精品人妻大屁股白浆无码,亚洲成av人在线无码观看

首頁>>>技術(shù)>>>NGN

縱談下一代網(wǎng)絡(luò)安全

2009/01/16

　　信息產(chǎn)業(yè)的迅猛發(fā)展，已經(jīng)使信息技術(shù)逐漸成為主導(dǎo)國民經(jīng)濟(jì)和社會發(fā)展的重要因素。當(dāng)今世界各國都在積極應(yīng)對信息化的挑戰(zhàn)和機(jī)遇。信息化、網(wǎng)絡(luò)化、數(shù)字化正在全球范圍內(nèi)形成一場新的技術(shù)、產(chǎn)業(yè)和社會革命。要發(fā)展信息化，就必須高度重視信息安全問題，它絕不僅僅是IT行業(yè)問題，更多的是一個(gè)社會問題以及包括多學(xué)科系統(tǒng)安全工程的問題，它直接關(guān)系到國家安全。因此，有人呼吁我國要像重視兩彈一星那樣去重視信息安全問題。

　　Internet的高速發(fā)展推動了整個(gè)社會進(jìn)入信息時(shí)代的進(jìn)程，掀起了一場網(wǎng)絡(luò)熱潮，人們的生活方式也因此而改變。但是，作為第一代互聯(lián)網(wǎng)，Internet在設(shè)計(jì)之初沒能充分考慮信息安全問題，從而導(dǎo)致現(xiàn)在全世界不得不成天忙于“打補(bǔ)丁”來應(yīng)對與日俱增的安全問題。

　　肆虐網(wǎng)絡(luò)的病毒、無孔不入的間諜軟件、居心叵測的木馬、以及囂張猖獗的黑客攻擊，已經(jīng)成為困擾第一代互聯(lián)網(wǎng)用戶的嚴(yán)重問題。由于安全問題給用戶帶來的不可靠感，基于第一代互聯(lián)網(wǎng)的電子商務(wù)的發(fā)展也受到了阻礙。

　　如今，由于IP地址資源的緊張和信息安全問題等，人們終于下決心開始研制并推廣下一代網(wǎng)絡(luò)(NGN)，并以NGN作為未來信息傳遞的主要載體。從信息安全角度看，NGN既是機(jī)會又是挑戰(zhàn)，我們絕不能再犯忽視安全問題的錯(cuò)誤了，必須將信息安全作為NGN的一個(gè)有機(jī)整體，而不是一個(gè)附屬品來對待。信息安全必須作為NGN研究中最重要的課題之一。

下一代網(wǎng)絡(luò)是什么?

　　下一代網(wǎng)絡(luò)(Next Generation Network，簡稱NGN)，是在當(dāng)今電信網(wǎng)絡(luò)基礎(chǔ)上演變、融合而來的。理想中的NGN可以實(shí)現(xiàn)各種網(wǎng)絡(luò)的互通，用戶可以在任何時(shí)間、任何地點(diǎn)、以多種方式，享受網(wǎng)絡(luò)提供的各種服務(wù)。NGN是一個(gè)集數(shù)據(jù)、語音、視頻等各種多媒體功能于一體的網(wǎng)絡(luò)。試想一下，在不久的將來，用戶可以在電話機(jī)上和朋友“面對面”地視頻聊天;可以在手機(jī)上與遠(yuǎn)方的好友分享好聽的音樂;可以和異國他鄉(xiāng)的親友盡情交談，卻只需不多的話費(fèi)。這無疑是令人憧憬的生活方式。但事務(wù)總是具有兩面性，NGN為我們帶來便利的同時(shí)，也帶來了更加嚴(yán)峻的安全隱患。

NGN的安全隱患在哪里?

　　網(wǎng)絡(luò)是一個(gè)復(fù)雜的系統(tǒng)，無論是網(wǎng)絡(luò)硬件開發(fā)、協(xié)議設(shè)計(jì)、還是網(wǎng)絡(luò)應(yīng)用軟件開發(fā)，都是復(fù)雜的工程。這就不可避免地會有設(shè)計(jì)不完善的地方，人們無法在設(shè)計(jì)階段就考慮到所有情況，打造一個(gè)十全十美的網(wǎng)絡(luò)。隱患是必然存在的，NGN也不會例外，它的主要安全隱患表現(xiàn)在以下幾個(gè)方面。

1、物理設(shè)備的隱患

設(shè)備故障

電磁輻射

線路竊聽

火災(zāi)、水災(zāi)與盜竊

2、軟件系統(tǒng)的隱患

　　如果說物理設(shè)備是網(wǎng)絡(luò)的“軀體”的話，那么軟件系統(tǒng)就是網(wǎng)絡(luò)的“靈魂”。但是軟件系統(tǒng)不可避免地會有許多設(shè)計(jì)缺陷，而這些缺陷在設(shè)計(jì)階段是難以發(fā)現(xiàn)的。一旦攻擊者掌握了這些缺陷，就可以利用它們進(jìn)行非法的攻擊行為。

操作系統(tǒng)的隱患

　　操作系統(tǒng)是網(wǎng)絡(luò)應(yīng)用的軟件基礎(chǔ)，它是網(wǎng)絡(luò)設(shè)備的“神經(jīng)中樞”，負(fù)責(zé)掌控硬件的運(yùn)行與應(yīng)用軟件的調(diào)度，其重要程度不言而喻。目前網(wǎng)絡(luò)上應(yīng)用比較普遍的有l(wèi)inux、Unix、Windows、以及嵌入式Vxworks等。沒有任何一種操作系統(tǒng)敢宣稱自己是完全安全的，正如Windows操作系統(tǒng)大量安全漏洞的存在造成了目前互聯(lián)網(wǎng)嚴(yán)峻的安全形式，操作系統(tǒng)的隱患也將使得網(wǎng)絡(luò)系統(tǒng)本身存在很大的安全隱患。

　　操作系統(tǒng)隱患的產(chǎn)生大致有三個(gè)原因，具體如下所述：

　　編程人員的人為因素，在程序編寫過程，為實(shí)現(xiàn)不可告人的目的，在程序代碼的隱蔽處保留后門。

　　受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時(shí)安全技術(shù)所限，在程序中難免會有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。

　　由于硬件原因，使編程人員無法彌補(bǔ)硬件的缺陷，從而使硬件的問題通過軟件表現(xiàn)。

　　許多攻擊就是利用操作系統(tǒng)存在的漏洞�，F(xiàn)在受攻擊最多的是Windows操作系統(tǒng)，因?yàn)樗乾F(xiàn)在個(gè)人用得最多的一種操作系統(tǒng)。其次是Linux, Solaris, OS/2等操作系統(tǒng)。黑客的攻擊手法主要是使用一些現(xiàn)有的黑客工具或自己編制一些程序進(jìn)行攻擊，比如：

口令攻擊

　　主要由于用戶設(shè)置密碼過于簡單或者容易破解。如FTP服務(wù)器密碼、數(shù)據(jù)庫管理密碼、系統(tǒng)超級用戶密碼等。利用一些智能軟件可以通過簡單的猜測就能破解這些口令，從而使用戶失去安全保障。

　　操作系統(tǒng)本身的漏洞

　　這是操作系統(tǒng)在開發(fā)過程中形成的缺陷。雖然可以通過廠家的不斷升級來彌補(bǔ)，但是很多時(shí)候用戶并沒有及時(shí)為自己的電腦操作系統(tǒng)去下載這些補(bǔ)丁，有時(shí)是在廠家還沒有發(fā)現(xiàn)漏洞時(shí)，黑客已經(jīng)開始利用這些漏洞來發(fā)起攻擊了。

應(yīng)用軟件的安全隱患

　　軟件的完整性

　　應(yīng)用軟件在使用過程中，往往被用戶有意或無意地刪除，造成不完整。此外，不同應(yīng)用軟件之間也可能出現(xiàn)相互沖突。有些應(yīng)用軟件，在安裝時(shí)存在文件互相覆蓋或改寫，從而引起一些不安全的因素。

　　軟件本身漏洞

　　比如現(xiàn)在的IE瀏覽器，攻擊者可以利用其設(shè)計(jì)缺陷通過它進(jìn)入系統(tǒng);IE可以將用戶的密碼記錄在一個(gè)特定的文件夾中，一旦攻擊者訪問到這個(gè)文件夾，用戶的信息就會暴露。

數(shù)據(jù)庫的安全隱患

　　數(shù)據(jù)庫是存放數(shù)據(jù)的軟件系統(tǒng)，在信息社會中扮演著十分重要的角色，它的安全隱患主要有：

　　數(shù)據(jù)的安全

　　數(shù)據(jù)庫中存放著大量的數(shù)據(jù)，這些數(shù)據(jù)可供擁有一定職責(zé)和權(quán)利的用戶共享，但是，很難嚴(yán)格限制用戶只得到一些他們必需的和他們權(quán)利相當(dāng)?shù)臄?shù)據(jù)，通常用戶可能獲得更多的權(quán)限和數(shù)據(jù)。由于數(shù)據(jù)庫被多人或多個(gè)系統(tǒng)共享，如何保證數(shù)據(jù)庫的正確性和完整性也是問題。

　　數(shù)據(jù)庫系統(tǒng)被非法用戶侵入

　　數(shù)據(jù)庫本身存在著潛在的各種漏洞，致使一些非法用戶利用這些漏洞侵入數(shù)據(jù)庫系統(tǒng)，造成用戶數(shù)據(jù)泄漏。比如SQL Server數(shù)據(jù)庫系統(tǒng)加密的口令一直都非常脆弱。

　　數(shù)據(jù)加密不安全性

　　由于現(xiàn)在不存在絕對不可破解的加密技術(shù)，各種加密手段均有一定的不安全性。

協(xié)議的安全隱患

　　協(xié)議，簡單的理解，是在網(wǎng)絡(luò)上進(jìn)行通信的規(guī)則。比如，如何表達(dá)要傳遞的信息，如何傳遞等等，這些動作都是要靠協(xié)議來實(shí)現(xiàn)。協(xié)議可看成是網(wǎng)絡(luò)的精髓。

　　協(xié)議的安全隱患體現(xiàn)在網(wǎng)絡(luò)中互相通信的協(xié)議本身存在的安全方面的不健全，以及協(xié)議實(shí)現(xiàn)中存在的漏洞問題。協(xié)議在本質(zhì)上也是一種軟件系統(tǒng)，因此在設(shè)計(jì)上不可避免地會存在一些失誤。比如：Internet的基礎(chǔ)協(xié)議TCP/IP的設(shè)計(jì)就是僅僅建立在研究和試驗(yàn)的基礎(chǔ)上，沒有考慮安全性。黑客可以通過專用軟件工具對網(wǎng)絡(luò)掃描，掌握有用的信息，探測出網(wǎng)絡(luò)的缺口，從而進(jìn)行攻擊。另外，如IP地址可以人為地用軟件設(shè)置，這就形成了IP地址假冒和欺騙，無法保證來源的真實(shí)性。

　　在NGN中，包含多種多樣的協(xié)議，主要的協(xié)議包括H.248、SIP、MGCP、H.323、BICC、SIGtran等，正是這些協(xié)議促成了各種網(wǎng)絡(luò)的互通。每種協(xié)議都存在大量使網(wǎng)絡(luò)服務(wù)中斷的隱患。

　　協(xié)議的安全隱患是網(wǎng)絡(luò)安全問題最重要因素之一。

NGN面對的安全威脅是什么?

1.從Internet上繼承下來的威脅

　　在NGN中，負(fù)責(zé)傳輸數(shù)據(jù)這部分系統(tǒng)稱為“核心傳輸網(wǎng)”。核心傳輸網(wǎng)沿用了在Internet上使用的IP技術(shù)。IP即Internet Protocol(因特網(wǎng)協(xié)議)，是Internet技術(shù)體系的主要組成部分。而IP技術(shù)本身具有較多的安全缺陷，NGN采用這種技術(shù)，自然也繼承了這些安全缺陷。在Internet中適用的攻擊手法，理論上在NGN中都適用。采用IP技術(shù)帶來的靈活性、開放性是顯著的，但繼承下來的安全缺陷對NGN來說也是嚴(yán)峻的。因此，病毒、木馬、黑客攻擊等這些威脅仍會困擾NGN。

2.網(wǎng)絡(luò)融合互通帶來的新問題

　　除了Internet繼承下來的威脅外，NGN中還存在一些由于網(wǎng)絡(luò)融合互通帶來的新的問題。

　　傳統(tǒng)的電信網(wǎng)絡(luò)，如固定電話網(wǎng)或GSM移動電話網(wǎng)，是一個(gè)封閉的環(huán)境。外部的攻擊者很難進(jìn)入系統(tǒng)進(jìn)行攻擊。因此在封閉性不被打破的條件下，傳統(tǒng)電信網(wǎng)是安全的網(wǎng)絡(luò)，是可信任的網(wǎng)絡(luò)。用戶在使用時(shí)有很好的安全感，不會有隨時(shí)隨地受到安全威脅的感覺。在長期的使用實(shí)踐中，除了內(nèi)部人員作案之外，傳統(tǒng)電信網(wǎng)的確也幾乎沒有出現(xiàn)安全上的問題，用戶可以放心使用。但隨著網(wǎng)絡(luò)向NGN的過渡和演進(jìn)，這些封閉的環(huán)境將慢慢變得開放了。一方面，這種開放性使得外部的攻擊者有了可乘之機(jī);另一方面，由于傳統(tǒng)電信網(wǎng)的封閉性，一些設(shè)計(jì)上的缺陷被封閉的環(huán)境掩蓋起來，而這些缺陷在相對開放的環(huán)境下就極有可能顯現(xiàn)出來。目前，經(jīng)過研究已經(jīng)證實(shí)了傳統(tǒng)的固定電話網(wǎng)采用的七號信令系統(tǒng)確實(shí)存在安全缺陷，難以在完全開放的環(huán)境中承受黑客的各種攻擊�？梢灶A(yù)見，隨著網(wǎng)絡(luò)的融合，傳統(tǒng)電信網(wǎng)絡(luò)的安全缺陷會逐步顯現(xiàn)出來。

3.可能遭受的攻擊方式

用戶的賬戶被盜

偽裝欺騙

業(yè)務(wù)擾亂

　　以上僅列舉幾種NGN中可能存在的典型的攻擊方式。隨著網(wǎng)絡(luò)的發(fā)展，技術(shù)的進(jìn)步，黑客的手段也必定會層出不窮。NGN的互通性、開放性在為用戶帶來前所未有的使用體驗(yàn)的同時(shí)，也為黑客提供了一個(gè)很好的“舞臺”。

　　保護(hù)NGN安全有哪些措施?

　　面臨著諸多的安全問題，需要未雨綢繆，防患于未然。在NGN發(fā)展演進(jìn)的過程中就要積極地制定安全措施和相關(guān)標(biāo)準(zhǔn)，研究可行的有效的安全機(jī)制。

建立一套安全防御系統(tǒng)，必須考慮以下三個(gè)問題：

　　需要哪些保護(hù)，防止哪些威脅;

　　需要保護(hù)的網(wǎng)絡(luò)設(shè)備的類型;

　　需要保護(hù)的網(wǎng)絡(luò)活動的類型。

　　這三個(gè)問題可以歸結(jié)為安全尺度、安全層面、安全平臺。在具體制定安全策略時(shí)，應(yīng)綜合考慮這三個(gè)方面。

1.NGN中安全機(jī)制的基本要求

NGN安全應(yīng)該支持協(xié)同性，特別是在不同NGN安全機(jī)制之間。這就是說，安全機(jī)制不能是孤立的，應(yīng)該是一個(gè)相互協(xié)同的有機(jī)統(tǒng)一的系統(tǒng)。

主要管理功能必須可用。

NGN應(yīng)該提供與其他網(wǎng)絡(luò)和用戶建立信任關(guān)系的可能。也就是說NGN應(yīng)該能夠鑒別一個(gè)單獨(dú)用戶或者另外一個(gè)網(wǎng)絡(luò)的合法身份，從而可以進(jìn)行正常的通信。

鑒權(quán)和授權(quán)應(yīng)該在服務(wù)層和傳輸層同時(shí)使用。即，用戶到網(wǎng)絡(luò)、網(wǎng)絡(luò)到用戶和網(wǎng)絡(luò)到網(wǎng)絡(luò)都應(yīng)該可以完成相互的鑒別，以防止非法的欺騙行為。

網(wǎng)絡(luò)運(yùn)營商出于安全考慮，會盡量限制用戶了解到網(wǎng)絡(luò)的結(jié)構(gòu)和資源，因?yàn)檫@些信息對于攻擊者來說非常重要。NGN的結(jié)構(gòu)設(shè)計(jì)應(yīng)該考慮到這些因素。

NGN應(yīng)該可以不同的網(wǎng)絡(luò)區(qū)域有著不同的安全要求級別，而不會相互影響。比如，政府機(jī)要部門對網(wǎng)絡(luò)安全的要求要比普通民用高，但它們之間不會相互影響和牽制。

NGN應(yīng)該提供安全方法來阻礙不必要的信息在網(wǎng)絡(luò)上傳送，節(jié)省網(wǎng)絡(luò)資源。

NGN網(wǎng)絡(luò)管理資源(OSS-Operation Support System、數(shù)據(jù)庫)的安全應(yīng)該得到保障。

NGN應(yīng)該有能力支持確保通信完整性的服務(wù)，即確保通信的內(nèi)容在傳送過程中不被攻擊者修改。

NGN應(yīng)該有能力提供通信保密性的服務(wù)，避免用戶通信內(nèi)容泄漏，侵害用戶隱私。

NGN應(yīng)該有能力支持確保來源鑒定的服務(wù)，即認(rèn)清信息來源者的真正身份，防止攻擊者欺騙。

安全功能應(yīng)該安裝在網(wǎng)絡(luò)之間的交界處，并且可以控制網(wǎng)絡(luò)之間的通信。這樣可以實(shí)現(xiàn)一些功能，例如根據(jù)一定的規(guī)則對流通于網(wǎng)絡(luò)之間的信息進(jìn)行過濾。

2.NGN安全防御框架

端用戶平臺安全

控制平臺安全

管理平臺安全

信息安全十大原則

　　雖然任何人都不可能設(shè)計(jì)出絕對安全的網(wǎng)絡(luò)系統(tǒng)，但是，如果在設(shè)計(jì)之初就遵從一些合理的原則，那么相應(yīng)網(wǎng)絡(luò)系統(tǒng)的安全性就更加有保障。第一代互聯(lián)網(wǎng)的教訓(xùn)已經(jīng)告訴我們：設(shè)計(jì)時(shí)不全面考慮，消極地將安全措施寄托在事后“打補(bǔ)丁”的思路是相當(dāng)危險(xiǎn)的!從工程技術(shù)角度出發(fā)，在設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)時(shí)，至少應(yīng)該遵守以下安全設(shè)計(jì)原則：

　　原則1：“木桶原則”，即，對信息均衡、全面地進(jìn)行保護(hù)。

　　“木桶的最大容積取決于最短的一塊木板”，攻擊者必然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析、評估和檢測(包括模擬攻擊)，是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。安全機(jī)制和安全服務(wù)設(shè)計(jì)的首要目的是防止最常用的攻擊手段;根本目標(biāo)是提高整個(gè)系統(tǒng)的“安全最低點(diǎn)”的安全性能。

　　原則2：“整體性原則”，即，安全防護(hù)、監(jiān)測和應(yīng)急恢復(fù)。

　　沒有百分之百的信息安全，因此要求在網(wǎng)絡(luò)被攻擊、破壞事件的情況下，必須盡可能快地恢復(fù)網(wǎng)絡(luò)的服務(wù)，減少損失。所以信息安全系統(tǒng)應(yīng)該包括三種機(jī)制：安全防護(hù)機(jī)制;安全監(jiān)測機(jī)制;安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行;安全監(jiān)測機(jī)制是監(jiān)測系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對系統(tǒng)進(jìn)行的各種攻擊;安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少攻擊的破壞程度。

　　原則3：“有效性與實(shí)用性”，即，不能影響系統(tǒng)的正常運(yùn)行和合法操作。

　　如何在確保安全性的基礎(chǔ)上，把安全處理的運(yùn)算量減小或分?jǐn)�，減少用戶記憶、存儲工作和安全服務(wù)器的存儲量、計(jì)算量，應(yīng)該是一個(gè)信息安全設(shè)計(jì)者主要解決的問題。

　　原則4：“安全性評價(jià)”原則，即，實(shí)用安全性與用戶需求和應(yīng)用環(huán)境緊密相關(guān)。

　　評價(jià)系統(tǒng)是否安全，沒有絕對的評判標(biāo)準(zhǔn)和衡量指標(biāo)，只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境，比如，1)系統(tǒng)的規(guī)模和范圍(比如，局部性的中小型網(wǎng)絡(luò)和全國范圍的大型網(wǎng)絡(luò)對信息安全的需求肯定是不同的);2)系統(tǒng)的性質(zhì)和信息的重要程度(比如，商業(yè)性的信息網(wǎng)絡(luò)、電子金融性質(zhì)的通信網(wǎng)絡(luò)、行政公文性質(zhì)的管理系統(tǒng)等對安全的需求也各不相同)。另外，具體的用戶會根據(jù)實(shí)際應(yīng)用提出一定的需求，比如，強(qiáng)調(diào)運(yùn)算實(shí)時(shí)性或注重信息完整性和真實(shí)性等等。

　　原則5：“等級性”，即，安全層次和安全級別。

　　良好的信息安全系統(tǒng)必然是分為不同級別的，包括：對信息保密程度分級(絕密、機(jī)密、秘密、普密);對用戶操作權(quán)限分級(面向個(gè)人及面向群組)，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域)，對系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面的、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。

　　原則6：“動態(tài)化”原則，即，整個(gè)系統(tǒng)內(nèi)盡可能引入更多的可變因素，并具有良好的擴(kuò)展性。

　　被保護(hù)的信息的生存期越短、可變因素越多，系統(tǒng)的安全性能就越高。安全系統(tǒng)要針對網(wǎng)絡(luò)升級保留一定的冗余度，整個(gè)系統(tǒng)內(nèi)盡可能引入更多的可變因素。

　　原則7：設(shè)計(jì)為本原則，即，安全系統(tǒng)的設(shè)計(jì)應(yīng)與網(wǎng)絡(luò)設(shè)計(jì)相結(jié)合。

　　在網(wǎng)絡(luò)進(jìn)行總體設(shè)計(jì)時(shí)考慮安全系統(tǒng)的設(shè)計(jì)，二者合二為一。避免因考慮不周，出了問題之后拆東墻補(bǔ)西墻，不僅造成經(jīng)濟(jì)上的巨大損失，而且也會對國家、集體和個(gè)人造成無法挽回的損失。由于安全問題是一個(gè)相當(dāng)復(fù)雜的問題，因此必須群策群力搞好設(shè)計(jì)，才能保證安全性。

　　原則8：自主和可控性原則。

　　安全問題關(guān)系著一個(gè)國家的主權(quán)和安全，所以網(wǎng)絡(luò)安全不可能依賴于國外，必須解決網(wǎng)絡(luò)安全的自主權(quán)和自控權(quán)問題。

　　原則9：權(quán)限分割、互相制約、最小化原則。

　　在很多系統(tǒng)中都有一個(gè)系統(tǒng)超級用戶或系統(tǒng)管理員，擁有對系統(tǒng)全部資源的存取和分配權(quán)，所以它的安全至關(guān)重要，如果不加以限制，有可能由于超級用戶的惡意行為、口令泄密、偶然破壞等對系統(tǒng)造成不可估量的損失和破壞。因此有必要對系統(tǒng)超級用戶的權(quán)限加以限制，實(shí)現(xiàn)權(quán)限最小化原則。管理權(quán)限交叉，有幾個(gè)管理用戶來動態(tài)地控制系統(tǒng)的管理，實(shí)現(xiàn)互相制約。而對于非管理用戶，即普通用戶，則實(shí)現(xiàn)權(quán)限最小原則，不允許其進(jìn)行非授權(quán)以外的操作。

　　原則10：有的放矢、各取所需原則。

　　在考慮安全問題解決方案時(shí)必須考慮性能價(jià)格的平衡，而且不同的網(wǎng)絡(luò)系統(tǒng)所要求的安全側(cè)重點(diǎn)各不相同。必須有的放矢，具體問題具體分析，把有限的經(jīng)費(fèi)花在刀刃上。

總結(jié)

　　社會要進(jìn)步，技術(shù)要發(fā)展�？v然NGN面臨諸多的安全問題，但我們不能因噎廢食，畏縮不前;也絕不能掉以輕心，一勞永逸。

　　信息安全是一門高智商的對抗性學(xué)科，作為矛盾主體的“攻”與“守”雙方，始終處于“成功”和“失敗”的輪回變化之中，沒有永遠(yuǎn)的勝利者，也不會有永遠(yuǎn)的失敗者�！肮ァ迸c“守”雙方當(dāng)前斗爭的暫時(shí)動態(tài)平衡體系了網(wǎng)絡(luò)安全的現(xiàn)狀，而“攻”與“守”雙方的“后勁”則決定了網(wǎng)絡(luò)安全今后的走向�！肮ァ迸c“守”雙方既相互矛盾又相互統(tǒng)一。他們始終都處于互相促進(jìn)、循環(huán)往復(fù)的狀態(tài)之中。更具體地說，安全是相對的，不安全才是絕對的。

　　信息安全是一個(gè)涉及面很廣的問題，要想確保安全，必須同時(shí)從法規(guī)政策、管理、技術(shù)這三個(gè)層次上采取有效措施。高層的安全功能為低層的安全功能提供保護(hù)。任何單一層次上的安全措施都不可能提供真正的全方位安全。

　　先進(jìn)的技術(shù)是信息安全的根本保證。用戶對自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評估，決定其所需要的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成一個(gè)全方位的安全系統(tǒng)。

　　嚴(yán)格的安全管理至關(guān)重要。各用戶單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，建立合適的網(wǎng)絡(luò)安全管理系統(tǒng)，建立安全審計(jì)和跟蹤體系，提高整體網(wǎng)絡(luò)安全意識。

　　明確的法律和法規(guī)是安全的“靠山”。國家和行業(yè)部門制訂嚴(yán)格的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動。

全球IP通信聯(lián)盟

相關(guān)鏈接:

解析下一代網(wǎng)絡(luò)NGN 2009-01-16

下一代網(wǎng)絡(luò)趨勢：網(wǎng)絡(luò)測試全程護(hù)航NGN 2009-01-04

發(fā)展中的NGN技術(shù) 2008-12-18

目前軟交換的主要應(yīng)用有那些 2008-12-18

下一代以太網(wǎng)大有可為 2008-11-14

分類信息: 電信_與_NGN及軟交換技術(shù) 行業(yè)_電信_文摘技術(shù)_NGN及軟交換_文摘