宽带城域网网络安全与优化
2016-03-16郑晓梅张靳松
郑晓梅 张靳松
中国联合网络通信有限公司唐山市分公司
宽带城域网网络安全与优化
郑晓梅 张靳松
中国联合网络通信有限公司唐山市分公司
随着社会的发展,网络已经广泛应用于我们的生活中,为我们的生活带来了很多的方便。网络延伸到了各个领域,因此也会涉及个人、企业、政府的隐私信息,网络安全问题也更加为世人所关注,只有构建完善的宽带城域网网络安全体系,才能保证计算机网络技术的进一步提升,因此进一步加强对其的研究非常有必要。基于此本文分析了宽带城域网网络安全与优化。
宽带城域网;网络安全;优化
1 、城域网网络安全目标和需求
网络规划设计中的安全性分析立足于网络整体,考虑的是网络结构性的、技术性的安全问题以及在危机情况下网络运行的稳定性、可用性和可靠性,确保网络能够在负载变化、部分受损的情况下比较稳定、可靠地运行。
根据IS07498-2中提出的建议,一个安全的计算机网络应当能够提供以下安全服务:1)实体认证:实体认证安全服务是防止主动进攻的重要防御措施,对于开放系统环境中的各种信息安全有重要的作用。认证就是识别实体的身份和证实其身份的正确性;2)访问控制:访问控制服务是针对越权使用网络资源的防御措施,实现机制可以是机遇访问控制属性的访问控制列表,或基于安全标签、用户分类和资源分档的多级访问控制;3)数据保密性:数据保密性安全服务是针对信息泄露的防御措施,细分为信息保密、选择数据段保密与业务流保密;4)数据完整性:数据完整性安全服务是针对非法篡改信息、文件和业务流而设置的防范措施,保证资源的可获得性,分为连接完整性、无连接完整性、选择数据段完整性;5)防抵赖:防抵赖安全服务是针对对方进行抵赖的防范措施,可用来证实发生过的操作,分为对发送防抵赖、对递交防抵赖与公证。
2 、城域网网络安全优化
城域网网络安全优化措施可以从以下几方面入手:
1)实体认证。就是通过网络外实体对网络内数据进行获取的一种手段,对于在开放型的网络环境下保证各类数据不被窃取有着很好的效果,具有相当高的安全性;2)访问控制。指的是根据网络资源本身所存在的缺陷,对所使用的网络资源进行防范监控;3)数据保密技术。数据加密技术可分成密钥的管理技术、数据传输、数据存储以及数据完整性的鉴别。数据传输加密技术是为了对传输中的数据信息加密,数据完整性鉴别是对相关数据内容处理人的身份进行验证以及介入信息的存取、传送,以此来满足保密作用,系统将事先设定的参数和输入的特征值进行对比分析,可以通过这个方法来确保数据的安全。数据存储加密技术可以分成密文存取以及存储两种,目的是为了防止数据在存储环节上的流失。数据加密在很多时候的作用是密钥的应用,密钥管理技术包括密钥的销毁、更换、分配保存以及产生等多个环节上的保密措施。4)数据完整性。在网络攻击中,对于数据和程序的非法篡改也是一个重要问题。那么,就需要保证数据的完整性服务措施,减少程序漏洞,保证数据源的完整性、安全性,同时也需要保证数据段的完整性。
3 、网络安全保护措施
3.1 采用双重路由认证
目前,大部分路由器均是采用的路由认证方法进行防护。其实,在采用明文认证,得到路由协议支持时,同时也可以采取MD5来进行校验,这样就起到了双重认证的防护。这种双重认证方法本身的操作过程比较接近,但其所设置的密钥在城域网络内并不以明文形式出现,而是利用MDS算法所产生的信息摘要,这也就从根本上保证了密码的安全性。现在比较流行的网络协议便是BGP,它采用的是TCP来提供可靠的数据连接。为了防止被欺骗的TCP分段进入端口,就利用BGP连接实施相应的攻击,以加大安全性和可靠性。
3.2 加强权限管理模式
对城域网网络的权限管理应采取集中化的管理模式,针对不同的操作工作人员、不同的操作系统以及不同的终端采取相应的管理,对于共享数据库,应由网站系统管理员设置相应的访问权限,并且设立相应的密码或口令,防止非相关人员的恶意访问或篡改,确保信息的安全。对于不同的操作人员,应设置有不同的不同的用户名及相应密码,严禁各个操作人员之间相互泄露自己的密码,并且操作人员还应定期或不定期的对自己的操作密码进行更换,最大程度上确保信息的安全。此外,对操作员的访问权限严格遵守岗位职责的设定,网站系统管理员还需定期对操作人员的权限进行检查。
3.3 洞扫描及修复技术
安全问题迟迟无法全面妥善解决的重要原因是及网络本身所带有的漏洞,这种漏洞给病毒造成了可乘之机,加大了网络安全管理的难度。因此为了规避风险,网络安全管理员应当定期对计算机及网络进行检查扫描,及时发现漏洞并进行修复与升级。
3.4 防火墙功能服务
为了防止网络受到攻击,对于IP源路由设置防火墙功能,能够拦截被系统忽略了报告的传输文件和路径,经过防火墙的设置能够限制一些不法网络的攻击,这样就可以很好的控制网络安全,减少网络攻击者的攻击。防火墙的使用可以减少网络攻击者破坏网络结构。防火墙的主要作用就是对流经它的网络信息进行分析,防火墙能够过滤掉一些攻击的数据和信息,可以避免这些网络攻击的信息被计算机系统执行。防火墙还可以主动关闭那些计算机不使用的端口,并且防火墙还能禁止计算机特定端口的流出数据和信息,封锁病毒和木马。防火墙还可以禁止来自特殊网络和不明站点的访问,这样就可以在很大程度上拦截来自不明入侵者的所有数据和信息。因此防火墙具有很好的计算机系统保护作用,网络入侵者必须首先穿越防火墙的安全防线,才能入侵计算机系统对系统进行篡改和破坏。我们可以以攻击程度的高低,将防火墙配置成许多不同保护级别,这些保护级别会依据破坏的程度的高低对系统进行自动的防护,对入侵的攻击进行过滤。防火墙高级别的保护可能会禁止一些服务,如视频流等,防火墙保护是比较好的选择。
总之,中国信息安全市场进入高速成长期,越来越多的企业意识到网络安全的重要性,因此进一步加强对其的研究非常有必要。本文分析了宽带城域网网络安全与优化,以期提供一些借鉴。
[1]徐峰.宽带IP城域网的应用研究[D].南京邮电大学,2012.
[2]周强.宽带城域网优化扩容方案研究[D].南京邮电大学,2014.
