【正文】 IP 接 入 網(wǎng) V P N 數(shù) 據(jù) A T M 信 元 M PO A ， PVC ， V P T un nelA T M 接 入 網(wǎng) V P N 數(shù) 據(jù) V P N 數(shù) 據(jù) S D H / O p t i c a lA T M 信 元 V P N 數(shù) 據(jù) A T M 信 元 T SP T 。 在 這 里 同 樣 不 介 意 用 戶 的 數(shù) 據(jù) 類 型 與 接 入 方 式 。 28 如 果 采 用 MPLS 標(biāo) 記 交 換 TAGVPN 的 方 式 ， 主 要 利 用 標(biāo) 記 來 區(qū) 分 ATM接 入 網(wǎng) 中 企 業(yè) 用 戶 VPN 的 通 道 ， 在 ATM接 入 網(wǎng) 中 VPN 的 通 道 可 用 VPI/VCI 來 區(qū) 別 ， 而 標(biāo) 記 交 換 中 的 標(biāo) 記 即 采 用 VPI/VCI。 對(duì) 于 為 企 業(yè) 用 戶 提 供 的 相 應(yīng) 等 級(jí) 的 帶 寬 服 務(wù) ， 在 通 過 IP 骨 干 網(wǎng) 時(shí) 對(duì) 于 ATM 接 入 網(wǎng) 兩 端 設(shè) 置 CAR 的 值 ， 保 證 企 業(yè) 用 戶 的 帶 寬 。 在 這 里 我 們 假 設(shè) ， 通 過 南 昌 IP 骨 干 網(wǎng) ， 位 于 南 昌 市 與 各 縣 市 級(jí) 的 企 業(yè) 要 實(shí) 現(xiàn) VPN 連 接 ， 在 南 昌 采 用 為 IP 的方 式， 那 么 采 用 GRE Tunnel 的 方 式 傳 輸 如 圖 所 示 ： 27 IP 接 入 網(wǎng) V PN 數(shù) 據(jù) A TM 信 元 MP O A ， P V C ， V P T u n n e lAT M 接 入 網(wǎng) V PN 數(shù) 據(jù) VPN 數(shù) 據(jù) S D H / O p t i c alAT M 信 元 G RE T un n e T un n e lV PN 數(shù) 據(jù) V PN 數(shù) 據(jù) V PN 數(shù) 據(jù) V PN 數(shù) 據(jù) A TM 信 元 在 ATM 接 入 網(wǎng) ， 企 業(yè) 用 戶 數(shù) 據(jù) 通 過封 裝成 信 元 在 ATM 中傳 輸 ， 在 進(jìn) 入 IP 骨 干 網(wǎng) 時(shí) ， ATM 接 入 網(wǎng) 與 IP 骨 干 網(wǎng) 接 口 位 置 將 其 拆 為 純 企 業(yè) 用 戶 數(shù) 據(jù) ， 通 過 IP骨 干 網(wǎng) 間 在 傳 輸 前 建 立 一 條 IP 的 遂 道 ， 在 這 條 遂道 上 實(shí) 現(xiàn) ATM 接 入 網(wǎng) 和 IP 接 入 網(wǎng) 企 業(yè) 用 戶 VPN 的 傳 輸 。 另 外 ， 此 類 用 戶 的 接 入 方 式 也 較 為 豐 富 10/100Mbps， Cable Modem， CES E1， FR 等 。 26 . 4 接 入 網(wǎng) VPN 業(yè) 務(wù) 在 IP 骨 干 網(wǎng) 的 傳 輸 VPN 業(yè) 務(wù) 是 ATM 接 入 網(wǎng) 對(duì) 于 企 業(yè) 用 戶 提 供 的 主 要 業(yè) 務(wù) ， 其 提 供 VPN 的 主 要 方 式 有 MPOA， PVC， VP Tunnel 的 做 法 。 對(duì) 于 VOD 服 務(wù) 主 要 采 用 Client/Server 數(shù) 據(jù) 庫 的 方 式 ， VOD 采 用 MPEGII 格 式 ， 仍 需 封 裝 為 IP數(shù) 據(jù) 通 過 ATM網(wǎng) 進(jìn) 行 傳 輸 。 . 3 接 入 網(wǎng) 視 頻 業(yè) 務(wù) 在 IP骨 干 網(wǎng) 的 傳 輸 對(duì) 于 ATM 接 入 網(wǎng) 提 供 的 視 頻 服 務(wù) ， 主 要 包 括 為 VOD 服 務(wù) ， 視 頻 會(huì) 議 服 務(wù) 。 通 過 RFC 1577， LANE ， 在 ATM 網(wǎng) 上 的 傳 輸 。 25 . 2 接 入 網(wǎng) IP 話 音 業(yè) 務(wù) 在 IP骨 干 網(wǎng) 的 傳 輸 IP語 音 所 采 用 的 技 術(shù) 如 第 二 章 所 述 為 的 協(xié) 議 。 24 接 入 網(wǎng) 的 信 息 業(yè) 務(wù) 通 過 IP 骨 干 網(wǎng) 的 傳 輸 信 息 業(yè) 務(wù) 通 過 IP骨 干 網(wǎng) 的 傳 輸 ， 主 要 由 通 過 IP骨 干 網(wǎng) 上 提 供 ATM 的 端 口 如 155Mbps ATM 端 口 連 接 ATM 接 入 網(wǎng) ，并在 ATM 接入 網(wǎng) 與 IP 骨 干 網(wǎng) 接 口 實(shí) 現(xiàn) 了 信 息 的 重 新 封 裝 。 因 此 這 些 業(yè) 務(wù) 在 ATM 網(wǎng) 內(nèi) 的 傳 輸都 是 采 用 IP over ATM 的方 式 ,盡 管 IP over ATM 有 多 種 方 式 (RFC 1577， LANE1 .0， LANE ， MPLS)。 作 為 南 昌 市 IP 骨 干 網(wǎng) ， 以 下 主 要 針 對(duì) 如 果 南 昌 市 IP骨 干 網(wǎng) 中 有 ATM 接 入 網(wǎng) 通 過 IP 骨 干 網(wǎng) 涉 及 的 幾 方 面 內(nèi) 容 進(jìn) 行 討 論 。 結(jié)論：對(duì)于南昌市 C A T V 網(wǎng)絡(luò)信息平臺(tái)，以上從撥號(hào)用戶 A C S、一次性口令系統(tǒng)、防火墻技術(shù)、應(yīng)用網(wǎng)關(guān)代理等層次解決了網(wǎng)絡(luò)安全問題。 (4) 審計(jì)和跟蹤。 (2) 用戶身份認(rèn)證。 (6) 反病毒。 (4) 操作系統(tǒng)上運(yùn)行的每個(gè)進(jìn)程的檢查。 (2) 文件系統(tǒng)、設(shè)備管理。 四、操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全配置 操作系統(tǒng) /數(shù)據(jù)庫系統(tǒng)是應(yīng)用系統(tǒng)運(yùn)行的基本支撐平臺(tái)，其安全指根據(jù)具體的操作系統(tǒng) /數(shù)據(jù)庫管理系統(tǒng)的選型，利用其本身提供的安全機(jī)制，通過系統(tǒng)配置實(shí)現(xiàn)規(guī)劃的安全業(yè)務(wù)，避免攻擊者繞過應(yīng)用系統(tǒng)直接操作敏 感 數(shù) 據(jù)。通過與 SD 令牌結(jié)合使用的 A C E S E R V E R ，完成對(duì)令牌持有者、用戶組的認(rèn)證和授權(quán)。傳統(tǒng)的用戶口令，在傳輸過程中，是不加密的，對(duì)于傳統(tǒng)口令的破譯，是當(dāng)前黑客攻擊網(wǎng)絡(luò)并侵入的常用手段。最重要的是，訪問控制權(quán)掌握在管理者的手中。這種令牌無需卡閱讀器或耗時(shí)的條件 /回復(fù)過程。 A C M 可放置在主機(jī)中，也可在操作系統(tǒng)、網(wǎng)絡(luò) / 客戶資源或通訊設(shè)施中，或其他任何需要安全保護(hù)的信息資源中。當(dāng)授權(quán)用戶欲訪問一個(gè)被保護(hù)的資源時(shí)，他只需輸入自己的 P I N，然后輸入當(dāng)前 S e c u r l D 令牌顯示的密碼。另一個(gè)因素是只有該用戶擁有的東西：一個(gè) S e c u r l D令牌。 為識(shí)別、認(rèn)證一個(gè)授權(quán)系統(tǒng)用戶，雙因素是完全有必要的。而當(dāng)一個(gè)未經(jīng)授權(quán)的用戶進(jìn)入一個(gè)被視為完全安全的系統(tǒng)時(shí)，所有特權(quán)的定義和訪問路徑核審功能都變得毫無意義 ┅┅ 總而言之，損失已成事實(shí)。 特點(diǎn) 一步完成的簡(jiǎn)易用戶身份認(rèn)證； 防止未經(jīng)授權(quán)者獲取信息資源； 對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或交易過程中的用戶進(jìn)行身份認(rèn)證； 每 60 秒自動(dòng)變換出不可推測(cè)、一次性使用的訪問密碼； 無需令牌閱讀器，可用于任何終端，包括臺(tái)式機(jī)、便攜機(jī)或工作站 對(duì)遠(yuǎn)程訪問非常適宜； 在多平臺(tái)企業(yè)安全環(huán)境中，能兼容各種訪問控制模式； 終生保修； 防損壞。與 S e c ur i t y D yna mi c s 訪問控制模式( A C Ms )的硬件及軟件，包括 ACE / S e r v e r 同時(shí)使用時(shí)， S e c ur l D 令牌每 60 秒鐘給出一個(gè)新的、不可推測(cè)的訪問密碼。 A C E / S e r v e r 保障所有訪問點(diǎn)的安全，聯(lián)接入網(wǎng)的授權(quán)可以通過在現(xiàn)場(chǎng)的任意網(wǎng)絡(luò)終端、撥號(hào)入網(wǎng)、國(guó)際互聯(lián)網(wǎng)或企業(yè)內(nèi)部網(wǎng) /企業(yè)外部網(wǎng)等完成。 21 A C E / S e r v e r 在您的網(wǎng)絡(luò)周圍形成一個(gè)安全界限，確保只有授權(quán)用戶方能進(jìn)入，與 S e c ur l D 家族的軟、硬件令牌一起使用時(shí)，A C E / S e r v e r 將強(qiáng)勁的雙因素身份認(rèn)證與強(qiáng)有力的、獨(dú)特的、基于時(shí)間的安全算法規(guī)則相結(jié)合，以驗(yàn)證試圖訪問網(wǎng)絡(luò)資源的用戶的身份及合法性。靜態(tài)的口令不再足夠安全，因?yàn)榭诹钍侨肭终咦畛Ｓ玫那腥朦c(diǎn)。高級(jí)遠(yuǎn)程訪問和網(wǎng)絡(luò)解決方案使移動(dòng)用戶也能與企業(yè)網(wǎng)絡(luò)連接，以獲取電腦文件，電子郵件、數(shù)據(jù)庫和其他信息豐富的應(yīng)用程序。 Security Dynamics 的 ACE Server 和 SecureID 加 起 來 形 成 了 世 界 領(lǐng) 先 的 一 次 性 口 令 安 全 技 術(shù) ， 在 CATV 網(wǎng) 絡(luò) 中 可 以 用 于 遠(yuǎn) 程 訪 問 服 務(wù)、 主 機(jī) 系 統(tǒng) 訪 問 、 網(wǎng) 絡(luò) 設(shè) 備 管 理 訪 問 和 計(jì) 費(fèi) 應(yīng) 用 系 統(tǒng) 訪 問 的 身 份 認(rèn) 證 和 訪 問 控 制 。 一 次 性 口 令 就 是 針 對(duì) 以 上 弱 點(diǎn) 的 安全的口令認(rèn)證 機(jī) 制， 其 特 征 是 口 令 不 能 夠 重 用 ， 口 令 一 次 使 用 后 就 失 效 ， 下 次 的 口 令 必 然 隨 機(jī) 變 化。攻擊者可以采用字典攻擊法破解。 傳統(tǒng)的身份認(rèn)證方法通常用 口令機(jī)制 驗(yàn)證主體身份，即 用戶先輸入某種標(biāo)志信息，比如用戶名和 ID號(hào)，然后系統(tǒng)詢問用戶口令，若口令與用戶文件中的相匹配，證明了用戶的身份，即可進(jìn)入。 20 一 次 性 口 令 系 統(tǒng) 的 建 設(shè) 一 次 性 口 令 系 統(tǒng) 是身 份 認(rèn) 證 技 術(shù) 的 一 種 。 防火墻采用CISCO 的 PIX 硬件。 (6) 信息安全保密技術(shù)與措施： 通過路由器、服務(wù)器和重要的工作站上設(shè)置“防火墻 ”，重要或敏感的網(wǎng)絡(luò)出入設(shè)置專用訪問控制機(jī)構(gòu)，對(duì)所有各級(jí)保密數(shù)據(jù)在傳送之前進(jìn)行加密處理。 (4) 易 用 性： 防 火 墻 的 管 理 和 配 置 要 比 較 簡(jiǎn) 潔 和 易 于 理 解 。 (2) 安 全 性： 保 證 被 保 護(hù) 網(wǎng) 絡(luò) 的 安 全 級(jí) 別 以 及 其 本 身 的 安 全 性。 由 上 所 述 ， 在 內(nèi) 外 網(wǎng) 相 連 處 采 用 防 火 墻 來 保 證 避 免 來 自 19 IN T E R N E T 上不安全因素的攻擊。基于 WWW 的 U R L (統(tǒng)一資源定位 )、 J AVA控件等的進(jìn)一步限制，我們可在防火墻系統(tǒng)上建立 D M Z( 安全的非軍事區(qū) ) 來達(dá) 到控制 目的。在防火墻系統(tǒng)的建設(shè)中，我們?cè)趦?nèi)、外網(wǎng)結(jié)合處，亦即在防火墻上將內(nèi)部和外部的安全層次加以定義，完成對(duì) IP 地址，以及 T E LN E T 端口號(hào)、網(wǎng)絡(luò)號(hào)等的授權(quán)和控制。 我們認(rèn)為 C AT V 網(wǎng)是廣電部門自己管理并維護(hù)的網(wǎng)絡(luò)，是安全的內(nèi)部網(wǎng)。而在 C AT V 網(wǎng)外部，它是與 IN T E R N E T 真正相連的部分，這種連通性是由真正的 I N T E R N E T / IP 地址來保證的，為了使部分 I N T E R N E T I P 地址來對(duì)應(yīng) C AT V 內(nèi)部網(wǎng)規(guī)劃的合法 IP來保證網(wǎng)絡(luò)的連通性，我們利用防火墻系統(tǒng)來完成網(wǎng)絡(luò)地址轉(zhuǎn)換。作用有兩個(gè)： 一、完成南昌市 C AT V 網(wǎng)私有 IP 地址與 I N T E R N E T 真地址之間的地址轉(zhuǎn)換功能 ( N AT )； 南 昌市 C AT V 網(wǎng) 絡(luò)將按照綜合網(wǎng) 絡(luò)平 臺(tái)的規(guī)模做細(xì)致的全 網(wǎng)IP 規(guī)劃，我們可將全網(wǎng)分為 C AT V 內(nèi)部網(wǎng)和與 I N T E R N E T 服務(wù)提供商 ( I S P ) 相連的外部網(wǎng)部分。 防 火 墻 技 術(shù) 通 常 包 括 ： 分 組 過 濾