通信產業網路安全解決

A. 企業網路安全面臨的主要問題是什麼怎麼解決

內部攻擊，內部泄密，在內網內可以嗅探（截獲數據包），ARP攻擊。還有來自外部網路的黑客攻擊，最好裝硬體防火牆，有好得防火牆，沒有好的技術人員，那和一個差的防火牆沒什區別。。。。設置ip安全規則，從黑客的角度考慮問題。關閉不必要的埠，修改TTL的值，關閉不必要的埠，防止別人利用社會工程學來刺探你公司的信息，提高警惕。。。。。

B. 網路安全包括哪些內容

• 第一階段：計算環境安全。

針對操作系統、中間件基礎操作以及安全配置進行教學，配置真實業務系統，需掌握Windows操作系統安全、Linux操作系統安全、中間件安全、資料庫安全、PowerShell編程、LinuxShell編程、密碼學應用等技術，並能夠對操作系統以及業務系統進行安全配置以及安全事件分析。

• 第二階段：網路通信安全。

針對網路通信安全進行教學，涵蓋網路基礎、交換協議、路由協議、協議流量分析等內容，並配備電信級網路環境為該部門教學提供基礎支撐。

本階段需要掌握網路設計以及規劃，並對參與網路的網路設備進行網路互聯配置，從業務需求出發對網路結構進行安全設計以及網路設備安全配置。

講師會結合當前最新安全趨勢以及龍頭安全企業或行業安全風險對安全市場進行分析及預測，讓學員能夠在學習階段提前與安全市場進行接軌。

• 第三階段：Web安全。

本階段需掌握Web安全漏洞的測試和驗證，以及網路安全攻擊思路及手段，熟練利用所學知識以對其進行防禦，掌握網路安全服務流程。

• 第四階段 ：滲透測試。

本階段需要掌握滲透測試和內網安全。

滲透測試，這階段主要學習實戰中紅隊人員常用的攻擊方法和套路，包括信息搜集，系統提權，內網轉發等知識，msf，cs的工具使用。課程目標讓學員知己知彼，從攻擊者角度來審視自身防禦漏洞，幫助企業在紅藍對抗，抵禦真實apt攻擊中取得不錯的結果。

• 第五階段：安全運營。

根據業務需求掌握目前常見網路安全設備以及伺服器的安全配置以及優化，利用所有安全防護手段中得到的線索進行安全事件關聯分析以及源頭分析，並掌握網路威脅情報理論與實踐，掌握威脅模型建立，為主動防禦提供思路及支撐。

本階段主要學習安全加固、等級保護、應急響應、風險評估等技術知識。

• 第六階段：綜合實戰

本階段自選項目，針對熱點行業（黨政、運營商、醫療、教育、能源、交通等）業務系統、數據中心以及核心節點進行安全運營實戰；按等保2.0基本要求對提供公共服務的信息系統進行安全檢測、風險評估、安全加固以及安全事件應急響應。

C. 通信行業前景怎麼樣

1、通信行業發展趨勢一、產業創新將推動信息通信業縱向耦合、橫向融合發展步入新階段。電信領域一直以來都是國民經濟各行業中技術變革與應用創新最為活躍的領域。移動互聯網出現以後，產業升級的速度明顯有所加快，與PC操作系統和晶元升級的速度相比，移動智能終端操作系統和晶元的更新速度達到0.5-1年，速度加倍。

2、通信行業發展趨勢二、轉型升級、生態競合成為信息通信業持續增長的前提和基礎。2015年，伴隨著移動互聯網的進一步普及與深化發展，傳統電信業向綜合信息服務業轉型升級的態勢還將持續，並逐步在廣度和深度上得到拓展，基礎電信企業將進一步深化與產業鏈上下游合作，推進流量經營，創新商業模式，預計非話音業務收入佔比將在今年基礎上進一步有所提升，超過55%，應用商店、4G網路下的定製智能終端等都將獲得進一步的發展。

3、通信行業發展趨勢三、物聯網商用在即，平台是核心。長期制約物聯網發展的因素正逐步得到解決，當前處於大規模爆發增長的前夜。GSMA預測15年我國物聯網市場規模250億美元，未來五年復合增速將達到75%。政策上被列為十三五」廣泛應用技術給予支持。目前運營商宣布基於窄帶蜂窩物聯NB-IOT)技術的商用計劃，明年將正式組網推廣，預計NB-IOT將覆蓋未來60%的連接市場，發展空間巨大，產業鏈中平台層是稀缺核心，看好卡位平台層標的。

4、通信行業發展趨勢四、雲計算步入技術貢獻業績的高增期，細分龍頭強者恆強。我國雲計算市場在數據中心IDC)需求激增推動下，IaaS層率先啟動，預計未來三年復合增速28%。IDC/CDN板塊2016Q1營收和凈利增速分別30%、44%，處於高增期。第三方IDC公司相比運營商和互聯網商具有IDC資源和服務體系兩大核心優勢，向IaaS轉型成本最低。在A股上市的13家中，看好IDC布局處於一線城市、機櫃規模大、具有增值服務盈利模式、向IaaS轉型標的。

D. 網路存在哪些安全隱患及如何解決網路安全隱患

網路安全是指網路系統的硬體、軟體和系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞，更改、泄露，系統連續可靠正常地運行，網路服務不中斷。網路安全從本質上講就是網路信息安全，包括靜態的信息存儲安全和信息傳輸安全。

進入21世紀以來，信息安全的重點放在了保護信息，確保信息在存儲、處理、傳輸過程中及信息系統不被破壞，確保對合法用戶的服務和限制非授權用戶的服務，以及必要的防禦攻擊的措施。信息的保密性、完整性、可用性 、可控性就成了關鍵因素。

Internet的開放性以及其他方面因素導致了網路環境下的計算機系統存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被開發和應用。但是，即便是在這樣的情況下，網路的安全依舊存在很大的隱患。

企業網路的主要安全隱患

隨著企業的信息化熱潮快速興起，由於企業信息化投入不足、缺乏高水平的軟硬體專業人才、以及企業員工安全意識淡薄等多種原因，網路安全也成了中小企業必須重視並加以有效防範的問題。病毒、間諜軟體、垃圾郵件……這些無一不是企業信息主管的心頭之患。

1.安全機制

每一種安全機制都有一定的應用范圍和應用環境。防火牆是一種有效的安全工具，它可以隱藏內部網路結構，細致外部網路到內部網路的訪問。但是對於內部網路之間的訪問，防火牆往往無能為力，很難發覺和防範。

2.安全工具

安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果，在很大程度上取決於使用者，包括系統管理員和普通用戶，不正當的設置就會產生不安全因素。

3.安全漏洞和系統後門

操作系統和應用軟體中通常都會存在一些BUG，別有心計的員工或客戶都可能利用這些漏洞想企業網路發起進攻，導致某個程序或網路喪失功能。有甚者會盜竊機密數據，直接威脅企業網路和企業數據的安全。即便是安全工具也會存在這樣的問題。幾乎每天都有新的BUG被發現和公布，程序員在修改已知BUG的同時還可能產生新的BUG。系統BUG經常被黑客利用，而且這種攻擊通常不會產生日誌，也無據可查。現有的軟體和工具BUG的攻擊幾乎無法主動防範。

系統後門是傳統安全工具難於考慮到的地方。防火牆很難考慮到這類安全問題，多數情況下，這類入侵行為可以經過防火牆而不被察覺。

第2頁：網路安全探討（二）

4.病毒、蠕蟲、木馬和間諜軟體

這些是目前網路最容易遇到的安全問題。病毒是可執行代碼，它們可以破壞計算機系統，通常偽裝成合法附件通過電子郵件發送，有的還通過即時信息網路發送。

蠕蟲與病毒類似，但比病毒更為普遍，蠕蟲經常利用受感染系統的文件傳輸功能自動進行傳播，從而導致網路流量大幅增加。

木馬程序程序可以捕捉密碼和其它個人信息，使未授權遠程用戶能夠訪問安裝了特洛伊木馬的系統。

間諜軟體則是惡意病毒代碼，它們可以監控系統性能，並將用戶數據發送給間諜軟體開發者。

5.拒絕服務攻擊

盡管企業在不斷的強化網路的安全性，但黑客的攻擊手段也在更新。拒絕服務就是在這種情況下誕生的。這類攻擊會向伺服器發出大量偽造請求，造成伺服器超載，不能為合法用戶提供服務。這類攻擊也是目前比較常用的攻擊手段。

6.誤用和濫用

在很多時候，企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中，企業員工的信息安全意識是相對落後的。而企業管理層在大部分情況下也不能很好的對企業信息資產做出鑒別。從更高的層次來分析，中小企業尚無法將信息安全的理念融入到企業的整體經營理念中，這導致了企業的信息管理中存在著大量的安全盲點和誤區。

網路安全體系的探討

1.防火牆

防火牆是企業網路與互聯網之間的安全衛士，防火牆的主要目的是攔截不需要的流量，如准備感染帶有特定弱點的計算機的蠕蟲；另外很多硬體防火牆都提供其它服務，如電子郵件防病毒、反垃圾郵件過濾、內容過濾、安全無線接入點選項等等。

在沒有防火牆的環境中，網路安全性完全依賴主系統的安全性。在一定意義上，所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大，把所有主系統保持在相同的安全性水平上的可管理能力就越小，隨著安全性的失策和失誤越來越普遍，入侵就時有發生。

防火牆有助於提高主系統總體安全性。 防火牆的基本思想——不是對每台主機系統進行保護，而是讓所有對系統的訪問通過某一點，並且保護這一點，並盡可能地對外界屏蔽保護網路的信息和結構。

防火牆是一種行之有效且應用廣泛的網路安全機制，防止Internet上的不安全因素蔓延到區域網內部。防火牆可以從通信協議的各個層次以及應用中獲取、存儲並管理相關的信息，以便實施系統的訪問安全決策控制。 防火牆的技術已經經歷了三個階段，即包過濾技術、代理技術和狀態監視技術。

第3頁：網路安全探討（三）

2.網路病毒的防範

在網路環境下，病毒傳播擴散加快，僅用單機版殺毒軟體已經很難徹底清除網路病毒，必須有適合於區域網的全方位殺毒產品。如果在網路內部使用電子郵件進行信息交換，還需要一套基於郵件伺服器平台的郵件防病毒軟體。所以最好使用全方位的防病毒產品，針對網路中所有可能的病毒攻擊點設置對應的防病毒軟體，並且定期或不定期更新病毒庫，使網路免受病毒侵襲。

3.系統漏洞

解決網路層安全問題，首先要清楚網路中存在哪些安全隱患和弱點。面對大型我那個羅的復雜性和變化，僅僅依靠管理員的技術和經驗尋找安全漏洞和風險評估是不現實的。最好的方法就是使用安全掃描工具來查找漏洞並提出修改建議。另外實時給操作系統和軟體打補丁也可以彌補一部分漏洞和隱患。有經驗的管理員還可以利用黑客工具對網路進行模擬攻擊，從而尋找網路的薄弱點。

4.入侵檢測

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，能識別出任何不希望有的行為，從而達到限制這些活動，保護系統安全的目的。

5.內網系統安全

對於網路外部的入侵可以通過安裝防火牆來解決，但是對於網路內部的入侵則無能為力。在這種情況下我們可以採用對各個子網做一個具有一定功能的審計文件，為管理員分析自己的網路運作狀態提供依據。設計一個子網專用的監聽程序監聽子網內計算機間互聯情況，為系統中各個伺服器的審計文件提供備份。

企業的信息安全需求主要體現在迫切需要適合自身情況的綜合解決方案。隨著時間的發展，中小企業所面臨的安全問題會進一步復雜化和深入化。而隨著越來越多的中小企業將自己的智力資產建構在其信息設施基礎之上，對於信息安全的需求也會迅速的成長。

總之，網路安全是一個系統工程，不能僅僅依靠防火牆等單個的系統，而需要仔細考慮系統的安全需求，並將各種安全技術結合在一起，與科學的網路管理結合在一起，才能生成一個高效、通用、安全的網路系統。

E. 網路安全涉及哪幾個方面.

網路安全主要有系統安全、網路的安全、信息傳播安全、信息內容安全。具體如下：

1、系統安全

運行系統安全即保證信息處理和傳輸系統的安全，側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻，產生信息泄露，干擾他人或受他人干擾。

2、網路的安全

網路上系統信息的安全，包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。

3、信息傳播安全

網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上大雲自由傳翰的信息失控。

4、信息內容安全

網路上信息內容的安全側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。

(5)通信產業網路安全解決擴展閱讀：

維護網路安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。

1、Internet防火牆

它能增強機構內部網路的安全性。Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時，內部網路上的每個節點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定，並且安全性等同於其中最弱的系統。

2、VIEID

在這個網路生態系統內，每個網路用戶都可以相互信任彼此的身份，網路用戶也可以自主選擇是否擁有電子標識。除了能夠增加網路安全，電子標識還可以讓網路用戶通過創建和應用更多可信的虛擬身份，讓網路用戶少記甚至完全不用去記那些煩人的密碼。

3、數字證書

CA中心採用的是以數字加密技術為核心的數字證書認證技術，通過數字證書，CA中心可以對互聯網上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理，同時也能保障在數字傳輸的過程中不被不法分子所侵入，或者即使受到侵入也無法查看其中的內容。

F. 網路安全如何入門

零基礎、轉專業、跨行等等都可以總結為，零基礎或者有一點基礎的想轉網路安全方向該如何學習。

要成為一名黑客，實戰是必要的。安全技術這一塊兒的核心，說白了60%都是實戰，是需要實際操作。

如果你選擇自學，需要一個很強大的一個堅持毅力的,還有鑽研能力，大部分人是東學一塊西學一塊兒，不成體系化的紙上談兵的學習。許多人選擇自學，但他們不知道學什麼。

再來說說，先學編程還是滲透，

很多人說他們想學編程，但是在你學了編程之後。會發現離黑客越來越遠了。。。

如果你是計算機專業的，之前也學過編程、網路等等，這些對於剛入門去學滲透就已經夠了，你剛開始沒必要學那麼深，有一定了解之後再去學習。如果是轉專業、零基礎的可以看我下面的鏈接，跟著公開課去學習。

B站有相關零基礎入門網路安全的視頻

快速入門

另外說一句，滲透是個立馬可以見效的東西，滿足了你的多巴胺，讓你看到效果，你也更有動力去學。

舉個栗子：你去打游戲，殺了敵人，是不是很舒服，有了反饋，滿足了你的多巴胺。

編程這玩意，周期太長，太容易勸退了，說句不好聽的，你學了三個月，可能又把之前學的給忘了。。。這又造成了死循環。所以想要學網安的可以先學滲透。在你體驗了樂趣之後，你就可以學習編程語言了。這時，學習編程語言的效果會更好。因為你知道你能做什麼，你應該寫什麼工具來提高你的效率！

先了解一些基本知識，協議、埠、資料庫、腳本語言、伺服器、中間件、操作系統等等，

接著是學習web安全，然後去靶場練習，再去注冊src挖漏洞實戰，

學習內網，接著學習PHP、python等、後面就學習代碼審計了，

最後還可以往硬體、APP、逆向、開發去學習等等

（圖片來自A1Pass）

網路安全學習實際上是個很漫長的過程，這時候你就可以先找工作，邊工邊學。

怎麼樣能先工作：

學完web安全，能夠完成基本的滲透測試流程，比較容易找到工作。估計6到10k

內網學完估計10-15k

代碼審計學完20-50k

紅隊表哥-薪資自己談

再來說說如果你是對滲透感興趣，想往安全方面走的，我這邊給你一些學習建議。

不管想學什麼，先看這個行業前景怎麼樣--

2017年我國網路安全人才缺口超70萬，國內3000所高校僅120所開設相關專業，年培養1萬-2萬人，加上10
-
20家社會機構，全國每年相關人才輸送量約為3萬，距離70萬缺口差距達95%，此外，2021年網路安全人才需求量直線增長，預計達到187萬，屆時，人才需求將飆升278%！

因為行業人才輸送與人才缺口的比例問題，網路安全對從業者經驗要求偏低，且多數對從業者學歷不設限。越來越多的行業從業者上升到一定階段便再難進步，很容易被新人取代，但網路安全與其他行業的可取代性不同，網路安全工程師將在未來幾十年都處於緊缺狀態，並且，對於防禦黑客攻擊，除了極少數人靠天分，經驗才是保證網路安全的第一法則。

其次，不管是什麼行業都好，引路人很重要，在你剛入門這個行業的時候，你需要向行業里最優秀的人看齊，並以他們為榜樣，一步一步走上優秀。

不管是學習什麼，學習方法很重要，當你去學習其他知識時候，

都可以根據我下面介紹的方法去學習：

四步學習法

一、學習

二、模仿

三、實戰

四、反思

說在前頭，不管是干什麼，找到好的引路人很重要，一個好老師能讓你少走很多彎路，然後邁開腳步往前沖就行。

第一步，找到相關資料去學習，你對這個都不了解，這是你之前沒接觸過的領域，不要想著一次就能聽懂，當然天才除外（狗頭滑稽），聽完之後就會有一定的了解。

第二步，模仿，模仿什麼，怎麼模仿？先模仿老師的操作，剛開始可能不知道啥意思，模仿兩遍就會懂一些了。

第三步，實戰，怎麼實戰？先去我們配套的靶場上練習，確定靶場都差不多之後，再去申請成為白帽子，先去挖公益src，記住，沒有授權的網站都是違法的。（師父領進門，判刑在個人）

第四部，反思，總結你所做的步驟，遇到的問題，都給記錄下來，這個原理你理解了嗎？還是只是還是在模仿的部分養成做筆記的習慣。

學習方式有了，接下來就是找到正確的引路人進行學習，一個好的引路人，一個完整的體系結構，能讓你事半功倍。

G. 簡述電子商務的安全隱患與解決措施

1、數據傳輸安全隱患。

電子商務是在開放的互聯網上進行的貿易，大量的商務信息在計算機和網路上上存放、傳輸，從而形成信息傳輸風險。因此措施可以通過採用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合密鑰加密和公開密鑰加密技術實現的。

2、數據完整性的安全隱患。

數據的完整性安全隱患是指數據在傳輸過程中被篡改。因此確保數據不被篡改的措施可以通過採用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用於保證多方通信時數據的完整性。

3、身份驗證的安全隱患。

網上通信雙方互不見面，在交易或交換敏感信息時確認對方等真實身份以及確認對方的賬戶信息的真實與否，為身份驗證的安全隱患。解決措施可以通過採用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

4、交易抵賴的安全隱患。

網上交易的各方在進行數據傳輸時，當發生交易後交易雙方不認可為本人真實意願的表達而產生的抵賴安全隱患。措施為交易時必須有自身特有的、無法被別人復制的信息，以保證交易發生糾紛時有所對證，可以通過數字簽名技術和數字證書技術來實現的。

(7)通信產業網路安全解決擴展閱讀：

電子商務分類：

1、企業對企業的電子商務（B2B）；

2、企業對消費者的電子商務（B2C）；

3、企業對政府的電子商務（B2G）；

4、消費者對政府的電子商務（C2G）；

5、消費者對消費者的電子商務（C2C）；

6、企業、消費者、代理商三者相互轉化的電子商務（ABC）；

7、以消費者為中心的全新商業模式（C2B2S）；

8、以供需方為目標的新型電子商務（P2D）。

H. 網路安全技術主要有哪些

1、防火牆

網路防火牆技術是一種特殊的網路互聯設備，用於加強網路間的訪問控制，防止外網用戶通過外網非法進入內網，訪問內網資源，保護內網運行環境。它根據一定的安全策略，檢查兩個或多個網路之間傳輸的數據包，如鏈路模式，以決定網路之間的通信是否允許，並監控網路運行狀態。

目前防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)、電路層網關、屏蔽主機防火牆、雙宿主機等。

2、殺毒軟體技術

殺毒軟體絕對是使用最廣泛的安全技術解決方案，因為這種技術最容易實現，但是我們都知道殺毒軟體的主要功能是殺毒，功能非常有限，不能完全滿足網路安全的需求，這種方式可能還是能滿足個人用戶或者小企業的需求，但是如果個人或者企業有電子商務的需求，就不能完全滿足。

幸運的是，隨著反病毒軟體技術的不斷發展，目前主流的反病毒軟體可以防止木馬等黑客程序的入侵。其他殺毒軟體開發商也提供軟體防火牆，具有一定的防火牆功能，在一定程度上可以起到硬體防火牆的作用，比如KV300、金山防火牆、諾頓防火牆等等。

3、文件加密和數字簽名技術

與防火牆結合使用的安全技術包括文件加密和數字簽名技術，其目的是提高信息系統和數據的安全性和保密性。防止秘密數據被外界竊取、截獲或破壞的主要技術手段之一。隨著信息技術的發展，人們越來越關注網路安全和信息保密。

目前，各國除了在法律和管理上加強數據安全保護外，還分別在軟體和硬體技術上採取了措施。它促進了數據加密技術和物理防範技術的不斷發展。根據功能的不同，文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性判別等。

(8)通信產業網路安全解決擴展閱讀：

首屆全VR線上網路安全大會舉辦

日前，DEF CON CHINA組委會正式官宣，歷經20餘月的漫長等待，DEF CON CHINA Party將於3月20日在線上舉辦。

根據DEF CON CHINA官方提供的信息，本次DEF CON CHINA Party將全程使用VR的方式在線上進行，這也是DEF CON歷史上的首次「全VR」大會。為此，主辦方構建了名為The DEF CONstruct的虛擬空間和賽博世界。在計算機語言中，Construct通常被譯為結構體。

I. 網路安全問題

電信系統網路解決方案

第一章 前 言

第二章 網路安全概述

第三章 網路安全解決方案

第四章 典型應用案例

第五章 未來網路安全解決方案發展趨勢

第一章 前 言

當今的網路運營商正在經歷一個令人振奮的信息爆炸時代，網路骨幹帶寬平均每六到九個月就要增加一倍。數據業務作為其中起主導作用的主要業務類型，要求並驅動網路結構開始發生根本性的改變。光互聯網的出現為基於IP技術的網路應用奠定了新的基礎。伴隨網路的普及，信息網路技術的應用、關鍵業務系統擴展，電信部門業務系統安全成為影響網路效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。由於國際形勢的變化，加劇了爆發"網路戰爭"的可能性，保障網路及信息安全直接關繫到國家的經濟安全甚至國家安全。因此如何使信息網路系統不受黑客和間諜的入侵，已成為國家電信基礎網路健康發展所要考慮的重要問題。

在新的電信市場環境中，需求的多元化和信息消費的個性化逐漸成為必然趨勢，這一點在數據通信領域體現得尤為明顯。經過幾年努力，公用數據通信網路在規模上和技術層次上都有了一個飛躍，用戶數持續高速增長，信息業務用戶發展尤為迅猛，全國性大集團性用戶不斷增加，並且開始向企業用戶轉移；政府上網工程進展順利，電子商務已全面啟動，中國電信安全認證體系通過了中國密碼管理委員會和信息產業部舉行的聯合鑒定，並與金融部門開展了有效的合作。電信同時提供Internet接入業務，IP電話業務以及其他業務．該IP承載網承載圖象、語音和數據的統一平台，強調Qos，VPN和計費等，成為新時代的多業務承載網。中國電信數據通信的發展定位於網路服務，實現個性化的服務。事實上，這一類網路功能非常豐富，如儲值卡業務、電子商務認證平台、虛擬專用網等。而這一切都依賴於網路安全的保障，如果沒有安全，個性化服務就根本無從談起。只有電信的基礎平台完善了，功能強化了，安全問題得到保障了，才能夠提供真正個性化的服務。

由於電信部門的特殊性，傳遞重要信息、是整個國民通信系統的基礎。它的安全性是尤其重要的。由於我們的一些技術和國外還有一定差距，國內現有的或正在建設中的網路，採用的網路設備和網路安全產品幾乎全是國外廠家的產品。而只有使用國內自主研製的信息安全產品、具有自主版權的安全產品，才能真正掌握信息戰場上的主動權，才能從根本上防範來自各種非法的惡意攻擊和破壞。現今大多數計算機網路都把安全機制建立在網路層安全機制上，認為網路安全就僅僅是防火牆、加密機等設備。隨著網路的互聯程度的擴大，具體應用的多元化，這種安全機制對於網路環境來講是十分有限的。面對種種威脅，必須採取有力的措施來保證計算機網路的安全。必須對網路的情況做深入的了解，對安全要求做嚴謹的分析，提出一個完善的安全解決方案。本方案根據電信網路的具體網路環境和具體的應用，介紹如何建立一套針對電信部門的完整的網路安全解決方案。

第二章 網路安全概述

網路安全的定義

什麼是計算機網路安全，盡管現在這個詞很火，但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易，困難在於要形成一個足夠去全面而有效的定義。通常的感覺下，安全就是"避免冒險和危險"。在計算機科學中，安全就是防止：

未授權的使用者訪問信息

未授權而試圖破壞或更改信息

這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源，即CPU、硬碟、程序以及其他信息。

在電信行業中，網路安全的含義包括：關鍵設備的可靠性；網路結構、路由的安全性；具有網路監控、分析和自動響應的功能；確保網路安全相關的參數正常；能夠保護電信網路的公開伺服器（如撥號接入伺服器等）以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求，不影響網路效率的同時保障其安全性。

電信行業的具體網路應用（結合典型案例）

電信整個網路在技術上定位為以光纖為主要傳輸介質，以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議，QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的，所以IP優化尤其重要，至少包括包括如下幾個要素：

網路結構的IP優化。網路體系結構以IP為設計基礎，體現在網路層的層次化體系結構，可以減少對傳統傳輸體系的依賴。

IP路由協議的優化。

IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵，提供高速路由查找和包轉發機制。

帶寬優化。在合理的QoS控制下，最大限度的利用光纖的帶寬。

穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力，快速恢復網路連接，避免路由表顫動引起的整網震盪，提供符合高速寬頻網路要求的可靠性和穩定性。

從骨幹層網路承載能力，可靠性，QoS，擴展性，網路互聯，通信協議，網管，安全，多業務支持等方面論述某省移動互聯網工程的技術要求。

骨幹層網路承載能力

骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步，支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率，連接全部為光纖連接。

骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制，避免前向擁塞時的丟包。

可靠性和自愈能力

包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說，考慮網路的可靠性及自愈能力是必不可少的。

鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式，即通常情況下兩條連接均提供數據傳輸，並互為備份。充分體現採用光纖技術的優越性，不會引起業務的瞬間質量惡化，更不會引起業務的中斷。

模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1：N熱備份的功能，切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。

設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時，另一台設備自動接替其工作，並且不引起其他節點的路由表重新計算，從而提高網路的穩定性。切換時間小於3秒，以保證大部分IP應用不會出現超時錯誤。

路由冗餘。網路的結構設計應提供足夠的路由冗餘功能，在上述冗餘特性仍不能解決問題，數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中，網路連接發生變化時，路由表的收斂時間應小於30秒。

擁塞控制與服務質量保障

擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣，網路的數據流量突發是不可避免的，因此，網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。

業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時，網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。

接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。

隊列機制。具有先進的隊列機制進行擁塞控制，對不同等級的業務進行不同的處理，包括時延的不同和丟包率的不同。

先期擁塞控制。當網路出現真正的擁塞時，瞬間大量的丟包會引起大量TCP數據同時重發，加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術，在網路出現擁塞前就自動採取適當的措施，進行先期擁塞控制，避免瞬間大量的丟包現象。

資源預留。對非常重要的特殊應用，應可以採用保留帶寬資源的方式保證其QoS。

埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。

網路的擴展能力

網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展，以及網路規模的擴展能力。

交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力，以適應數據類業務急速膨脹的現實。

骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力，以適應數據類業務急速膨脹的現實。

網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力，應能滿足本網路覆蓋某省移動整個地區的需求。

與其他網路的互聯

保證與中國移動互聯網，INTERNET國內國際出口的無縫連接。

通信協議的支持

以支持TCP/IP協議為主，兼支持IPX、DECNET、APPLE－TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。

支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求，必須支持OSPF路由協議。然而，由於OSPF協議非常耗費CPU和內存，而本網路未來十分龐大復雜，必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。

支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。

支持MPLS標准，便於利用MPLS開展增值業務，如VPN、TE流量工程等。

網路管理與安全體系

支持整個網路系統各種網路設備的統一網路管理。

支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。

支持系統級的管理，包括系統分析、系統規劃等；支持基於策略的管理，對策略的修改能夠立即反應到所有相關設備中。

網路設備支持多級管理許可權，支持RADIUS、TACACS+等認證機制。

對網管、認證計費等網段保證足夠的安全性。

IP增值業務的支持

技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此，運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。

傳送時延

帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時，會以系統容量作為其主要考慮的要素。但是，有一點需要提起注意的是，IP技術本身是面向非連接的技術，其最主要的特點是，在突發狀態下易於出現擁塞，因此，即使在高帶寬的網路中，也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響，如根據ITU－T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路，尤其當網路負荷增大時，如何確保時延要求更為至關重要，要確保這一點的關鍵在於採用設備對於延遲的控制能力，即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。

RAS (Reliability, Availability, Serviceability)

RAS是運營級網路必須考慮的問題，如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時，關鍵點在於網路中不能因出現單點故障而引起全網癱瘓，特別在對於象某省移動這些的全省骨幹網而言更是如此。為此，必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性，包括電源冗餘備份，控制板備份，交換矩陣備份，風扇的合理設計等功能；整體上，Cisco通過提供MPLSFRR和MPLS流量工程技術，可以保證通道級的快速保護切換，從而最大程度的保證了端到端的業務可用性。

虛擬專用網(VPN)

虛擬專用網是目前獲得廣泛應用，也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術，如IPSec、L2TP等來構造VPN之外，Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet，並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性，可操作性等方面開拓了一條新的途徑；同時，極大地簡化了網路運營程序，從而極大地降低了運營費用。另外，採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施，並可與其他運營商合作實現更廣闊的業務能力。

服務質量保證

通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此，選用MDRR/WRED技術，可以為對時延敏感業務生成單獨的優先順序隊列，保證時延要求；同時還專門對基於Multicast的應用提供了專門的隊列支持，從而從真正意義上向網上實時多媒體應用邁進一步。

根據以上對電信行業的典型應用的分析，我們認為，以上各條都是運營商最關心的問題，我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求，不影響電信網路的正常使用，可以看到電信網路對網路安全產品的要求是非常高的。

網路安全風險分析

瞄準網路存在的安全漏洞，黑客們所製造的各類新型的風險將會不斷產生，這些風險由多種因素引起，與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述：

1、物理安全風險分析

我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有：

地震、水災、火災等環境事故造成整個系統毀滅

電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失

電磁輻射可能造成數據信息被竊取或偷閱

不能保證幾個不同機密程度網路的物理隔離

2、網路安全風險分析

內部網路與外部網路間如果在沒有採取一定的安全防護措施，內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。

內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制，也可能造成信息泄漏或非法攻擊。據調查統計，已發生的網路安全事件中，70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉，自已攻擊或泄露重要信息內外勾結，都將可能成為導致系統受攻擊的最致命安全威脅。

3、系統的安全風險分析

所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統，其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。

4、應用的安全風險分析

應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序，肯定會出現新的安全漏洞，必須在安全策略上做一些調整，不斷完善。

4.1 公開伺服器應用

電信省中心負責全省的匯接、網路管理、業務管理和信息服務，所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器，如果沒有採取一些訪問控制，惡意入侵者就可能利用這些公開伺服器存在的安全漏洞（開放的其它協議、埠號等）控制這些伺服器，甚至利用公開伺服器網路作橋梁入侵到內部區域網，盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的，完成計費、認證等功能，他們的安全性應得到100%的保證。

4.2 病毒傳播

網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網路上的所有主機，有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。

4.3信息存儲

由於天災或其它意外事故，資料庫伺服器造到破壞，如果沒有採用相應的安全備份與恢復系統，則可能造成數據丟失後果，至少可能造成長時間的中斷服務。

4.4 管理的安全風險分析

管理是網路中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。

建立全新網路安全機制，必須深刻理解網路並能提供直接的解決方案，因此，最可行的做法是管理制度和技術解決方案的結合。

安全需求分析

1、物理安全需求

針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計，如構建屏蔽室。採用輻射干擾機，防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源，且資料庫伺服器採用雙機熱備份，數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。

2、系統安全需求

對於操作系統的安全防範可以採取如下策略：盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等）使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。

應用系統安全上，主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證，通過設置復雜些的口令，確保用戶使用的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能，對用戶所訪問的信息做記錄，為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。

3、防火牆需求

防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離，達到有效的控制對網路訪問的作用。

3.1省中心與各下級機構的隔離與訪問控制

防火牆可以做到網路間的單向訪問需求，過濾一些不安全服務；

防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。

防火牆具有很強的記錄日誌的功能，可以對您所要求的策略來記錄所有不安全的訪問行為。

3.2公開伺服器與內部其它子網的隔離與訪問控制

利用防火牆可以做到單向訪問控制的功能，僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器，而公開伺服器不可以主動發起對內部網路的訪問，這樣，假如公開伺服器造受攻擊，內部網由於有防火牆的保護，依然是安全的。

4、加密需求

目前，網路運營商所開展的VPN業務類型一般有以下三種：

1．撥號VPN業務（VPDN）2．專線VPN業務3．MPLS的VPN業務

移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務，並應考慮MPLSVPN業務的支持與實現。

VPN業務一般由以下幾部分組成：

（1）業務承載網路（2）業務管理中心（3）接入系統（4）用戶系統

我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。

5、安全評估系統需求

網路系統存在安全漏洞（如安全配置不嚴密等）、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且，隨著網路的升級或新增應用服務，網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞，並且要經常使用，對掃描結果進行分析審計，及時採取相應的措施填補系統漏洞，對網路設備等存在的不安全配置重新進行安全配置。

6、入侵檢測系統需求

在許多人看來，有了防火牆，網路就安全了，就可以高枕無憂了。其實，這是一種錯誤的認識，防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制（允許、禁止、報警）。但它是靜態的，而網路安全是動態的、整體的，黑客的攻擊方法有無數，防火牆不是萬能的，不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統，對透過防火牆的攻擊進行檢測並做相應反應（記錄、報警、阻斷）。入侵檢測系統和防火牆配合使用，這樣可以實現多重防護，構成一個整體的、完善的網路安全保護系統。

7、防病毒系統需求

針對防病毒危害性極大並且傳播極為迅速，必須配備從伺服器到單機的整套防病毒軟體，防止病毒入侵主機並擴散到全網，實現全網的病毒安全防護。並且由於新病毒的出現比較快，所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。

8、數據備份系統

安全不是絕對的，沒有哪種產品的可以做到百分之百的安全，但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份，通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上，並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時，可以利用災難恢復系統進行快速恢復。

9、安全管理體制需求

安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高，行為的約束只能通過嚴格的管理體制，並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求，制定安全管理制度並嚴格按執行，並通過安全知識及法律常識的培訓，加強整體員工的自身安全意識及防範外部入侵的安全技術。

安全目標

通過以上對網路安全風險分析及需求分析，再根據需求配備相應安全設備，採用上述方案，我們認為一個電信網路應該達到如下的安全目標：

建立一套完整可行的網路安全與網路管理策略並加強培訓，提高整體人員的安全意識及反黑技術。

利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌；

通過防火牆的一次性口令認證機制，實現遠程用戶對內部網訪問的細粒度訪問控制；

通過入侵檢測系統全面監視進出網路的所有訪問行為，及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌；

通過網路及系統的安全掃描系統檢測網路安全漏洞，減少可能被黑客利用的不安全因素；

利用全網的防病毒系統軟體，保證網路和主機不被病毒的侵害；

備份與災難恢復---強化系統備份，實現系統快速恢復；

通過安全服務提高整個網路系統的安全性。

J. 為冬奧多措並舉，織牢織密通信網路安全「防護網」

中國聯通以「防風險、遏事故、保安全、促發展」為目標，提早部署，精準施策，全面提升網路保障與通信服務能力。

制定《中國聯通北京2022年冬奧會和冬殘奧會通信保障工作方案》，其中涵蓋27類61項具體工作，相關工作按照「有方案，有部署，有落實，有檢查」閉環管理要求開展，確保各項工作執行到位；組織制定87個專項預案，覆蓋賽事核心區域、賽事舉辦地、骨幹網、國際網等，累計開展大型演練49次；強化指揮體系，成立中國聯通冬奧賽時總指揮部，建立「1+5+N」的賽時指揮體系，確保調度高效；全面開展隱患排查整治，以「零容忍」的態度，反復徹查各類安全隱患，確保不留下一個隱患、不丟掉一個盲點、不放過一個漏洞，全面壓實安全工作責任，全網共整改安全風險隱患10.3萬個；確保核心區安全，以兩地三賽區「一張網」的理念為冬奧會提供一攬子通信服務保障。

按照「一館一策」原則制定專項方案和預案，重要通信設施實現「雙路由、雙節點、雙電源」保護；全力做好重點對象的網路安全保障，與77家重要保障對象建立聯絡機制並一對一完成網路安全保障策略對接，為重保對象提供全天候網路安全防護支持，多措並舉保障冬奧會開幕式通信網路平穩運行。