基于網絡終端設備信息安全的研究策略

趙丹丹,張娓娓，艾 醫

(1.河南工業職業技術學院，河南 南陽 473009； 2.中國移動通信集團公司 河南有限公司南陽分公司，河南 南陽 473001)

隨著移動通信數據網絡規模不斷擴大和其應用復雜度不斷增加，系統自身的安全問題愈見突出，面臨的內外部風險也逐漸增多[1]12.近年來，各種網絡安全事件時有發生，使得網絡安全成為人們研究的熱點[2]123,[3] 101-103,[4]90,[5]78.該方案在遵循通信網絡安全管理規定的前提下，綜合應用各種保密措施，通過技術、管理等手段，實現信源、信號、信息三個環節的保護，藉以達到保證信息安全的目的[6] 163-165.

1 設計思路

依據通信網絡安全防護原則和終端設備的安全管理辦法，對OA/BOSS和IP-PBX等重要業務設備在入網前、入網中、入網后進行全面的入網管理和技術指導，達到數據的安全性、保密性和完整性.該文具體設計思路如下：

入網前：通過專業的漏洞掃描和基線掃描設備，對入網前的設備進行安全檢查，符合安全標準的設備才準予入網；

入網中：根據業務的實際需求，在網絡層實現終端準入制度，避免設備的非法接入；

入網后：定期持續對已入網的設備進行掃描和審計，讓信息安全的工作貫穿設備運行的整個生命周期.

2 安全方案的具體實現

2.1 設備入網前

使用榕基RJ-iTOP對OA/BOSS等設備進行系統掃描，可以掃遍全網網絡設備、服務器、數據庫和客戶端存在哪些安全隱患,處于什么樣的危險狀況.對網絡系統的發現和分析系統的漏洞和弱點做出評估分析，對補救措施和安全策略做出建議，從而，增強網絡的安全性，在網絡系統入網之前提供安全防護解決方案.

利用榕基RJ-iTOP設備的隱患掃描功能、漏洞分析功能、策略管理功能和掃描分析功能，對需要入網的設備生成一個較為全面的分析報告.該報告包括端口掃描對目標主機進行端口檢測，看對方主要都開放了哪些端口；弱密碼檢測檢測系統存在的弱密碼；PING主機檢測目標主機是否在線；主機檢測繞過防火墻的檢測主機是否在線.在掃描之后對未加固的系統進行補丁升級，且達到補丁的相關標準后才準許入網，否則不予入網.通過對安全漏洞的周期檢查，既使攻擊可到達攻擊目標，也可使絕大多數攻擊無效.

2.2 設備入網中

按照通信網絡中對終端設備的管理辦法，審核入網設備的合法性以及人員信息和IP地址的一致性，并利用創新的技術手段，對設備設置嚴格的準入規則.

1)對OA/BOSS設備同終端一起進行雙向綁定

具體實現如下：

首先，對OA/BOSS的客戶機進行綁定網關操作。綁定網關的操作比較簡單，以WINXP為例，綁定的命令是：Arp-s (ip) (mac)比如：arp-s 192.168.0.1 00-14-2A-5F-99-E1. 192.168.0.1 為網關路由器的IP地址，00-14-2A-5F-99-E1 為路由器的MAC地址.

其次，在接入交換機上綁定已分配用戶的IP和MAC，并將未分配的IP地址綁定為空MAC，防止用戶非法接入.

2) 對IP-PBX設備，啟用ACL訪問控制列表

在NE40E和IP-PBX上都啟用ACL訪問控制列表，只對允許已分配的IP地址訪問IP-PBX服務器，保證網絡資源不被非法使用和訪問，避免偽終端攻擊.訪問指令列表用來告訴路由器哪能些數據包可以收、哪能數據包需要拒絕.起到控制網絡流量、流向的作用，而且，在很大程度上起到保護網絡設備、服務器的關鍵作用.具體實現如圖1.

圖1 禁止172.16.4.13訪問3.0網段

創建ACL訪問控制列表：

acl number 2000

description used-by-access-limit

rule 10 permit source 172.16.3.0 0.0.0.7

rule 20 deny

traffic classifier 2000 operator or

if-match acl 2000

traffic behavior 2000

traffic policy 2000

share-mode

classifier 2000 behavior 2000

interface ethernet E0

traffic-policy 2000 outbound

對用戶訪問網絡資源的權限進行嚴格的認證和控制.例如，進行用戶身份認證，對口令加密、更新和鑒別等.設備應開啟相關路由策略和路由過濾功能，通過對特定網段、服務建立的訪問控制體系，將攻擊到達攻擊目標之前將其阻止.

2.3 設備入網后

定期對OA/BOSS系統已入網的終端進行定期掃描和檢查.對未及時進行補丁更新、密碼更換等不符合安全基線標準的終端進行及時通報，督促系統管理員對違規終端進行安全加固.

對于IP-PBX設備，定期查看列表過濾情況.記錄對與設備相關的安全事件，隨時對可能出現的漏洞進行修復.通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等).

3 創新點及優勢分析

其一，充分利用省公司配發的榕基RJ-iTOP漏洞掃描設備，對入網前的設備進行掃描，降低設備入網風險.

其二，對OA/BOSS的雙向綁定可以防止ARP攻擊，對未使用的IP地址進行空MAC的綁定，有效地防止非法用戶的接入，避免了IP地址濫用的現象，有利于OA/BOSS的業務管理和后續的故障處理.

其三，啟用ACL訪問控制列表，避免了偽終端的攻擊，防止IP-PBX等涉及用戶收費的業務遭黑客盜用，降低公司的運營風險，確保業務正在運行.

其四，出現大量違反ACL規則的事件時，通過對日志的審計分析，能發現隱患，提高設備維護人員的警惕性，防止惡化.

4 結語

通過對OA/BOSS、IP-PBX等設備進行安全措施的實施，可以明顯減少網絡內部和外部的攻擊.從而,設備的保密性、完整性、可用性、可控性、可審查性得以實現，對維護網絡安全將會起到積極有效的作用.

[1] 張紅旗.信息安全技術[M]. 北京：高等教育出版社，2008.

[2] 戚文靜. 網絡安全與管理[M].北京：高等教育出版社，2010.

[3] 梁鴻斌，曾 勇.GSM 系統中話音加密技術的研究[J]. 通信技術，2003(09).

[4] 黃中偉. 計算機網絡管理與安全技術[M]. 北京：人民郵電出版社，2010.

[5] 王 群. 計算機網絡安全技術[M].北京：清華大學出版社，2011.

[6] 周世健，齊宏飛.抗RPE-LTP 壓縮編碼的語音加密算法[J]. 計算機工程，2008(07).