陈 震
(淮安供电公司,江苏 淮安 223002)
通信网络的普及改变了人们信息沟通的方式,带来巨大的社会价值和经济价值的同时也潜藏着着巨大的危险,信息利用网络提供的服务进行传递的过程中面临严重的安全威胁,在这种情况下,如何最大限度地化解这种潜在危险,尽可能确保信息与通信网络安全,是当前整个行业需要面对的重大课题。
一般认为,信息与通信网络安全就是指最大限度地减少数据和资源被攻击的可能性。这些数据主要包括计费数据、财务数据以及各种电信客户资料等;资源包括各种电路资源和带宽资源、DNS系统、应用服务等;攻击包括黑客入侵、网络蠕虫、拒绝服务攻击以及域名劫持等。因此,网络安全主要就是保障上述数据和资源免受各种网络攻击的侵害。在利用网络提供的服务进行传递的过程中,通信网络有自身的可靠性、生存性,网络服务的可用性、可控性,信息传递过程中信息的完整性、机密性和不可否认性。网络可靠性与生存性依靠环境安全、节点安全、拓扑安全、物理安全、系统安全、链路安全等方面来保障。网络服务安全包括服务可控性与服务可用性。服务可控性主要依赖服务接入安全,通过服务防否认和防攻击等方面来加以保障。而服务可用性则与通信网络可靠性及维护能力等相关。信息传递安全包括信息机密性、完整性和不可否认性,其中信息完整性是依靠报文鉴别机制来保障的,信息机密性则依靠加密机制以及密钥分发等来进行保障,信息的不可否认性用数字签名等技术来保障。
通信网络的普及改变了人们信息沟通的方式,带来巨大的社会价值和经济价值的同时也潜藏着巨大的危险。因此,在利用网络提供的服务进行传递的过程中,信息具有和能源、物源同等甚至更高的价值,这就必然存在安全性的问题。在竞争激烈的市场环境下,每个企业对于原料、技术和经营决策等信息一般都有保密的要求,一旦这些机密被泄漏,就会给企业和国家造成严重的经济损失。经济社会的通信发展要求各用户之间的信息和资源实现共享,因此需要通过网络将一批计算机连在一起,这样的网络包含了极大的复杂性和脆弱性,隐含着很大的风险,很容易遭到别有用心者的各种原因的恶意攻击和破坏。而且随着社会发展、信息化程度的提高,各企业和机关等的大量情报和商务信息都集中地存放在计算机中,随着网络应用范围的迅速扩大,信息泄露的问题也变得日益敏感和严重,从而使得信息与通信网络安全的安全性问题变得越来越重要。
从实际情况来看,目前网络攻击者的攻击目标比较明确,问题发生的背后往往有利益驱动,针对不同的网站和用户,采用不同的攻击手段和攻击行为,趋利化特点比较突出。恶意代码的目的性也比较强,有后门、蠕虫、木马、间谍软件、即时通信软件等,传播的途径和种类也比较多。在这样的情况下,信息与通信网络面临严重的威胁。因此,如何最大限度地化解这种潜在危险,尽可能确保信息与通信网络安全,是当前整个行业需要面对的重大课题。解决这一课题,一方面要依靠技术创新,另一方面也要依靠建立健全安全机制,强化安全管理。为了从技术上尽量提高信息与通信网络的安全性,业界很多企业做了大量的技术开发工作,并且形成了丰富的解决方案,如流量分析、行为分析等,一方面提高网络的预防水平,另一方面提高网络的修复能力和备份能力。
信息与通信网的安全性与可靠性,承受着来自信息与通信网设备系统本身的软件与硬件的缺陷、变质、老化等以及自然界和人类活动对信息与通信网有意无意的侵犯、攻击与破坏带来的损害。其中,自然界与人类活动所带来的损害可以分为经常性的与偶然性的两大类。经常性的损害大致有七类,即电化与漏泄电流腐蚀、雷电损害、机械损伤和动物损害等。这类损害一般说来是局限性的,破坏面不是很大,不是不可挽救的,但却是经常的和大量的,因此,如果不在传输网建设时加强防护措施,建成后就得组织技术力量不停地进行维护。由自然界和人类活动所带来的偶然性灾害可以归类为三大灾祸,即洪水灾害、火灾和地震灾害。这些灾害的破坏力,在现时的人力、物力和技术条件下,有时是难以阻挡、难以抵御的,对于它们所具有的彻底摧毁性,至今人力还不可抗拒。还有一类偶然性灾害就是人类因相互之间的利益而引发的战争,给人们的生命财产带来的难以估算的损失。在当今的高新科技战争时代,战争离不开信息与通信,因此战争首先要破坏对方的信息与通信,同时也必须保护好自己的信息与通信网,这就使得战争注定成为信息与通信网的最大破坏者,成为信息与通信网最不安全的因素。
能对我国信息与通信网造成损害的洪水灾害每年都有发生,如水灌街道、机房被淹、进局电缆被冲断,使对外通信处于瘫痪状态,所以一定要充分满足所有局、站址所在地的地面高度,尽量保持在百年一遇的洪水水位高度以上,如高度不能满足要求,则无论机房或通信线路都应远离水库或者定位于水库上游,对于缆线、管道均不应通过容易塌方和冲刷之地,更不应敷设在河堤坝上;控制火种、防止蔓延,确保通信网安全,从信息与通信网本身来说,要切实做好所有接地系统,防止发生火花或电弧的可能,出局或主干光/电缆严禁架空穿插民用房屋。对局、站技术性房屋,必须采取防火技术措施,对机房建筑要采取防火措施,还必须配置必要的防火器材,应当将信息与通信网列为国家重点防火区;避开震中,提高防震等级,为了确保信息与通信网的安全,所建主要节点以上的局、站要远离地震中心,要提升建筑物防震的等级,机房中的所有设备、系统都要防震加固。所有核心网的光缆,本地网的主干光缆,有一定容量的光/电缆都应走地下路由,在我国经济实力逐年提高的今天,在信息与通信网的建设中进一步强调抗震的力度,加强信息与通信网的安全性是至关重要的。
随着通信网络功能的越来越强大,相应的软硬件设备也越来越复杂,网络自身的安全性对设备安全性及网络管理的依赖比较大。目前我国的通信网络上运行着大量由国外引进的设备,或者国产设备装载着大量的进口芯片和软件,所以对安全隐患的存在情况无法摸清。加之计算机软件产品自身的特殊性使得软件产品的安全性也很难衡量,因此安全性分析与评估是通信网络安全的重点也是难点问题,急需解决。我们可以通过节点和链路的冗余与备份手段来提高通信网络系统的生存性与可用性,也就是网络的拓扑设计。网络出现的故障如果是链路中断、节点失效等,网络冗余可以用于隔离故障来避免通信网络全网失效。网络备份通常用于应急通信以及网络的防毁抗灾,通常有备份设备、链路、网管中心以及备份网络等,当出现灾难或者重大事故时可以迅速启用。但是网络备份代价通常比较高,一般情况下在移动通信网中实现较多,如利用应急通信车架设临时基站,再使用微波等手段将临时基站连接到移动电话网。目前,备份网络的架构、备份中心的数据同步、组织以及切换等还不够成熟,仍有待于研究。
信息的机密性一般用加密的方式来完成,美国的DES是最早的加密标准,后来出现的三重DES算法使得加密的强度进一步增强了。DES算法是对称加密算法,也就是说加密密钥也同时是解密密钥。与之相对的是不对称的加密算法,也叫公开密钥法,这些算法中加密与解密采用的是不同的密钥,一个专门用于加密的密钥,可以让别人得到并利用它对数据进行加密,而解密密钥持有者可以用独有的解密密钥把密文解开,并恢复成明文。对称加密算法与公开密钥算法分别适于解决不同的问题,由于他们不同的密码体制决定了对称密码算法适合加密数据,公开密钥密码可以做对称密码所不能做的事情,前者加密与解密速度极快并且对选择密文攻击不敏感,而后者最擅长密钥分配和身份认证等对用户、密钥进行管理的工作。在进行保密通信实际应用中,双方先用公开密钥法交换彼此的加密密钥,然后通信双方用这个加密密钥通过对称加密法把信息加密后进行通信。
为使信息不受到窃听要对数据进行加密,可以用报文鉴别来保证数据的完整性,用数字签名来保证数据的不可否认性。报文鉴别的目的就是为了向接收方保证该报文没有变动过。如果接收方收到报文后计算的鉴别码与收到的鉴别码不同就可以判定报文的内容受到了攻击者的破坏。实际应用中用来生成鉴别码的算法大多采用的是单向散列函数,由于单向散列函数的运算过程的不可逆性使得不同的报文生成相同标签的概率非常小,所以如果报文被篡改过是很容易被看出来的。报文的摘要是要进行鉴别的内容,为了使得摘要的内容不被窃取而将报文的内容进行加密,在对称加密方法中因为加密解密用的是一把密钥,如果通信的双方距离很远,密钥的安全传送将会成为一个让人很头疼的问题。而公开密钥法可以很好地解决这个问题,由于公开密钥法解密的密钥是公开的,所以传送不需要用任何保密手段,少了很多麻烦,通信的一方很轻松就可以得到公开密钥对报文进行加密,而报文则只有私钥的持有者才可以解开。公开密钥算法的缺点是加密的速度远远低于对称加密算法,因此实际应用中,常用公开密钥法在要进行保密通信双方间传递共享密钥,然后用对称加密法进行数据的加密。
近20年来,我国信息与通信网得到了迅速的发展,骨干网络已基本建成,装备已现代化。固定电话用户、移动电话用户以及数据与多媒体用户正在快速增长,一个以话音、数据和视像为主要业务内容的信息与通信的综合业务网已经形成,这个网的核心传输网是以光缆高速数字大通道为主,数字微波通道和卫星数字通信通道相结合的复合传输网。在具体实施上依业务量大小、业务种类、城市与城乡、业务发展前景、基金筹划条件等综合比较确定。随着通信技术的不断发展,网络通信的应用不仅深入到国防军事、科研教育、医疗卫生等国民经济诸多领域,而且还深入到千家万户的日常生活。网络通信应用越广泛,它的安全性就越重要。目前,我国的信息与通信网已能初步适应国民经济发展的需要、科学技术现代化和国防现代化的需要。目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
1 张咏梅.计算机通信网络安全概述[J].中国科技信息,2006
2 姜春祥.通信网络安全技术是关键[J].网络安全技术与应用,2005
3 冯苗苗.网络安全技术的探讨[J].科技信息,2008
4 艾 抗、李建华、唐 华.网络安全技术及应用[J].济南职业学院学报,2005
5 姜 滨.于湛.通信网络安全与防护[J].甘肃科技,2006
6 罗绵辉、郭 鑫.通信网络安全的分层及关键技术[J].信息技术,2007
7 杨 华.网络安全技术的研究与应用[J].计算机与网络,2008