广电宽带网安全策略及技术实现.pdfVIP

广电宽带网安全策略 及技术实现 庄建忠 内容提要：本文根据广电宽带网面临的安全威胁．提出广电宽带网的安全策略，通过对不同的技术实现方式的比较，给出整套的技术实 现方案。 关键词：广电宽带网安全策略 技术实现 08 中田分类号：TP393 文献标识码：B 随着广电宽带网络建设的开展和运 采用匿名用户访问，进行攻击．利用nfs进 包括以下子系统 营，业界和用户对网络的安全性问题越来 行攻击，通过隐蔽通道进行非法括动：进 坊火墙用于保护中心内部网络，避 越重视。对运营商来说，网络的安全性差 行突破防火墙的活动。 免受到外部网络的侵扰。 意味着对已接人白勺用户服务质量差和对 (2)计算机病毒与“蠕虫”程序有所 安全认证系统用于加强防火墙的认 潜在的用户的吸引力下降，会影响到其生 不同，它们主要的区别是，“蠕虫”寄生于 证系统级别，并且保护鞴火墙内的删络设 存和发展，对用户来说，意味着工作效率 操作系统之上，而计算机病毒寄生于一般 备和主机。 的降低乃至于巨大的经济损失，这些在网 的可执行程序上，当该程序运行时，计算 网络病毒防卫系统：用于保护防火墙 络开始运营以后，体会就更深刻。所以对 机病毒也就获得了发作的机会。相比较而 内的主机免受来自外部网络的病毒侵扰。 广电宽带网安全性问题开展研究，有其重 言，病毒的危害比“蠕虫”要小，但同时， 3身份认证 要性和紧迫性。 制作起来也相对容易，所以计算机病毒种 类繁多，极易传播，影响范围广，它动辄删 可以在用户登录上网的时候就可以 l 广电宽带网的安全威胁 除、修改文件，导致程序运行错误，甚至死 实现初步的安全性控制，如对用户的身份 网络的主机以及大部分网络设备操 机，已成为计算机信息系统的重要威胁。 和权限进行确认等：根据所采用的具体方 作系统目前的安全体系存在大量的安全 (3)拒绝服务攻击是～种破坏性攻式，这种安全控制又可以分为集中式的安 漏洞，如用户认证仅仅局限于一个固定口 击，一般有“电子邮件炸弹”厦SYNC攻击全控制方式和分散式的安全控制方式。 令，一旦攻破即具有相应的权限；系统的 等，由于它的攻击，使一个用户在很短的 31分散式的安全控制方式 众多服务及应用程序都存在很多缺陷等 时间内，得到大量电子邮件或创建大量的 把对用户身份的鉴别以及对权限的 等。这些也是计算机系统不安全原因的根 Socket连接，从而影响到正常业务的运行，验证等功能分散在各个远端的路由嚣和 本所在。 严重时会使业务系统陷^瘫痪。 访问服务器上实现，如下图所示 目前系统存在的安全威胁主要体现 2 广电宽带网的安全策略 在三个方面： (1)黑客攻击，早在十几前的主机终 针对面，临的安全威胁，目前可对整个 端时代就已出现，那时候的主要手段有： 网络实施如下的安全第略： 猎取口令、强力闻人、偷取额外特权、引^ (1J限带I外部网络用户对除授权可 ”特洛依木马”软件、引人命令过程或程 访问站点之外的其余内部主机的访问。这 序”蠕虫”、清理磁盘、使用一个节点作为 里主要是解决基于源和目标IP地址的数据 包(包括基于TCPSDUDP的数据包)过滤，这种方式的优点是配置比较简单，但 网关，代理到其他节点上。随着Internet的 发展，现代黑客的攻击手段从主要进行系 将关键业务部门与非关键业务部门用防 是存在着许多不足．首先是各个数据库的 统攻击转变到利用网络进行攻击，新的手 火墙隔离开来+对合法用户经由外部网络