【正文】 R N E T 服務提供商 ( I S P ) 相連的外部網(wǎng)部分。 我們認為 C AT V 網(wǎng)是廣電部門自己管理并維護的網(wǎng)絡，是安全的內(nèi)部網(wǎng)?；?WWW 的 U R L (統(tǒng)一資源定位 )、 J AVA控件等的進一步限制，我們可在防火墻系統(tǒng)上建立 D M Z( 安全的非軍事區(qū) ) 來達 到控制 目的。 (2) 安 全 性： 保 證 被 保 護 網(wǎng) 絡 的 安 全 級 別 以 及 其 本 身 的 安 全 性。 (6) 信息安全保密技術與措施： 通過路由器、服務器和重要的工作站上設置“防火墻 ”，重要或敏感的網(wǎng)絡出入設置專用訪問控制機構(gòu)，對所有各級保密數(shù)據(jù)在傳送之前進行加密處理。 20 一 次 性 口 令 系 統(tǒng) 的 建 設 一 次 性 口 令 系 統(tǒng) 是身 份 認 證 技 術 的 一 種 。攻擊者可以采用字典攻擊法破解。 Security Dynamics 的 ACE Server 和 SecureID 加 起 來 形 成 了 世 界 領 先 的 一 次 性 口 令 安 全 技 術 ， 在 CATV 網(wǎng) 絡 中 可 以 用 于 遠 程 訪 問 服 務、 主 機 系 統(tǒng) 訪 問 、 網(wǎng) 絡 設 備 管 理 訪 問 和 計 費 應 用 系 統(tǒng) 訪 問 的 身 份 認 證 和 訪 問 控 制 。靜態(tài)的口令不再足夠安全，因為口令是入侵者最常用的切入點。 A C E / S e r v e r 保障所有訪問點的安全，聯(lián)接入網(wǎng)的授權可以通過在現(xiàn)場的任意網(wǎng)絡終端、撥號入網(wǎng)、國際互聯(lián)網(wǎng)或企業(yè)內(nèi)部網(wǎng) /企業(yè)外部網(wǎng)等完成。 特點 一步完成的簡易用戶身份認證； 防止未經(jīng)授權者獲取信息資源； 對網(wǎng)絡、系統(tǒng)、應用或交易過程中的用戶進行身份認證； 每 60 秒自動變換出不可推測、一次性使用的訪問密碼； 無需令牌閱讀器，可用于任何終端，包括臺式機、便攜機或工作站 對遠程訪問非常適宜； 在多平臺企業(yè)安全環(huán)境中，能兼容各種訪問控制模式； 終生保修； 防損壞。 為識別、認證一個授權系統(tǒng)用戶，雙因素是完全有必要的。當授權用戶欲訪問一個被保護的資源時，他只需輸入自己的 P I N，然后輸入當前 S e c u r l D 令牌顯示的密碼。這種令牌無需卡閱讀器或耗時的條件 /回復過程。傳統(tǒng)的用戶口令，在傳輸過程中，是不加密的，對于傳統(tǒng)口令的破譯，是當前黑客攻擊網(wǎng)絡并侵入的常用手段。 四、操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全配置 操作系統(tǒng) /數(shù)據(jù)庫系統(tǒng)是應用系統(tǒng)運行的基本支撐平臺，其安全指根據(jù)具體的操作系統(tǒng) /數(shù)據(jù)庫管理系統(tǒng)的選型，利用其本身提供的安全機制，通過系統(tǒng)配置實現(xiàn)規(guī)劃的安全業(yè)務，避免攻擊者繞過應用系統(tǒng)直接操作敏 感 數(shù) 據(jù)。 (4) 操作系統(tǒng)上運行的每個進程的檢查。 (2) 用戶身份認證。 結(jié)論：對于南昌市 C A T V 網(wǎng)絡信息平臺，以上從撥號用戶 A C S、一次性口令系統(tǒng)、防火墻技術、應用網(wǎng)關代理等層次解決了網(wǎng)絡安全問題。 因 此 這 些 業(yè) 務 在 ATM 網(wǎng) 內(nèi) 的 傳 輸都 是 采 用 IP over ATM 的方 式 ,盡 管 IP over ATM 有 多 種 方 式 (RFC 1577， LANE1 .0， LANE ， MPLS)。 25 . 2 接 入 網(wǎng) IP 話 音 業(yè) 務 在 IP骨 干 網(wǎng) 的 傳 輸 IP語 音 所 采 用 的 技 術 如 第 二 章 所 述 為 的 協(xié) 議 。 . 3 接 入 網(wǎng) 視 頻 業(yè) 務 在 IP骨 干 網(wǎng) 的 傳 輸 對 于 ATM 接 入 網(wǎng) 提 供 的 視 頻 服 務 ， 主 要 包 括 為 VOD 服 務 ， 視 頻 會 議 服 務 。 26 . 4 接 入 網(wǎng) VPN 業(yè) 務 在 IP 骨 干 網(wǎng) 的 傳 輸 VPN 業(yè) 務 是 ATM 接 入 網(wǎng) 對 于 企 業(yè) 用 戶 提 供 的 主 要 業(yè) 務 ， 其 提 供 VPN 的 主 要 方 式 有 MPOA， PVC， VP Tunnel 的 做 法 。 在 這 里 我 們 假 設 ， 通 過 南 昌 IP 骨 干 網(wǎng) ， 位 于 南 昌 市 與 各 縣 市 級 的 企 業(yè) 要 實 現(xiàn) VPN 連 接 ， 在 南 昌 采 用 為 IP 的方 式， 那 么 采 用 GRE Tunnel 的 方 式 傳 輸 如 圖 所 示 ： 27 IP 接 入 網(wǎng) V PN 數(shù) 據(jù) A TM 信 元 MP O A ， P V C ， V P T u n n e lAT M 接 入 網(wǎng) V PN 數(shù) 據(jù) VPN 數(shù) 據(jù) S D H / O p t i c alAT M 信 元 G RE T un n e T un n e lV PN 數(shù) 據(jù) V PN 數(shù) 據(jù) V PN 數(shù) 據(jù) V PN 數(shù) 據(jù) A TM 信 元 在 ATM 接 入 網(wǎng) ， 企 業(yè) 用 戶 數(shù) 據(jù) 通 過封 裝成 信 元 在 ATM 中傳 輸 ， 在 進 入 IP 骨 干 網(wǎng) 時 ， ATM 接 入 網(wǎng) 與 IP 骨 干 網(wǎng) 接 口 位 置 將 其 拆 為 純 企 業(yè) 用 戶 數(shù) 據(jù) ， 通 過 IP骨 干 網(wǎng) 間 在 傳 輸 前 建 立 一 條 IP 的 遂 道 ， 在 這 條 遂道 上 實 現(xiàn) ATM 接 入 網(wǎng) 和 IP 接 入 網(wǎng) 企 業(yè) 用 戶 VPN 的 傳 輸 。 28 如 果 采 用 MPLS 標 記 交 換 TAGVPN 的 方 式 ， 主 要 利 用 標 記 來 區(qū) 分 ATM接 入 網(wǎng) 中 企 業(yè) 用 戶 VPN 的 通 道 ， 在 ATM接 入 網(wǎng) 中 VPN 的 通 道 可 用 VPI/VCI 來 區(qū) 別 ， 而 標 記 交 換 中 的 標 記 即 采 用 VPI/VCI。 IP 接 入 網(wǎng) V P N 數(shù) 據(jù) A T M 信 元 M PO A ， PVC ， V P T un nelA T M 接 入 網(wǎng) V P N 數(shù) 據(jù) V P N 數(shù) 據(jù) S D H / O p t i c a lA T M 信 元 V P N 數(shù) 據(jù) A T M 信 元 T SP T 。 在 這 里 同 樣 不 介 意 用 戶 的 數(shù) 據(jù) 類 型 與 接 入 方 式 。 對 于 為 企 業(yè) 用 戶 提 供 的 相 應 等 級 的 帶 寬 服 務 ， 在 通 過 IP 骨 干 網(wǎng) 時 對 于 ATM 接 入 網(wǎng) 兩 端 設 置 CAR 的 值 ， 保 證 企 業(yè) 用 戶 的 帶 寬 。 另 外 ， 此 類 用 戶 的 接 入 方 式 也 較 為 豐 富 10/100Mbps， Cable Modem， CES E1， FR 等 。 對 于 VOD 服 務 主 要 采 用 Client/Server 數(shù) 據(jù) 庫 的 方 式 ， VOD 采 用 MPEGII 格 式 ， 仍 需 封 裝 為 IP數(shù) 據(jù) 通 過 ATM網(wǎng) 進 行 傳 輸 。 通 過 RFC 1577， LANE ， 在 ATM 網(wǎng) 上 的 傳 輸 。 24 接 入 網(wǎng) 的 信 息 業(yè) 務 通 過 IP 骨 干 網(wǎng) 的 傳 輸 信 息 業(yè) 務 通 過 IP骨 干 網(wǎng) 的 傳 輸 ， 主 要 由 通 過 IP骨 干 網(wǎng) 上 提 供 ATM 的 端 口 如 155Mbps ATM 端 口 連 接 ATM 接 入 網(wǎng) ，并在 ATM 接入 網(wǎng) 與 IP 骨 干 網(wǎng) 接 口 實 現(xiàn) 了 信 息 的 重 新 封 裝 。 作 為 南 昌 市 IP 骨 干 網(wǎng) ， 以 下 主 要 針 對 如 果 南 昌 市 IP骨 干 網(wǎng) 中 有 ATM 接 入 網(wǎng) 通 過 IP 骨 干 網(wǎng) 涉 及 的 幾 方 面 內(nèi) 容 進 行 討 論 。 (4) 審計和跟蹤。 (6) 反病毒。 (2) 文件系統(tǒng)、設備管理。通過與 SD 令牌結(jié)合使用的 A C E S E R V E R ，完成對令牌持有者、用戶組的認證和授權。最重要的是，訪問控制權掌握在管理者的手中。 A C M 可放置在主機中，也可在操作系統(tǒng)、網(wǎng)絡 / 客戶資源或通訊設施中，或其他任何需要安全保護的信息資源中。另一個因素是只有該用戶擁有的東西：一個 S e c u r l D令牌。而當一個未經(jīng)授權的用戶進入一個被視為完全安全的系統(tǒng)時，所有特權的定義和訪問路徑核審功能都變得毫無意義 ┅┅ 總而言之，損失已成事實。與 S e c ur i t y D yna mi c s 訪問控制模式( A C Ms )的硬件及軟件，包括 ACE / S e r v e r 同時使用時， S e c ur l D 令牌每 60 秒鐘給出一個新的、不可推測的訪問密碼。 21 A C E / S e r v e r 在您的網(wǎng)絡周圍形成一個安全界限，確保只有授權用戶方能進入，與 S e c ur l D 家族的軟、硬件令牌一起使用時，A C E / S e r v e r 將強勁的雙因素身份認證與強有力的、獨特的、基于時間的安全算法規(guī)則相結(jié)合，以驗證試圖訪問網(wǎng)絡資源的用戶的身份及合法性。高級遠程訪問和網(wǎng)絡解決方案使移動用戶也能與企業(yè)網(wǎng)絡連接，以獲取電腦文件，電子郵件、數(shù)據(jù)庫和其他信息豐富的應用程序。 一 次 性 口 令 就 是 針 對 以 上 弱 點 的 安全的口令認證 機 制， 其 特 征 是 口 令 不 能 夠 重 用 ， 口 令 一 次 使 用 后 就 失 效 ， 下 次 的 口 令 必 然 隨 機 變 化。 傳統(tǒng)的身份認證方法通常用 口令機制 驗證主體身份，即 用戶先輸入某種標志信息，比如用戶名和 ID號，然后系統(tǒng)詢問用戶口令，若口令與用戶文件中的相匹配，證明了用戶的身份，即可進入。 防火墻采用CISCO 的 PIX 硬件。 (4) 易 用 性： 防 火 墻 的 管 理 和 配 置 要 比 較 簡 潔 和 易 于 理 解 。 由 上 所 述 ， 在 內(nèi) 外 網(wǎng) 相 連 處 采 用 防 火 墻 來 保 證 避 免 來 自 19 IN T E R N E T 上不安全因素的攻擊。在防火墻系統(tǒng)的建設中，我們在內(nèi)、外網(wǎng)結(jié)合處，亦即在防火墻上將內(nèi)部和外部的安全層次加以定義，完成對 IP 地址，以及 T E LN E T 端口號、網(wǎng)絡號等的授權和控制。而在 C AT V 網(wǎng)外部，它是與 IN T E R N E T 真正相連的部分，這種連通性是由真正的 I N T E R N E T / IP 地址來保證的，為了使部分 I N T E R N E T I P 地址來對應 C AT V 內(nèi)部網(wǎng)規(guī)劃的合法 IP來保證網(wǎng)絡的連通性，我們利用防火墻系統(tǒng)來完成網(wǎng)絡地址轉(zhuǎn)換。 防 火 墻 技 術 通 常 包 括 ： 分 組 過 濾 、 電 路 網(wǎng) 關 、 應 用 代 理 、 多 端 口 、 N AT、 V P N、 用 18 戶 認 證 和 授 權 、 審 計 和 告 警 。 選 用 防 火 墻 來 保 護 南 昌 CATV 寬 帶 網(wǎng)