基于虚拟专用网络电信业务管理系统网络安全设计.docVIP

基于虚拟专用网络电信业务管理系统网络安全设计摘要：电信业务管理系统是电信企业运营生产的支撑系统之一，系统网络范围广、结构复杂且与因特网连接，因此，对于这种带有重要信息传输的网络其安全性必须得到保证。本文正是出于这点考虑提出了一个基于虚拟专用网络技术的电信业务管理系统网络安全设计，该设计能确保所传输的数据包不被外界人员非法截取和利用，消除关键系统数据在远程传输过程中可能失密的隐患，从而有效地保证了网络通信的安全。 关键词：VPN；加密；鉴别；密钥管理；身份认证；传输安全性 中图分类号：TP311.52 文献标识码：A 文章编号：1007-9599 （2012） 15-0000-02 1 引言 随着计算机网络的发展，网络安全问题日益成为人们关注的焦点。尤其是在通过公共传输信道进行网络互联和信息共享的同时，如何解决系统和信息的安全问题已经迫在眉睫。对于电信管理系统计算机网络而言，它是一个多应用和多连接的网络，随时都面临着来自各方面的安全威胁。因此，它的安全性问题成了当前的重要问题。 近几年随着网络技术的发展，特别是VPN技术不断成熟，为解决此问题提供了一个可行的方向，通过VPN的关键技术（隧道技术、加解密技术、密钥管理技术和身份认证技术），可以有效的保护网络上传输的重要数据包不被外界人员非法截取和利用，消除了关键系统数据在远程传输过程中可能失密的隐患，进而确保了网络通信的安全。因此，本文基于VPN关键技术提出了一个电信系统的网络安全设计，该设计能够有效的实现系统网络信息数据安全、完整、高效、透明地传输。 2 虚拟专用网络概述 虚拟专用网络（Virtual Private Network）是一种基于IP和利用公共网络基础设施的网络虚拟连接技术。当一个组织机构利用这种虚拟连接技术组成“自己的”专用网络时，在这个专用网络内，所有用户共享相同的安全性、优先权服务、可靠性和可管理性策略。它可以通过特殊的加密通讯协议连接在Internet上不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正地去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。虚拟专用网络技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持虚拟专用网络功能。一句话，虚拟专用网络的核心就是在利用公共网络建立虚拟私有网。 通过虚拟专用网络，一个省级系统可以在公用互联网络上和各个地方的系统连接起来，实现总公司和分公司间点对点或端到端的“虚拟专用”联接。也可以说，“虚拟专用隧道”如同在茫茫的广域网上为企业拉出了一条专线。基于IP的VPN可将Intranet自然延伸至远程办公、移动用户的广泛连接，这种广泛连接可理解为“任何地方”。 3 基于VPN的系统网络安全设计 电信管理系统是电信企业运营生产的支撑系统，系统网络范围广、结构复杂，且与因特网连接，所以必须为该系统设计并建立一套完善的网络安全防护体系，以保证该系统的运行及信息的安全。在建立该体系前网络结构如图1所示： 从该系统网络结构图中可以看出，电信综合业务管理系统计算机网络是一个多应用和多连接的网络，当它与Internet连接后其内外必然存在着较多的安全隐患，这使得它随时都在面临着来自各方面的安全威胁。这些安全威胁有：来自互联网的安全威胁（主要来自黑客的入侵）、其他接入点和各地市分公司网络对省公司主机房网络的安全威胁、外部网络对各地市分公司网络的安全威胁、来自各局域网内部的安全威胁、网络病毒的威胁、信息数据的安全传输的威胁等。因此，为其建立一套全面而高效的安全体系就显的由为重要。众所周知，通常对于来自互连网的威胁都可以通过一个高效的防火墙加以防范，而对于通讯数据的保护就只有通过加密和签名来实现了。基于以上两点，本文做出了一个在广域网通信线路上的省公司网络和各地市分公司网络之间进行远程数据传输的电信综合业务管理系统网络防火墙中嵌入虚拟专用网络模块的双重保障安全设计，通过在系统网络间建立虚拟专用网络通信信道可以确保所传输的数据包不被外界人员非法截取和利用，消除关键系统数据在远程传输过程中可能失密的隐患，有效地保证网络通信的安全。加了虚拟专用网络系统后网络的结构图如图2所示： 从图中可以看出，本策略是在原有网络各个网络的数据通讯网络（DCN网络）出口位置布置虚拟专用网络设备和在与互连网连接的交换机上加装虚拟专用网络管理中心，来实现对在广域网上传输的重要数据进行加密和认证保护并有效的实现对虚拟专用网络系统提供设备管理、用户管理和自动密钥管理等集中管理功能的。在系统网络加装了虚拟专用网络设备后，可使得传输数据通过安全的“加密通道”在公共网络中传播。