【正文】 應(yīng)保 證 CATV 信 息 的 安 全 傳 輸， 根 據(jù) 部 同 用 戶 的 不 同 需 求 為 其 采 取 相 應(yīng) 的 安 全 措 施。 這 就 要 求 對 于 此 網(wǎng) 絡(luò) 的 建 設(shè) 應(yīng) 充 分 考 慮 到 其 設(shè) 備 的 可 靠 性， 網(wǎng) 絡(luò) 設(shè) 計 的 冗 余 性。 不 但 如 此， 路 由 器 還 必 須 提 供 強(qiáng) 有 力 的 手 段 來 保 證 路 3 由 器 給 出 的 RSVP 的 承 諾。首 先， IP 路 由 的 硬 件 已 發(fā) 展 為 采 用 全 交 換 的 高 速 背 板結(jié)構(gòu)， 可 實 現(xiàn) IP 的 線 速 的 傳 輸，是 實 現(xiàn) IP 語 音、視 頻 實時 傳 輸 的 基 礎(chǔ)。 因 此， 今 天 如 果 我 們 要 建 立 一 個 面 向 公 眾 的 信 息 傳 播 和 網(wǎng) 絡(luò) 互 聯(lián) 的 信 息 服 務(wù) 網(wǎng) 絡(luò)， 那 么 支 持 端 到 端 的 多 媒 體 應(yīng) 用 已 是 建 網(wǎng) 的 最 基 本 的 要 求 了。 物理網(wǎng)絡(luò)的規(guī)劃和建設(shè)可分 為線路傳輸、數(shù)據(jù)通訊網(wǎng)絡(luò)、接入三個層次來進(jìn)行。 線路傳輸層改造 傳統(tǒng)有線電視網(wǎng)的媒質(zhì)為光纖同軸混合網(wǎng)。 現(xiàn) 今 的 Inter 因 其 規(guī) 模 巨 大， 涉 及 的 用 戶 數(shù) 量 非 常 龐 大， 這 就 意 味 著 在 向 支 持 多 媒 體 的 2 新 技 術(shù) 和 新 服 務(wù) 方 面 上 的 轉(zhuǎn) 移 需 要 一 個 相 當(dāng) 長 的 過 渡 階 段。 基 于 Inter 信 息 服 務(wù) 的 迅 猛 發(fā) 展， 使 得 未 來 的 發(fā) 展 IP 將 占 據(jù) 主 導(dǎo) 的 地 位。 在 IP 服 務(wù) 層 上 需 要 提 供 的 另 一 服 務(wù) 是 VPN/VPDN（ 虛 擬 專 網(wǎng) / 虛 擬 撥 號 專 網(wǎng)）。 尤 其 在 未 來 擴(kuò) 展 ， 南昌 廣 電 綜 合 信 息 網(wǎng) 發(fā) 展 為 一 個 服 務(wù) 提 供 者。 網(wǎng) 絡(luò) 方 案 簡 介 漯 河 市 城 市 光 纜 有 線 電 視 網(wǎng) 絡(luò) 采 用 二 級 網(wǎng) 絡(luò) 方 式 建 設(shè) ， 即 分 別 在 省 廣 播 電 視 廳 、 南 昌 市 廣 播 電 視 局 、 孺 子 路 、 青 云 譜 區(qū) 政 府 、 昌 北 建 立 五 個 分 中 心 ， 分 中 心 之 間 采 用 環(huán) 路 設(shè) 計 ， 初 期 建 設(shè) 1310 模 擬 自 愈 環(huán) 路 光 傳 輸 干 線 網(wǎng) 絡(luò) ， 待 各 方 面 條 件 成 熟 ， 過 渡 到 DPT 數(shù) 字 環(huán) 型 網(wǎng) 絡(luò) ； 分 中 心 至 各 光 節(jié) 點 按 星 結(jié) 構(gòu) 布 局 ，光 節(jié) 點 至 用 戶 采 用 銅 軸 電 纜 傳 輸 。 漯 河 市 廣 電 綜 合 信 息 網(wǎng) 如 圖 所 示 ： 7 在 漯 河 廣 播 電 視 局 、 省廣 播 電 視 廳 、 孺 子 路 、 青 云 譜 區(qū)、 昌 北 區(qū) 、 各 配 置 一 臺 GSR 12020，交 換 容 量 40Gbps。 采 用 星 型 模 式 埋 設(shè) 廣 纜 ， 選 用 DPT 技 術(shù) 傳 輸 。 9 南 昌 市 CATV 市 級 寬 帶 骨 干 網(wǎng) (包 括 縣 級 網(wǎng) ) 如 下 圖 所 示 ： 南昌廣電綜 合 信 息 IP 骨 干 網(wǎng) 縣 級 節(jié) 點 市 內(nèi) 節(jié) 點 CISCO7206 CISCO7206 Catalyst5505 Catalyst5505 CISCO 12020 Web 服 務(wù) 器 Catalyst2900 GSR12020 Catalyst2900 Catalyst2900 用 戶 網(wǎng) 用 戶 網(wǎng) 縣 級 節(jié) 點 155Mbps*2 POS / DPT 100Mbps 100Mbps 100Mbps 。 此 外 ， 還 配 置 一 臺 網(wǎng) 絡(luò) 交 換 機(jī) Catalyst5505， 上 配 一 塊 24 端 口 10/100 自 適 應(yīng) 以 太 模 板 用 于 接 入 用 戶 網(wǎng) 。 高 性 能 的 網(wǎng) 絡(luò) 設(shè) 備 的 高 性 能 ： 方 案 中 選 用 的 GSR 12020 的 交 換 矩 陣 容 量 為 40Gbps ， 數(shù) 據(jù) 包 的 有 效 吞 吐 能 力 達(dá) 四 千 萬 PPS，可提 供 的 STM－ 1 的 SDH 的 端 口 達(dá) 28 個， STM－ 4 的 端 口 可 支 持 7 端 口。 Cisco3640 的話 音 端 口 提 供 PBX 的 模 擬 中 繼 接 入。通過路由器將內(nèi)部網(wǎng)連入廣電骨干網(wǎng)，運用 VPN 技術(shù)組建自己的虛擬專網(wǎng)，可以取代 DDN 的組網(wǎng)方式，從而每年為用戶節(jié)省大量的線路租用費。這是目前解決最后一公里接入的最經(jīng)濟(jì)且性價比最優(yōu)，極具競爭力的聯(lián)網(wǎng)方案。它不但具有基本的調(diào)制解調(diào)器功能，而且還能夠提供網(wǎng)絡(luò)集線器（ HUB），路由器（ ROUTE），加密解密器等設(shè)備的功能。 使用 CableModem 可以對 Inter 進(jìn)行高速度的訪問，并可提供音頻、視頻等多項業(yè)務(wù)內(nèi)容。 本期方案中，我們也考慮了IP 電話的應(yīng)用。 網(wǎng)絡(luò)的安全可從兩個層次加以分析： 外部網(wǎng)絡(luò)安全 南昌 CATV 寬帶 IP 網(wǎng)通過數(shù)據(jù)專線進(jìn)入 INTERNET 國際互連網(wǎng)絡(luò)。 安 全 系 統(tǒng) 的 實 施 南 昌 廣 電 CATV 網(wǎng) 絡(luò) 安 全 系 統(tǒng) 采 用 系 統(tǒng) 設(shè) 計 、統(tǒng) 一 規(guī) 劃 、統(tǒng) 一 實 施 的 原 則 。作用有兩個： 一、完成南昌市 C AT V 網(wǎng)私有 IP 地址與 I N T E R N E T 真地址之間的地址轉(zhuǎn)換功能 ( N AT )； 南 昌市 C AT V 網(wǎng) 絡(luò)將按照綜合網(wǎng) 絡(luò)平 臺的規(guī)模做細(xì)致的全 網(wǎng)IP 規(guī)劃，我們可將全網(wǎng)分為 C AT V 內(nèi)部網(wǎng)和與 I N T E R N E T 服務(wù)提供商 ( I S P ) 相連的外部網(wǎng)部分?；?WWW 的 U R L (統(tǒng)一資源定位 )、 J AVA控件等的進(jìn)一步限制，我們可在防火墻系統(tǒng)上建立 D M Z( 安全的非軍事區(qū) ) 來達(dá) 到控制 目的。 (6) 信息安全保密技術(shù)與措施： 通過路由器、服務(wù)器和重要的工作站上設(shè)置“防火墻 ”，重要或敏感的網(wǎng)絡(luò)出入設(shè)置專用訪問控制機(jī)構(gòu)，對所有各級保密數(shù)據(jù)在傳送之前進(jìn)行加密處理。攻擊者可以采用字典攻擊法破解。靜態(tài)的口令不再足夠安全，因為口令是入侵者最常用的切入點。 特點 一步完成的簡易用戶身份認(rèn)證； 防止未經(jīng)授權(quán)者獲取信息資源； 對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或交易過程中的用戶進(jìn)行身份認(rèn)證； 每 60 秒自動變換出不可推測、一次性使用的訪問密碼； 無需令牌閱讀器，可用于任何終端，包括臺式機(jī)、便攜機(jī)或工作站 對遠(yuǎn)程訪問非常適宜； 在多平臺企業(yè)安全環(huán)境中，能兼容各種訪問控制模式； 終生保修； 防損壞。當(dāng)授權(quán)用戶欲訪問一個被保護(hù)的資源時，他只需輸入自己的 P I N，然后輸入當(dāng)前 S e c u r l D 令牌顯示的密碼。傳統(tǒng)的用戶口令，在傳輸過程中，是不加密的，對于傳統(tǒng)口令的破譯，是當(dāng)前黑客攻擊網(wǎng)絡(luò)并侵入的常用手段。 (4) 操作系統(tǒng)上運行的每個進(jìn)程的檢查。 結(jié)論：對于南昌市 C A T V 網(wǎng)絡(luò)信息平臺，以上從撥號用戶 A C S、一次性口令系統(tǒng)、防火墻技術(shù)、應(yīng)用網(wǎng)關(guān)代理等層次解決了網(wǎng)絡(luò)安全問題。 25 . 2 接 入 網(wǎng) IP 話 音 業(yè) 務(wù) 在 IP骨 干 網(wǎng) 的 傳 輸 IP語 音 所 采 用 的 技 術(shù) 如 第 二 章 所 述 為 的 協(xié) 議 。 26 . 4 接 入 網(wǎng) VPN 業(yè) 務(wù) 在 IP 骨 干 網(wǎng) 的 傳 輸 VPN 業(yè) 務(wù) 是 ATM 接 入 網(wǎng) 對 于 企 業(yè) 用 戶 提 供 的 主 要 業(yè) 務(wù) ， 其 提 供 VPN 的 主 要 方 式 有 MPOA， PVC， VP Tunnel 的 做 法 。 28 如 果 采 用 MPLS 標(biāo) 記 交 換 TAGVPN 的 方 式 ， 主 要 利 用 標(biāo) 記 來 區(qū) 分 ATM接 入 網(wǎng) 中 企 業(yè) 用 戶 VPN 的 通 道 ， 在 ATM接 入 網(wǎng) 中 VPN 的 通 道 可 用 VPI/VCI 來 區(qū) 別 ， 而 標(biāo) 記 交 換 中 的 標(biāo) 記 即 采 用 VPI/VCI。 在 這 里 同 樣 不 介 意 用 戶 的 數(shù) 據(jù) 類 型 與 接 入 方 式 。 另 外 ， 此 類 用 戶 的 接 入 方 式 也 較 為 豐 富 10/100Mbps， Cable Modem， CES E1， FR 等 。 通 過 RFC 1577， LANE ， 在 ATM 網(wǎng) 上 的 傳 輸 。 作 為 南 昌 市 IP 骨 干 網(wǎng) ， 以 下 主 要 針 對 如 果 南 昌 市 IP骨 干 網(wǎng) 中 有 ATM 接 入 網(wǎng) 通 過 IP 骨 干 網(wǎng) 涉 及 的 幾 方 面 內(nèi) 容 進(jìn) 行 討 論 。 (6) 反病毒。通過與 SD 令牌結(jié)合使用的 A C E S E R V E R ，完成對令牌持有者、用戶組的認(rèn)證和授權(quán)。 A C M 可放置在主機(jī)中，也可在操作系統(tǒng)、網(wǎng)絡(luò) / 客戶資源或通訊設(shè)施中，或其他任何需要安全保護(hù)的信息資源中。而當(dāng)一個未經(jīng)授權(quán)的用戶進(jìn)入一個被視為完全安全的系統(tǒng)時，所有特權(quán)的定義和訪問路徑核審功能都變得毫無意義 ┅┅ 總而言之，損失已成事實。 21 A C E / S e r v e r 在您的網(wǎng)絡(luò)周圍形成一個安全界限，確保只有授權(quán)用戶方能進(jìn)入，與 S e c ur l D 家族的軟、硬件令牌一起使用時，A C E / S e r v e r 將強(qiáng)勁的雙因素身份認(rèn)證與強(qiáng)有力的、獨特的、基于時間的安全算法規(guī)則相結(jié)合，以驗證試圖訪問網(wǎng)絡(luò)資源的用戶的身份及合法性。 一 次 性 口 令 就 是 針 對 以 上 弱 點 的 安全的口令認(rèn)證 機(jī) 制， 其 特 征 是 口 令 不 能 夠 重 用 ， 口 令 一 次 使 用 后 就 失 效 ， 下 次 的 口 令 必 然 隨 機(jī) 變 化。 防火墻采用CISCO 的 PIX 硬件。 由 上 所 述 ， 在 內(nèi) 外 網(wǎng) 相 連 處 采 用 防 火 墻 來 保 證 避 免 來 自 19 IN T E R N E T 上不安全因素的攻擊。而在 C AT V 網(wǎng)外部，它是與 IN T E R N E T 真正相連的部分，這種連通性是由真正的 I N T E R N E T / IP 地址來保證的，為了使部分 I N T E R N E T I P 地址來對應(yīng) C AT V 內(nèi)部網(wǎng)規(guī)劃的合法 IP來保證網(wǎng)絡(luò)的連通性，我們利