通信網絡的安全分層及關鍵技術

熊文

（421003198212310065 湖南衡陽 421200）

從世界發展現狀來看，近幾十年是人類各項發明創造發展最快的階段與時期，而在各個科學環境和領域中，又以通信網絡技術的快速發展為龍頭，從而改變世界與人類的生存方式，并影響到人們生活的方方面面。通信網絡技術自從開發及應用以來，已從一個人和人之間溝通與聯系的先進電子技術領域，拓展到緊密聯系人類生存發展的各個環節和領域，特別是我國的通信網絡技術呈幾何式遞增的發展態勢，逐漸步入快速發展軌道。從通信網絡技術發展的廣度和領域來看，大到航空航天、衛星發射、城市交通運輸和全球貨運物流等，小到溝通交流、信息傳輸、電子商務等，無不滲透著通信網絡技術的應用與發展，極大地滿足了人們的日常生活需求，因此，也備受廣大人民群眾的依賴和關注。但在通信網絡技術給人民群眾提供更多的便利、快捷、可靠的生產生活服務的同時，開放式網絡技術的信息泄露、網絡攻擊、人為網絡服務時斷時續等安全問題也層出不窮，給人們的生產生活帶來了極大的不便和負面影響。因此，為解決這些網絡技術安全問題，就需要從通信網絡傳輸的各個環節加以分析研究，按照通信網絡技術的功能和結構的不同，加以區分和劃分層次，從而利用不同的手段和技術，有差別地對通信網絡進行維護和查驗，以保證網絡服務平臺、設施、線路、設備運行的可靠性、安全性和穩定性。

1 通信網絡技術安全相關概述

1.1 通信網絡安全定義

通信網絡安全可以定義為：在通信網絡的維護管理過程中，為進一步確保通信網絡可靠安全穩定地運行，保證網絡功能正常化實現，網絡信息實現實時秘密完整的傳輸，以特定的網絡安全防護技術實現對網絡安全環境、網絡功能、網絡服務、網絡信息傳遞等的支持與維護。

1.2 通信網絡技術安全內容

通信網絡技術安全可以看作是一個系統性的體系，它包括相應安全技術的措施、安全部門的組織制度和原則、技術人員的技術水平和操作規范、通信網絡設施維護保養和網絡建設外部環境等。只有多項安全制度和措施并舉，才能有效地維護和保證通信網絡體系的安全可靠運行。對通信網絡技術的安全問題進行分類，按照其固有的屬性劃分，可劃分為傳統網絡技術安全問題和外部安全問題兩種。一是傳統網絡技術安全問題。其主要是在通信網絡技術的各個連結點上發生的問題，通信網絡技術體系的內部設備主要包含通信網絡線路、網絡路由、網絡各端口及配套設備設施、組織業務聯絡的服務器及各專項功能硬件設施。如果這些通信網絡內部體系中發生問題，多數情況下都發生在通信網絡的拓撲結構、結點單路上，這些問題具有一定的普遍性，大都是因為設備陳舊、線路老化所引起的，只要通過對網絡體系中的各個硬件設備進行維護、保養、優化等，即可有效解決。二是外部安全問題。這種安全問題的發生主要在網絡技術環境之外，屬人為主觀因素造成，是不法分子利用各種惡意探測和攻擊手段，對網絡體系內的軟硬件進行破壞，對用戶信息進行盜取，如私自接入私有網絡、呼叫號碼隱藏實施盜號或詐騙、利用木馬程序對網絡用戶實施攻擊、對無線通信設備進行惡意干擾等。這些人為主觀的惡意攻擊行為給網絡用戶帶來極大的負面影響和傷害，是不容忽視的現實網絡安全問題。

1.3 影響通信網絡技術安全因素

1.3.1 通信網絡建設的技術因素

在通信網絡建設的管理開發中，由于通信網絡技術是一個比較復雜的體系工程，需要進行長期定期的日常維護與保養。然而，在這一過程當中，許多因素都會直接或間接地影響到網絡建設的運行品質，如通信網絡建設管理者的素養不高、網絡建設維護保養效率低下、網絡設施設備更新升級換代不及時、網絡建設質量效益把關不嚴等因素和問題，都會對網絡建設安全造成一定的負面影響。再有，在網絡信息安全方面，維護管理者在信息的存儲、傳送、計算和處理等每一個環節上都需要保證網絡系統的保密性、完整性、可靠性和穩定性，但是網絡的開放性特征不可避免地會產生許多網絡系統的安全問題，特別是一些黑客及病毒的攻擊在所難免，這就給網絡安全帶來很大的不確定性，容易導致網絡安全建設上的隱患發生。

1.3.2 通信網絡建設的安全意識

通信網絡安全具體要由網絡管理者進行維護與保證，這就需要網絡建設者和管理者有足夠的安全責任意識。然而，在維護網絡安全的實踐中，人員安全意識不強和安全素養不高的問題卻時有發生，特別是有的網絡管理者在網絡安全操作中，不按照相關操作理念、操作標準、操作流程進行，造成網絡安全問題，使開放性的網絡安全事故經常發生，這些都是由于人員網絡安全意識出現偏差，而導致網絡維護水平標準得到不保證所引發的。還有，極個別的網絡安全管理者安全責任觀念淡薄，出現了不按要求定期更換密鑰、發密件不按要求密碼發送等問題，這些問題都極易引起網絡安全責任問題的發生。

2 通信網絡安全的分層

要保證通信網絡安全可靠穩定地運行，必須按照建設通信網絡的標準與需求，建立起符合網絡運行實際的安全防護功能體系和運行機制。而根據不同級別的網絡安全屬性要求進行層次劃分，提供與之相適應的信息加密、傳送和處理措施也是非常必需的。另外，還要定期組織網絡維護人員對網絡設備設施進行維護和檢修，對網絡運行的安全性能做出合理化評估，根據網絡運行的內外部環境及狀態，及時調整安全防護的機制與策略，使用必要的安全檢測技術手段，主動防御和化解來自網絡內外部的安全隱患，最大限度地降低網絡安全威脅，減少網絡安全事故的發生。那么，從網絡使用的功能和器件結構上，可以將網絡技術安全分為業務承載、用戶服務和信息傳輸3個層次，逐層進行安全防護策略設定，區分層次實現通信網絡安全需求。

2.1 業務承載層網絡安全分析

業務承載層由承載網與業務網兩部分組成，實現多種業務在承載網上運行，并且可以多樣化地滿足網絡終端用戶的各種合理化和個性化需求。特別是5G網絡技術的開發和建設，使網絡的多業務承載功能得到更為廣泛的實現，使數據傳輸、信息傳遞、多媒體視聽等多功能融合得到更好更快的發展。因此，業務承載網絡的發展是對以往網絡功能的升級換代，同時，也對網絡傳輸、用戶體驗、多媒體視聽、網絡安全可靠性提出了更高的要求和標準。那么，在業務承載網絡安全保障中，就更應該從業務層、設備管理層、網絡連接層等不同的層次加以維護和實施，以較好的安全機制推動業務承載技術的發展。

2.1.1 業務承載網絡

業務承載網絡構成主要包含以下幾個層次：業務層、承載層、用戶終端層、服務管理層。業務層主要實施對網絡內部的管理控制，對網絡的安全機制和措施、網絡上的各種設備、線路、用戶終端進行維護與管理；承載層主要對網絡用戶終端的接入、認證，網絡用戶的使用體驗、設備運行及安全實施管理維護；用戶終端層是保障用戶終端的順利接入，對網絡服務功能進行體驗；服務管理層主要是對網絡所傳送的內容進行分配、編碼與加密。

2.1.2 業務承載網安全需求

業務承載網絡根據其性能特性，有一定的安全需求。業務層的安全機制包含了網絡安全事件、管理訪問、信息數據加密、安全日志、網元、數據備份、數據文件使用與保護、網絡傳輸設備、用戶使用認證等；承載層主要是用戶接入及使用體驗時，要注意傳輸與認證信息方面的安全管理；用戶終端層面主要包含接入的網絡硬軟件存在的安全問題、用戶接入認證管理、業務系統方面的外部安全威脅等；服務管理層主要是為網絡內容提供分配、編碼及加密，因此，特別是在數字網絡視頻系統使用中，要保證排除安全孤島和授權信用延時等問題，及時回傳系統安全認證，使網絡數字多媒體設備能夠正常使用。

2.2 業務服務層網絡安全分析

2.2.1 業務服務層網絡

業務服務層是通信網絡技術系統中的核心業務，主要負責接收業務承載層的指示和數據，整理消化后，按照有序的業務邏輯進行加工處理，并對業務承載層的指令進行反饋。在日常網絡運行中，通信網絡的業務承載層與業務服務層之間會有引入接口連接，以減少業務承載層與業務服務層之間的耦合問題。

2.2.2 業務服務層的安全需求

業務服務層是通信網絡中的終端層，在這個層次中，一般以移動電子終端設備為顯現形式，其中包括有VOIP 終端、IVON 終端及ATMS 終端等，移動通信網絡終端大都采用的是開放性網絡，多用于用戶的服務層面。因此，業務服務層的安全性除了被人為損壞或人為攻擊的可能性外，還取決于網絡服務協議及網絡設施設備的可靠性和穩定性。

2.3 業務信息層網絡安全分析

2.3.1 業務信息層網絡

業務信息層是負責網絡系統內的信息收集、關聯、識別、傳輸的業務，業務信息層是業務承載層與業務服務層之間承接的聯系樞紐，功能主要是維護信息傳送的即時性和完整性。

2.3.2 業務信息層網絡安全分析

業務信息層的業務功能要求處理信息即時、準確、迅速，其安全性主要是確保信息維護體系的安全與穩定，其安全性需要以數字簽名、加密機制和密鑰分配、報文鑒別等技術手段加以保證，因此，如果技術手段達不到信息維護體系的要求和標準，就很有可能在數字認證、信息傳送、數據加密、報文識別等方面出現安全問題。

3 通信網絡安全的關鍵技術

3.1 通信網絡系統安全協議及措施

通信網絡系統主要由網絡業務核心系統、網絡信息傳輸系統和網絡終端服務系統所組成，所以，在制定通信網絡安全協議和措施時，應將網絡系統中的各種硬件設備和線路節點都歸納在網絡系統安全問題中去加以研究。解決通信網絡系統中的安全問題，要在網絡協議的框架內，針對通信網絡技術運行的實際情況，按照一定的網絡安全目標去實施和達成。例如，針對網絡終端的訪問控制、網絡入侵檢測手段、數據庫安全機制、防火墻應用、網絡信息傳輸加密等，都應該制定出合理的安全措施，措施可包含有網絡安全管理措施、網絡技術安全使用措施、網絡系統安全設計措施、網絡安全隱患排查措施等。

3.2 數據傳輸安全防護技術

數據傳輸安全防護主要是利用多種防護技術對通信網絡中的信息進行安全防護，保證信息傳送的安全性和可靠性。一是數據加密。就是利用算法加密給傳輸數據進行加密的同時，在傳輸的鏈路上，利用安全密鑰再次進行加密，使傳輸數據轉化為不可識別代碼或無規律的密文信息。這種安防技術即使在信息傳輸的節點和鏈路間也會把中繼信號進行加密，使信息傳輸及數據流量一直處于保密狀態下完成。二是信息識別技術。利用數字簽名的方式方法，對所傳輸的信息進行水印加密，在確保信息傳輸過程中信息的完整性和安全性的同時，在接收終端，使用信息識別技術對所接收的信息進行有效的識別，并查驗接收信息的安全性和完整性。

3.3 通信網絡系統安全技術

為加強通信網絡的使用安全性，現階段多采用主動檢測與排隊的相關技術策略，主要技術手段有以下幾種。

3.3.1 接入控制技術

在用戶接入端口上實施控制，網絡終端用戶接入應具備智能性，快速區分用戶接入端口，在可控范圍內改變IP地址。

3.3.2 訪問控制技術

訪問控制技術是在基于防火墻理論的基礎上實施的，特別在網絡端口、網絡互聯點、企業網絡接入點都應該設置防火墻進行安全防護。而網絡安全訪問的主要作用：一是有效確保內外部網信息傳輸暢通；二是對不符合規定接入的外部用戶進行有效隔離，禁止其進入內網；三是防止人為操作的惡意攻擊及非法信息流入。

3.3.3 入侵檢測技術

入侵檢測技術主要用于對網絡的入侵行為進行鑒別，采取主動防御措施，進行預警干涉。隨著通信網絡技術向5G邁進和發展，網絡入侵檢測技術也逐步發展成熟，并向智能識別入侵檢測數據庫、實時高效模式檢測和分布式互聯檢測等形式和方向發展。

3.3.4 網絡安全管理技術

網絡管理體系主要包括網絡傳輸通道、網絡設備設施、網絡服務軟件等。而網管協議就是對通信網絡內部資源進行有效的管理和控制，這也就成為了入侵者的重點攻擊目標。因此，網絡安全管理技術主要是針對網絡平臺上的黑客攻擊、網管協議及數據破壞、重置和拒絕、病毒攻擊等幾個方面進行主動性防御。在網絡安全管理技術實施過程中，應特別注重以下方面：一是網絡管理數據處理及鑒別的完整性；二是網絡數據傳輸的保密性原則；三是網絡管理節點控制及訪問管理。