通信網絡規劃設計對安全的考慮

林 倜

（華信咨詢設計研究院有限公司，浙江 杭州 310000）

0 引 言

通信網絡規劃設計工作是保證網絡和信息安全性的重要工作，要從網絡環境和網絡技術兩方面入手進行規劃設計。通信網絡規劃設計是一項涵蓋范圍較廣、技術難度復雜及安全性要求較高的設計工作，設計過程中要根據不同的需求進行綜合考慮，以充分保證通信網絡的安全性。

1 通信網絡安全性分析

1.1 通信網絡環境新特點

隨著網絡技術的不斷發展和更新，通信網絡在網絡結構、業務傳輸要求及設備情況等方面呈現出新的特點。例如，網絡容量的擴大使得網絡整體結構取得更加精簡的設計效果；為了適應龐大體量的業務信息交換工作，不同類型的通信節點設備也不斷增加。這使得網絡設備的整體環境復雜度提高，不利于網絡管理工作的開展。隨著網絡通信設備智能化程度的提升，通信網絡設備呈現出模塊化、大容量發展趨勢，同時體積也呈現逐漸減小的趨勢[1]。

1.2 網絡安全保障

網絡安全提升離不開防火墻等技術的運用，通過防火墻實現內外網絡環境的分割，利用訪問控制等技術來充分保證內部網絡的安全性。防火墻的選擇直接關系到網絡安全等問題，但是單純依靠網絡防火墻很難保證網絡整體安全性的穩定。網絡入侵檢測技術和加密技術作為提升網絡安全性的重要手段，不僅彌補了網絡防火墻在安全性保障方面的不足，而且在很大程度上阻止了大量非法入侵者的惡意攻擊。入侵檢測技術主要是利用網絡監控來阻止惡意網絡信息流的非法入侵，通過對非法數據流的識別、阻止、截獲以及警報，以保障網絡環境的安全性。加密技術主要是針對網絡節點出現的網絡攻擊現象而發展的網絡安全技術，可以對即將傳輸的信息進行加密處理，以防止竊密者非法竊取業務信息，從而提升網絡安全系數[2]。

1.3 信息安全保障

做好信息安全保障工作，要從用戶身份、信息傳輸等方面提升信息的安全性，盡量避免出現欺騙、竊取以及篡改等網絡竊取行為。例如，對于身份識別方面，利用公鑰加密認證等方式進行加密，以充分保證業務信息獲取的安全性[3]。此外，利用數據庫技術做好關鍵數據信息的管理工作，以有效保證信息的安全性和完整性。

2 基于安全的通信網絡規劃設計建議

2.1 對信息進行加密設計

基于安全性考慮的通信網絡規劃設計，要做好信息加密技術設計。信息加密技術可保證信息在網絡傳輸過程中的安全，也是提升信息安全性的必要技術手段。通信網絡設計過程中要注重加密設計環節，既要保證有效信息的安全性，也要維護整體通信網絡的安全性[4]。從常用的加密方式進行設計考慮，信息加密手段主要包括端到端加密方式、鏈路加密方式以及節點加密方式3種類型。端到端加密方式主要面向數據信息中的有效載荷信息，對于報文中用于識別的數據信息不具備加密性。這種加密方式可以有效保護關鍵數據信息以及安全協議不被竊取。但是由于這種加密技術不對報文頭部等信息進行加密，所以報文頭部數據很容易受到攻擊或者欺騙，從而降低信息安全性。鏈路加密方式主要面向節點之間的中繼傳輸信號。這種加密方式既可以保證通信網絡所有信息的安全性，又可以確保相關協議的安全性。此外，鏈路加密方式也可以對網絡通信過程中產生的流量進行保護，避免其他無關流量干擾阻礙重要信息的傳輸。

2.2 構建和完善網絡安全管理系統

具有高度安全性的網絡管理系統，是通信網絡規劃安全性設計中重要的一環。網絡管理系統很大程度上影響數據信息的安全性。擁有高度嚴密的網絡安全系統，不僅可以有效阻止外部未知非法網絡攻擊，而且可以保證內部網絡足夠的安全性[5]。網絡管理系統通常包含大量網絡管理協議。這些協議是網絡非法攻擊的主要對象。設計網絡管理系統的過程中，要注意網管協議的安全性，以保證網絡惡意攻擊行為無法成功實現入侵。此外，網絡黑客以及竊密者還會利用病毒植入以及大量非法訪問對網絡管理系統進行入侵操作。為保證通信網絡整體安全性以及通信網絡的效率不受影響，避免核心數據信息被非法分子竊取，針對網絡安全管理系統的通信網絡設計過程中，要著重從安全性技術目標、健全性建設標準、數據信息加密性和完整性以及系統訪問控制4個方面進行綜合分析考慮，設計建成具有較高安全性的網絡管理系統，以盡量保護通信網絡環境不受侵害。

2.3 對通信網絡內部協議進行規劃

基于安全性考慮的通信網絡規劃設計，離不開對通信網絡內部協議的科學合理規劃。通信網絡內部協議是保證信息安全最重要的組成部分和設計考慮重點，也是非法網絡攻擊最想攻擊的部分。例如，黑客等攻擊者可以偽裝成合法用戶進行數據信息交換，并在使用協議信息的過程中對協議進行重置，便于黑客實現信息竊取或者網絡攻擊，輕則導致網絡服務暫時中斷，重則導致網絡無法提供服務。無論是路由協議還是其他內部協議，一旦在任何一個環節遭到攻擊破壞，將直接影響整體通信網絡的安全性以及正常運轉能力。網絡通信內部協議是安全性規劃設計的重中之重，必須要保證內部協議設計高度安全性。通信網絡設計過程中，應當主要考慮認證技術和鑒別技術，著重對實體認證以及協議鑒別進行設計規劃。要選擇合適的加密算法工具，對傳輸過程中的每個環節進行加密。設計過程中，既要保證內部協議整體高度的安全性，又要充分考慮網絡整體運行的安全性。

2.4 完善通信網節點內系統

基于安全性考慮的通信網絡規劃設計，離不開通信網絡節點內部系統的設計完善工作。通信網絡節點作為重要的數據信息傳輸部分，要在保證信息安全性的基礎上完成信息傳輸工作。常見的通信網絡節點包括路由器和交換機。隨著網絡非法攻擊手段的不斷豐富，針對網絡節點展開的網絡攻擊行為越來越多。這使得通信網節點的安全性成為網絡設計規劃工作中需要重點考慮設計的部分。網絡設計過程中，首先要結合安全性具體要求以及網絡節點設備具體情況進行綜合考慮，利用防火墻技術、訪問控制技術、數據庫技術以及認證等技術做好通信節點內系統安全設置。設計環節要把安全目標放在首位，同時兼顧技術難點以及技術優勢，綜合設計出較高穩定性和安全性的通信網絡節點內系統。此外，通信網絡設計要盡量減少不必要的風險，慎重使用具有一定風險因素的技術措施，以保證信息整體安全性。

2.5 積極研發網絡入侵檢測技術

基于安全性考慮的通信網絡規劃設計，要積極研發網絡入侵檢測技術，以更好地保障網絡安全性。入侵檢測技術主要是通過檢測技術對網絡中非法的入侵行為進行感知，并及時采取警報的方式完成網絡防護工作。由于入侵檢測技術在不同的網絡形態中使用情況不同，受網絡形態因素影響較大，無法根據不同的通信協議制定出較為統一全面的入侵檢測技術，因而在過去的通信網絡規劃設計過程中并沒有得到充分利用。隨著網絡安全需求的不斷提升，基于入侵檢測技術思想的檢測系統設計逐漸成為提升通信網絡安全性的新手段。通過對網管系統以及相關數據的檢測，可以在更短時間內高效精準地發現非法入侵行為，以保證通信網絡安全性的進一步提升。要積極研發新的智能化網絡入侵檢測技術，以更好地應對不同通信協議網絡形態下的入侵行為，全面提升網絡入侵檢測水平。

3 結 論

通信網絡規劃設計作為保障通信網絡安全性、完整性以及高效性的首要工作，逐漸受到越來越多網絡相關技術人員的重視。通信網絡安全性要求在網絡設計規劃過程中做好加密設計、網管系統設計、協議規劃設計、節點系統設計以及網絡入侵檢測技術設計工作，以充分保障通信網絡整體安全性。