通信网络的安全分层及关键技术

熊文

（421003198212310065 湖南衡阳 421200）

从世界发展现状来看，近几十年是人类各项发明创造发展最快的阶段与时期，而在各个科学环境和领域中，又以通信网络技术的快速发展为龙头，从而改变世界与人类的生存方式，并影响到人们生活的方方面面。通信网络技术自从开发及应用以来，已从一个人和人之间沟通与联系的先进电子技术领域，拓展到紧密联系人类生存发展的各个环节和领域，特别是我国的通信网络技术呈几何式递增的发展态势，逐渐步入快速发展轨道。从通信网络技术发展的广度和领域来看，大到航空航天、卫星发射、城市交通运输和全球货运物流等，小到沟通交流、信息传输、电子商务等，无不渗透着通信网络技术的应用与发展，极大地满足了人们的日常生活需求，因此，也备受广大人民群众的依赖和关注。但在通信网络技术给人民群众提供更多的便利、快捷、可靠的生产生活服务的同时，开放式网络技术的信息泄露、网络攻击、人为网络服务时断时续等安全问题也层出不穷，给人们的生产生活带来了极大的不便和负面影响。因此，为解决这些网络技术安全问题，就需要从通信网络传输的各个环节加以分析研究，按照通信网络技术的功能和结构的不同，加以区分和划分层次，从而利用不同的手段和技术，有差别地对通信网络进行维护和查验，以保证网络服务平台、设施、线路、设备运行的可靠性、安全性和稳定性。

1 通信网络技术安全相关概述

1.1 通信网络安全定义

通信网络安全可以定义为：在通信网络的维护管理过程中，为进一步确保通信网络可靠安全稳定地运行，保证网络功能正常化实现，网络信息实现实时秘密完整的传输，以特定的网络安全防护技术实现对网络安全环境、网络功能、网络服务、网络信息传递等的支持与维护。

1.2 通信网络技术安全内容

通信网络技术安全可以看作是一个系统性的体系，它包括相应安全技术的措施、安全部门的组织制度和原则、技术人员的技术水平和操作规范、通信网络设施维护保养和网络建设外部环境等。只有多项安全制度和措施并举，才能有效地维护和保证通信网络体系的安全可靠运行。对通信网络技术的安全问题进行分类，按照其固有的属性划分，可划分为传统网络技术安全问题和外部安全问题两种。一是传统网络技术安全问题。其主要是在通信网络技术的各个连结点上发生的问题，通信网络技术体系的内部设备主要包含通信网络线路、网络路由、网络各端口及配套设备设施、组织业务联络的服务器及各专项功能硬件设施。如果这些通信网络内部体系中发生问题，多数情况下都发生在通信网络的拓扑结构、结点单路上，这些问题具有一定的普遍性，大都是因为设备陈旧、线路老化所引起的，只要通过对网络体系中的各个硬件设备进行维护、保养、优化等，即可有效解决。二是外部安全问题。这种安全问题的发生主要在网络技术环境之外，属人为主观因素造成，是不法分子利用各种恶意探测和攻击手段，对网络体系内的软硬件进行破坏，对用户信息进行盗取，如私自接入私有网络、呼叫号码隐藏实施盗号或诈骗、利用木马程序对网络用户实施攻击、对无线通信设备进行恶意干扰等。这些人为主观的恶意攻击行为给网络用户带来极大的负面影响和伤害，是不容忽视的现实网络安全问题。

1.3 影响通信网络技术安全因素

1.3.1 通信网络建设的技术因素

在通信网络建设的管理开发中，由于通信网络技术是一个比较复杂的体系工程，需要进行长期定期的日常维护与保养。然而，在这一过程当中，许多因素都会直接或间接地影响到网络建设的运行品质，如通信网络建设管理者的素养不高、网络建设维护保养效率低下、网络设施设备更新升级换代不及时、网络建设质量效益把关不严等因素和问题，都会对网络建设安全造成一定的负面影响。再有，在网络信息安全方面，维护管理者在信息的存储、传送、计算和处理等每一个环节上都需要保证网络系统的保密性、完整性、可靠性和稳定性，但是网络的开放性特征不可避免地会产生许多网络系统的安全问题，特别是一些黑客及病毒的攻击在所难免，这就给网络安全带来很大的不确定性，容易导致网络安全建设上的隐患发生。

1.3.2 通信网络建设的安全意识

通信网络安全具体要由网络管理者进行维护与保证，这就需要网络建设者和管理者有足够的安全责任意识。然而，在维护网络安全的实践中，人员安全意识不强和安全素养不高的问题却时有发生，特别是有的网络管理者在网络安全操作中，不按照相关操作理念、操作标准、操作流程进行，造成网络安全问题，使开放性的网络安全事故经常发生，这些都是由于人员网络安全意识出现偏差，而导致网络维护水平标准得到不保证所引发的。还有，极个别的网络安全管理者安全责任观念淡薄，出现了不按要求定期更换密钥、发密件不按要求密码发送等问题，这些问题都极易引起网络安全责任问题的发生。

2 通信网络安全的分层

要保证通信网络安全可靠稳定地运行，必须按照建设通信网络的标准与需求，建立起符合网络运行实际的安全防护功能体系和运行机制。而根据不同级别的网络安全属性要求进行层次划分，提供与之相适应的信息加密、传送和处理措施也是非常必需的。另外，还要定期组织网络维护人员对网络设备设施进行维护和检修，对网络运行的安全性能做出合理化评估，根据网络运行的内外部环境及状态，及时调整安全防护的机制与策略，使用必要的安全检测技术手段，主动防御和化解来自网络内外部的安全隐患，最大限度地降低网络安全威胁，减少网络安全事故的发生。那么，从网络使用的功能和器件结构上，可以将网络技术安全分为业务承载、用户服务和信息传输3个层次，逐层进行安全防护策略设定，区分层次实现通信网络安全需求。

2.1 业务承载层网络安全分析

业务承载层由承载网与业务网两部分组成，实现多种业务在承载网上运行，并且可以多样化地满足网络终端用户的各种合理化和个性化需求。特别是5G网络技术的开发和建设，使网络的多业务承载功能得到更为广泛的实现，使数据传输、信息传递、多媒体视听等多功能融合得到更好更快的发展。因此，业务承载网络的发展是对以往网络功能的升级换代，同时，也对网络传输、用户体验、多媒体视听、网络安全可靠性提出了更高的要求和标准。那么，在业务承载网络安全保障中，就更应该从业务层、设备管理层、网络连接层等不同的层次加以维护和实施，以较好的安全机制推动业务承载技术的发展。

2.1.1 业务承载网络

业务承载网络构成主要包含以下几个层次：业务层、承载层、用户终端层、服务管理层。业务层主要实施对网络内部的管理控制，对网络的安全机制和措施、网络上的各种设备、线路、用户终端进行维护与管理；承载层主要对网络用户终端的接入、认证，网络用户的使用体验、设备运行及安全实施管理维护；用户终端层是保障用户终端的顺利接入，对网络服务功能进行体验；服务管理层主要是对网络所传送的内容进行分配、编码与加密。

2.1.2 业务承载网安全需求

业务承载网络根据其性能特性，有一定的安全需求。业务层的安全机制包含了网络安全事件、管理访问、信息数据加密、安全日志、网元、数据备份、数据文件使用与保护、网络传输设备、用户使用认证等；承载层主要是用户接入及使用体验时，要注意传输与认证信息方面的安全管理；用户终端层面主要包含接入的网络硬软件存在的安全问题、用户接入认证管理、业务系统方面的外部安全威胁等；服务管理层主要是为网络内容提供分配、编码及加密，因此，特别是在数字网络视频系统使用中，要保证排除安全孤岛和授权信用延时等问题，及时回传系统安全认证，使网络数字多媒体设备能够正常使用。

2.2 业务服务层网络安全分析

2.2.1 业务服务层网络

业务服务层是通信网络技术系统中的核心业务，主要负责接收业务承载层的指示和数据，整理消化后，按照有序的业务逻辑进行加工处理，并对业务承载层的指令进行反馈。在日常网络运行中，通信网络的业务承载层与业务服务层之间会有引入接口连接，以减少业务承载层与业务服务层之间的耦合问题。

2.2.2 业务服务层的安全需求

业务服务层是通信网络中的终端层，在这个层次中，一般以移动电子终端设备为显现形式，其中包括有VOIP 终端、IVON 终端及ATMS 终端等，移动通信网络终端大都采用的是开放性网络，多用于用户的服务层面。因此，业务服务层的安全性除了被人为损坏或人为攻击的可能性外，还取决于网络服务协议及网络设施设备的可靠性和稳定性。

2.3 业务信息层网络安全分析

2.3.1 业务信息层网络

业务信息层是负责网络系统内的信息收集、关联、识别、传输的业务，业务信息层是业务承载层与业务服务层之间承接的联系枢纽，功能主要是维护信息传送的即时性和完整性。

2.3.2 业务信息层网络安全分析

业务信息层的业务功能要求处理信息即时、准确、迅速，其安全性主要是确保信息维护体系的安全与稳定，其安全性需要以数字签名、加密机制和密钥分配、报文鉴别等技术手段加以保证，因此，如果技术手段达不到信息维护体系的要求和标准，就很有可能在数字认证、信息传送、数据加密、报文识别等方面出现安全问题。

3 通信网络安全的关键技术

3.1 通信网络系统安全协议及措施

通信网络系统主要由网络业务核心系统、网络信息传输系统和网络终端服务系统所组成，所以，在制定通信网络安全协议和措施时，应将网络系统中的各种硬件设备和线路节点都归纳在网络系统安全问题中去加以研究。解决通信网络系统中的安全问题，要在网络协议的框架内，针对通信网络技术运行的实际情况，按照一定的网络安全目标去实施和达成。例如，针对网络终端的访问控制、网络入侵检测手段、数据库安全机制、防火墙应用、网络信息传输加密等，都应该制定出合理的安全措施，措施可包含有网络安全管理措施、网络技术安全使用措施、网络系统安全设计措施、网络安全隐患排查措施等。

3.2 数据传输安全防护技术

数据传输安全防护主要是利用多种防护技术对通信网络中的信息进行安全防护，保证信息传送的安全性和可靠性。一是数据加密。就是利用算法加密给传输数据进行加密的同时，在传输的链路上，利用安全密钥再次进行加密，使传输数据转化为不可识别代码或无规律的密文信息。这种安防技术即使在信息传输的节点和链路间也会把中继信号进行加密，使信息传输及数据流量一直处于保密状态下完成。二是信息识别技术。利用数字签名的方式方法，对所传输的信息进行水印加密，在确保信息传输过程中信息的完整性和安全性的同时，在接收终端，使用信息识别技术对所接收的信息进行有效的识别，并查验接收信息的安全性和完整性。

3.3 通信网络系统安全技术

为加强通信网络的使用安全性，现阶段多采用主动检测与排队的相关技术策略，主要技术手段有以下几种。

3.3.1 接入控制技术

在用户接入端口上实施控制，网络终端用户接入应具备智能性，快速区分用户接入端口，在可控范围内改变IP地址。

3.3.2 访问控制技术

访问控制技术是在基于防火墙理论的基础上实施的，特别在网络端口、网络互联点、企业网络接入点都应该设置防火墙进行安全防护。而网络安全访问的主要作用：一是有效确保内外部网信息传输畅通；二是对不符合规定接入的外部用户进行有效隔离，禁止其进入内网；三是防止人为操作的恶意攻击及非法信息流入。

3.3.3 入侵检测技术

入侵检测技术主要用于对网络的入侵行为进行鉴别，采取主动防御措施，进行预警干涉。随着通信网络技术向5G迈进和发展，网络入侵检测技术也逐步发展成熟，并向智能识别入侵检测数据库、实时高效模式检测和分布式互联检测等形式和方向发展。

3.3.4 网络安全管理技术

网络管理体系主要包括网络传输通道、网络设备设施、网络服务软件等。而网管协议就是对通信网络内部资源进行有效的管理和控制，这也就成为了入侵者的重点攻击目标。因此，网络安全管理技术主要是针对网络平台上的黑客攻击、网管协议及数据破坏、重置和拒绝、病毒攻击等几个方面进行主动性防御。在网络安全管理技术实施过程中，应特别注重以下方面：一是网络管理数据处理及鉴别的完整性；二是网络数据传输的保密性原则；三是网络管理节点控制及访问管理。