淺談通訊網絡信息系統的安全防護技術

摘要：通訊網絡信息系統的通信便捷性和通信安全威脅并存，它在給你人們的通信極大便利的同時，也存在著網絡攻擊、網絡惡意行為、信息竊取等威脅通訊網絡信息系統安全的問題。尤其是進入3G時代后，急劇增加的3G用戶數量給網絡惡意行為的發起者提供了巨大的“潛在客戶資源”。針對這種現狀，本文中著重論述了保證通訊網絡信息系統安全的相關防護技術。

關鍵詞：通訊網絡信息系統；安全防護技術

3G通信技術和移動網絡通信技術的廣泛應用讓現在的人們充分體驗到了高新技術提供的便利。通訊網絡信息系統作為一個開放性較高的的通信技術應用平臺，對它的安全防護技術進行研究和探討具有重要的現實意義和價值。

1.通訊網絡信息系統的常見安全威脅

第一，主動捕獲用戶身份信息。惡意行為發動者將自己進行偽裝，而后以服務網絡的身份請求目標用戶進行身份驗證，進而獲取用戶的身份信息。第二，干擾正常服務。依照干擾等級的不同，可以分為：（1）物理等級干擾：即惡意行為發動者利用物理手段或者相關技術干擾系統的無線鏈路，導致用戶的相關數據以及信令數據不能傳輸；（2）協議等級干擾：即惡意行為發動者利用某種手段致使特定協議流程失敗，進而起到干擾通信的非法目的；（3）偽裝網絡實體：即惡意行為發動者把自己偽裝成為合法的網絡實體，迷惑用戶，并拒絕回答用戶的服務請求，進而起到干擾通信的非法目的。第三，非法訪問。即惡意行為發動者以“合法用戶”身份對網絡進行非法訪問，或者直接進行中間攻擊（潛入到用戶和網絡之間實施攻擊）。第四，數據竊取，惡意行為發動者利用各種手段來竊取用戶信息來達到非法目的。常用的竊取手段主要有：竊聽用戶業務、竊聽信令和控制數據、以網絡實體的身份竊取用戶信息、分析用戶流量等等。第五，攻擊數據完整性。惡意行為發動者利用特殊技術手段篡改（如修改、插入、刪除等）無線鏈路傳輸中的業務信息、信令、控制信息等。

2.通訊網絡信息系統的安全防護技術

2.1強化網絡漏洞的掃描和修補

與信息化程度不斷提升對應的是，網絡安全事件（黑客、蠕蟲、木馬、病毒等）的發生率也是急劇升高。比較的常見的安全防護措施主要有防火墻、殺毒軟件、入侵檢測等技術已經被廣泛應用，其重要性也得到社會的認可；但是根據Gartner Group公司（全球最具權威的IT研究與顧問咨詢公司）調查結果顯示，全面的漏洞管理過程能夠有效降低九成的成功入侵率，同時，絕大多數（接近99％）的入侵均是因為系統已知的安全漏洞或者配置錯誤造成的。對于安全漏洞問題，應該及時、全面、主動地進行評估，被動防御策略不能夠有效地防治網絡問題。

安全掃描是預評估和系統安全分析，是提高系統安全有效的一項重要措施。通?？梢岳冒踩┒磼呙柘到y，自動檢測遠程或本地主機硬件、軟件、協議的具體實現或系統安全策略方面的安全缺陷。通訊網絡安全漏洞存在于三個主要領域：網絡可以提供非授權物理機器訪問網絡接口缺陷和安全漏洞、不兼容軟件與捆綁軟件的漏洞等。對于“物理漏洞”，以加強網絡管理人員的網絡控制或阻止；軟件漏洞可以下載各種相應的補丁程序，以確保作業系統、內部網絡和應用服務器的安全性。

從底層技術來劃分，可以分為基于主機的掃描和基于網絡的掃描。第一，基于主機的漏洞掃描，通常在目標系統上安裝了一個代理(Agent)或者是服務(Services)，以便能夠訪問所有的文件與進程，這也使得基于主機的漏洞掃描器能夠掃描更多的漏洞。第二，基于網絡的漏洞掃描，可以將此看作為一種漏洞信息收集工具，根據不同漏洞的特性構造網絡數據包，通過網絡來掃描遠程計算機中，發給網絡中的一個或多個目標，以判斷某個特定的漏洞是否存在。

2.2信息加密策略

信息加密的本質就是利用各種加密算法對信息進行加密處理，加密成本較低，合法用戶的解密操作也非常簡便，因此頗受廣大用戶的青睞。常用的網絡加密手段主要有節點加密、端點加密以及鏈路加密等。節點加密主要是指為了保證源節點與目的節點之間的傳輸鏈路安全，為兩點之間的傳輸鏈路提供加密保護。端點加密主要是為了保證源端用戶與目的端用戶之間的數據傳輸安全，為兩個終端之間提供數據加密保護。鏈路加密主要是指為了確保網絡節點之間鏈路信息的傳輸安全，為鏈路傳輸的信息進行加密處理。根據加密級別的不同可以自由選擇以上一種或者幾種組合的加密方法。

2.3限制系統功能

可通過來取一些措施來限制系統可提供的服務功能和用戶對系統的操作權限，以減少黑客利用這些服務功能和權限攻擊系統的可能性。例如，通過增加軟硬件，或者對系統進行配置如增強日志、記賬等審計功能來保護系統的安全：限制用戶對一些資源的訪問權限，同時也要限制控制臺的登陸?？梢酝ㄟ^使用網絡安全檢測儀發現那些隱藏著安全漏洞的網絡服務?；蛘卟捎脭祿用艿姆绞?。加密指改變數據的表現形式。加密的目的是只讓特定的人能解讀密文，對一般人而言，其即使獲得了密文，也不解其義。加密旨在對第三者保密，如果信息由源點直達目的地，在傳遞過程中不會被任何人接觸到，則無需加密。Internet是一個開放的系統，穿梭于其中的數據可能被任何人隨意攔截，因此，將數據加密后再傳送是進行秘密通信的最有效的方法。

2.4入網測試

入網測試的主要內容就是對入網的網絡設備以及相關安全產品進行安全水準、相關功能和設備性能進行測試。此舉可以有效保證產品或者設備入網時不攜帶未知的的安全隱患，保證被測試產品在入網后具有可控性、可用性以及可監督性；同時，嚴格測試系統的升級包和補丁包，避免因為升級給系統帶來更大的安全隱患。

2.5多通道技術

采用多通道技術就是為不同信息提供不同的傳輸通道，例如，專用通道A傳輸管理控制數據，專用通道B傳輸業務數據，通道之間不混用。多通道技術增加了惡意行為的攻擊對象，就像上例，惡意行為者必須同時攻擊A和B通道才可能獲得完整的信息，因此，信息的保密性相對較高，但是初期的投入成本較高。

2.6構建信息網絡的應急恢復系統

在通訊網絡信息安全方面必須始終奉行“安全第一，預防為主”的安全策略。建議成立專門機構對通訊網絡信息系統的安全問題全權負責、統一指揮、分工管理，同時，嚴格監控重要的通訊信息系統，做好應急預案；建立專業化的應急隊伍、整合應急資源，確保信息的安全傳輸；出現問題后能夠及時有效處置，盡力降低損失；安全工作應該突出重點，既注重預防處理，又重視發生問題后的實時處理能力。

如果發生危及通訊網絡信息安全的突發事件，則要及時啟動專項應急預案進行應急處置；對該事件可能導致的后果進行分析和預測，并據此制定具有針對性的措施，并及時向上匯報危機情況以及處置建議。

總之，在信息技術高度發達的今天，沒有一種技術能夠長久保證通訊信息系統的安全，多種安全技術的綜合運用才是王道。

參考文獻：

[1]張然.如何加強通訊網絡信息安全防護[J].科技創新導報，2010，(29)：115-117.

[2]吳曉東.計算機網絡信息安全防護探析[J].現代商業，2010，(27)：203-205.

[3]過莉.企業計算機網絡安全防護的幾點措施[J].廣東電力，2005，(06)：119-120.

[4]沈向若.網絡信息安全隱患及防范對策[J].圖書館論壇，2001，(01)：325-326.

[5]韓玲革，劉鴻齊.因特網上的急診醫學專業信息資源[J].中華醫學圖書情報雜志，2006，(03)：266-268.