通信支撐網安全策略的研究分析

摘要：為全面提升通信業務水平，要對支撐網安全效能予以控制，降低安全隱患造成的影響，提升網絡結構安全保護級別，從而確保通信各項業務在規范控制范圍內全面推進，實現經濟效益和社會效益的和諧統一。本文分析了通信業務支撐網安全問題，并從訪問控制、信息加密、管理控制三個方面對具體的安全策略展開討論。

關鍵詞：通信業務;支撐網;安全策略

一、引言

通信體系借助業務支撐網絡、業務應用網絡以及監控網絡等形成統一的業務服務模式，以便于能維持網絡通信的穩定性和安全性，為網絡統籌管理控制工作水平的全面進步奠定基礎。

二、通信業務支撐網安全問題研究

近幾年，我國通信技術呈現出全面發展的態勢，然而，通信服務支持網絡的安全水平還有一些亟待解決的問題，若是從通信服務支持網絡的角度對相關情況進行分析，拓撲安全性問題較為普遍。比如，網絡平臺的安全性、遠程服務結構的安全性以及終端安全性等[1]。

一般而言，要實現網絡拓撲應用控制目標，就要對行業發展和冗余體系抗干擾性予以分析。并且，配合相應的服務機制，才能更好地維持網絡和系統信息的科學配置。盡管服務器和設備都能有效支持遠程訪問，且遠程服務工作模塊的功能也在不斷完善，卻依舊存在通信業務支持網絡安全不足的現象，很容易受到隱藏危害的攻擊。

三、通信業務支撐網安全策略研究

正是因為通信業務會受到威脅，因此，要針對通信業務支撐網建立更加可靠的安全監督控制模式，發揮對應策略的優勢作用，有效搭建科學合理的控制模式。

（一）訪問策略

在計算機系統的常規化活動中，主體和客體之間開展相應的業務交互才能完成具體作業，因此，在計算機安全管理體系中，要將主體對客體的訪問合法性作為評估關鍵，包括對數據信息、程序讀取、寫入、修改以及執行等環節的監管。基于此，在通信業務支撐網安全管控工作開展過程中，要建立匹配的訪問控制模型，確保能對資源訪問予以集中管理，在檢查用戶訪問權限的同時，評估是否可供資料查閱和信息讀取。

1.訪問控制

較為常見的訪問控制主要分為自主訪問控制和強制訪問控制，要結合實際情況落實相匹配的評估信息，確保相應內容的規范性。

（1）自主訪問控制。指的是資源掌控者依據實際需求劃定可以訪問其資源的對象范圍，并配合用戶和用戶進程選擇可供共享的資源內容，因此，在自主訪問控制體系中，一般是對單個用戶執行相應作業。目前，較為常見的自主訪問控制模式是DAC，配合訪問控制矩陣和訪問控制表就能建立有效的控制模式，實現數據的靈活化管理和規范訪問。①基于“行”的自主訪問控制。在每個主體基礎上附加該主體訪問的客體明細，按照權利表、前綴表和口令開展相應作業。比如，口令執行模式中，要結合訪問控制矩陣對客體相應口令予以評估，并在訪問前向操作系統提供口令明細，以便于能直接建立相應的數據評估。②基于“列”的自主訪問控制。主要是從保護位和訪問控制表兩個方面出發，建立相應的訪問控制分析模式，有效借助客體附加主體明細表的方式實現矩陣評估，從而在訪問控制體系內盡量實現自主訪問控制。除此之外，要按照等級型、有主型、自由型等類別對自主訪問控制的訪問許可予以分析，借助訪問許可和訪問模式更好地描述主體對客體的訪問權限，最大程度上保證訪問操作執行的規范效果，以便于能提升統籌管理效果。

（2）強制訪問控制。是指系統的主體和客體在訪問關系中分屬不同的安全屬性劃定范圍，用戶在實際操作環節中，無法改變自身的安全屬性，只有相應的系統管理員才能有效評估用戶和用戶組的訪問權限。

比如，通過角色分析完成訪問控制。在基于角色訪問控制系統模式中，結合企業或者是相關組織的業務需求，要設置若干個“角色”客體，在此基礎上，實現業務系統分工。系統管理員主要是負責將系統和數據訪問的權限賦予不同角色，并且能結合角色相關需求的變動予以動態升級，實現權限和職責的合理性劃分控制，保證資源管理權限的最優化。

2.防火墻

在通信業務支撐網體系中，防火墻是較為常見的管控模式，能有效實現網絡通信量的實時性監測，僅允許安全信息和核準后的信息進入用戶閱讀區，盡可能減少威脅數據造成的安全隱患。并且，防火墻的應用還能強化網絡安全水平。完整的防火墻系統（圖1）能對內部網絡和外部網絡予以合理性屏蔽管理，保證監視和處理信息的規范性[2]。

較為常見的防火墻包括屏蔽路由器、雙宿主網關、屏蔽主機網關、屏蔽子網等，按照不同的設置和匹配要求實現對應的控制工作。例如，屏蔽路由器，一般是專業廠家生產的路由器，或者是利用主機實現相應的工作。作為聯通內部網絡和外部網絡的唯一通道，所有的報文都要借助屏蔽路由器予以檢查和管理，借助IP層報文過濾軟件，就能建立完整且規范的報文過濾控制模式。但是，屏蔽路由器也存在一定弊端，一旦被攻陷很難及時發現問題，且無法靈活識別不同用戶。另外，隨著通信服務安全管理工作的全面發展，代理服務器也受到了更多的關注，配合應用協議就能實現有效的應用管理，從而滿足安全服務的基本質量要求[3]。

3.入侵監測

為有效保證計算機系統運行的安全性和規范性，要配置相應的報告系統，對未授權或者是異常的情況予以集中的識別，并開展相應的評估分析。在入侵監測系統中，能對入侵攻擊出現后可能存在的入侵攻擊予以統籌評價，并且借助報警系統和防護系統有效驅逐入侵攻擊，從而減少入侵攻擊產生的危害問題。值得一提的是，為了有效提升通信業務支撐網絡的安全性，也要在入侵系統工作結束后收集相關信息內容，將其作為整個計算機防范系統的歷史知識數據存入知識庫，提升系統的統籌防控水平。

在入群檢測系統體系中，基于主機的檢測系統應用效能較高，較為常見的分為單一主機入侵檢測和管理器入侵檢測。①單一主機入侵檢測，主要是借助檢測主機審計日志實現合理性的主機保護控制。②管理器入侵檢測是需要對每一臺網絡主機安裝代理器，并將其和管理器聯通，實現管理終端的協同控制。

另外，在入侵管理控制模式中，要結合攻擊事件開展相應的分析，并且及時發現違反安全策略的具體行為，有效提升入侵檢測系統的控制效率。在基于模式匹配檢測的技術方案中，檢測工作要對收集的數據特征予以檢測分析，其整體手法和操作流程類似于殺毒軟件，能結合異常現象匹配檢測技術，有效對比正常情況下的閾值情況，全面評估CPU利用率、內存利用率以及文件校準等基礎情況，并有效分析系統運行狀態下數值參數的變化，最大程度上保證攻擊檢測的及時性和規范性，以便于能開展更加可靠且合理的處理方案。

（二）信息加密

在通信業務支撐網安全管理控制工作中，不僅要對訪問予以控制，也要強化信息加密管理的水平，踐行規范性應用模式，從而保證相應內容的合理性和規范性。也就是說，要基于保護信息可用性、完整度以及不可抵賴性的原則，完成信息的鑒別分析，確保信息的準確水平符合信息交互的基本需求。目前，較為常見的方式就是加密算法，結合設計要求實現常規加密和公鑰加密等處理，保證信息安全監督工作有序開展。

1.常規加密

指的是AES加密處理，具體流程如下：①要進行字節的替換，實現非線性置換處理，保證字節替換操作的規范效果。例如，狀態字節的前四位決定了S盒的基本行為模式，后四位則決定S盒的列號，完成相應數據分析。②移位行運算，是指狀態中字節的循環移位運算模式，利用Bij=Ai，（j+1）mod4完成計算。③混合列運算，借助線性變化對狀態關聯列內的相關元素進行變換，利用十六進制對矩陣中的元素予以分析。④輪流密鑰加法，在每一輪都要進行密鑰編排處理，輪密鑰的實際長度和加密分組的長度保持一致，從而有效實現實時性運算處理。⑤密鑰編排，依據加密密鑰分析輪密鑰的內容，并從運算中明確密鑰擴展和輪密鑰選擇內容。⑥密鑰擴展。密鑰擴展函數的輸入要結合具體情況進行數組的區分和管理。⑦最終完成密鑰的選擇，因為擴展中密鑰派生出輪密鑰，要結合算法的實際情況落實相應分析工作。

2.公鑰加密

對公鑰加密算法的研究要追溯到密碼學的發展，相較于基礎替代和置換的常規加密算法，公鑰加密算法具有突出的應用優勢，從數學函數出發，且處于非對稱狀態，不同密鑰的應用會存在一定的差異性。若是要進行相應的通信處理，使用兩個密鑰對于提升通信的保密性和密鑰分配處理具有重要的意義。與此同時，兩個密鑰中會設置私鑰和公鑰，配合應用需求建立相應的發送和處理模塊，并配合類型化密碼的編碼解碼作業。①Diffie-Hell man密鑰交換算法，主要針對的是實時性網絡體系中通信雙方實現安全共享密鑰的環境，能對雙方通信的基本內容進行有效的加密控制，所以，多數通訊協議中會采取DH密鑰交換算法。②RSA算法，一般是應用在加密解密過程，或者是匹配數字簽名開展保護機制。比如，A和B進行通信，若是A使用的是B的公鑰加密報文，則B能借助自身掌握的私鑰有效解讀報文的相關信息。③IPSec處理，旨在提升分組的質量效果，建立可操作性和安全性符合應用要求的控制模式，借助2種通信安全協議完成首部和安全封裝有效荷載算法內容的評估，并配合Internet密鑰交換協議就能實現密鑰的實時性管理，保證協議處理效果的可靠性。在AH協議提供數據源認證的基礎上，ESP協議提供數據的保密服務，打造協同控制的應用服務模式，IPSec能提供的服務見表1。

3.公鑰基礎設施

為了保證通信業務支撐網應用的安全性，要對信息的來源予以身份的認證分析，并且將信息的完整性和機密性作為關鍵，從而結合具體的需求提供信息加密以及身份鑒別控制服務。之所以要建立基礎設施，就是為了在熟悉的設施環境中保證通信規范效果，較為常見的基礎設施就是網絡基礎設施和電力基礎設施，前者要利用通信計算機完成數據傳送，后者則是利用不同的電子設備完成電壓和電流的控制。因此，要利用對應的技術處理模式保證基礎設施信息數據傳遞的規范效果。

（三）安全管理

除了要從技術層面提升我國通信業支撐網安全水平，也要整合安全管理方案，建立健全完整且可控的應用模式，從而為安全管理效果的最優化提供保障。在信息系統安全管理工作開展過程中，不僅要保證信息資源管理水平，也要對信息安全資源的控制效果予以關注。

1.安全管理基準

要秉持規范性、系統性、綜合保障性原則落實相應工作，實現安全管理的目標，實現安全管理組織機構、人員以及制度控制的合理性目標，維持安全管理效果。并且，要踐行以人為本的原則，強化安全指導教育和培訓管理，保證相關管理人員和從業人員都能形成較為規范的安全意識，利用信息技術和安全技術實現統籌管理目標。

2.軟件管理

在安全監督管控體系中，要對操作系統、應用軟件以及數據庫、安全軟件等予以統籌管理，保證相應的安全保護措施都能發揮作用，維持通信業務支撐網安全水平。第一，軟件采購以及安裝測試環節要落實精準分析機制，選取正規版本的同時，在安裝后予以集中的檢測分析，維持安全性，并且要明確相應軟件的脆弱性，以便于能落實風險防控工作。第二，軟件登記和保管。為了保證軟件能發揮其實際作用，要在軟件安裝作業結束后完成規范性登記，指派專人保管信息和數據，在軟件更新操作后，專人保管新舊版本，嚴格控制實際應用環節，維持數據管理工作的合理性和規范性。第三，軟件使用和維護，無論是操作系統還是數據庫系統都要專業化維護管理，并且，系統安全員和管理員要及時完成系統的維護處理，嚴格落實數據登記制，以便于開展歷史數據和運行數據的合理性對比分析，最大程度上提高軟件安全管控效果。

3.硬件管理

要結合國家信息安全測評機構認可要求，采購對應的信息安全產品，并且盡量應用我國自主研發的信息安全計算和設備，有效提升信息監督管理的安全性。另外，信息系統安全產品要選擇型號匹配且獲取批準的產品，正式運行前還要落實相匹配的系統兼容測試。

四、結束語

總而言之，通信業務支撐網安全管理控制工作具有重要的研究價值，要整合具體的管理路徑，維持密鑰管理、防入侵管理等工作的規范性，及時發現問題即使解決，最大程度上提高信息交互的安全性，為通信體系可持續發展奠定基礎。

作者單位：任斌? ? 中國移動通信集團山東有限公司

參? 考? 文? 獻

[1]朱延敏.我國通信業支撐網安全現狀分析及對策探討[J].數字通信世界，2021（2）：126-127.

[2]石磊，朱鵬.通信業支撐網安全現狀及對策探討[J].通信電源技術，2020，37（16）：215-217.

[3]黃煒瑋.我國通信業支撐網安全現狀分析及對策探討[J].中國新通信，2019，18（20）：10-10，11.