鄭曉梅 張靳松

中國聯(lián)合網(wǎng)絡通信有限公司唐山市分公司

寬帶城域網(wǎng)網(wǎng)絡安全與優(yōu)化

鄭曉梅 張靳松

中國聯(lián)合網(wǎng)絡通信有限公司唐山市分公司

隨著社會的發(fā)展，網(wǎng)絡已經廣泛應用于我們的生活中，為我們的生活帶來了很多的方便。網(wǎng)絡延伸到了各個領域，因此也會涉及個人、企業(yè)、政府的隱私信息，網(wǎng)絡安全問題也更加為世人所關注，只有構建完善的寬帶城域網(wǎng)網(wǎng)絡安全體系，才能保證計算機網(wǎng)絡技術的進一步提升，因此進一步加強對其的研究非常有必要?；诖吮疚姆治隽藢拵С怯蚓W(wǎng)網(wǎng)絡安全與優(yōu)化。

寬帶城域網(wǎng)；網(wǎng)絡安全；優(yōu)化

1 、城域網(wǎng)網(wǎng)絡安全目標和需求

網(wǎng)絡規(guī)劃設計中的安全性分析立足于網(wǎng)絡整體，考慮的是網(wǎng)絡結構性的、技術性的安全問題以及在危機情況下網(wǎng)絡運行的穩(wěn)定性、可用性和可靠性，確保網(wǎng)絡能夠在負載變化、部分受損的情況下比較穩(wěn)定、可靠地運行。

根據(jù)IS07498-2中提出的建議，一個安全的計算機網(wǎng)絡應當能夠提供以下安全服務：1)實體認證：實體認證安全服務是防止主動進攻的重要防御措施，對于開放系統(tǒng)環(huán)境中的各種信息安全有重要的作用。認證就是識別實體的身份和證實其身份的正確性；2)訪問控制：訪問控制服務是針對越權使用網(wǎng)絡資源的防御措施，實現(xiàn)機制可以是機遇訪問控制屬性的訪問控制列表，或基于安全標簽、用戶分類和資源分檔的多級訪問控制；3)數(shù)據(jù)保密性：數(shù)據(jù)保密性安全服務是針對信息泄露的防御措施，細分為信息保密、選擇數(shù)據(jù)段保密與業(yè)務流保密；4)數(shù)據(jù)完整性：數(shù)據(jù)完整性安全服務是針對非法篡改信息、文件和業(yè)務流而設置的防范措施，保證資源的可獲得性，分為連接完整性、無連接完整性、選擇數(shù)據(jù)段完整性；5)防抵賴：防抵賴安全服務是針對對方進行抵賴的防范措施，可用來證實發(fā)生過的操作，分為對發(fā)送防抵賴、對遞交防抵賴與公證。

2 、城域網(wǎng)網(wǎng)絡安全優(yōu)化

城域網(wǎng)網(wǎng)絡安全優(yōu)化措施可以從以下幾方面入手：

1)實體認證。就是通過網(wǎng)絡外實體對網(wǎng)絡內數(shù)據(jù)進行獲取的一種手段，對于在開放型的網(wǎng)絡環(huán)境下保證各類數(shù)據(jù)不被竊取有著很好的效果，具有相當高的安全性；2)訪問控制。指的是根據(jù)網(wǎng)絡資源本身所存在的缺陷，對所使用的網(wǎng)絡資源進行防范監(jiān)控；3)數(shù)據(jù)保密技術。數(shù)據(jù)加密技術可分成密鑰的管理技術、數(shù)據(jù)傳輸、數(shù)據(jù)存儲以及數(shù)據(jù)完整性的鑒別。數(shù)據(jù)傳輸加密技術是為了對傳輸中的數(shù)據(jù)信息加密，數(shù)據(jù)完整性鑒別是對相關數(shù)據(jù)內容處理人的身份進行驗證以及介入信息的存取、傳送，以此來滿足保密作用，系統(tǒng)將事先設定的參數(shù)和輸入的特征值進行對比分析，可以通過這個方法來確保數(shù)據(jù)的安全。數(shù)據(jù)存儲加密技術可以分成密文存取以及存儲兩種，目的是為了防止數(shù)據(jù)在存儲環(huán)節(jié)上的流失。數(shù)據(jù)加密在很多時候的作用是密鑰的應用，密鑰管理技術包括密鑰的銷毀、更換、分配保存以及產生等多個環(huán)節(jié)上的保密措施。4)數(shù)據(jù)完整性。在網(wǎng)絡攻擊中，對于數(shù)據(jù)和程序的非法篡改也是一個重要問題。那么，就需要保證數(shù)據(jù)的完整性服務措施，減少程序漏洞，保證數(shù)據(jù)源的完整性、安全性，同時也需要保證數(shù)據(jù)段的完整性。

3 、網(wǎng)絡安全保護措施

3.1 采用雙重路由認證

目前，大部分路由器均是采用的路由認證方法進行防護。其實，在采用明文認證，得到路由協(xié)議支持時，同時也可以采取MD5來進行校驗，這樣就起到了雙重認證的防護。這種雙重認證方法本身的操作過程比較接近，但其所設置的密鑰在城域網(wǎng)絡內并不以明文形式出現(xiàn)，而是利用MDS算法所產生的信息摘要，這也就從根本上保證了密碼的安全性?，F(xiàn)在比較流行的網(wǎng)絡協(xié)議便是BGP，它采用的是TCP來提供可靠的數(shù)據(jù)連接。為了防止被欺騙的TCP分段進入端口，就利用BGP連接實施相應的攻擊，以加大安全性和可靠性。

3.2 加強權限管理模式

對城域網(wǎng)網(wǎng)絡的權限管理應采取集中化的管理模式，針對不同的操作工作人員、不同的操作系統(tǒng)以及不同的終端采取相應的管理，對于共享數(shù)據(jù)庫，應由網(wǎng)站系統(tǒng)管理員設置相應的訪問權限，并且設立相應的密碼或口令，防止非相關人員的惡意訪問或篡改，確保信息的安全。對于不同的操作人員，應設置有不同的不同的用戶名及相應密碼，嚴禁各個操作人員之間相互泄露自己的密碼，并且操作人員還應定期或不定期的對自己的操作密碼進行更換，最大程度上確保信息的安全。此外，對操作員的訪問權限嚴格遵守崗位職責的設定，網(wǎng)站系統(tǒng)管理員還需定期對操作人員的權限進行檢查。

3.3 洞掃描及修復技術

安全問題遲遲無法全面妥善解決的重要原因是及網(wǎng)絡本身所帶有的漏洞，這種漏洞給病毒造成了可乘之機，加大了網(wǎng)絡安全管理的難度。因此為了規(guī)避風險，網(wǎng)絡安全管理員應當定期對計算機及網(wǎng)絡進行檢查掃描，及時發(fā)現(xiàn)漏洞并進行修復與升級。

3.4 防火墻功能服務

為了防止網(wǎng)絡受到攻擊，對于IP源路由設置防火墻功能，能夠攔截被系統(tǒng)忽略了報告的傳輸文件和路徑，經過防火墻的設置能夠限制一些不法網(wǎng)絡的攻擊，這樣就可以很好的控制網(wǎng)絡安全，減少網(wǎng)絡攻擊者的攻擊。防火墻的使用可以減少網(wǎng)絡攻擊者破壞網(wǎng)絡結構。防火墻的主要作用就是對流經它的網(wǎng)絡信息進行分析，防火墻能夠過濾掉一些攻擊的數(shù)據(jù)和信息，可以避免這些網(wǎng)絡攻擊的信息被計算機系統(tǒng)執(zhí)行。防火墻還可以主動關閉那些計算機不使用的端口，并且防火墻還能禁止計算機特定端口的流出數(shù)據(jù)和信息，封鎖病毒和木馬。防火墻還可以禁止來自特殊網(wǎng)絡和不明站點的訪問，這樣就可以在很大程度上攔截來自不明入侵者的所有數(shù)據(jù)和信息。因此防火墻具有很好的計算機系統(tǒng)保護作用，網(wǎng)絡入侵者必須首先穿越防火墻的安全防線，才能入侵計算機系統(tǒng)對系統(tǒng)進行篡改和破壞。我們可以以攻擊程度的高低，將防火墻配置成許多不同保護級別，這些保護級別會依據(jù)破壞的程度的高低對系統(tǒng)進行自動的防護，對入侵的攻擊進行過濾。防火墻高級別的保護可能會禁止一些服務，如視頻流等，防火墻保護是比較好的選擇。

總之，中國信息安全市場進入高速成長期，越來越多的企業(yè)意識到網(wǎng)絡安全的重要性，因此進一步加強對其的研究非常有必要。本文分析了寬帶城域網(wǎng)網(wǎng)絡安全與優(yōu)化，以期提供一些借鑒。

[1]徐峰.寬帶IP城域網(wǎng)的應用研究[D].南京郵電大學，2012.

[2]周強.寬帶城域網(wǎng)優(yōu)化擴容方案研究[D].南京郵電大學，2014.