林 倜

（華信咨詢設計研究院有限公司，浙江 杭州 310000）

0 引 言

通信網(wǎng)絡規(guī)劃設計工作是保證網(wǎng)絡和信息安全性的重要工作，要從網(wǎng)絡環(huán)境和網(wǎng)絡技術兩方面入手進行規(guī)劃設計。通信網(wǎng)絡規(guī)劃設計是一項涵蓋范圍較廣、技術難度復雜及安全性要求較高的設計工作，設計過程中要根據(jù)不同的需求進行綜合考慮，以充分保證通信網(wǎng)絡的安全性。

1 通信網(wǎng)絡安全性分析

1.1 通信網(wǎng)絡環(huán)境新特點

隨著網(wǎng)絡技術的不斷發(fā)展和更新，通信網(wǎng)絡在網(wǎng)絡結(jié)構、業(yè)務傳輸要求及設備情況等方面呈現(xiàn)出新的特點。例如，網(wǎng)絡容量的擴大使得網(wǎng)絡整體結(jié)構取得更加精簡的設計效果；為了適應龐大體量的業(yè)務信息交換工作，不同類型的通信節(jié)點設備也不斷增加。這使得網(wǎng)絡設備的整體環(huán)境復雜度提高，不利于網(wǎng)絡管理工作的開展。隨著網(wǎng)絡通信設備智能化程度的提升，通信網(wǎng)絡設備呈現(xiàn)出模塊化、大容量發(fā)展趨勢，同時體積也呈現(xiàn)逐漸減小的趨勢[1]。

1.2 網(wǎng)絡安全保障

網(wǎng)絡安全提升離不開防火墻等技術的運用，通過防火墻實現(xiàn)內(nèi)外網(wǎng)絡環(huán)境的分割，利用訪問控制等技術來充分保證內(nèi)部網(wǎng)絡的安全性。防火墻的選擇直接關系到網(wǎng)絡安全等問題，但是單純依靠網(wǎng)絡防火墻很難保證網(wǎng)絡整體安全性的穩(wěn)定。網(wǎng)絡入侵檢測技術和加密技術作為提升網(wǎng)絡安全性的重要手段，不僅彌補了網(wǎng)絡防火墻在安全性保障方面的不足，而且在很大程度上阻止了大量非法入侵者的惡意攻擊。入侵檢測技術主要是利用網(wǎng)絡監(jiān)控來阻止惡意網(wǎng)絡信息流的非法入侵，通過對非法數(shù)據(jù)流的識別、阻止、截獲以及警報，以保障網(wǎng)絡環(huán)境的安全性。加密技術主要是針對網(wǎng)絡節(jié)點出現(xiàn)的網(wǎng)絡攻擊現(xiàn)象而發(fā)展的網(wǎng)絡安全技術，可以對即將傳輸?shù)男畔⑦M行加密處理，以防止竊密者非法竊取業(yè)務信息，從而提升網(wǎng)絡安全系數(shù)[2]。

1.3 信息安全保障

做好信息安全保障工作，要從用戶身份、信息傳輸?shù)确矫嫣嵘畔⒌陌踩裕M量避免出現(xiàn)欺騙、竊取以及篡改等網(wǎng)絡竊取行為。例如，對于身份識別方面，利用公鑰加密認證等方式進行加密，以充分保證業(yè)務信息獲取的安全性[3]。此外，利用數(shù)據(jù)庫技術做好關鍵數(shù)據(jù)信息的管理工作，以有效保證信息的安全性和完整性。

2 基于安全的通信網(wǎng)絡規(guī)劃設計建議

2.1 對信息進行加密設計

基于安全性考慮的通信網(wǎng)絡規(guī)劃設計，要做好信息加密技術設計。信息加密技術可保證信息在網(wǎng)絡傳輸過程中的安全，也是提升信息安全性的必要技術手段。通信網(wǎng)絡設計過程中要注重加密設計環(huán)節(jié)，既要保證有效信息的安全性，也要維護整體通信網(wǎng)絡的安全性[4]。從常用的加密方式進行設計考慮，信息加密手段主要包括端到端加密方式、鏈路加密方式以及節(jié)點加密方式3種類型。端到端加密方式主要面向數(shù)據(jù)信息中的有效載荷信息，對于報文中用于識別的數(shù)據(jù)信息不具備加密性。這種加密方式可以有效保護關鍵數(shù)據(jù)信息以及安全協(xié)議不被竊取。但是由于這種加密技術不對報文頭部等信息進行加密，所以報文頭部數(shù)據(jù)很容易受到攻擊或者欺騙，從而降低信息安全性。鏈路加密方式主要面向節(jié)點之間的中繼傳輸信號。這種加密方式既可以保證通信網(wǎng)絡所有信息的安全性，又可以確保相關協(xié)議的安全性。此外，鏈路加密方式也可以對網(wǎng)絡通信過程中產(chǎn)生的流量進行保護，避免其他無關流量干擾阻礙重要信息的傳輸。

2.2 構建和完善網(wǎng)絡安全管理系統(tǒng)

具有高度安全性的網(wǎng)絡管理系統(tǒng)，是通信網(wǎng)絡規(guī)劃安全性設計中重要的一環(huán)。網(wǎng)絡管理系統(tǒng)很大程度上影響數(shù)據(jù)信息的安全性。擁有高度嚴密的網(wǎng)絡安全系統(tǒng)，不僅可以有效阻止外部未知非法網(wǎng)絡攻擊，而且可以保證內(nèi)部網(wǎng)絡足夠的安全性[5]。網(wǎng)絡管理系統(tǒng)通常包含大量網(wǎng)絡管理協(xié)議。這些協(xié)議是網(wǎng)絡非法攻擊的主要對象。設計網(wǎng)絡管理系統(tǒng)的過程中，要注意網(wǎng)管協(xié)議的安全性，以保證網(wǎng)絡惡意攻擊行為無法成功實現(xiàn)入侵。此外，網(wǎng)絡黑客以及竊密者還會利用病毒植入以及大量非法訪問對網(wǎng)絡管理系統(tǒng)進行入侵操作。為保證通信網(wǎng)絡整體安全性以及通信網(wǎng)絡的效率不受影響，避免核心數(shù)據(jù)信息被非法分子竊取，針對網(wǎng)絡安全管理系統(tǒng)的通信網(wǎng)絡設計過程中，要著重從安全性技術目標、健全性建設標準、數(shù)據(jù)信息加密性和完整性以及系統(tǒng)訪問控制4個方面進行綜合分析考慮，設計建成具有較高安全性的網(wǎng)絡管理系統(tǒng)，以盡量保護通信網(wǎng)絡環(huán)境不受侵害。

2.3 對通信網(wǎng)絡內(nèi)部協(xié)議進行規(guī)劃

基于安全性考慮的通信網(wǎng)絡規(guī)劃設計，離不開對通信網(wǎng)絡內(nèi)部協(xié)議的科學合理規(guī)劃。通信網(wǎng)絡內(nèi)部協(xié)議是保證信息安全最重要的組成部分和設計考慮重點，也是非法網(wǎng)絡攻擊最想攻擊的部分。例如，黑客等攻擊者可以偽裝成合法用戶進行數(shù)據(jù)信息交換，并在使用協(xié)議信息的過程中對協(xié)議進行重置，便于黑客實現(xiàn)信息竊取或者網(wǎng)絡攻擊，輕則導致網(wǎng)絡服務暫時中斷，重則導致網(wǎng)絡無法提供服務。無論是路由協(xié)議還是其他內(nèi)部協(xié)議，一旦在任何一個環(huán)節(jié)遭到攻擊破壞，將直接影響整體通信網(wǎng)絡的安全性以及正常運轉(zhuǎn)能力。網(wǎng)絡通信內(nèi)部協(xié)議是安全性規(guī)劃設計的重中之重，必須要保證內(nèi)部協(xié)議設計高度安全性。通信網(wǎng)絡設計過程中，應當主要考慮認證技術和鑒別技術，著重對實體認證以及協(xié)議鑒別進行設計規(guī)劃。要選擇合適的加密算法工具，對傳輸過程中的每個環(huán)節(jié)進行加密。設計過程中，既要保證內(nèi)部協(xié)議整體高度的安全性，又要充分考慮網(wǎng)絡整體運行的安全性。

2.4 完善通信網(wǎng)節(jié)點內(nèi)系統(tǒng)

基于安全性考慮的通信網(wǎng)絡規(guī)劃設計，離不開通信網(wǎng)絡節(jié)點內(nèi)部系統(tǒng)的設計完善工作。通信網(wǎng)絡節(jié)點作為重要的數(shù)據(jù)信息傳輸部分，要在保證信息安全性的基礎上完成信息傳輸工作。常見的通信網(wǎng)絡節(jié)點包括路由器和交換機。隨著網(wǎng)絡非法攻擊手段的不斷豐富，針對網(wǎng)絡節(jié)點展開的網(wǎng)絡攻擊行為越來越多。這使得通信網(wǎng)節(jié)點的安全性成為網(wǎng)絡設計規(guī)劃工作中需要重點考慮設計的部分。網(wǎng)絡設計過程中，首先要結(jié)合安全性具體要求以及網(wǎng)絡節(jié)點設備具體情況進行綜合考慮，利用防火墻技術、訪問控制技術、數(shù)據(jù)庫技術以及認證等技術做好通信節(jié)點內(nèi)系統(tǒng)安全設置。設計環(huán)節(jié)要把安全目標放在首位，同時兼顧技術難點以及技術優(yōu)勢，綜合設計出較高穩(wěn)定性和安全性的通信網(wǎng)絡節(jié)點內(nèi)系統(tǒng)。此外，通信網(wǎng)絡設計要盡量減少不必要的風險，慎重使用具有一定風險因素的技術措施，以保證信息整體安全性。

2.5 積極研發(fā)網(wǎng)絡入侵檢測技術

基于安全性考慮的通信網(wǎng)絡規(guī)劃設計，要積極研發(fā)網(wǎng)絡入侵檢測技術，以更好地保障網(wǎng)絡安全性。入侵檢測技術主要是通過檢測技術對網(wǎng)絡中非法的入侵行為進行感知，并及時采取警報的方式完成網(wǎng)絡防護工作。由于入侵檢測技術在不同的網(wǎng)絡形態(tài)中使用情況不同，受網(wǎng)絡形態(tài)因素影響較大，無法根據(jù)不同的通信協(xié)議制定出較為統(tǒng)一全面的入侵檢測技術，因而在過去的通信網(wǎng)絡規(guī)劃設計過程中并沒有得到充分利用。隨著網(wǎng)絡安全需求的不斷提升，基于入侵檢測技術思想的檢測系統(tǒng)設計逐漸成為提升通信網(wǎng)絡安全性的新手段。通過對網(wǎng)管系統(tǒng)以及相關數(shù)據(jù)的檢測，可以在更短時間內(nèi)高效精準地發(fā)現(xiàn)非法入侵行為，以保證通信網(wǎng)絡安全性的進一步提升。要積極研發(fā)新的智能化網(wǎng)絡入侵檢測技術，以更好地應對不同通信協(xié)議網(wǎng)絡形態(tài)下的入侵行為，全面提升網(wǎng)絡入侵檢測水平。

3 結(jié) 論

通信網(wǎng)絡規(guī)劃設計作為保障通信網(wǎng)絡安全性、完整性以及高效性的首要工作，逐漸受到越來越多網(wǎng)絡相關技術人員的重視。通信網(wǎng)絡安全性要求在網(wǎng)絡設計規(guī)劃過程中做好加密設計、網(wǎng)管系統(tǒng)設計、協(xié)議規(guī)劃設計、節(jié)點系統(tǒng)設計以及網(wǎng)絡入侵檢測技術設計工作，以充分保障通信網(wǎng)絡整體安全性。