湖北函授大学学报(20lO)第23卷第5期浅析网络安全的提升与优化杨帆(南通纺织职业技术学院信息技术系,江苏南通226007)
l摘要J随着电子计算机网络在经济和社会生活中广泛应用,网络安全日益成为人们关注的焦点,网络安全影响着人们的正常工作和生活.网络的安全性和系统的稳定性非常重要.本文主要对网络安全的优化进行了分析论述,笔者从四个方面具体论述了保障和提升网络安全性的方法,分别是网络部署的准确性和安全的传输机制、网络安全双规属机制、完善的路由数据规划和合理的业务区间划分.I关键词l网络安全;信息;路由设备;软交换I中图分类号JG642.O【文献标识码lAdoi:lO.396踟.issn.167l-5918.20lO.05.042随着电子计算机网络在经济和社会生活中广泛应用,网络安全日益成为人们关注的焦点,网络安全影响着人们的正常工作和生活,网络的安全性和系统的稳定性非常重要。以下笔者将具体论述网络安全的意义及提升网络安全的几点方法和思想。一、网络安全的重要性网络的安全问题无处不在,从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。笔者认为网络安全的重要性主要体现在以下几个方面:第一,计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私,因此成为敌对势力、不法分子的攻击目标。第二,随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂,系统规模越来越大,特别是Int锄ct的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损失。第三,人们对计算机系统的需求在不断扩大,这类需求在许多方面都是不可逆转,不可替代的,而计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间,核辐射环境等等,这些环境都比机房恶劣,出错率和故障的增多必将导致可靠性和安全性的降低。第四,随着计算机系统的广泛应用,各类应用人员队伍迅速发展壮大,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。第五,计算机网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学。就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等等,因此是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。第六,从认识论的高度看,人们往往首先关注系统功能,然后才被动的从现象注意系统应用的安全问题。因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。【文章编号l167l-5918(2010)05一0082-02【本干U网址Jhnp:f^^,、^,、vhbxb.net
二、网络安全的提升和优化(一)网络部署和安全传输NGN定义了各种边缘,并保证通过这些边缘进入核心网络的数据都是安全的,以此达到NGN核心网络安全的目的。NGN核心网络的边缘分为三类:一是N(烈网络与接入网(任何宽带接入、企业网、Intemet等)的交界处,NGN网络通过这个边缘向所辖范围内的用户提供业务;二是NGN网络之问的交界处。三是NGN网络与传统PSTN网的交界处。NGN与传统PSTN的边界通常由信令网关、中继网关、综合接入网关以及对这些媒体网关的控制组成,普遍认为它是一个可以信赖的边界。但对于边缘一和边缘二,由于它们完全基于开放的IP数据技术,所以不值得完全信赖,对其用户的接入和业务访问,必须加以控制和管理,一旦允许用户接入,就应为其提供服务质量保证。所以,在边缘一和边缘二,可以设置一个边缘接入控制器(BoardAccesscontrolIer),提供防火墙和其他业务的保护功能,包括验证接入设备的合法性,避免非法用户的接入;屏蔽网络内部的拓扑结构;地址转换(NAT)和业务穿透;网络资源的分配和确保;防范来自底层和高层的拒绝服务攻击等。安全数据传输,包括NGN网络设备(如软交换和媒体网关)与终端之间传输协议的安全、用户之间媒体信息传输的安全、用户私有信息(用户名、密码等)的安全等。要保证这些信息不为非法用户窃取和修改,可以要求所有的用户控制信息都要经过边缘接入控制器,这样可以保证所有的NGN通信都会经过NGN网络中的设备。另外,还可以通过采用一些安全机制,让开放的IP网络具有类似TDM的安全性。其中的一种方式就是虚拟通道。目前比较成熟也比较通用的技术是,采用MPLSVPN技术构建相对独立的VPN网络。这种方法可以在NGN的核心网络使用,将整个IP网络分成几个不同的隔离空问:公共网络、ISP、ASP、用户网络、业务子网等,使得非MPLSVPN内的用户无法访问到NGN网络中的设备,从而保证NGN网络的安全。实际应用中,采用较多的是由FireWanPC作为边缘一的保护功能,配合要求较高,且定时更换的密码。本文研究的NGNDCl项目就应用一台带LINUx系统的FireWallPC作为防火墙。隔离核心网络和外部的Intemet,作为唯一的Intemct接口既提供了保护作用,又方便远程维护。对于安全传输,针
作者简介:杨帆(1980一),男,黑龙江齐齐哈尔人,南通纺织职业技术学院信息技术系教师.
万方数据第23卷第5期20lO年10月湖北函授大学学报Jo啪alofHUBEICorrespondenceUnivcrs时V01.23.No.5Oct.20lO
对NGNDCl项目,建议采用的MPLSⅥ,N也在现网上得到应用.(二)软交换双归属机制NGN采用呼叫和承载控制相分离的技术,网络设备的处理能力有了很大的提高,可以处理更多的信息和承载更多的业务负荷,真正实现了“大容量、少局所”。软交换设备负责控制大量的设备和呼叫接续,处理能力和功能都非常强大,一个软交换所能支持的用户都是百万用户数量级或等效中继,这一方面给运营商简化了网络结构和层次,有效降低了设备成本和运维支出,但另一方面也带来了安全隐患:当软交换设备出现问题和故障时,将导致大范围的通信故障,给整个网络造成非常大的影响。笔者认为解决NGNDCl网络中的软交换冗余安全问题,应该采用以下方案:两个软交换互为主备关系,主备软交换各控制自己的TG、AG、终端设备,完成自身控制域的呼叫和业务控制功能,当其中一个软交换发生故障时,相应的备份软交换将负责接管它控制的1’G、AG、终端设备。为切实保证网络的安全性,1’G、AG、终端设备与主备软交换的呼叫信令通道在IP网络上保持相对独立。在此方案中,TG、AG、终端设备采用H.248协议与软交换进行心跳检测,如果终端采用SIP协议,则采用SIP协议进行心跳检测。1’G、AG、终端设备配置主备软交换的地址。在T'G、AG、终端设备发现主软交换不可达时自动向备份软交换注册,以保证后续的呼叫控制和业务不受影响。以下仅对TG进行描述,对于AG、终端设备采用同样的机制实现。正是因为有了双规属的引入,使得路由数据的规划显得更加复杂和稳定。(三)路由薹i船规划与传统的语音网络不同,目前阶段的NGN主要是与PSTN混合存在于网络上,因此网络安全研究不仅要着眼于NGN,同时也要注重与原有网络的融合。路由规划如果设置不当,发生故障时会对网络产生负面影响,例如:迂回路由设置不当,造成话务死循环等。因此研究初期,路由数据的规划显得尤为重要。路由器规划主要包括以下两个基本方法:第一,正常话务路由:“发端局”(除省内PSTN本地网智能汇接局TM外)从DCl厂rGa厂rGb按比例负荷分担进行话务疏通;“省内PsTN本地网智能汇接局TM”从DC2厂rGa门rGb按比例负荷分担进行话务疏通。第二,异常话务路由:当“发端局”至发端1'G电路故障、“发端局”至发端SS,SG信令故障、发端TG故障、发端两部SS故障、发端1’G至发端SS信令故障时,原则上“发端局”将由此平面疏通的长途话务从发端Dcl(或者DC2)长途交换机通过PSTN网进行疏通。(四)承载网安全策略以及业务区间的合理划分承载网作为NGN的基础,安全性和稳定性至关重要。本参考文献:节从承载网的各项指标开始,逐步了解了承载网的各项特性,并提出了业务划分的策略。传统的IP网络只提供“尽力而为”的数据传输能力。随着网络上主机数量的不断增加,网络服务的需求将超过网络提供的能力,从而造成传输时延变化(抖动)、传输时延过大甚至引起分组丢失,也就是说出现了网络拥塞。网络拥塞对一些In-tclllet应用(如电子邮件,文件传输和W曲应用)一般不会造成太大影响,但对传输时延要求比较苛刻的实时应用(如多媒体业务)及大多数双向通信业务(如电话业务)却是不能容忍的。为了在Intemet上提供有质量保证的服务,必须制订有关服务数量和服务质量水平的规定。规定中需要在网络方面增加一些协议,对具有严格时延要求的业务和能够容忍迟延、抖动和分组丢失的业务进行分类,同时采用多种分组调度机制和算法对这些业务进行处理,这就是Qos机制的职责。也就是说,QoS机制不是用来增加网络带宽,而是通过最优化的使用和管理网络资源使其尽可能满足多种业务的需求。经过研究,对于NGNDCl网络的QoS问题可以采用分段解决的办法,针对不同的网络环境,可以采用不同的QoS保证技术。可以将整个网络分成骨干层、汇聚层和接入层,不同层面采取不同的技术手段。首先,在骨干和汇聚层,常用的QoS保证手段有过量分配带宽,综合业务模型支持的预留带宽供应,以及采用区分业务模型的业务分类质量保证,建议网络支持MPLS时采用面向连接的MPLS技术实现骨干层的QoS保证,否则采用Di躐rv方
式。其次,目前网上设备的IPQoS支持能力都有不同,所以建议采用保留带宽+Diff_serv来保证业务的QoS。本文采用了网络部署和安全传输、双归属和完善的路由数据规划、合理的业务区间划分,作为保障网络安全的四个重要方面来具体逐步化解NGN的各项安全性隐患。可总结为以下三个方面的内容:第一,LINUX的FirewallPC能够起到防攻击的第一重保护。第二,双归属则能够起到软交换主各保护的作用,在TG和SS故障时能够及时切换。路由数据的规划,则基本涵盖了现网上的所有话务故障。作为语音业务,合理细致的路由数据在本次课题研究中,被作为重要的环节,进行了多次规划、验证,最后该方案得到原网通集团的确认,并在现网上实施,效果良好,成功避免了多次话务阻断,保证了话务的畅通。第三,业务划分首先从承载网Qos指标及算法开始,然后根据承载网的实际需求,进行三层交换机的安全策略实施。在实际应用中,测试的承载网的Qos指标,都能够达到研究之前订立的标准。划分的安全区域,也能够完成业务承载,并提供很好的业务保护性,保证业务间的互不干扰。