廖蔚 尹智为 何昕 王钊

（广东烟草佛山市有限责任公司 广东省佛山市 528000）

如何保证网络的安全是广大的网络设计人员和管理人员所关注的问题。随着因特网的应用范围越来越大，电脑设备几乎遍布每个人家，对电脑网路的安全措施采取也是目前需要解决的问题。当下，我国的网络系统正处于安全威胁的环境之中，其自身的安全问题也日益突出，建立GSM 网络的整体安全具有重要的现实意义。

1 电脑网络安全性技术概述

1.1 计算机安全技术

计算机技术性是指由计算机、网络通信及路线、互联网三者相互融合的一个通讯技术,大家可以根据计算机来操纵命令，根据互联网的接入与其他人进行沟通和交流，在生活中我们恰好是借助了互联网信息分享的特征，才可以促使许多复杂的工作通过连接网络的计算机来完成，从理论方面而言，计算机信息安全技术就是维护客户在互联网的个人隐私，确保大家运用的安全性，这样也能够更好地提升计算机的性能，提升计算机系统软件的安全系数，避免病毒感染窃取信息的情况出现。总体来说，网络安全的表现主要有两方面，一方面可以确保大家在互联网的个人隐私得到安全防护，另一方面可以确保计算机妥善处理安全隐患，使计算机的可操纵性、主体性变得更强。

1.2 网络安全技术作用

在网络安全方面，我们要进一步完善计算机的管理方法，完善其入侵探测技术，并提高计算机的可靠性，在出现恶意外挂、病毒感染等信息时，电脑的网络安全技术能够及时、准确地检测到威胁并及时的将其清除，从而促进有关程序能够正常的工作。在未来，网络安全技术不仅仅会提高 PC CPU 的基础，而且还会推动整个AI 产业的发展。若个体用户难以保障隐私，那么企业将面临着被窃取的风险，人工智能也将无法继续存在，政府的安全部门也将无法抵抗外来入侵，如果一个重要的国家商业机密泄露出去，它将会引起整个社会的恐慌，甚至会对环境造成一定的破坏，因此，在这个网络年代，电脑网络的安全技术，并不只是在保障国家、企业、民众的网络安全，更是一个为网络使用者提供便利的基础，为人类从事更高科技行业的基础。

2 影响电脑网络安全性的几个要素

2.1 电脑的系统缺陷

电脑主要分为两大部分：是由硬件和软件组成，主机主要包括电脑硬盘、独立显卡、CPU、屏幕、风机等，其中移动软件是指系统软件（Windows、iOS、红旗系统等）和电脑中的其他各种系统，而电脑的缺陷就是其自身特性，在一定程度上，存在的错误问题是不可避免，虽然电脑系统自身的软体也在不断地改进和更新以解决这些问题，但由于目前电脑资讯安全技术还处于一个摸索的阶段，所以从根本上来看是解决不了这些问题的，计算机硬盘、移动硬盘和计算机网络常常会有各种漏洞，这些缺陷会对计算机造成一些不可预测的危险，使计算机自身无法有效的利用它的网络保护。

2.2 互联网病毒

互联网病毒是一种根据程序编写、人为因素来设计方案的一种编号程序流程,在互联网、电脑硬盘、移动盘上都具备着强有力的毁坏能力、复制能力和感染能力，给计算机系统软件及其用户信息都会产生巨大的影响，到目前为止，相对比较多的互联网病毒大概可以分为以下几类：特工病毒、脚本制作病毒、木马病毒、蜘蛛病毒，这些病毒可以埋伏在客户电脑的硬盘中，伪造、复制用户的信息,并持续的进攻计算机的体系、入侵检测技术，甚至能够将用户的信息复制并发送在网络上。早些年来,相对比较传统的熊猫烧香病毒的主要功能是删除并感染计算机的关键文档，毁坏用户的数据，危害计算机系统软件的正常运行，同样,木马病毒也是运用了计算机远程监控的作用机理，对数据进行复制并对其稍做修改，感染此病毒的电脑内部就会一览无遗，而散播病毒的人也可以轻松地去远程操纵其他用户的计算机，并窃取计算机里的材料。

2.3 黑客入侵

在计算机系统漏洞和电脑病毒的前提下，第三种能够毁坏计算机网络安全的便是黑客入侵，黑客入侵是一种违反法律、可以毁坏其他用户应用安全性、进攻其他用户信息的一种个人行为，黑客的入侵方式主要有以下几种：

（1）脚本进击：这类黑客入侵的关键目标是用户的浏览器，根据浏览器中编号的脚本，就可以得到用户的核心信息（网址收藏夹、浏览历史等），这类攻击往往会伪造用户浏览器的首页连接，并在用户的计算机内嵌入可以通过编号解决的浏览器的程序流程，脚本进击一般会改动、感染、拷贝用户的信息及数据，之后再向计算机持续传出开启某不良网站的命令，以此来干涉计算机的正常运行；

（2）利用性进击：利用病毒系统软件来操纵客户的计算机，抄袭客户的信息或毁坏正常的运行程序；

（3）否定服务项目式进击：这类入侵方式主要是针对总流量系统软件,通过向客户推送一种数据文件，来占有计算机绝大多数的CPU 与总流量，进而导致计算机的麻痹；

（4）歪曲事实信息进击：这类入侵方式关键是对电子邮件进行阻拦、查获，并对信息的源头展开包装，在真实身份检测的情况下纳入病毒。

3 GSM网络的技术应用

3.1 GSM网络简介

运营商的局域网总体规划分为三个结构：以因特网为中心的计算机机房；把各个项目的建设相互连接，形成了网络中心；内部空间扩展以GSM 网络核心。使用五种类型的混合纤维混合网络，组成了星形的拓扑。网络中心以48 芯单模纤维连接，通过1000Mb/s 的速率传输，内部构造按照5 级的双绞合电缆提供100Mb/s 的服务器。覆盖数十栋办公楼和应用网络场所，共有3464 个信息点到接入互联网交换器。运营商有GSM 网络，都是大型光缆线路。主要的机械装置把Cisco 6506 和 Nortel 8606 作为备用，核心设备的主要产品有：6506、3750,2970；2950 号大楼和中央电脑室之间的通信干线都有几根光缆，除了办公居住地使用了一台cisco3750 作为连接和连接的核心外，其余的都是通过访问级直接连接，用户通过身份验证、日志记录、服务器防火墙、链路网络服务等方式进行。

附属办公运营商按照100 兆星型以太网络的界面进行基建，主要采用24 芯多模纤维进行通信，共1108 个信息节点，以Cisco3750、锐捷2126 为主体，设有200 M 独立的电信网络端口，用户通过网络选择 pppoe 进行认证，并通过 SSL vpn 方式接入总部各个商业管理系统。

3.2 GSM网络安全现状分析

3.2.1 对外提供服务的安全问题

运营商把因特网连接，会面临着来自互联网的各种攻击，各种病毒和木马随时都有可能在因特网上传播，影响到运营商的网络性能，导致运营商无法提供任何的服务。运营商的服务器中也有大量的可用的资料，很可能会被黑客攻击。最容易受到威胁的就是WEB 服务，Web 服务有很多漏洞，比如 Web Service，移动电话，Web 应用程序，安全性差，目前广泛使用的 CGI 程序和 ASP、PHP 脚本等，存在着严重的安全问题。

3.2.2 远程访问服务隐患

为方便运营商管理系统的工作人员可以随时查看GSM网络所有的操作管理信息，同时也方便运营商的办公系统系统软件使用，运营商网络内部布局配置PPTP 服务器，提供VPN 服务，但对终端设备本体线实施认证，错误数据报文实施验证难以开展检验，非常容易遭到详细地址暴露、收到外网的攻击。虽然安装PPTP VPN 的方式更容易，成本也更便宜，但是VPN Server 不能根据使用者的类别来制定针对运营商的网络资源的接入策略，而且拔号机的安装也有一些专业性的需求，给使用者带来不便。

4 计算机网络安全技术在网络维护中的运用

4.1 加强内外网区域之间的隔离和访问控制

针对GSM 网络企业的网络安全防护，通常采用的方法是建立防火墙，运营商应用天和信诚防火墙负责内部和外部网区域之间的隔离和存取，它是基于一个独立的计算机操作系统TOS（Topsec Operating System）来实现对网络的访问和控制。在保证防火墙的良好性能的同时，可以对OSI 网络的各个层面的安全进行即时的安全防护，并且可以检测不良WEB 的具体内容，垃圾短信，恶意程序，以及钓鱼等。图1 为防火墙的区域划分。

图1 ：防火墙的区域划分

4.2 公共网络上的数据传输安全

SSL 一致性属于高危安全的一种，它被应用于Web 存取过程和Web 用户端的应用。目前，几乎每一款标准计算机的操作系统中都安装了SSL，使得员工可以使用任意规格的浏览器进行远程的安全访问。采用SINFOR SSLVPN 作为运营商系统的安全访问方案，并将其应用于运营商系统的GSM 网络。SINFOR SSLVPN 网络安全网络系统内置 CA 证书，用户可以自行建设或使用第三方 CA 进行验证。除了能提供Local DB、LDAP/AD、Radius、安全ID 等以外，还能提供USB Dkey 的双重验证。

由于使用IP Tunnel 技术，SINFOR SSL VPN 安全网络关会提供更多的细节支援，包括分享文档/打印输出，FTP,Outlook；SQL, Lotus，Sybase, Oracle；像Citrix 这样通用的应用，以及基于TCP的UDP和ICMP一致性所有的应用软件。如果在本地网使用了路由方式的布线方式，也可以与远端访问用户进行双向访问。这个SSL VPN 能够实现复杂多样的B/S 和C/S 应用。对于网络运营商来说，由于 SSL 的方便，他们可以不需要进行客户的部署和维修，大大减少了VPN网络的维护工作。

4.3 业务系统/ 数据库安全措施

运营商GSM 网络的业务流程应用系统层面，关键实施的对策是通过入侵检测技术和数据备份技术来保证网络安全。

4.3.1 入侵检测

针对运营商内部的网络特性，我们选择了ISS（InternetSecuritySystems）作为一种综合的实时入侵探测技术，可以根据符合网络和服务器的检查模式，来做出相应保护反应。ISS 安全体系包括一个控制台和一个检测器，一个是Networksensor，另一个是 Serversensor，它们的主要作用是：可连接多个 Internet 发动器和 Agent Server；实现对该检测器的遥控配置与管理；立即得到这样的检波器报告的安全性问题报告。

因特网引擎：在对应的服务器上运行，将每个网关中的信息网进行解析，对包头和数据区段的特定内容进行解析，与模块中定义的事物进行匹配。一旦检测到攻击，互联网发动机就会做出反应，发出警报/通知（通知给控制台发送e-mail、snmptrap、查询即时对话和通知其他控制台），记录所有的工作记录和所有的对话，使用安全反应（阻止入侵连接，调整网络设备的设置），例如服务器防火墙，执行特殊的用户回应过程。

服务器代理（server sensor)：装配在各服务器上，对服务器、系统软件日志和网路专题的动态进行即时监控；从分析服务器的记录中识别攻击，响应个体的行动可能是拦截、智能报警和阻塞通信，可以在入侵进入计算机系统之前主动拦截；并能够完全自动化的对网络模块进行再设置，并与防火墙联动阻挡下一次的攻击。

在运营商GSM 网络需要对特定的区域内的个体行为进行监控即可，最容易的感应器部署位置是监控防火墙，DMZ 端口连接的一个重要的服务器区，以及它的监控防火墙内部端口，以便监控入侵的服务器区的网络个体的行动，以及通过该防火墙的某些网络个体的活动实现应用。因此，一个传统的入侵防护网结构由一个控制台和一个探测器组成。IDS 部署结构图如图2 所示。

图2 ：IDS 部署结构图

入侵探测在整个网络中扮演着“倾听者”的角色，不会与任何的网络连接，所以为了保证安全，它会将入侵的控制台和监控器组成一个专门的网络。针对 IDS 特定类型的入侵探测系统，采用了一种基于频域的入侵探测技术。这样既能凸显出入侵探测的安全性，又能防止出现 Nimda 和 CodeRed的问题，一旦出现了问题提，Nimda, CodeRed, IDS 监控中心就能及时的找到问题，让管理员及时了解情况，并对其进行重新部署，解决出现的问题。

4.3.2 数据备份

运营商GSM 网络采用体积大、价格低廉的SATA 磁碟作为备用存储介质，利用所选择的虚拟磁带库，将磁盘组模拟为磁带库，对目前运营商GSM 网络中的各个业务进行备份。

如图3，选择一种备用的计算机作为控制器，并将所有的设备按照千兆网卡的网络交换设备组成备用网。使用 Veritas备份，分别在其他的服务器上装配相应的选件、手机客户端代理和数据库代理。所有的备份和修理资料都可以通过这种专门备用网络进行传输，不会轻易损害原有的业务网络。

图3 ：备份系统结构

这种备份结构的设计，在计算机操作系统的应用中实现了图形接口的处理；

并调整数据资料的备份修理率；可获取磁带库的管理办法及易于导引的资料处理；不用为录像机的稳定而担忧。

在实施备用应对措施时，需要掌握以下内容：

（1）必须对资料进行备份；

（2）控制资料的数量；

（3）确定一次系统备份所需时间；

（4）保存资料的时间长短；

（5）储存媒体的体积。

他们采用了“祖—父—子”的备用战略，在虚拟录像机中，根据需要虚拟出相应的控制器和录像机，然后根据“祖-父-子”原则对每天的工作进行备份。

“祖—父—子”战略：这个战略适用于每天（子），每周（父），每个月（祖）。每个礼拜中，备用媒体上的每天录音带都会被标记。总的增量备份是使用“子”。在一周的固定天里，可以通过这个来反复地使用。多出星期的备用媒体，再加上诸如“周一”，“周二”等标志，依次导出，全备份是一周一次的记录，“子”媒体每天都不会被用到。每个周都会重新利用“父”媒体，“祖”媒体在每个月的最后一周执行完整备份，每个媒体都有很大的可能性是被压缩的磁盘或一套带子，这取决于整个存储数据的总量，每月底将已发出的或有存档的录音更换，并保存好。

利用互联网的信息系统，可以分为几个层次：内部办公，WEB，数据库服务等。这些应用通常是按照相应的数据库体系来实现的，比如MS SQL, ORACLE 等。互联网的内部架构也会产生大量的应用资料。在备份系统中，保存这些数据是至关重要的。对于档案服务器和 Web Services 这样的服务器来说，有一个非常关键的问题，那就是大部分使用档案都是“开启”状态，无法复制或修改。当在上面的文件备份过程中，计算机操作系统中的内部操作将会被忽略。

5 结论

中国的网络信息安全技术性也是有非常大的进步空间，在组装计算机技术时，应通过组装服务器防火墙和电脑杀毒软件来确保信息的安全性，可以保证隔绝网络病毒的与此同时，还理应让学生独立的培训与信息安全生产技术相关的专业知识。

网络的建设是一项持续的、复杂的系统工程，其安全建设要求统一考虑，长远规划，分步实施，确保技术的先进性和可扩展性。随着网络技术的不断发展，网络也将会出现新的安全问题，比如现在一些运营商实施的无线网络以及 IPv6网络的建设等。因此，网络整体安全防范体系是一个动态的、不断发展变化的综合运行机制，如何在技术上适应网络动态变化，建立自适应的安全保障体系，仍是一个值得研究的课题。