城域网用户信息平安.docVIP

《城域网作业》 城域网用户信息安全技术 学院：信息与通信工程学院 专业：电子信息工程 班级：103班 学号：2010021308 姓名：李丽琴 摘要 随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文将对IP城域网中得用户信息安全技术进行详细的介绍。 IP城域网信息安全管理体系 信息安全管理概述 普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。 信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。 2、建立信息安全管理体系的主要步骤 （1） 确定ISMS的范畴和安全边界 （2） 在范畴内定义信息安全策略、方针和指南 （3） 对范畴内的相关信息和信息系统进行风险评估 （4） 实施和运营初步的ISMS体系 （5） 对ISMS运营的过程和效果进行监控 （6） 在运营中对ISMS进行不断优化 3 IP宽带网络安全风险管理主要实践步骤 目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。 基于PKI/PMI的IP宽带城域网安全应用解决方案 智能化信任与授权服务支撑平台 采用PKI/PMI体系构建信任与授权服务支撑平台，为IP宽带城域网提供信任服务和授权服务。平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的智能化信任与授权基础环境，确立了“一实体一证、统一发证、分布式逐级管理”的IP宽带城域网运营管理模式。 　　所谓“统一发证”是指：由第三方证书认证中心（CA）认证机构负责统一签发IP宽带城域网的用户、设备的PKC；由信任与授权服务支撑平台提供AC的统一签发并实现证书的统一管理，保证网络信任域管理服务。而“分布式逐级管理”是指：网络信任域按实际的责任和管理范围来划分，每个城市或地区的IP宽带城域网系统也可以根据用户类型划分基本信任域（如可区别普通家庭用户、大客户等），每个基本信任域都有自己的管理系统负责本信任域的管理，网络信任域管理系统通过信任与授权服务支撑平台提供信任与授权服务的支持。以此模式构筑了一个责任明确、管理方便、覆盖全系统的网络信任域及管理体系。 2、网络信任域及管理平台 对关键设备、重要终端及用户采用 “一实体一证书”的方式来构建网络信任域，包括可信网络接入、安全网络通信及可信管理等服务。 　　可信网络接入认证技术的实现以以太网接入方式为基础，采用PKI数字证书技术，基于IEEE 802.1x标准，支持X.509证书，通过对接入者的证书进行身份认证，实现基于端口的访问控制。 　　网络安全通信基于IP加密网关来实现，它基于IPSec协议，利用PKI技术，为网络信任域之间的信息交换提供安全可信通道。 　　网络信任域管理系统主要负责对网络信任域内的用户进行数据及网络管理，实现地图式用户端设备的位置管理、状态监控、远程参数配置管理，同时采集各类用户端接入认证交换机上收集的IP业务处理数据，包括用户端口信息、IP业务使用的数据流量及使用时间信息等。 3、综合业务管理平台 综合业务管理平台直接面对用户，包括业务管理、客户管理、计费管理、网络资源管理、系统安全管理、系统维护管理、新业务开发管理、知识管理等部分。综合业务管理平台可抽象归纳为三层架构：数据层、业务处理层、应用层。 　　数据层主要存放整个系统的对象数据，包括证书数据、设备数据、系统数据三大类核心数据。 　　业务处理层完成业务逻辑处理，其处理过程被封装在相互独立的系统功能模块中，并由调度功能模块统一进行各业务系统功能模块间的相互调用。 应用层是面向客户的窗口，为多种多样的IP宽带应用增值业务提供与用户的接口，并在业务处理层最终实现对各类业务的处理，而后台数据层为业务处理层提供相应的系统数据服务。 4、用户上下线流程 在该方案中，一个用户在享受宽带服务前，必须凭有效证件到运营商业务受