絡(luò)安全，但是從技術(shù)和管理兩方面都還存在著薄弱環(huán)節(jié)。隨著技術(shù)的發(fā)展以及網(wǎng)絡(luò)安全攻擊方式的層出不窮，鐵通計費管理網(wǎng)整體安全防御體系將略顯不足，為信息安全留下漏洞和隱患。具體有以下幾點：

1.缺乏實時的入侵檢測手段和技術(shù)，不能及時發(fā)現(xiàn)各種可能的攻擊企圖。

2. 缺乏加密技術(shù)，使信息在脆弱的公共信道中傳輸，容易遭受惡意地竊取、篡改或破壞，存在著安全隱患。

3.計費系統(tǒng)與客服系統(tǒng)有直接的物理連接，而客服系統(tǒng)與互聯(lián)網(wǎng)相連。雖然客服系統(tǒng)與互聯(lián)網(wǎng)之間設(shè)有防火墻，但防火墻無法防止病毒入侵，如此為黑客攻擊提供了一定的可能性，存在著安全隱患。

4.員工可能會繞過防火墻的限制，利用辦公電話私自撥號上網(wǎng)，如此很可能遭受黑客攻擊，泄漏內(nèi)部信息。

5.容災(zāi)能力不足。鐵通沒有全國容災(zāi)中心和數(shù)據(jù)備份中心，一旦全國中心或省中心所在城市發(fā)生地震等大的災(zāi)害，該節(jié)點的數(shù)據(jù)會全部丟失，業(yè)務(wù)也將癱瘓。

3.解決鐵通計費管理網(wǎng)安全問題的對策

針對上述計費管理網(wǎng)存在的安全問題，提出以下幾點改進建議：引進實時入侵檢測技術(shù)和漏洞掃描軟件，變被動應(yīng)對為主動防護。使用加密技術(shù)，讓加密后的隱藏信息在網(wǎng)絡(luò)中傳輸，從而保證信息傳輸?shù)陌踩?。在鐵通計費管理網(wǎng)的邊界、內(nèi)部各級之間加強訪問控制管理。如在客服系統(tǒng)與計費系統(tǒng)之間設(shè)立防火墻，降低非法訪問的安全風(fēng)險，更好地保護核心數(shù)據(jù)。加強網(wǎng)絡(luò)安全管理，杜絕內(nèi)部人員隨意訪問互聯(lián)網(wǎng)等行為，減少安全漏洞和隱患。建立全國容災(zāi)中心和數(shù)據(jù)備份中心，采用光通道傳輸技術(shù)，實現(xiàn)數(shù)據(jù)的實時或準實時同步。

結(jié)束語

網(wǎng)絡(luò)安全技術(shù)的應(yīng)用是一個與時俱進的過程。鐵通公司出于投資回報率的考慮，目前只采用最必要的且與數(shù)據(jù)損失成本相適應(yīng)的網(wǎng)絡(luò)安全技術(shù)，再配以各項安全管理規(guī)章制度，充分調(diào)動網(wǎng)絡(luò)安全管理中人的積極因素，來保證各項技術(shù)手段行之有效的落實和發(fā)揮作用。畢竟安全只是一個相對的概念，只有相對的安全，沒有絕對的安全。對于鐵通公司而言，在可承受的風(fēng)險損失范圍內(nèi)或在網(wǎng)絡(luò)安全的部分環(huán)節(jié)上追求較安全的技術(shù)是較為可行的策略。

[1] 胡道元：網(wǎng)絡(luò)設(shè)計師教程[M].清華大學(xué)出版社，2001年5月第1版

[2] 石志國 ：計算機網(wǎng)絡(luò)安全教程[M].北方交通大學(xué)出版社，2004年2月第1版