论文部分内容阅读
【摘 要】作为为铁通公司提供收入保障重要数据的铁通计费管理网,由于数据的敏感性,在该网络中应用了多种网络安全技术。本文详细介绍了网络安全技术在铁通计费管理网中的具体应用,并且还提出了网络现存的安全问题并给出了相应的对策。
【关键词】网络安全,铁通计费管理网,网络安全技术,安全问题,对策
【中图分类号】F626【文献标识码】A【文章编号】1672-5158(2013)02-0132-02
铁通计费管理网系统(DCN)是铁通公司支撑网系统中的重要组成部分,该系统为铁通公司的运营提供了计费、营业、结算、摊分、账务和决策支持的平台。作为为铁通公司提供收入保障重要数据的计费管理网,由于数据的敏感性,从设计规划的初期就高度重视网络的安全,并且逐步实施了多种网络安全技术。这些网络安全技术的使用,保证了铁通计费管理网的信息安全,使铁通计费管理网经受了多次安全攻击的考验,为铁通公司的经营活动提供了有力的支撑。
1.网络安全技术在铁通计费管理网中的具体应用
网络安全的常见技术措施主要有:访问控制技术、网络入侵检测系统与安全漏洞扫描、病毒防范技术、加密技术、数据备份与恢复技术、建立完善的安全管理制度和加强主机安全七个方面。
铁通公司出于投资回报的考虑,目前只采用最必要的且与数据损失成本相适应的网络安全技术。同时,在管理方面,不断建立健全各项安全管理规章制度,调动网络安全管理中最活跃因素中的人的积极因素,保证各项技术手段行之有效的落实和发挥作用。这些措施都保证了铁通计费管理网的网络安全。
1.1 访问控制技术
访问控制是网络安全防范和保护的主要方法,它的主要任务是保证网络资源不被非法使用和访问,而只允许有访问权限的用户获得网络资源。同时控制用户可以访问的网络资源范围以及可以对网络资源进行的操作。访问控制技术是保证网络安全最重要的核心策略之一。
1.1.1 物理隔离技术
铁通公司从企业内部和外部实现计费管理网与其他网络物理隔离。铁通计费管理网是企业的内部专用网,基本与外网隔离。在公司内部,生产网与办公网是物理隔离的,严格禁止公司员工使用生产设备通过拨号或其他方式访问互联网。
1.1.2 路由访问控制
铁通计费管理网是以集团总部计费中心为单一根结点的树型广域计算机网,为适应集团总部-省公司-地市公司的垂直管理体系,数据信息也是由根结点到叶结点垂直流动。出于管理上的需要,铁通公司在集团总部计费中心路由器上通过ACL(访问控制列表)等技术防止省与省之间的访问。省与省之间禁止水平访问,以保护各省计费账务中心的网络安全。
1.1.3防火墙技术
铁通计费管理网在与外网物理连接的边界结点设置防火墙以防止外部用户对计费管理网以及计费管理网内网用户对外网的非法访问。铁通公司使用的是百兆速率的基于通用操作系统的防火墙硬件设备。银行代收系统与铁通计费管理网之间设有防火墙,以保证银行和铁通公司的专网之间的访问是按约定端口进行的,是安全的。防火墙具有包过滤,封堵禁止的访问行为,记录通过防火墙的信息和活动等功能。
1.1.4身份认证与口令管理
操作人员对铁通计费管理网系统的访问通过口令进行身份认证。口令安全管理按照安全管理组口令保管员、口令使用者(超级用户管理员、普通使用者)两个层次、三种角色构成口令安全管理体系框架。口令长度须在9~15位之间,并且由字母、数字及各种特殊字符共同组成。每月定期修改口令。
1.2 网络入侵检测系统与安全漏洞扫描
入侵检测能弥补访问控制技术在某些方面的不足,为网络安全提供实时的入侵监测。网络安全漏洞扫描实际上是通过模拟网络攻击的方式,提前获得可能被攻击的薄弱环节,为系统安全提供可信的分析报告,从而为提高网络安全性提供重要的依据。
铁通公司主要用人工检测辅以简易的安全漏洞扫描工具的方式,寻找安全漏洞、发现安全隐患,不断完善安全防护体系。例如,安全管理组口令保管员定期抽查用户口令的更新情况;系统管理员定期查看日志;网络管理员每天监控网络流量,如有异常,则采取屏蔽地址的方式,以防止病毒或黑客的攻击。
1.3 病毒防范技术
为了减少病毒在企业网络内部的传播,必须采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的预防、病毒的检测、以及杀毒技术,它们提供了完整的多级病毒防护系统,可以有效的保护网络不受病毒的侵害。
技术上,公司在所有接入铁通计费管理网的PC机上安装统一配置的网络版防毒软件来防毒,并且自动地定期更新病毒特征库和全面杀毒以及下载操作系统安全补丁;管理上,公司规定使用外来文件时必须执行查毒、杀毒程序,切断病毒利用可移动媒介传播的途径,防止感染病毒。当发现计算机感染病毒时,立即拔掉网线,断开与计费管理网的连接,在查杀病毒确保无毒之后才能重新接入计费管理网。
1.4数据备份与恢复技术
数据备份是在系统出现灾难性事件时重要的恢复手段。数据备份顾名思义,就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。数据备份的根本目的,是重新利用,这也就是说,备份工作的核心是恢复,一个无法恢复的备份,对任何系统来说都是毫无意义的。
2.铁通计费管理网现存的安全问题
虽然铁通计费管理网在六个方面采取了措施来保证网络安全,但是从技术和管理两方面都还存在着薄弱环节。随着技术的发展以及网络安全攻击方式的层出不穷,铁通计费管理网整体安全防御体系将略显不足,为信息安全留下漏洞和隐患。具体有以下几点:
1.缺乏实时的入侵检测手段和技术,不能及时发现各种可能的攻击企图。
2. 缺乏加密技术,使信息在脆弱的公共信道中传输,容易遭受恶意地窃取、篡改或破坏,存在着安全隐患。
3.计费系统与客服系统有直接的物理连接,而客服系统与互联网相连。虽然客服系统与互联网之间设有防火墙,但防火墙无法防止病毒入侵,如此为黑客攻击提供了一定的可能性,存在着安全隐患。
4.员工可能会绕过防火墙的限制,利用办公电话私自拨号上网,如此很可能遭受黑客攻击,泄漏内部信息。
5.容灾能力不足。铁通没有全国容灾中心和数据备份中心,一旦全国中心或省中心所在城市发生地震等大的灾害,该节点的数据会全部丢失,业务也将瘫痪。
3.解决铁通计费管理网安全问题的对策
针对上述计费管理网存在的安全问题,提出以下几点改进建议:引进实时入侵检测技术和漏洞扫描软件,变被动应对为主动防护。使用加密技术,让加密后的隐藏信息在网络中传输,从而保证信息传输的安全性。在铁通计费管理网的边界、内部各级之间加强访问控制管理。如在客服系统与计费系统之间设立防火墙,降低非法访问的安全风险,更好地保护核心数据。加强网络安全管理,杜绝内部人员随意访问互联网等行为,减少安全漏洞和隐患。建立全国容灾中心和数据备份中心,采用光通道传输技术,实现数据的实时或准实时同步。
结束语
网络安全技术的应用是一个与时俱进的过程。铁通公司出于投资回报率的考虑,目前只采用最必要的且与数据损失成本相适应的网络安全技术,再配以各项安全管理规章制度,充分调动网络安全管理中人的积极因素,来保证各项技术手段行之有效的落实和发挥作用。毕竟安全只是一个相对的概念,只有相对的安全,没有绝对的安全。对于铁通公司而言,在可承受的风险损失范围内或在网络安全的部分环节上追求较安全的技术是较为可行的策略。
[1] 胡道元:网络设计师教程[M].清华大学出版社,2001年5月第1版
[2] 石志国 :计算机网络安全教程[M].北方交通大学出版社,2004年2月第1版
【关键词】网络安全,铁通计费管理网,网络安全技术,安全问题,对策
【中图分类号】F626【文献标识码】A【文章编号】1672-5158(2013)02-0132-02
铁通计费管理网系统(DCN)是铁通公司支撑网系统中的重要组成部分,该系统为铁通公司的运营提供了计费、营业、结算、摊分、账务和决策支持的平台。作为为铁通公司提供收入保障重要数据的计费管理网,由于数据的敏感性,从设计规划的初期就高度重视网络的安全,并且逐步实施了多种网络安全技术。这些网络安全技术的使用,保证了铁通计费管理网的信息安全,使铁通计费管理网经受了多次安全攻击的考验,为铁通公司的经营活动提供了有力的支撑。
1.网络安全技术在铁通计费管理网中的具体应用
网络安全的常见技术措施主要有:访问控制技术、网络入侵检测系统与安全漏洞扫描、病毒防范技术、加密技术、数据备份与恢复技术、建立完善的安全管理制度和加强主机安全七个方面。
铁通公司出于投资回报的考虑,目前只采用最必要的且与数据损失成本相适应的网络安全技术。同时,在管理方面,不断建立健全各项安全管理规章制度,调动网络安全管理中最活跃因素中的人的积极因素,保证各项技术手段行之有效的落实和发挥作用。这些措施都保证了铁通计费管理网的网络安全。
1.1 访问控制技术
访问控制是网络安全防范和保护的主要方法,它的主要任务是保证网络资源不被非法使用和访问,而只允许有访问权限的用户获得网络资源。同时控制用户可以访问的网络资源范围以及可以对网络资源进行的操作。访问控制技术是保证网络安全最重要的核心策略之一。
1.1.1 物理隔离技术
铁通公司从企业内部和外部实现计费管理网与其他网络物理隔离。铁通计费管理网是企业的内部专用网,基本与外网隔离。在公司内部,生产网与办公网是物理隔离的,严格禁止公司员工使用生产设备通过拨号或其他方式访问互联网。
1.1.2 路由访问控制
铁通计费管理网是以集团总部计费中心为单一根结点的树型广域计算机网,为适应集团总部-省公司-地市公司的垂直管理体系,数据信息也是由根结点到叶结点垂直流动。出于管理上的需要,铁通公司在集团总部计费中心路由器上通过ACL(访问控制列表)等技术防止省与省之间的访问。省与省之间禁止水平访问,以保护各省计费账务中心的网络安全。
1.1.3防火墙技术
铁通计费管理网在与外网物理连接的边界结点设置防火墙以防止外部用户对计费管理网以及计费管理网内网用户对外网的非法访问。铁通公司使用的是百兆速率的基于通用操作系统的防火墙硬件设备。银行代收系统与铁通计费管理网之间设有防火墙,以保证银行和铁通公司的专网之间的访问是按约定端口进行的,是安全的。防火墙具有包过滤,封堵禁止的访问行为,记录通过防火墙的信息和活动等功能。
1.1.4身份认证与口令管理
操作人员对铁通计费管理网系统的访问通过口令进行身份认证。口令安全管理按照安全管理组口令保管员、口令使用者(超级用户管理员、普通使用者)两个层次、三种角色构成口令安全管理体系框架。口令长度须在9~15位之间,并且由字母、数字及各种特殊字符共同组成。每月定期修改口令。
1.2 网络入侵检测系统与安全漏洞扫描
入侵检测能弥补访问控制技术在某些方面的不足,为网络安全提供实时的入侵监测。网络安全漏洞扫描实际上是通过模拟网络攻击的方式,提前获得可能被攻击的薄弱环节,为系统安全提供可信的分析报告,从而为提高网络安全性提供重要的依据。
铁通公司主要用人工检测辅以简易的安全漏洞扫描工具的方式,寻找安全漏洞、发现安全隐患,不断完善安全防护体系。例如,安全管理组口令保管员定期抽查用户口令的更新情况;系统管理员定期查看日志;网络管理员每天监控网络流量,如有异常,则采取屏蔽地址的方式,以防止病毒或黑客的攻击。
1.3 病毒防范技术
为了减少病毒在企业网络内部的传播,必须采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的预防、病毒的检测、以及杀毒技术,它们提供了完整的多级病毒防护系统,可以有效的保护网络不受病毒的侵害。
技术上,公司在所有接入铁通计费管理网的PC机上安装统一配置的网络版防毒软件来防毒,并且自动地定期更新病毒特征库和全面杀毒以及下载操作系统安全补丁;管理上,公司规定使用外来文件时必须执行查毒、杀毒程序,切断病毒利用可移动媒介传播的途径,防止感染病毒。当发现计算机感染病毒时,立即拔掉网线,断开与计费管理网的连接,在查杀病毒确保无毒之后才能重新接入计费管理网。
1.4数据备份与恢复技术
数据备份是在系统出现灾难性事件时重要的恢复手段。数据备份顾名思义,就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个过程。数据备份的根本目的,是重新利用,这也就是说,备份工作的核心是恢复,一个无法恢复的备份,对任何系统来说都是毫无意义的。
2.铁通计费管理网现存的安全问题
虽然铁通计费管理网在六个方面采取了措施来保证网络安全,但是从技术和管理两方面都还存在着薄弱环节。随着技术的发展以及网络安全攻击方式的层出不穷,铁通计费管理网整体安全防御体系将略显不足,为信息安全留下漏洞和隐患。具体有以下几点:
1.缺乏实时的入侵检测手段和技术,不能及时发现各种可能的攻击企图。
2. 缺乏加密技术,使信息在脆弱的公共信道中传输,容易遭受恶意地窃取、篡改或破坏,存在着安全隐患。
3.计费系统与客服系统有直接的物理连接,而客服系统与互联网相连。虽然客服系统与互联网之间设有防火墙,但防火墙无法防止病毒入侵,如此为黑客攻击提供了一定的可能性,存在着安全隐患。
4.员工可能会绕过防火墙的限制,利用办公电话私自拨号上网,如此很可能遭受黑客攻击,泄漏内部信息。
5.容灾能力不足。铁通没有全国容灾中心和数据备份中心,一旦全国中心或省中心所在城市发生地震等大的灾害,该节点的数据会全部丢失,业务也将瘫痪。
3.解决铁通计费管理网安全问题的对策
针对上述计费管理网存在的安全问题,提出以下几点改进建议:引进实时入侵检测技术和漏洞扫描软件,变被动应对为主动防护。使用加密技术,让加密后的隐藏信息在网络中传输,从而保证信息传输的安全性。在铁通计费管理网的边界、内部各级之间加强访问控制管理。如在客服系统与计费系统之间设立防火墙,降低非法访问的安全风险,更好地保护核心数据。加强网络安全管理,杜绝内部人员随意访问互联网等行为,减少安全漏洞和隐患。建立全国容灾中心和数据备份中心,采用光通道传输技术,实现数据的实时或准实时同步。
结束语
网络安全技术的应用是一个与时俱进的过程。铁通公司出于投资回报率的考虑,目前只采用最必要的且与数据损失成本相适应的网络安全技术,再配以各项安全管理规章制度,充分调动网络安全管理中人的积极因素,来保证各项技术手段行之有效的落实和发挥作用。毕竟安全只是一个相对的概念,只有相对的安全,没有绝对的安全。对于铁通公司而言,在可承受的风险损失范围内或在网络安全的部分环节上追求较安全的技术是较为可行的策略。
[1] 胡道元:网络设计师教程[M].清华大学出版社,2001年5月第1版
[2] 石志国 :计算机网络安全教程[M].北方交通大学出版社,2004年2月第1版