论文摘要:通讯网络信息系统的通信便捷性和通信安全威胁并存,它在给你人们的通信极大便利的同时,也存在着网络攻击、网络恶意行为、信息窃取等威胁通讯网络信息系统安全的问题。尤其是进入3G时代后,急剧增加的3G用户数量给网络恶意行为的发起者提供了巨大的“潜在客户资源”。针对这种现状,本文中着重论述了保证通讯网络信息系统安全的相关防护技术。
3G通信技术和移动网络通信技术的广泛应用让现在的人们充分体验到了高新技术提供的便利。通讯网络信息系统作为一个开放性较高的的通信技术应用平台,对它的安全防护技术进行研究和探讨具有重要的现实意义和价值。
1.通讯网络信息系统的常见安全威胁
第一,主动捕获用户身份信息。恶意行为发动者将自己进行伪装,而后以服务网络的身份请求目标用户进行身份验证,进而获取用户的身份信息。第二,干扰正常服务。依照干扰等级的不同,可以分为:(1)物理等级干扰:即恶意行为发动者利用物理手段或者相关技术干扰系统的无线链路,导致用户的相关数据以及信令数据不能传输;(2)协议等级干扰:即恶意行为发动者利用某种手段致使特定协议流程失败,进而起到干扰通信的非法目的;(3)伪装网络实体:即恶意行为发动者把自己伪装成为合法的网络实体,迷惑用户,并拒绝回答用户的服务请求,进而起到干扰通信的非法目的。第三,非法访问。即恶意行为发动者以“合法用户”身份对网络进行非法访问,或者直接进行中间攻击(潜入到用户和网络之间实施攻击)。第四,数据窃取,恶意行为发动者利用各种手段来窃取用户信息来达到非法目的。常用的窃取手段主要有:窃听用户业务、窃听信令和控制数据、以网络实体的身份窃取用户信息、分析用户流量等等。第五,攻击数据完整性。恶意行为发动者利用特殊技术手段篡改(如修改、插入、删除等)无线链路传输中的业务信息、信令、控制信息等。
2.通讯网络信息系统的安全防护技术
2.1强化网络漏洞的扫描和修补
与信息化程度不断提升对应的是,网络安全事件(黑客、蠕虫、木马、病毒等)的发生率也是急剧升高。比较的常见的安全防护措施主要有防火墙、杀毒软件、入侵检测等技术已经被广泛应用,其重要性也得到社会的认可;但是根据Gartner Group公司(全球最具权威的IT研究与顾问咨询公司)调查结果显示,全面的漏洞管理过程能够有效降低九成的成功入侵率,同时,绝大多数(接近99%)的入侵均是因为系统已知的安全漏洞或者配置错误造成的。对于安全漏洞问题,应该及时、全面、主动地进行评估,被动防御策略不能够有效地防治网络问题。
安全扫描是预评估和系统安全分析,是提高系统安全有效的一项重要措施。通常可以利用安全漏洞扫描系统,自动检测远程或本地主机硬件、软件、协议的具体实现或系统安全策略方面的安全缺陷。通讯网络安全漏洞存在于三个主要领域:网络可以提供非授权物理机器访问网络接口缺陷和安全漏洞、不兼容软件与捆绑软件的漏洞等。对于“物理漏洞”,以加强网络管理人员的网络控制或阻止;软件漏洞可以下载各种相应的补丁程序,以确保作业系统、内部网络和应用服务器的安全性。
从底层技术来划分,可以分为基于主机的扫描和基于网络的扫描。第一,基于主机的漏洞扫描,通常在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。第二,基于网络的漏洞扫描,可以将此看作为一种漏洞信息收集工具,根据不同漏洞的特性构造网络数据包,通过网络来扫描远程计算机中,发给网络中的一个或多个目标,以判断某个特定的漏洞是否存在。 2.2信息加密策略
信息加密的本质就是利用各种加密算法对信息进行加密处理,加密成本较低,合法用户的解密操作也非常简便,因此颇受广大用户的青睐。常用的网络加密手段主要有节点加密、端点加密以及链路加密等。节点加密主要是指为了保证源节点与目的节点之间的传输链路安全,为两点之间的传输链路提供加密保护。端点加密主要是为了保证源端用户与目的端用户之间的数据传输安全,为两个终端之间提供数据加密保护。链路加密主要是指为了确保网络节点之间链路信息的传输安全,为链路传输的信息进行加密处理。根据加密级别的不同可以自由选择以上一种或者几种组合的加密方法。
2.3限制系统功能
可通过来取一些措施来限制系统可提供的服务功能和用户对系统的操作权限,以减少黑客利用这些服务功能和权限攻击系统的可能性。例如,通过增加软硬件,或者对系统进行配置如增强日志、记账等审计功能来保护系统的安全:限制用户对一些资源的访问权限,同时也要限制控制台的登陆。可以通过使用网络安全检测仪发现那些隐藏着安全漏洞的网络服务。或者采用数据加密的方式。加密指改变数据的表现形式。加密的目的是只让特定的人能解读密文,对一般人而言,其即使获得了密文,也不解其义。加密旨在对第三者保密,如果信息由源点直达目的地,在传递过程中不会被任何人接触到,则无需加密。Internet是一个开放的系统,穿梭于其中的数据可能被任何人随意拦截,因此,将数据加密后再传送是进行秘密通信的最有效的方法。
2.4入网测试
入网测试的主要内容就是对入网的网络设备以及相关安全产品进行安全水准、相关功能和设备性能进行测试。此举可以有效保证产品或者设备入网时不携带未知的的安全隐患,保证被测试产品在入网后具有可控性、可用性以及可监督性;同时,严格测试系统的升级包和补丁包,避免因为升级给系统带来更大的安全隐患。
2.5多通道技术
采用多通道技术就是为不同信息提供不同的传输通道,例如,专用通道A传输管理控制数据,专用通道B传输业务数据,通道之间不混用。多通道技术增加了恶意行为的攻击对象,就像上例,恶意行为者必须同时攻击A和B通道才可能获得完整的信息,因此,信息的保密性相对较高,但是初期的投入成本较高。
2.6构建信息网络的应急恢复系统
在通讯网络信息安全方面必须始终奉行“安全第一,预防为主”的安全策略。建议成立专门机构对通讯网络信息系统的安全问题全权负责、统一指挥、分工管理,同时,严格监控重要的通讯信息系统,做好应急预案;建立专业化的应急队伍、整合应急资源,确保信息的安全传输;出现问题后能够及时有效处置,尽力降低损失;安全工作应该突出重点,既注重预防处理,又重视发生问题后的实时处理能力。
如果发生危及通讯网络信息安全的突发事件,则要及时启动专项应急预案进行应急处置;对该事件可能导致的后果进行分析和预测,并据此制定具有针对性的措施,并及时向上汇报危机情况以及处置建议。
总之,在信息技术高度发达的今天,没有一种技术能够长久保证通讯信息系统的安全,多种安全技术的综合运用才是王道。
参考文献:
[1]张然.如何加强通讯网络信息安全防护[J].科技创新导报,2010,(29):115-117.
[2]吴晓东.计算机网络信息安全防护探析[J].现代商业,2010,(27):203-205.
[3]过莉.企业计算机网络安全防护的几点措施[J].广东电力,2005,(06):119-120.
[4]沈向若.网络信息安全隐患及防范对策[J].图书馆论坛,2001,(01):325-326.
[5]韩玲革,刘鸿齐.因特网上的急诊医学专业信息资源[J].中华医学图书情报杂志,2006,(03):266-268.