宽带网络信息安全技术及其应用.

华中科技大学博士、硕士学位论文______专业硕士学位论文开题 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 论文题目宽带网络信息安全技术及其应用学院姓名学号工作单位指导教师宽带网络信息安全技术及其应用摘要伴随着信息技术的飞速发展,人们在享受信息技术带来的便利的同时,却不得不面对日益严重的信息安全问题。信息安全已经引起政府!企业和个人的广泛重视。当前,信息安全技术的研究和应用如火如茶。其中,宽带用户安全管理技术一直是人们研究的重点。21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。对于电信运营商,安全问题不仅仅涉及其自身的各个业务系统,还涉及其运营网络本身的可靠、稳定的运行,以及来自客户或其它ISP可能的网络攻击。首先,本文对国内外电信运营商的安全建设现状做了介绍和分析,并跟踪研究国内外先进的网络安全防御理论和方法,以作为构建电信宽带城域网网络安全体系的理论依据。然后,运用风险管理的相关理论和评估手段,针对电信宽带城域网网络不同对象、网络层次,提出风险控制的方法论,并山此提出电信宽带城域网网络安全保障体系的安全需求、建设目标。再次,根据电信宽带城域网网络的安全风险实施风险控制,提出网络安全保障体系框架的各个组成要素。最后,结合目前安全技术的发展水平,提出电信宽带城域网网络安全保障体系的建设思路,以达到使整个系统结构合理、提苛安全性、降低风险,使之易于管理维护,实现系统风险的可控性。宽带用户综合安全管理系统针对专用宽带网的信息安全问题,采用了软硬件结合的方式,顺应当前信息安全技术融合的技术发展趋势,集成了目前成熟、有效的信息安全防护措施。此外,系统还全面采用面向终端的“可信计算”的概念,通过端系统软件加强了端系统的防护能力,并全面提高了系统的安全防护水平。本文以宽带用户综合安全管理系统为课题背景,重点研究了宽带用户安全管理系统中网络安全控制设备系统软件设计中涉及的若干关键技术,详细描述了系统软件的运行机理和实现算法,并给出了相应的工程实现。在研究了PK工数字证书及身份认证技术的基础上,我们研究了基于PK工身份认证的接入用户安全认证及基于安全隧道的数据加密 机制 综治信访维稳工作机制反恐怖工作机制企业员工晋升机制公司员工晋升机制员工晋升机制图 。本文详细描述了基于PK工身份认证的用户管理系统安全认证机制,并通过隧道技术实现了报文的安全数据加密,并给出了相应的工程实现。关键词：宽带网络信息安全技术应用目录摘要 1关键词： 2Abstract 4Keywords: 7第一章：绪论 71.1背景 71.2国内外运营商网络安全建设状况 91.3国际电信向 101.4国内电信商 121.4.1江苏移动 121.4.2浙江电信 13第二章：安全技术体系 142.1网络基础设施保护 142.2网络区域边界保护 172.3保护外部网络系统 202.4介绍合安全技术应用 24第三章：电信宽带城域网网络安全体系的构成要素 273.1电信宽带城域网网络安全管理体系构成 273.2电信宽带城域网网络安全技术体系构成 30第四章：电信宽带城域网网络安全体系—技术体系 344.1lP城域网网络安全技术总述 344.2网络基础设施安全技术 364.3网络区域边界保护 374.3.1出口层安全控制 384.3.2核心层安全控制 384.3.3汇聚层安全控制 394.3.4接入层安全控制 394.4保护外部的网络系统 40第五章：总结及体系建设思路 43参考文献 45Abstractwiththerapiddevelopmentofinformationtechnology,peopleintheenjoymentofinformationtechnologyhasbroughtconvenience,buthavetofaceIncreasinglyseriousinformationsecurityissues.Informationsecurityhascausedwideattentionofthegovernment,enterprisesandindividuals.Atpresent,theresearchandapplicationofinformationsecuritytechnologysuchastealikefire.Amongthem,thebroadbandusersecuritymanagementtechnologyhasbeenthefocusofpeople'sresearch.Intwenty-firstCenturythewholeworldofcomputerswillbethroughtheInternettogether,thecontentofinformationsecurityhasbeenafundamentalchange.Itisnotonlyfromthegeneralnatureofthedefenseintoaverycommonprevention,butalsofromaspecializedfieldhasbecomeubiquitous.Whenmankindenteredtheinformationsocietyandnetworksocietyintwenty-firstCentury,ourcountrywillestablishacompletenetworksecuritysystem,especiallyfromthepolicyandlawtoestablishanetworksecuritysystemwithChinesecharacteristics.Fortelecomoperators,securityissuesarenotonlyrelatedtotheirownbusinesssystems,butalsorelatedtotheoperationofthenetworkitself,reliableoperation,aswellasfromcustomersorotherISPpossiblenetworkattacks.Firstly,thispaperintroducesandanalyzesthestatusquoofthedomesticandforeigntelecomoperators'safetyconstruction,andtrackstheadvancednetworksecuritydefensetheoryandmethod,whichisthetheoreticalbasisforbuildingthenetworksecuritysystemofbroadbandmetropolitanareanetwork.Then,accordingtotherelevanttheoriesandmethodsofriskmanagement,thepaperputsforwardthemethodofriskcontrolforthedifferentobjectsandnetworklevels,andputsforwardthesecurityrequirementandconstructiontargetofthebroadbandmetropolitanareanetworksecuritysystem.Onceagain,accordingtothesecurityriskoftelecombroadbandmetropolitanareanetworktoimplementtheriskcontrol,andputforwardthenetworksecuritysystemframeworkofthevariouselements.Finally,combinedwiththepresentdevelopmentlevelofsecuritytechnology,putforwardtheconstructionideasoftelecombroadbandmetropolitanareanetworksecuritysystem,soastomakethewholesystemstructureisreasonable!Provided.Harshsecurity.Toreducetherisk,easytomanage,maintainandrealizethecontrollabilityofthesystemrisk.Broadbanduserscomprehensivesecuritymanagementsystemforthespecificbroadbandnetworkofinformationsecurityissues,theuseofacombinationofsoftwareandhardware,conformtothecurrenttrendoftheintegrationofinformationsecuritytechnology,integrationofthecurrentmatureandeffectiveinformationsecuritymeasures.Inaddition,thesystemalsousestheconceptof"trustedcomputing"intheterminal,andstrengthenstheprotectionabilityofthesystem,andimprovesthesecuritylevelofthesystem.Inthispaper,abroadbanduserintegratedsecuritymanagementsystemisstudied,andsomekeytechnologiesinvolvedinthedesignofnetworksecuritymanagementsystemarestudied.Theoperatingmechanismandalgorithmofthesystemaredescribedindetail.BasedontheresearchofPKdigitalcertificateandauthenticationtechnology,westudiedthesecurityauthenticationanddataencryptionmechanismbasedonPK.Inthispaper,thesecurityauthenticationmechanismofusermanagementsystembasedonPKisdescribedindetail,andthesecuritydataencryptionisrealizedthroughthetunneltechnology.Keywords:broadbandnetworkinformationsecuritytechnologyapplication第一章：绪论1.1背景随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受病毒、黑客、内部信任欺骗等的安全威胁，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3工系统和银行等传输敏感数据的计算机网络系统随着IP业务网络在电信网络中应用范围的日益广泛和宽带网络用户的高速发展,网络安全问题对电信行业的影响日益加大,并日益成为影响网络正常运行和用户使用网络的重要因素,如冲击波病毒以及最近发生的震荡波病毒都对电信的用户和网络产生了重大的影响。同时,当前计算机信息对抗技术发展迅速,黑客入侵攻击的手段花样百出,新型病毒层出不穷,使得网络安全逐渐成为影响信息技术进一步发展的关键问题。但近年来随着网络攻击的手段不断发展,网络安全问题的影响范围也在不断地扩大,对电信业务的开展带来了严重的威胁,因此网络安全问题也越来越受到电信的关注。与不断发展的网络攻击手段相对应,网络安全防御理论和方法论也在不断的发展过程中,现阶段的网络安全防御已经发展到安全防护阶段,即实现安全管理和安全技术相结合,多层保护的深度防御策略。目前针对企业网络的安全有多种安全防护手段,如数据加密技术、防火墙隔离、入侵检测等,这些防护措施对很多的企业网络安全防护是合适的,但是对电信运营商的IP网这样关键的通信基础设施,其网络安全的实现应该采用安全保障的 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ,该方案强调网络的安全管理,通过多种安全策略、 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 和机制的建设,从而实现安全管理和安全技术相结合的,多层保护的深度防御策略。根据这种情况,在电信内部培养网络安全技术队伍,在对网络安全技术和产品进行跟踪和研究的基础上,结合实际的安全需求,统一并整合城域网已经部署的安全产品和采用的多种安全技术,为电信宽带城域网提供网络安全风险评估、异常流量分析与监控、安全预警、安全产品测试、安全培训、安全 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 和规范制订、安全应急响应等专业的网络安全服务,对保障电信运营网络和各关键业务系统的正常、可靠、稳定地运行,确保各类增值业务的开展,提高电信数据网络对于安全问题的防范能力、处理和恢复能力,提高网管维护人员的安全技术水平,个面提高网络的安全水平有着重要的意义。1.2国内外运营商网络安全建设状况一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。网络安全产品有以下几大特点：第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了；第二,网络的安全机制与技术要不断地变化；第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。客户在选择了该电信商提供的承载业务的同时,也意味着选择了对该电信商的某种程度上的信任,这种信任关系在未来的信息基础设施供需市场竞争中弥足珍贵。这也意味着电信商选择为用户提供附加的安全顾问和集成服务时,除了自己的网络集成经验之外,还有更高一层的竞争优势。所以,对于电信商来说,本质上加强自身安全水平的一个前提是领导决策层对于网络信息安全的观点,将它看成防护本身(成本、开销),还是将它看成业务(市场、营收),带来的决策策略也不相同。1.3国际电信向考察国际上先进的电信服务提供商,例如NTTData、BT、AlT等,普遍地在内部和客户界面上推行安全(隐私权)概念,普遍做到理解安全,重视安全,愿意为安全支付成本。这里所说的安全在技术上包括查杀病毒、垃圾邮件、加密(普通用户界面)、认证、访问控制!审计!网络入侵检测、滥用检测(企业用户界面和内部),在管理上,普遍的推行集中监控和实时告警!处理,推行规范化的工程施工管理和运行管理,推行职业/专业认证上岗制度。好信誉的安全服务,用户才-愿意选择其提供的其它网络服务,例如其全国范围的在线银行业务和紧急医疗信息系统。作为系统集成商,NTTData提供包括系统安装与设计、系统规划、策略规划、系统维护和设备管理等服务。集团高层认识到网络信息安全成为贯穿三个角色的关键业务技术,为了更加有效地将全集团中信息安全相关的各个部门在技术组织上整合在一起,NTTData在2001年1月份设立了集团最高的专门信息安全部门)IT安全中心,规模达到一百人左右,并且任命了首席信息安全官和全公司范围的、由各分部首脑组成的信息安全委员会来统一协调、策划集团的信息网络安全工作。该中心的主要职责包括:将信息网络安全考虑充分融合进NTTData开发和提供的所有系统中去;管理公司内部的信息安全工作,在全公司范围内展开信息安全理念和技术培训;为社会需要的安全基础架构提供新的技术方案等。全球性信息安全问题,它们仍然是信息安全领域的两大热点。相对于其他信息安全技术,防病毒和防黑客这两种技术及相应的信息安全产品,例如防火墙、入侵监测系统以及一些防病毒和防攻击软件也相对发展得较为成熟,占据着目前信息安全市场的绝大份额。目前,虽然各国将致力于发展新型的信息安全技术,如生物鉴别技术、电子签名技术等等,但防病毒和防黑客仍然将占据信息安全技术的主流地位。时至今日,由于信息系统的攻击日趋频繁,安全的概念已经不局限于对信息的保护,人们更需要的是整个信息系统运行的安全,具体包括了对信息及系统进行保护!检测、响应和恢复(PDRR)的能力。这就是信息安全保障的概念。目前,各国的信息保障概念将融入实际应用当中,各国建立的各种具体信息安全保障体系和体制将进一步落到实处,进入实际运转状态,不仅系统的安全性,其运行的质量和可靠性将随着信息安全保障的实施一并受到重视。端口分组目前是定义虚拟局域网成员最常用的方法,而且配置也相当直截了当。纯粹用端口分组来定义虚拟局域网不会容许多个虚拟局域网包含同一个实际网段(或交换机端口)。其特点是一个虚拟局域网的各个端口上的所有终端都在一个广播域中,它们相互可以通信,不同的虚拟局域网之间进行通信需经过路由来进行。这种虚拟局域网划分方式的优点在于简单,容易实现,从一个端口发出的广播,直接发送到虚拟局域网内的其他端口,也便于直接监控"但是,用端口定义虚拟局域网的主要局限性是:使用不够灵活,当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员。不过这一点可以通过灵活的网络管理软件来弥补。1.4国内电信商目前国内领先的电信服务提供商,如中国电信!中国网通!中国移动等,目前相比较国际先进电信服务提供商还有一定的差距,普遍还停留在考虑基础产品和基本服务阶段。但是随着业务发展的不断推进和技术的不断发展,国内电信服务提供商也越来越重视内部和客户界面上的安全概念。比较有代表性的如江苏移动、浙江电信等。1.4.1江苏移动在江苏7400万人口中,江苏移动通信公司的用户数高达1100万,这一数字遥遥领先于竞争对手。不仅如此,在中国500强位列第3名的中国移动通信集团中,江苏移动的地位也是举足轻重的。这不仅是因为江苏移动每年为集团公司贡献了巨额利润,更重要的是,江苏移动的/业务和服务“一直处于领先位置”为了构建先进精准的计费系统和领先业界的科技手段,江苏移动先后投入3亿元进行硬件建设和软件开发。在为用户提高良好的服务的同时,江苏移动充分认识到,一套完整可靠的安全体系建设是整个服务体系的基础和保障,为了更加有效的将信息安全贯穿到关键业务技术体系中,江苏移动专门成立了信息安全小组,独立运作于业务部门之外,将整个公司的三个核心业务(CMNET、网管和DCN)的信息安全问题进行集中管理和控制,并通过信息安全小组,对整个公司的信息安全策略和管理进行整合。与此同时,为了更加有效的为信息安全管理提供保障,江苏移动专门建立了两个独立的SOC安全管理中心：内网SOC和外网SOC"将所有三个核心系统的安全事件监控和管理问题进行集中的处理,并通过SOC,形成了全公司的安全知识,扫心、策略中心、监控中心和响应中心。通过SOC中心的建立,江苏移动人大缩短了对安全事件的监控能力和响应能力,由原来的安全事件的响应时间以天、时计算,缩短到以分计算的响应能力和处理能力,大大提高了整个企业在信息安全方面的抗风险能力。目前,江苏移动正在为通过国际标准BS7799进行相关准备和实施。1.4.2浙江电信浙江电信的DCN网络作为企业内部支撑网,采用IP技术作为统一的技术承载手段,从1999年开始建设,目前网络己经覆盖了全省n个地区的通信支局,加之己经整合了“97网络”,DCN网络节点已经达到上千个。目前浙江电信DCN网络上承载各项运营!综合管理系统,在浙江电信网络运营过程中起到了重要的支撑作用。2002年,浙江电信开通的1000号客户服务系统中的Web自助式服务及E一mail服务均要求与互联网相连,加之DCN网络上的原有的办公系统等连接到互联网的联网需求,考虑安全因素,在省中心和各个地市分公司的DCN核心网络建设连接到互联网的统一接口。为了更好的对整个DCN网络的信息安全事件进行有效管理,浙江电信DCN网建立了统一管理平台,对全网信息安全事件进行集中的监控、汇聚和相关性分析,并定期为企业管理层提供报告。第二章：安全技术体系2.1网络基础设施保护在信息安全保障技术框架IATF中,将深度防御战略的安全保障技术体系划分为四个方面:区域边界保护、计算环境保护!网络基础设施保护和网络安全支持设施。而本次研究项目将主要针对电信宽带城域网网络安全体系的研究,相对应的,宽带城域网网络安全技术体系主要包括各网络层次结构之间即网络区域边界的安全保护、城域网网络基础设备的保护、保护外部网络系统和各种综合网络安全技术应用四个主要的方面。网络安全保障机制是整个网络安全体系框架的驱动和执行环节。一个有效的网络安全组织会在安全策略的指导下,在网络安全技术的保障下,实施网络安全的运作。为了增加网络安全保障体系的防御深度,提高安全保护的层次性,在保障体系的建设中还必须完善各种网络安全保障机制,考虑网络安全生命周期中各个安全环境的要求,这些安全保障机制包括:异常流量监控与安全预警机制!定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制。通过这些机制的完善,不仅可以提高安全预防能力、安全反应速度和恢复能力,还可以通过人员安全技术水平的增强从根本上提高网络的安全水平。建立包括安全风险评估!安全加固、安全应急响应机制在内的网络安全保障机制,可以较好地体现网络安全的动态性和相对性的特征,也是基于生命周期的安全风险管理和风险控制工作的必然要求，网络安全漏洞扫描技术,漏洞检测和安全风险评估技术,因其可预知主体受攻击的可能性和具体地指证将要发生的行为和产生的后果,而受到网络安全业界的重视。这一技术的应用可帮助识别检测对名气的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。现代信息技术的体系架构主要围绕信息生命周期的获取、传输、处理、应用四大环节构成。信息获取主要依赖传感技术，完成从自然信源获取信息，并对之进行处理（变换）和识别的功能；信息传输主要依赖通信技术，完成信息在网络中的传输功能；信息处理和应用，主要依赖计算机技术，完成信息的处理、存储和分析功能。安全组织作为网络安全工作的管理和实施体系,主要负责网络安全策略、制度、规划的制定和实施,确定网络中各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作,监督各种网络安全工作的开展,协调各种不同部门在网络安全实施中的分工和合作,保证安全目标的实现。从安全组织的职能可以看出,安全组织体系建设是一切网络安全实施和管理的基础,在整个网络安全体系中起着举足轻重的作用。基于硬件地址层地址的虚拟局域网解决方案的缺点之一是要求所有的用户必须初始配置在至少一个虚拟局域网中"在这次初始手工配置之后,用户的自动跟踪才有可能实现,而且取决于特定的供应商解决方案。然而,这种不得不在一开始先用人工配置虚拟局域网的方法,其缺点在一个非常大的网络中变得非常明显:几千个用户必须逐个地分配到各自特定的虚拟局域网中。某些供应商已经减少了初始手工配置基于硬件地址的虚拟局域网的繁重任务,它们采用根据网络的当前状态生成虚拟局域网的工具,也就是说为每一个子网生成一个基于硬件地址的虚拟局域网。2.2网络区域边界保护保障IP网络的可用性,首先要保障网络拓扑结构的安全可靠性,这主要是通过网络基础设备、物理链路、路由的冗余和备份等来实现。网络基础设施的安全性主要是对网络设备从三个不同层面所涉及的安全问题来采取相应的安全技术手段来进行安全防护。2.2.1管理层面:对网络设备的管理,从设备本身的安全措施来进行安全防护。2.2.2控制层面:如路由协议等,从整个网络拓扑的可用性来进行安全防护。2.2.3数据层面:从数据包通过网络设备的角度来进行安全防护。软件与计算机系统密不可分，是信息与物理世界的连接器和融合剂。发展第一阶段，软件依附于硬件发展。程序员直接面向硬件编程，兼顾硬件控制和计算功能实现。第二阶段，软件引领硬件发展。甲骨文公司开创了软件作为独立产品售卖先河，将通用数据库技术与硬件技术独立开来，随后微软、奥多比（Adobe）、欧特克（Autodesk）等公司先后面向具体行业开发应用软件技术和产品，形成了软件引领硬件发展的格局。第三阶段，软件向服务化、网络化演进。随着互联网、移动互联网、云计算等技术发展，软件技术向平台化、网络化方向演进，应用领域进一步拓展，产品形态进一步进化为服务。第四阶段，软件技术与传统产业深度融合。软件技术向传统产业全面渗透，加快各行业的数字化和智能化进程，开启万物互联的产业互联网时代。未来，信息技术将继续向高速、宽带、泛在融合和智能化的方向发展。石墨烯、碳纳米管等新型IT材料研发不断突破。量子计算、量子通信、量子密码等前沿技术将有可能改变传统的计算技术架构，提供更高、更快、更安全的计算处理能力。软件的加速发展将重新定义未来信息基础设施和企业业务流程。基于大数据和机器自主学习的新一代人工智能技术，将推动机器感知、模式识别、自然语言理解处理、机器智能、指示图谱等取得重大突破，智能机器人，无人驾驶、辅助学习等应用将加快成熟和应用。基础设施的安全首先要从管理上采取明确的策略。管理性和技术性的安全措施是相辅相成的,在对技术性措施进行设计的同时,必须考虑安全管理措施。从国外的信息安全状况来看,国外大多数企业和机构仍然将信息安全纳入纯技术范畴,由技术部门作为一项技术性问题全权处理"但是从发展趋势上看,越来越多的机构开始意识到信息安全管理的重要性,并制定了相应的管理策略,这将是未来基础设施安全保护的主要应用趋势之一。在安全管理方面,需要着重进行网络安全策略、安全组织体系和网络安全保障机制等方面进行建设。包括安全策略的制订、发布和落实,整合并规范安全策略文档;明确安全工作中的角色和责任,整合内外资源,以保证开展和控制网络安全的实施;明确安全运作的周期和各阶段的内容,保证安全框架的有效性。在安全技术方面,需要根据电信宽带城域网网络的不同的对象、不同的层次和目标系统,制订相应的安全技术措施,以保障电信大网的可用性、可靠性和关键业务系统的安全性,以及为电信客户提供安全的各类增值业务。在安全技术的融合中,以侧重于检测的入侵检测技术和侧重于实施访问控制的防火墙技术两种技术协同和融合起来,这在过去的防火墙产品中已经有了部分尝试,但是由于硬件平台和技术上的不完善导致了系统性能下降很快的问题,因此这就成为信息安全研究的前沿课题。同样,防火墙和防病毒的融合已经在防毒墙这一产品中得到体现"所以只有将不同安全侧重点的安全技术有效的融合起来,才能使得安全产品的性价比更高,才能在日益激烈的信息安全市场上有优异的表现。而安全技术的融合并不是不同产品的简单堆砌,一个企业网络的信息安全不但依赖单个安全产品自身的性能,也同样依赖于各个安全产品之间的协作。这种相互协作,将不同安全防范领域的安全产品融合成一个无缝的安全体系,从而才能达到预期的安全设想。因此,这种融合趋势不仅仅是安全技术,也涉及了安全体系和架构。同时,网络安全产品已不能再仅仅是个安全设备,还必须是个高性能的网络设备或平台作为支撑。在安全技术的融合中,三个方面的因素是需要考虑的:访问控制能力、保护网络应用、建立动态反应体系。为了使网络安全保障体系更具有针对性,在网络安全保障体系的构建过程中必须考虑网络安全本身的特点,即网络安全的动态性、相对性和整体性。网络安全的动态性指的是网络中存在的各种安全风险处于不断的变化之中,从内因来看,网络本身就在变化和发展之中,网络中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因来看,各种软硬件系统的安全漏洞不断被发现!各种网络攻击手段也在不断地发展,这些都可能使得今天还处于相对安全状态的网络在明天就出现了新的安全风险。随着计算机技术和通信技术的发展，信息传输的手段发生了极大的变化。人们对各种业务的需求，也越来越提高，要求业务的种类越来越多样化，如语音、数据、图像等各种业务，使得多媒体业务的需求迅速上升。为了满足上述业务迅速上升的需求，这就要求网络建设向宽带化、智能化、综合化方向发展。使得宽带网络成为适应上述业务需求急待加快建设的一种网络。本词条就对宽带网络建设和运营的有关问题进行探讨。2.3保护外部网络系统对于电信运营商,安全问题不仅仅涉及其自身的各个业务系统,还涉及其运营网络本身的可靠!稳定的运行,以及来自客户或其它ISP可能的网络攻击。相对而言,保护一个企业网免受网络攻击比保护一个运营商的网络更容易。当一个企业网连接到Intemet,只存在一个安全问题)保护企业网免受外部入侵。为了达到安全目的,企业将在连通性、可用性、性能和安全之间权衡。当前随着宽带业务和宽带用户的高速发展,对运营商来讲,也伴随着越来越多的潜在的安全威胁的存在,因为某个宽带用户的安全问题不光影响其本身,而且会蔓延到运营商的大网上去,影响大网的可用性,进而影响许多客户的使用。所有这些外部连接无论是宽带个人用户还是企业用户都有可能对运营商的大网造成重大的安全事件,有时甚至可能会严重阻塞大网中的带宽资源,使得整个大网的可用性严重降低。所以电信运营商的安全关注更为广泛"运营商的业务是透明的、代价敏感的以及高性能的连通性。与此同时,安全问题也是客观存在的"运营商们必须保护自己,保护他们的客户,最小化他们的客户遭受网络攻击的风险。互联网金融是利用云计算、大数据等信息技术对资金供需信息进行有效组合，能大大缓解资金供需双方信息不对称问题，改变以银行、券商为代表的金融中介机构体系配置模式，拓宽小额、零散、个性化投融资服务渠道，形成有别于传统融资体系的长尾效应。第三方支付整合资金流（银行）、信息流（交易订单）和物流订单（物流公司），成功解决了电子商务交易信用中介担保问题；网络小额贷款利用电子商务交易数据，实现了网上商户和消费者信用贷款；P2P网络贷款基于客户信息居间撮合，促进了资金供需双方直接对接；众筹通过网络途径对项目进行筛选和信息披露，为初创企业提供了融资支持。目前，余额宝、阿里小贷、人人贷等互联网金融产品不断涌现，据统计，截止2014年底，我国互联网金融总体规模已超过10万亿元。电子商务有效整合传统商业中物流、资金流和信息流的传递方式，改变企业经营模式和用户消费习惯，释放消费潜力，并能够降低交易成本，提高交易效率。近几年，我国电子商务呈现爆发式增长，据统计，截至2014年底，我国网络购物用户规模达到3.61亿，交易规模2.78万亿，较2007年增长105倍,占社会消费品零售总额10.6%。当前，随着移动互联网的飞速发展，线上线下互动（O2O）等新型电子商务模式逐步成熟，阿里天猫商城、京东商城、腾讯微信店等电子商务平台正在吸引一大批线下商铺在线上开展业务，通过O2O实现线上线下互动，零售业正发生变革性转型。安全产品与网络设备的融合是把安全的因素融合到路由器、交换机、终端等产品中,并采用了集成化管理软件。从终端方面的网络准备控制,到交换机上的防火墙、入侵检测、流量分析与监控、内容过滤形成全面的网络安全体系。这种网络从连接产品向整体安全系统进行转变,因此这种融合意味着网络技术业务乃至应用的融合。比如路由器产品,现在已经更多地将防火墙和VPN加密技术更多引入其中。而从2004年的各个安全公司和网络公司的一系列动作来看,安全公司开始更加全方位地和网络公司合作,有的将自己的安全技术引入到网络公司产品之中。种种迹象表明,安全产品与网络设备的融合也开始起步,安全产品与网络设备的融合构成网络安全系统,最终形成用户可信赖的安全网络。安全技术的融合通过创新安全理论、整合各种安全解决方案、整合网络安全资源,构建综合的动态网络来最大化安全防护的效果。在理论层面,通过对各种安全理论的整合,构建起一个全新的网络安全理念;在方案层面,整合安全要求将尽可能多的安全解决方案整合到一起,构筑智能型的立体防护体系;在技术层面,整合安全又通过对诸多安全技术与产品的全面整合,为信息网络提供全面动态的安全防护体系。因此,传统的安全厂商可以从安全产品的互动发展到安全技术的融合,同时把自己融合进网络设备厂商,向安全的新领域一一业务安全发展,通过组建安全联盟,形成一个大的安全体系,自己成为其中一个基石,从而将安全技术的融合发展到一个满意的程度。虽然市场上已有各种各样的软硬件产品在应用各层面、网络结构各层次为网络用户的管理控制提供了支持,但在考虑网络的用户管理控制时,不能仅仅进行简单的系统集成,而需要根据对该网络实际应用情况进行对比分析,在系统的专用性和通用性上进行选择,提出一套适应于该网络特点的管理控制方案"综上所述,我们在宽带用户综合安全管理系统的研发过程中,借鉴了以上安全防护措施的设计思想和技术,采用了自主研制和系统集成相结合、软件硬件相结合!多系列相配套的技术路线。2.4介绍合安全技术应用目前对电信宽带城域网威胁最大的两个网络安全问题就是垃圾邮件和DOS/DDOS。为保障城域网的可用性,需要就此两类网络攻击的特点部署针对性的防范措施、工具。网络安全扫描技术是网络安全脆弱性评估的主要手段,通过安全扫描有利于针对性的加固,以实现安全事件的预防。目前主要包括网络扫描、主机扫描、应用扫描等三种评估产品。其中网络扫描产品部署和使用方便,检测范围较广,对评估对象影响小,应用较为广泛。随着传统安全防范技术在网络中应用的日益广泛,安全产品的集中化管理需求日益显露。其中异常流量监控管理系统对于大型电信IP网络尤其重要。异常流量集中监控技术目前主要包括基于NetFlow流量抽样分析和包解析等两种技术。目前,基于NetF10w流量抽样分析技术在监控流量的能力上有一定的优势,而包解析技术对详细分析具体攻击特征有一定的优势。宽带用户综合安全管理系统的组织体系包括三个层次:骨干网管理中心、宽带网管理中心和用户端点系统,其结构如图用户端点系统:宽带用户管理系统的用户端点系统,也可以简称为用户,用户通过端点系统来访问本地网,它是宽带用户综合安全管理系统的主要管理对象。宽带网管理中心:宽带网管理中心负责管理接入本地网的用户单位的信息网络,一般是园区网和局域网,也可称其为用户网络。按统一要求,用户网络的用户管理和端点防护由宽带网安全管理系统负责具体的实施。骨干网管理中心:骨干网管理中心负责对接入本地网的用户网络进行审验,并且对用户网络的用户管理和安全防护情况进行监管。宽带用户综合安全管理系统的三级结构体现了“统一管理、分散控制”的设计思想,具有以下优点:1)顺应了信息安全技术的发展趋势,全面采用安全技术融合的思想。宽带用户综合安全管理系统将大量的监管事务放在用户端点系统处理,减少了网络用户管理系统的通信资源消耗,减轻了上级管理机构的工作负担。2)大量的监管事务被分配在端系统处理,增强了监管的实时性和有效性。3)采用三级的层次管理结构,各级管理机构各司其职,管理下辖的区域,在本管辖区域内具有较大的自主权。同时,如果某一个管理区域出现安全问题,影响范围将被限定在该区域内,其它管理区域还可以正常运行,并在上一级管理机构的统一规划下采取有效的防范措施。2013年4月德国在汉诺威工业博览会上首次提出了工业4.0的概念，核心是利用CPS推进制造业的智能化。工业4.0揭示了全球制造业变革的大趋势。如果说传统工业信息应用还处于系统管理、数字制造和人工控制“三张皮”的状态，CPS通过计算、通信、控制技术的有机融合和深度协作，实现大型物理系统与信息交互系统的实时感知和动态控制，使得人、机、物真正融合在一起。具体来讲，对配备有传感器、RFID的设备进行数据采集，通过数据分析对生产状况进行模拟和跟踪，大数据技术对生产状况作出可能的分析和提示；人工控制对整个系统运行情况进行全程监控，“现实制造”同“虚拟生产”实时同步，并通过全面交互和反馈实现对生产全过程的精准化控制；在每一个制造环节都嵌入多个生产模块，通过数字化控制实现柔性生产。例如，德国大众新打造的MQB平台统一了零部件标准，并在每一个生产单元都嵌入多套生产模块，最多可以支持64种车型实现大规模定制生产，据有关部门测算，MQB平台可以使单车生产成本下降20%。第三章：电信宽带城域网网络安全体系的构成要素3.1电信宽带城域网网络安全管理体系构成根据信息安全保障技术框架(IArF)和基于生命周期的网络安全解决方案,为了实现电信宽带城域网网络安全体系的建设目标,该网络安全体系应该包含安全管理和安全技术两个方面的要素。电信宽带城域网网络安全体系应该包含安全评估、安全策略制定和更新、安全培训、安全技术实施、安全预警、网络安全检测!网络安全应急响应和灾难恢复等环节组成的生命周期的各个环节和要素。作为互联网的主要维护者和运营者,电信运营商所采取的网络安全解决方案与面向普通用户的安全方案有很大不同。对于电信来说,在强调网络安全的同时,需要同时注重方案的性能!可靠性、扩展性、可用性和管理性,使安全方案能够与电信网络基础设施无缝融合。(l)性能与服务品质网络的性能和服务品质对电信运营商来说具有重要意义。电信需要的安全解决方案,一方面能够有效解决安全问题,另一方面必须维持网络的性能和服务品质。(2)易用性70%的系统由于配置不当而导致了系统安全问题。很多系统需要专家进行设置,使用方法复杂,从而导致了安全问题,所以电信需要采用易于使用的安全产品和安全技术来构造安全解决方案。(3)高可用性电信网络具有高负荷、不能间断的特点。网络安全解决方案必须具备高可靠性。砰)可管理性良好的可管理性对于安全解决方案是必不可少的,良好的管理系统使信息安全更有保障。安全系统分布于网络的各个部分,解决方案还应该具有远程管理和集中管理能力。(5)可扩展性电信安全解决方案需要具有可扩展性,一旦有扩容要求,必须快速、可靠的实现。安全系统不可能一步到位,一劳永逸,所以解决方案所采用的技术和产品必须具有良好的应用前景和持续升级能力。(6)兼容性电信运营需要的安全系统应该与现有的网络系统具有良好的兼容性,对原有网络不会造成影响或影响最小,能够与各种业务系统方便集成,支持各种业务、应用和通信协议。技术和管理能力决定安全水平，必须实现信息产业实力的显著提升。习近平总书记指出，没有网络安全，信息化发展越快造成的危害可能越大，没有信息化发展经济社会发展将会滞后，网络安全也没有保障，已有的安全甚至会丧失。网络安全和信息化是一体之两翼，驱动之双轮。做好网络安全和信息化工作，必须处理好安全与发展的关系，做到协调一致，齐头并进，不能偏废。宽带用户安全管理系统是整个宽带用户综合安全管理系统的重要组成部分。该子系统负责按要求对接入用户实施有效管理,实现二级安全管理。宽带用户安全管理系统主要由用户管理和宽带用户安全控制两个子系统构成。其中,用户管理子系统负责管理用户信息,完成用户接入认证!配置用户接入规则等管理、控制功能;而宽带用户安全控制子系统(又称网络安全控制系统)则负责作为内部网络与外部网络相互连接的桥梁,从出口直接控制用户对外部网络的访问。在宽带用户综合安全管理系统中,对宽带接入用户而言,在端系统代理ganet的支持下接入单位的专用宽带网是系统最核心的功能。用户安全管理系统是用户进行宽带接入的关键支撑子系统。设计一个友好、安全、方便的宽带用户接入业务是用户安全管理系统的一项关键性需求。宽带用户安全管理系统必须为这类业务提供灵活方便的支持。本章将从宽带用户安全管理系统的系统构成出发,分别介绍用户管理子系统和宽带用户安全控制子系统;然后,对宽带用户综合安全管理系统中宽带用户接入的业务处理流程进行了介绍,并对该处理流程设计特点进行了说明。3.2电信宽带城域网网络安全技术体系构成作为整个宽带用户综合安全管理系统的核心部件,宽带用户安全管理系统主要实现用户身份认证和宽带用户安全控制控制的功能。从数据流程和管理控制的角度而言,我们可以将宽带用户安全管理系统划分为控制和数据两个平面。其中,控制平面主要用于宽带接入网管理单位的管理控制,而数据平面则负责对宽带接入网管理单位的各类安全管理策略进行实施,完成对宽带用户网络数据流的控制。控制平面和数据平面的分离有助于系统构成的模块化,可以有效地提高系统的可扩展性。控制和数据分离的思想,减少了系统构成模块之间的依赖性,对于系统的灵活性和扩展能力都提供了良好的支撑。为了对宽带用户安全管理系统实施数据平面和控制平面的分离,将对宽带用户安全控制系统分为两个部分:用户管理处理子系统和和宽带用户安全控制子系统。对控制平面和数据平面而言,控制平面的功能由用户管理处理分系统完成,而主要由网络安全控制器构成的用户安全控制子系统则负责数据的处理,实现数据平面的功能。在宽带用户安全控制系统中,用户管理子系统和宽带用户安全控制子系统之间通过标准的专用通道及相关安全协议进行通信,两个子系统之间互不相关,这就使得系统的可扩展性大大提高。从安全管理看，必须坚持发展与管理并重，做到以发展促安全，以安全保发展，既要发挥好市场主体作用，更要强调国家意志，避免失控。应统一谋划，统一部署，统一推进，统一实施，着力加强顶层设计，加快战略谋划和前瞻部署，加快完善法制和制度环境，为信息产业发展和网络信息安全提供体制机制保障。对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动"利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。本研究参考网络传输的协议标准和实现情况,利用现有软硬件资源,进行设计,即针对以太网的软硬件特点,对网络中传输的数据从链路层、网络层、传输层、应用层等不同层次进行实时分析并实现可视化输出。考虑到大规模部署该类监视工具存在更多的技术障碍,一般以移动工具形式使用,因此,在系统结构上采用紧凑结构,在一台独立的笔记本电脑上即可实现数据获取与分析工作。为了加强工具的可视化效果,增强易用性,采用了成熟的WindowsXP作为系统平台。考虑到网络数据可能存在突然大幅度增高的可能,所以对于数据的处理采用了缓冲技术,以防止数据的丢失。对于获得的网络数据,按照已知的网络协议进行分析和显示,并保持较好的可扩展性,以利于将来扩展其他应用。为了实现上述技术路线,系统重点采用了以下关键技术:(1)采用网络安全管理技术。使用智能化、高效率的分析算法、手段和措施,应用网络窃听技术,获得局域网络的底层数据以供分析,进行网络访问控制。使用基本规则定义可以访问特定网络资源的用户,从而确保只对网络资源进行授权访问。(2)应用协议分析技术。对应用层协议进行分析,并进行内容扫描。通过定义策略对内容进行检查,防止在没有授权的情况下通过电子邮件或Web发送敏感数据。(3)使用网络入侵检测、预警技术。自动探测来自网络流量的攻击模式,定义URL阻塞。指定不允许用户访问的URL,从而防止了非工作性Web冲浪及阻塞网络的游戏。探测到破坏或降低公司网络功能的企图(如:搞乱FTP服务器、获得Web服务器上目录列表的企图或者读取网络上文件的企图)后,系统将立即发送警告。警告消息包括入侵来源、入侵活动说明以及如何对付这些行为的建议。(4)采用包检测技术、网络干扰技术。对非法网络行为的主、客体进行网络劫持、欺骗、屏蔽,在隐蔽模式下工作,在攻击者察觉不到的情况下,对黑客的网上行为进行监视、捕获。保证及时中断非法操作,并提供警告信息。(5)应用加密传输分析、端口分析、加密协议分析、公开密钥获取与分析、证书分析等技术。提供基于PKI和KMI技术的安全服务平台和公共安全接口,开发PKI技术产品和应用系统,达到接口标准化,具有透明性、可扩展性、互操作性和易用性,以使本系统能与已有的网络信息安全产品实现实时的互动,并在此基础上开发更新的网络信息安全产品。(6)使用高级反病毒引擎。探测包含计算机病毒的网络流量的病毒扫描引擎,防止用户在不知情的情况下下载受病毒感染的文件,并支持用户从公司站点得到最新和更新后的病毒特征码,保护网络不受病毒的危害。(7)使用高效的图形界面研究技术。实现网络负载监控。对大数据量下各种网络应用进行实时跟踪、定位、过滤、显示等,提供图形化界面。监控网络使用情况的方法可以是查看网络流量的实时图形,或者请求特定时间段的网络流量分类报告。在设计上达到对用户友好、表达清晰、访问数据方便等效果。第四章：电信宽带城域网网络安全体系—技术体系4.1lP城域网网络安全技术总述目前网络攻击手段正朝着综合化、规模化和隐蔽化的方向发展,网络安全问题对电信网络的影响日益增大,以大规模分布式拒绝服务(DDOS)攻击和各种蠕虫病毒的出现给电信网络带来的威胁最为严重。大规模分布式拒绝服务(DDOS)攻击主要以大量无用数据包,如Ping包、UDP包、TCPSyn包消耗网络资源为主要特征。而蠕虫病毒攻击主要以攻击系统或应用软件漏洞为主要特征,并发送大量攻击数据包。在IP网网络安全防范中,一方面应合理启用网络设备或主机所提供的一些安全功能和特性进行安全保护:在最靠近用户端的路由器上开启RPF、CAR等安全特性功能,以防止DDOS和蠕虫病毒攻击流量进入骨干网络,同时,采用路由邻接路由认证技术、路由更新认证技术和访问控制技术,确保路由信息来源正确。根据安全的完整性需求,在加强网络安全的同时,也必须在主机系统方面加强安全控制措施。电信IP城域网网络安全目标是保障网络的可用性,进而保护支撑系统与业务系统安全性。为了实现该目标,针对IP城域网,需要通过所有网络设备(如路由器、交换机、BRAS以及各种接入设备等)所具备安全特性的合理配置、分布式网络流量安全监控系统的部署、网络安全保障管理机制的建立等手段,在增强网络层安全的同时,提高电信网络在发生攻击时的响应速度和处理能力。移动式宽带网络信息安全实时监控系统的研究,为网络信息安全提供了一种全新的监控手段,能为各单位有效地监控网络资源的使用提供帮助,监督人员网上的浏览情况,安全部门和公安部门进行网情普查、监督上网人员遵纪守法和网络数据监控取证、抵制有害信息的侵入、对违法犯罪活动进行证据挖掘、证据留存、防止黑客攻击、打击网上犯罪活动等提供技术支持。该研究成果填补了我国宽带网络信息安全产品的空白,同时利用该项技术,还可以研发出其他一些网络信息安全的产品,为净化网络环境、提高网络安全等级做出贡献。没有强大技术创新和产业支撑能力，信息技术的发展和信息安全的保障就无从谈起，信息产业的发展和国家竞争力的提升就不可持续。发展自主可控的信息技术和产品需要长期积累和不断支持。应加强战略引导和前瞻谋划，继续加快推动电子信息产业创新发展，根据信息技术发展变革大势和网络信息安全要求，密切关注新兴技术和产业发展动态，把握信息技术融合化的趋势，以产业链部署创新链，