电信计算机网络的安全策略

张时华

[摘要]随着计算机网络和电信行业的迅速发展，电信计算机网络的安全问题日益突出，结合电信计算机网络的实际操作和应用，分析电信计算机网络中存在的主要安全问题，简要的介绍电信计算机网络在当代所面临的威胁，以及面对这些威胁我们所采取的物理安全策略、访问控制策略、网络信息加密等安全策略。

[关键词]安全策略 计算机网络 访问控制 信息加密

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0220077－01

一、电信计算机网络存在的主要安全隐患

（一）信息泄密。主要表现为电信计算机网络上的信息被窃听，这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。

（二）信息篡改或删除。非法分子通过各种手段登录电信计算机网络系统主机，恶意篡改或删除关键信息，造成系统无法服务或服务错误，该类破坏后果最为严重。

（三）网络攻击。非法分子通过各种手段对电信计算机系统进行非法攻击，可造成系统服务错误或瘫痪，用户可能允许自己同其他用户进行某些类型的通信，但禁止其它类型的通信。如允许电子邮件传输而禁止文件传送。

（四）病毒感染。由于各种原因导致电信计算机网络上设备感染病毒，造成系统故障或瘫痪。

（五）非法操作。合法用户的非法操作后果严重的也会导致电信计算机网络系统出现服务故障甚至系统瘫痪。

（六）IP地址配置故障。电信企业内部计算机网大都是采用保留IP地址，IP地址的合理分配和正确使用是网络正常运行的保证。

由于电信计算机网络所带来的诸多不安全因素使得电信网络管理者不得不采取相应的网络安全对策。为了堵塞安全漏洞和提供安全的通信服务，必须运用一定的技术来对网络进行安全建设，并制定周全的安全防范体系。

二、电信计算机网络安全策略

（一）重视电信计算机网络安全规划建设。电信计算机网络的建设是一项庞大的技术性很强的综合工程，一般需要经过：网络调研，系统设计，可行性分析，设备选型和工程招标，硬件施工，软件环境的建立，人员培训，联调测试，系统验收等九个阶段，在每一个阶段都需要把安全因素考虑在内，只有这样建立起的电信计算机网络才有一个比较安全的基础设施。

（二）对电信计算机网络设备进行基本安全配置。对电信计算机网络的系统和设备使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高电信计算机的安全系数（特别是管理Administrator密码）；经常升级安全补丁，以防范未然；不在同一个服务器开多种服务，因为服务器上服务越多，安全漏洞就越多；关闭不需要的功能，遵守简单就是稳定，简单就是安全的原则；加强设备访问的认证与授权；使用访问控制列表限制访问和使用访问控制表限制数据包类型等等，下面就其中的物理安全策略、访问控制策略、信息加密策略进行讨论：

1．物理安全策略。物理安全策略的目的是保护电信计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保电信计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入电信计算机控制室和各种偷窃、破坏活动的发生。

2．访问控制策略。访问控制是电信网络安全防范和保护的主要策略，它的主要任务是保证电信网络资源不被非法使用和非常访问。它也是维护电信网络系统安全、保护电信网络资源的重要手段，可以说是保证电信网络安全最重要的核心策略之一。下面我们分述电信计算机网络安全中的几种访问控制策略。

（1）入网访问控制。入网访问控制为电信计算机网络访问提供了第一层访问控制。它控制哪些用户能够登录到电信计算机网络服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

（2）网络的权限控制。电信计算机网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。

（3）网络服务器安全控制。电信计算机网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。

（4）网络监测和锁定控制。电信计算机网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。

（5）网络端口和节点的安全控制。电信网络中服务器的端口应使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对电信计算机进行攻击。

3．信息加密策略。信息加密的目的是保护电信计算机网内的数据、文件、口令和控制信息，保护电信网上传输的数据。电信计算机网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护电信计算机网络节点之间的链路信息安全；端-端加密的目的是对电信计算机网络的源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。在多数情况下，信息加密是保证电信信息机密性的唯一方法。

（三）安全培训与组织管理。电信员工的安全意识是电信计算机网络系统是否安全的决定因素，因此对电信计算机网络使用者的安全培训是整个安全体系中重要、不可或缺的一部分。电信企业各部门应建立完善健全的计算机网络安全检查及防范组织管理制度，制度的制定应从以下几个方面入手：（1）鉴于保证电信计算机网络系统安全的重要性，应加强对网络安全的组织领导。建议成立电信计算机网络安全防范领导小组，由企业主管领导担任组长，各相关电信部门分管领导担任领导小组成员，日常办事机构建议设在技术网络支撑中心，领导小组负责电信计算机网络安全防范的组织领导工作，制定《电信计算机系统安全管理办法》。（2）建立定期安全检查制度。通过分析日志、扫描系统安全弱点并查封漏洞等方法检验系统的安全性，有问题及时处理；（3）建立包机或网络安全专人负责制。明确安全责任，充分调动人员的责任感和积极性；（4）建立定期备份制度。对于重要的路由器、服务器、数据库（更新），每月至少进行一次全数据备份，每周进行一次增量备份；

三、结束语

对于电信计算机网络安全问题，我们最希望的是能拥有彻底的、一劳永逸的网络安全解决策略。但是实际上电信网络的安全防范不可能做到绝对安全，安全总是相对的。由于目前电信网络安全的核心技术都掌握在国外大公司手里，单单依靠技术手段来保证电信网络安全是远远不够的，我们更多的应在管理和制度方面下工夫，建立完善的电信网络安全防范体系，这样才能确保我们电信计算机网络的安全。