寬帶城域網網絡安全與優化

鄭曉梅 張靳松

中國聯合網絡通信有限公司唐山市分公司

寬帶城域網網絡安全與優化

鄭曉梅 張靳松

中國聯合網絡通信有限公司唐山市分公司

隨著社會的發展，網絡已經廣泛應用于我們的生活中，為我們的生活帶來了很多的方便。網絡延伸到了各個領域，因此也會涉及個人、企業、政府的隱私信息，網絡安全問題也更加為世人所關注，只有構建完善的寬帶城域網網絡安全體系，才能保證計算機網絡技術的進一步提升，因此進一步加強對其的研究非常有必要。基于此本文分析了寬帶城域網網絡安全與優化。

寬帶城域網；網絡安全；優化

1 、城域網網絡安全目標和需求

網絡規劃設計中的安全性分析立足于網絡整體，考慮的是網絡結構性的、技術性的安全問題以及在危機情況下網絡運行的穩定性、可用性和可靠性，確保網絡能夠在負載變化、部分受損的情況下比較穩定、可靠地運行。

根據IS07498-2中提出的建議，一個安全的計算機網絡應當能夠提供以下安全服務：1)實體認證：實體認證安全服務是防止主動進攻的重要防御措施，對于開放系統環境中的各種信息安全有重要的作用。認證就是識別實體的身份和證實其身份的正確性；2)訪問控制：訪問控制服務是針對越權使用網絡資源的防御措施，實現機制可以是機遇訪問控制屬性的訪問控制列表，或基于安全標簽、用戶分類和資源分檔的多級訪問控制；3)數據保密性：數據保密性安全服務是針對信息泄露的防御措施，細分為信息保密、選擇數據段保密與業務流保密；4)數據完整性：數據完整性安全服務是針對非法篡改信息、文件和業務流而設置的防范措施，保證資源的可獲得性，分為連接完整性、無連接完整性、選擇數據段完整性；5)防抵賴：防抵賴安全服務是針對對方進行抵賴的防范措施，可用來證實發生過的操作，分為對發送防抵賴、對遞交防抵賴與公證。

2 、城域網網絡安全優化

城域網網絡安全優化措施可以從以下幾方面入手：

1)實體認證。就是通過網絡外實體對網絡內數據進行獲取的一種手段，對于在開放型的網絡環境下保證各類數據不被竊取有著很好的效果，具有相當高的安全性；2)訪問控制。指的是根據網絡資源本身所存在的缺陷，對所使用的網絡資源進行防范監控；3)數據保密技術。數據加密技術可分成密鑰的管理技術、數據傳輸、數據存儲以及數據完整性的鑒別。數據傳輸加密技術是為了對傳輸中的數據信息加密，數據完整性鑒別是對相關數據內容處理人的身份進行驗證以及介入信息的存取、傳送，以此來滿足保密作用，系統將事先設定的參數和輸入的特征值進行對比分析，可以通過這個方法來確保數據的安全。數據存儲加密技術可以分成密文存取以及存儲兩種，目的是為了防止數據在存儲環節上的流失。數據加密在很多時候的作用是密鑰的應用，密鑰管理技術包括密鑰的銷毀、更換、分配保存以及產生等多個環節上的保密措施。4)數據完整性。在網絡攻擊中，對于數據和程序的非法篡改也是一個重要問題。那么，就需要保證數據的完整性服務措施，減少程序漏洞，保證數據源的完整性、安全性，同時也需要保證數據段的完整性。

3 、網絡安全保護措施

3.1 采用雙重路由認證

目前，大部分路由器均是采用的路由認證方法進行防護。其實，在采用明文認證，得到路由協議支持時，同時也可以采取MD5來進行校驗，這樣就起到了雙重認證的防護。這種雙重認證方法本身的操作過程比較接近，但其所設置的密鑰在城域網絡內并不以明文形式出現，而是利用MDS算法所產生的信息摘要，這也就從根本上保證了密碼的安全性。現在比較流行的網絡協議便是BGP，它采用的是TCP來提供可靠的數據連接。為了防止被欺騙的TCP分段進入端口，就利用BGP連接實施相應的攻擊，以加大安全性和可靠性。

3.2 加強權限管理模式

對城域網網絡的權限管理應采取集中化的管理模式，針對不同的操作工作人員、不同的操作系統以及不同的終端采取相應的管理，對于共享數據庫，應由網站系統管理員設置相應的訪問權限，并且設立相應的密碼或口令，防止非相關人員的惡意訪問或篡改，確保信息的安全。對于不同的操作人員，應設置有不同的不同的用戶名及相應密碼，嚴禁各個操作人員之間相互泄露自己的密碼，并且操作人員還應定期或不定期的對自己的操作密碼進行更換，最大程度上確保信息的安全。此外，對操作員的訪問權限嚴格遵守崗位職責的設定，網站系統管理員還需定期對操作人員的權限進行檢查。

3.3 洞掃描及修復技術

安全問題遲遲無法全面妥善解決的重要原因是及網絡本身所帶有的漏洞，這種漏洞給病毒造成了可乘之機，加大了網絡安全管理的難度。因此為了規避風險，網絡安全管理員應當定期對計算機及網絡進行檢查掃描，及時發現漏洞并進行修復與升級。

3.4 防火墻功能服務

為了防止網絡受到攻擊，對于IP源路由設置防火墻功能，能夠攔截被系統忽略了報告的傳輸文件和路徑，經過防火墻的設置能夠限制一些不法網絡的攻擊，這樣就可以很好的控制網絡安全，減少網絡攻擊者的攻擊。防火墻的使用可以減少網絡攻擊者破壞網絡結構。防火墻的主要作用就是對流經它的網絡信息進行分析，防火墻能夠過濾掉一些攻擊的數據和信息，可以避免這些網絡攻擊的信息被計算機系統執行。防火墻還可以主動關閉那些計算機不使用的端口，并且防火墻還能禁止計算機特定端口的流出數據和信息，封鎖病毒和木馬。防火墻還可以禁止來自特殊網絡和不明站點的訪問，這樣就可以在很大程度上攔截來自不明入侵者的所有數據和信息。因此防火墻具有很好的計算機系統保護作用，網絡入侵者必須首先穿越防火墻的安全防線，才能入侵計算機系統對系統進行篡改和破壞。我們可以以攻擊程度的高低，將防火墻配置成許多不同保護級別，這些保護級別會依據破壞的程度的高低對系統進行自動的防護，對入侵的攻擊進行過濾。防火墻高級別的保護可能會禁止一些服務，如視頻流等，防火墻保護是比較好的選擇。

總之，中國信息安全市場進入高速成長期，越來越多的企業意識到網絡安全的重要性，因此進一步加強對其的研究非常有必要。本文分析了寬帶城域網網絡安全與優化，以期提供一些借鑒。

[1]徐峰.寬帶IP城域網的應用研究[D].南京郵電大學，2012.

[2]周強.寬帶城域網優化擴容方案研究[D].南京郵電大學，2014.