摘要：为全面提升通信业务水平，要对支撑网安全效能予以控制，降低安全隐患造成的影响，提升网络结构安全保护级别，从而确保通信各项业务在规范控制范围内全面推进，实现经济效益和社会效益的和谐统一。本文分析了通信业务支撑网安全问题，并从访问控制、信息加密、管理控制三个方面对具体的安全策略展开讨论。

关键词：通信业务;支撑网;安全策略

一、引言

通信体系借助业务支撑网络、业务应用网络以及监控网络等形成统一的业务服务模式，以便于能维持网络通信的稳定性和安全性，为网络统筹管理控制工作水平的全面进步奠定基础。

二、通信业务支撑网安全问题研究

近几年，我国通信技术呈现出全面发展的态势，然而，通信服务支持网络的安全水平还有一些亟待解决的问题，若是从通信服务支持网络的角度对相关情况进行分析，拓扑安全性问题较为普遍。比如，网络平台的安全性、远程服务结构的安全性以及终端安全性等[1]。

一般而言，要实现网络拓扑应用控制目标，就要对行业发展和冗余体系抗干扰性予以分析。并且，配合相应的服务机制，才能更好地维持网络和系统信息的科学配置。尽管服务器和设备都能有效支持远程访问，且远程服务工作模块的功能也在不断完善，却依旧存在通信业务支持网络安全不足的现象，很容易受到隐藏危害的攻击。

三、通信业务支撑网安全策略研究

正是因为通信业务会受到威胁，因此，要针对通信业务支撑网建立更加可靠的安全监督控制模式，发挥对应策略的优势作用，有效搭建科学合理的控制模式。

（一）访问策略

在计算机系统的常规化活动中，主体和客体之间开展相应的业务交互才能完成具体作业，因此，在计算机安全管理体系中，要将主体对客体的访问合法性作为评估关键，包括对数据信息、程序读取、写入、修改以及执行等环节的监管。基于此，在通信业务支撑网安全管控工作开展过程中，要建立匹配的访问控制模型，确保能对资源访问予以集中管理，在检查用户访问权限的同时，评估是否可供资料查阅和信息读取。

1.访问控制

较为常见的访问控制主要分为自主访问控制和强制访问控制，要结合实际情况落实相匹配的评估信息，确保相应内容的规范性。

（1）自主访问控制。指的是资源掌控者依据实际需求划定可以访问其资源的对象范围，并配合用户和用户进程选择可供共享的资源内容，因此，在自主访问控制体系中，一般是对单个用户执行相应作业。目前，较为常见的自主访问控制模式是DAC，配合访问控制矩阵和访问控制表就能建立有效的控制模式，实现数据的灵活化管理和规范访问。①基于“行”的自主访问控制。在每个主体基础上附加该主体访问的客体明细，按照权利表、前缀表和口令开展相应作业。比如，口令执行模式中，要结合访问控制矩阵对客体相应口令予以评估，并在访问前向操作系统提供口令明细，以便于能直接建立相应的数据评估。②基于“列”的自主访问控制。主要是从保护位和访问控制表两个方面出发，建立相应的访问控制分析模式，有效借助客体附加主体明细表的方式实现矩阵评估，从而在访问控制体系内尽量实现自主访问控制。除此之外，要按照等级型、有主型、自由型等类别对自主访问控制的访问许可予以分析，借助访问许可和访问模式更好地描述主体对客体的访问权限，最大程度上保证访问操作执行的规范效果，以便于能提升统筹管理效果。

（2）强制访问控制。是指系统的主体和客体在访问关系中分属不同的安全属性划定范围，用户在实际操作环节中，无法改变自身的安全属性，只有相应的系统管理员才能有效评估用户和用户组的访问权限。

比如，通过角色分析完成访问控制。在基于角色访问控制系统模式中，结合企业或者是相關组织的业务需求，要设置若干个“角色”客体，在此基础上，实现业务系统分工。系统管理员主要是负责将系统和数据访问的权限赋予不同角色，并且能结合角色相关需求的变动予以动态升级，实现权限和职责的合理性划分控制，保证资源管理权限的最优化。

2.防火墙

在通信业务支撑网体系中，防火墙是较为常见的管控模式，能有效实现网络通信量的实时性监测，仅允许安全信息和核准后的信息进入用户阅读区，尽可能减少威胁数据造成的安全隐患。并且，防火墙的应用还能强化网络安全水平。完整的防火墙系统（图1）能对内部网络和外部网络予以合理性屏蔽管理，保证监视和处理信息的规范性[2]。

较为常见的防火墙包括屏蔽路由器、双宿主网关、屏蔽主机网关、屏蔽子网等，按照不同的设置和匹配要求实现对应的控制工作。例如，屏蔽路由器，一般是专业厂家生产的路由器，或者是利用主机实现相应的工作。作为联通内部网络和外部网络的唯一通道，所有的报文都要借助屏蔽路由器予以检查和管理，借助IP层报文过滤软件，就能建立完整且规范的报文过滤控制模式。但是，屏蔽路由器也存在一定弊端，一旦被攻陷很难及时发现问题，且无法灵活识别不同用户。另外，随着通信服务安全管理工作的全面发展，代理服务器也受到了更多的关注，配合应用协议就能实现有效的应用管理，从而满足安全服务的基本质量要求[3]。

3.入侵监测

为有效保证计算机系统运行的安全性和规范性，要配置相应的报告系统，对未授权或者是异常的情况予以集中的识别，并开展相应的评估分析。在入侵监测系统中，能对入侵攻击出现后可能存在的入侵攻击予以统筹评价，并且借助报警系统和防护系统有效驱逐入侵攻击，从而减少入侵攻击产生的危害问题。值得一提的是，为了有效提升通信业务支撑网络的安全性，也要在入侵系统工作结束后收集相关信息内容，将其作为整个计算机防范系统的历史知识数据存入知识库，提升系统的统筹防控水平。

在入群检测系统体系中，基于主机的检测系统应用效能较高，较为常见的分为单一主机入侵检测和管理器入侵检测。①单一主机入侵检测，主要是借助检测主机审计日志实现合理性的主机保护控制。②管理器入侵检测是需要对每一台网络主机安装代理器，并将其和管理器联通，实现管理终端的协同控制。

另外，在入侵管理控制模式中，要结合攻击事件开展相应的分析，并且及时发现违反安全策略的具体行为，有效提升入侵检测系统的控制效率。在基于模式匹配检测的技术方案中，检测工作要对收集的数据特征予以检测分析，其整体手法和操作流程类似于杀毒软件，能结合异常现象匹配检测技术，有效对比正常情况下的阈值情况，全面评估CPU利用率、内存利用率以及文件校准等基础情况，并有效分析系统运行状态下数值参数的变化，最大程度上保证攻击检测的及时性和规范性，以便于能开展更加可靠且合理的处理方案。

（二）信息加密

在通信业务支撑网安全管理控制工作中，不仅要对访问予以控制，也要强化信息加密管理的水平，践行规范性应用模式，从而保证相应内容的合理性和规范性。也就是说，要基于保护信息可用性、完整度以及不可抵赖性的原则，完成信息的鉴别分析，确保信息的准确水平符合信息交互的基本需求。目前，较为常见的方式就是加密算法，结合设计要求实现常规加密和公钥加密等处理，保证信息安全监督工作有序开展。

1.常规加密

指的是AES加密处理，具体流程如下：①要进行字节的替换，实现非线性置换处理，保证字节替换操作的规范效果。例如，状态字节的前四位决定了S盒的基本行为模式，后四位则决定S盒的列号，完成相应数据分析。②移位行运算，是指状态中字节的循环移位运算模式，利用Bij=Ai，（j+1）mod4完成计算。③混合列运算，借助线性变化对状态关联列内的相关元素进行变换，利用十六进制对矩阵中的元素予以分析。④轮流密钥加法，在每一轮都要进行密钥编排处理，轮密钥的实际长度和加密分组的长度保持一致，从而有效实现实时性运算处理。⑤密钥编排，依据加密密钥分析轮密钥的内容，并从运算中明确密钥扩展和轮密钥选择内容。⑥密钥扩展。密钥扩展函数的输入要结合具体情况进行数组的区分和管理。⑦最终完成密钥的选择，因为扩展中密钥派生出轮密钥，要结合算法的实际情况落实相应分析工作。

2.公钥加密

对公钥加密算法的研究要追溯到密码学的发展，相较于基础替代和置换的常规加密算法，公钥加密算法具有突出的应用优势，从数学函数出发，且处于非对称状态，不同密钥的应用会存在一定的差异性。若是要进行相应的通信处理，使用两个密钥对于提升通信的保密性和密钥分配处理具有重要的意义。与此同时，两个密钥中会设置私钥和公钥，配合应用需求建立相应的发送和处理模块，并配合类型化密码的编码解码作业。①Diffie-Hell man密钥交换算法，主要针对的是实时性网络体系中通信双方实现安全共享密钥的环境，能对双方通信的基本内容进行有效的加密控制，所以，多数通讯协议中会采取DH密钥交换算法。②RSA算法，一般是应用在加密解密过程，或者是匹配数字签名开展保护机制。比如，A和B进行通信，若是A使用的是B的公钥加密报文，则B能借助自身掌握的私钥有效解读报文的相关信息。③IPSec处理，旨在提升分组的质量效果，建立可操作性和安全性符合应用要求的控制模式，借助2种通信安全协议完成首部和安全封装有效荷载算法内容的评估，并配合Internet密钥交换协议就能实现密钥的实时性管理，保证协议处理效果的可靠性。在AH协议提供数据源认证的基础上，ESP协议提供数据的保密服务，打造协同控制的应用服务模式，IPSec能提供的服务见表1。

3.公钥基础设施

为了保证通信业务支撑网应用的安全性，要对信息的来源予以身份的认证分析，并且将信息的完整性和机密性作为关键，从而结合具体的需求提供信息加密以及身份鉴别控制服务。之所以要建立基础设施，就是为了在熟悉的设施环境中保证通信规范效果，较为常见的基础设施就是网络基础设施和电力基础设施，前者要利用通信计算机完成数据传送，后者则是利用不同的电子设备完成电压和电流的控制。因此，要利用对应的技术处理模式保证基础设施信息数据传递的规范效果。

（三）安全管理

除了要从技术层面提升我国通信业支撑网安全水平，也要整合安全管理方案，建立健全完整且可控的应用模式，从而为安全管理效果的最优化提供保障。在信息系统安全管理工作开展过程中，不仅要保证信息资源管理水平，也要对信息安全资源的控制效果予以关注。

1.安全管理基准

要秉持规范性、系统性、综合保障性原则落实相应工作，实现安全管理的目标，实现安全管理组织机构、人员以及制度控制的合理性目标，维持安全管理效果。并且，要践行以人为本的原则，强化安全指导教育和培训管理，保证相关管理人员和从业人员都能形成较为规范的安全意识，利用信息技术和安全技术实现统筹管理目标。

2.软件管理

在安全监督管控体系中，要对操作系统、应用软件以及数据库、安全软件等予以统筹管理，保证相应的安全保护措施都能发挥作用，维持通信业务支撑网安全水平。第一，软件采购以及安装测试环节要落实精准分析机制，选取正规版本的同时，在安装后予以集中的检测分析，维持安全性，并且要明确相应软件的脆弱性，以便于能落实风险防控工作。第二，软件登记和保管。为了保证软件能发挥其实际作用，要在软件安装作业结束后完成规范性登记，指派专人保管信息和数据，在软件更新操作后，专人保管新旧版本，严格控制实际应用环节，维持数据管理工作的合理性和规范性。第三，软件使用和维护，无论是操作系统还是数据库系统都要专业化维护管理，并且，系统安全员和管理员要及时完成系统的维护处理，严格落实数据登记制，以便于开展历史数据和运行数据的合理性对比分析，最大程度上提高软件安全管控效果。

3.硬件管理

要结合国家信息安全测评机构认可要求，采购对应的信息安全产品，并且尽量应用我国自主研发的信息安全计算和设备，有效提升信息监督管理的安全性。另外，信息系统安全产品要选择型号匹配且获取批准的产品，正式运行前还要落实相匹配的系统兼容测试。

四、结束语

总而言之，通信业务支撑网安全管理控制工作具有重要的研究价值，要整合具体的管理路径，维持密钥管理、防入侵管理等工作的规范性，及时发现问题即使解决，最大程度上提高信息交互的安全性，为通信体系可持续发展奠定基础。

作者单位：任斌    中国移动通信集团山东有限公司

参  考  文  献

[1]朱延敏.我国通信业支撑网安全现状分析及对策探讨[J].数字通信世界，2021（2）：126-127.

[2]石磊，朱鹏.通信业支撑网安全现状及对策探讨[J].通信电源技术，2020，37（16）：215-217.

[3]黃炜玮.我国通信业支撑网安全现状分析及对策探讨[J].中国新通信，2019，18（20）：10-10，11.