基于网络终端设备信息安全的研究策略

赵丹丹,张娓娓，艾 医

(1.河南工业职业技术学院，河南 南阳 473009； 2.中国移动通信集团公司 河南有限公司南阳分公司，河南 南阳 473001)

随着移动通信数据网络规模不断扩大和其应用复杂度不断增加，系统自身的安全问题愈见突出，面临的内外部风险也逐渐增多[1]12.近年来，各种网络安全事件时有发生，使得网络安全成为人们研究的热点[2]123,[3] 101-103,[4]90,[5]78.该方案在遵循通信网络安全管理规定的前提下，综合应用各种保密措施，通过技术、管理等手段，实现信源、信号、信息三个环节的保护，藉以达到保证信息安全的目的[6] 163-165.

1 设计思路

依据通信网络安全防护原则和终端设备的安全管理办法，对OA/BOSS和IP-PBX等重要业务设备在入网前、入网中、入网后进行全面的入网管理和技术指导，达到数据的安全性、保密性和完整性.该文具体设计思路如下：

入网前：通过专业的漏洞扫描和基线扫描设备，对入网前的设备进行安全检查，符合安全标准的设备才准予入网；

入网中：根据业务的实际需求，在网络层实现终端准入制度，避免设备的非法接入；

入网后：定期持续对已入网的设备进行扫描和审计，让信息安全的工作贯穿设备运行的整个生命周期.

2 安全方案的具体实现

2.1 设备入网前

使用榕基RJ-iTOP对OA/BOSS等设备进行系统扫描，可以扫遍全网网络设备、服务器、数据库和客户端存在哪些安全隐患,处于什么样的危险状况.对网络系统的发现和分析系统的漏洞和弱点做出评估分析，对补救措施和安全策略做出建议，从而，增强网络的安全性，在网络系统入网之前提供安全防护解决方案.

利用榕基RJ-iTOP设备的隐患扫描功能、漏洞分析功能、策略管理功能和扫描分析功能，对需要入网的设备生成一个较为全面的分析报告.该报告包括端口扫描对目标主机进行端口检测，看对方主要都开放了哪些端口；弱密码检测检测系统存在的弱密码；PING主机检测目标主机是否在线；主机检测绕过防火墙的检测主机是否在线.在扫描之后对未加固的系统进行补丁升级，且达到补丁的相关标准后才准许入网，否则不予入网.通过对安全漏洞的周期检查，既使攻击可到达攻击目标，也可使绝大多数攻击无效.

2.2 设备入网中

按照通信网络中对终端设备的管理办法，审核入网设备的合法性以及人员信息和IP地址的一致性，并利用创新的技术手段，对设备设置严格的准入规则.

1)对OA/BOSS设备同终端一起进行双向绑定

具体实现如下：

首先，对OA/BOSS的客户机进行绑定网关操作。绑定网关的操作比较简单，以WINXP为例，绑定的命令是：Arp-s (ip) (mac)比如：arp-s 192.168.0.1 00-14-2A-5F-99-E1. 192.168.0.1 为网关路由器的IP地址，00-14-2A-5F-99-E1 为路由器的MAC地址.

其次，在接入交换机上绑定已分配用户的IP和MAC，并将未分配的IP地址绑定为空MAC，防止用户非法接入.

2) 对IP-PBX设备，启用ACL访问控制列表

在NE40E和IP-PBX上都启用ACL访问控制列表，只对允许已分配的IP地址访问IP-PBX服务器，保证网络资源不被非法使用和访问，避免伪终端攻击.访问指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝.起到控制网络流量、流向的作用，而且，在很大程度上起到保护网络设备、服务器的关键作用.具体实现如图1.

图1 禁止172.16.4.13访问3.0网段

创建ACL访问控制列表：

acl number 2000

description used-by-access-limit

rule 10 permit source 172.16.3.0 0.0.0.7

rule 20 deny

traffic classifier 2000 operator or

if-match acl 2000

traffic behavior 2000

traffic policy 2000

share-mode

classifier 2000 behavior 2000

interface ethernet E0

traffic-policy 2000 outbound

对用户访问网络资源的权限进行严格的认证和控制.例如，进行用户身份认证，对口令加密、更新和鉴别等.设备应开启相关路由策略和路由过滤功能，通过对特定网段、服务建立的访问控制体系，将攻击到达攻击目标之前将其阻止.

2.3 设备入网后

定期对OA/BOSS系统已入网的终端进行定期扫描和检查.对未及时进行补丁更新、密码更换等不符合安全基线标准的终端进行及时通报，督促系统管理员对违规终端进行安全加固.

对于IP-PBX设备，定期查看列表过滤情况.记录对与设备相关的安全事件，随时对可能出现的漏洞进行修复.通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等).

3 创新点及优势分析

其一，充分利用省公司配发的榕基RJ-iTOP漏洞扫描设备，对入网前的设备进行扫描，降低设备入网风险.

其二，对OA/BOSS的双向绑定可以防止ARP攻击，对未使用的IP地址进行空MAC的绑定，有效地防止非法用户的接入，避免了IP地址滥用的现象，有利于OA/BOSS的业务管理和后续的故障处理.

其三，启用ACL访问控制列表，避免了伪终端的攻击，防止IP-PBX等涉及用户收费的业务遭黑客盗用，降低公司的运营风险，确保业务正在运行.

其四，出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化.

4 结语

通过对OA/BOSS、IP-PBX等设备进行安全措施的实施，可以明显减少网络内部和外部的攻击.从而,设备的保密性、完整性、可用性、可控性、可审查性得以实现，对维护网络安全将会起到积极有效的作用.

[1] 张红旗.信息安全技术[M]. 北京：高等教育出版社，2008.

[2] 戚文静. 网络安全与管理[M].北京：高等教育出版社，2010.

[3] 梁鸿斌，曾 勇.GSM 系统中话音加密技术的研究[J]. 通信技术，2003(09).

[4] 黄中伟. 计算机网络管理与安全技术[M]. 北京：人民邮电出版社，2010.

[5] 王 群. 计算机网络安全技术[M].北京：清华大学出版社，2011.

[6] 周世健，齐宏飞.抗RPE-LTP 压缩编码的语音加密算法[J]. 计算机工程，2008(07).