【正文】 。 IP 接 入 網(wǎng) V P N 數(shù) 據(jù) A T M 信 元 M PO A ， PVC ， V P T un nelA T M 接 入 網(wǎng) V P N 數(shù) 據(jù) V P N 數(shù) 據(jù) S D H / O p t i c a lA T M 信 元 V P N 數(shù) 據(jù) A T M 信 元 T SP T un ne T u nne lVP N 數(shù) 據(jù) VP N 數(shù) 據(jù) 采 用 TAGVPN 的 方 式 ， 因 其 只 需 將 TAG 與 ATM 接 入 網(wǎng) 的 VPN 中 等 VPN/VCI 進(jìn) 行對(duì) 應(yīng) ， 不 涉 及 拆 包 與 打 包 的 過(guò) 程 ， 因 此 不 會(huì) 影 響 其 VPN 的 效 率 。 在 這 里 同 樣 不 介 意 用 戶(hù) 的 數(shù) 據(jù) 類(lèi) 型 與 接 入 方 式 。 如 果 采 用 MPLS標(biāo) 記 交 換 TAGVPN 的 方 式 ， 主 要 利 用 標(biāo) 記 來(lái) 區(qū) 分 ATM 接 入 網(wǎng) 中 企 業(yè) 用 戶(hù) VPN 的 通 道 ， 在 ATM 接 入 網(wǎng) 中 VPN的 通 道 可 用 VPI/VCI 來(lái) 區(qū) 別 ， 而 標(biāo) 記 交 換 中 的 標(biāo) 記 即 采 用 VPI/VCI。 對(duì) 于 為 企 業(yè) 用 戶(hù) 提 供 的 相 應(yīng) 等 級(jí) 的 帶 寬 服 務(wù) ， 在 通 過(guò) IP 骨 干 網(wǎng) 時(shí) 對(duì) 于 ATM接 入 網(wǎng) 兩 端 設(shè) 置 CAR 的 值 ， 保 證 企 業(yè) 用 戶(hù) 的 帶 寬 。 在 這 里 我 們 假 設(shè) ， 通 過(guò) 南 昌 IP 骨 干 網(wǎng) ， 位 于 南 昌 市 與 各 縣 市 級(jí) 的 企 業(yè) 要 實(shí) 現(xiàn) VPN 連 接 ， 在 南 昌 采 用 為 IP 的方 式， 那 么 采 用 GRE Tunnel 的 方 式 傳 輸 如 圖 所 示 ： IP 接 入 網(wǎng) V PN 數(shù) 據(jù) A TM 信 元 MP O A ， P V C ， V P T u n n e lAT M 接 入 網(wǎng) V PN 數(shù) 據(jù) VPN 數(shù) 據(jù) S D H / O p t i c alAT M 信 元 G RE T un n e T un n e lV PN 數(shù) 據(jù) V PN 數(shù) 據(jù) V PN 數(shù) 據(jù) V PN 數(shù) 據(jù) A TM 信 元 在 ATM 接 入 網(wǎng) ， 企 業(yè) 用 戶(hù) 數(shù) 據(jù) 通 過(guò)封 裝成 信 元 在 ATM 中傳 輸 ， 在 進(jìn) 入 IP 骨 干 網(wǎng) 時(shí) ， ATM 接 入 網(wǎng) 與 IP 骨 干 網(wǎng) 接 口 位 置 將 其 拆 為 純 企 業(yè) 用 戶(hù) 數(shù) 據(jù) ， 通 過(guò) IP 骨 干 網(wǎng) 間 在 傳 輸 前 建 立 一 條 IP 的 遂 道 ， 在 這 條 遂道 上 實(shí) 現(xiàn) ATM 接 入 網(wǎng) 和 IP 接 入 網(wǎng) 企 業(yè) 用 戶(hù) VPN 的 傳 輸 。 另 外 ， 此 類(lèi) 用 戶(hù) 的 接 入 方 式 也 較 為 豐 富 10/100Mbps， Cable Modem， CES E1， FR等 。 . 4 接 入 網(wǎng) VPN 業(yè) 務(wù) 在 IP 骨 干 網(wǎng) 的 傳 輸 VPN 業(yè) 務(wù) 是 ATM 接 入 網(wǎng) 對(duì) 于 企 業(yè) 用 戶(hù) 提 供 的 主 要 業(yè) 務(wù) ， 其 提 供 VPN的 主 要 方 式 有 MPOA， PVC， VP Tunnel 的 做 法 。 對(duì) 于 VOD 服 務(wù) 主 要 采 用 Client/Server 數(shù) 據(jù) 庫(kù) 的 方 式 ， VOD采 用 MPEGII 格 式 ， 仍 需 封 裝 為 IP 數(shù) 據(jù) 通 過(guò) ATM 網(wǎng) 進(jìn) 行 傳 輸 。 . 3 接 入 網(wǎng) 視 頻 業(yè) 務(wù) 在 IP 骨 干 網(wǎng) 的 傳 輸 對(duì) 于 ATM 接 入 網(wǎng) 提 供 的 視 頻 服 務(wù) ， 主 要 包 括 為 VOD 服 務(wù) ， 視 頻 會(huì) 議 服 務(wù) 。 通 過(guò) RFC 1577， LANE ， 方 式 實(shí) 現(xiàn) IP 在 ATM 網(wǎng) 上 的 傳 輸 。 . 2 接 入 網(wǎng) IP 話(huà) 音 業(yè) 務(wù) 在 IP 骨 干 網(wǎng) 的 傳 輸 IP 語(yǔ) 音 所 采 用 的 技 術(shù) 如 第 二 章 所 述 為 的 協(xié) 議 。 接 入 網(wǎng) 的 信 息 業(yè) 務(wù) 通 過(guò) IP 骨 干 網(wǎng) 的 傳 輸 信 息 業(yè) 務(wù) 通 過(guò) IP 骨 干 網(wǎng) 的 傳 輸 ， 主 要 由 通 過(guò) IP 骨 干 網(wǎng) 上 提 供 ATM 的 端 口 如 155Mbps ATM 端 口 連 接 ATM 接 入 網(wǎng) ，并在 ATM 接入 網(wǎng) 與 IP 骨 干 網(wǎng) 接 口 實(shí) 現(xiàn) 了 信 息 的 重 新 封 裝 。 因 此 這 些 業(yè) 務(wù) 在 ATM 網(wǎng) 內(nèi) 的 傳 輸都 是 采 用 IP over ATM 的方 式 ,盡 管 IP over ATM 有 多 種 方 式 (RFC 1577， LANE1 .0， LANE ， MPLS)。 作 為 南 昌 市 IP 骨 干 網(wǎng) ， 以 下 主 要 針 對(duì) 如 果 南 昌 市 IP 骨 干 網(wǎng) 中 有 ATM 接 入 網(wǎng) 通 過(guò) IP 骨 干 網(wǎng) 涉 及 的 幾 方 面 內(nèi) 容 進(jìn) 行 討 論 。 結(jié)論：對(duì)于南昌市 CATV 網(wǎng)絡(luò)信息平臺(tái)，以上從撥號(hào)用戶(hù) ACS、一次性口令系統(tǒng)、防火墻技術(shù)、應(yīng)用網(wǎng)關(guān)代理等層次解決了網(wǎng)絡(luò)安全問(wèn)題。 (4) 審計(jì)和跟蹤。 (2) 用戶(hù)身份認(rèn)證。 (6) 反病毒。 (4) 操作系統(tǒng)上運(yùn)行的每個(gè)進(jìn)程的檢查。 (2) 文件系統(tǒng)、設(shè)備管理。 四、操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全配置 操作系統(tǒng) /數(shù)據(jù)庫(kù)系統(tǒng)是應(yīng)用系統(tǒng)運(yùn)行的基本支撐平臺(tái)，其安全指根據(jù)具體的操作系統(tǒng) /數(shù)據(jù)庫(kù)管理系統(tǒng)的選型，利用其本身提供的安全機(jī)制，通過(guò)系統(tǒng)配置實(shí)現(xiàn)規(guī)劃的安全業(yè)務(wù)，避免攻擊者繞過(guò)應(yīng)用系統(tǒng)直接操作敏 感 數(shù) 據(jù)。通過(guò)與SD 令牌結(jié)合使用的 ACE SE RVE R，完成對(duì)令牌持有者、用戶(hù)組的認(rèn)證和授權(quán)。傳統(tǒng)的用戶(hù)口令，在傳輸過(guò)程中，是不加密的，對(duì)于傳統(tǒng)口令的破譯，是當(dāng)前黑客攻擊網(wǎng)絡(luò)并侵入的常用手段。最重要的是，訪(fǎng)問(wèn)控制權(quán)掌握在管理者的手中。這種令牌無(wú)需卡閱讀器或耗時(shí)的條件 /回復(fù)過(guò)程。 ACM 可放置在主機(jī)中，也可在操作系統(tǒng)、網(wǎng)絡(luò) /客戶(hù)資源或通訊設(shè)施中，或其他任何需要安全保護(hù)的信息資源中。當(dāng)授權(quán)用戶(hù)欲訪(fǎng)問(wèn)一個(gè)被保護(hù)的資源時(shí)，他只需輸入自己的 PIN，然后輸入當(dāng)前 Secu rl D 令牌顯示的密碼。另一個(gè)因素是只有該用戶(hù)擁有的東西：一個(gè) Secu rl D 令牌。 為識(shí)別、認(rèn)證一個(gè)授權(quán)系統(tǒng)用戶(hù)，雙因素是完全有必要的。而當(dāng)一個(gè)未經(jīng)授權(quán)的用戶(hù)進(jìn)入一個(gè)被視為完全安全的系統(tǒng)時(shí)，所有特權(quán)的定義和訪(fǎng)問(wèn)路徑核審功能都變得毫無(wú)意義 ┅┅ 總而言之，損失已成事實(shí)。 特點(diǎn) 一步完成的簡(jiǎn)易用戶(hù)身份認(rèn)證； 防止未經(jīng)授權(quán)者獲取信息資源； 對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或交易過(guò)程中的用戶(hù)進(jìn)行身份認(rèn)證； 每 60 秒自動(dòng)變換出不可推測(cè)、一次性使用的訪(fǎng)問(wèn)密碼； 無(wú)需令牌閱讀器，可用于任何終端，包括臺(tái)式機(jī)、便攜機(jī)或工作站 對(duì)遠(yuǎn)程訪(fǎng)問(wèn)非常適宜； 在多平臺(tái)企業(yè)安全環(huán)境中，能兼容各種訪(fǎng)問(wèn)控制模式； 終生保修； 防損壞。與 Secu rit y Dyn amics 訪(fǎng)問(wèn)控制模式 (ACMs)的硬件及軟件，包括ACE / Server 同時(shí)使用時(shí)， Secu rl D 令牌每 60 秒鐘給出一個(gè)新的、不可推測(cè)的訪(fǎng)問(wèn)密碼。ACE / Server 保障所有訪(fǎng)問(wèn)點(diǎn)的安全，聯(lián)接入網(wǎng)的授權(quán)可以通過(guò)在現(xiàn)場(chǎng)的任意網(wǎng)絡(luò)終端、撥號(hào)入網(wǎng)、國(guó)際互聯(lián)網(wǎng)或企業(yè)內(nèi)部網(wǎng) /企業(yè)外部網(wǎng)等完成。 ACE / Server 在您的網(wǎng)絡(luò)周?chē)纬梢粋€(gè)安全界限，確保只有授權(quán)用戶(hù)方能進(jìn)入，與 Secu rl D 家族的軟、硬件令牌一起使用時(shí)， ACE / Server 將強(qiáng)勁的雙因素身份認(rèn)證與強(qiáng)有力的、獨(dú)特的、基于時(shí)間的安全算法規(guī)則相結(jié)合，以驗(yàn)證試圖訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的用戶(hù)的身份及合法性。靜態(tài)的口令不再足夠安全，因?yàn)榭诹钍侨肭终咦畛Ｓ玫那腥朦c(diǎn)。高級(jí)遠(yuǎn)程訪(fǎng)問(wèn)和網(wǎng)絡(luò)解決方案使移動(dòng)用戶(hù)也能與企業(yè)網(wǎng)絡(luò)連接，以獲取電腦文件，電子郵件、數(shù)據(jù)庫(kù)和其他信息豐富的應(yīng)用程序。 Security Dynamics 的 ACE Server 和 SecureID 加 起 來(lái) 形 成 了 世 界 領(lǐng) 先 的 一 次 性 口 令 安 全 技 術(shù) ， 在 CATV 網(wǎng) 絡(luò) 中 可 以 用 于 遠(yuǎn) 程 訪(fǎng) 問(wèn) 服 務(wù)、 主 機(jī) 系 統(tǒng) 訪(fǎng) 問(wèn) 、 網(wǎng) 絡(luò) 設(shè) 備 管 理 訪(fǎng) 問(wèn) 和 計(jì) 費(fèi) 應(yīng) 用 系 統(tǒng) 訪(fǎng) 問(wèn) 的 身 份 認(rèn) 證 和 訪(fǎng) 問(wèn) 控 制 。 一 次 性 口 令 就 是 針 對(duì) 以 上 弱 點(diǎn) 的 安全的口令認(rèn)證 機(jī) 制， 其 特 征 是 口 令 不 能 夠 重 用 ， 口 令 一 次 使 用 后 就 失 效 ， 下 次 的 口 令 必 然 隨 機(jī) 變 化。攻擊者可以采用字典攻擊法破解。 傳統(tǒng)的身份認(rèn)證方法通常用 口令機(jī)制 驗(yàn)證主體身份，即 用戶(hù)先輸入某種標(biāo)志信息，比如用戶(hù)名和 ID號(hào)，然后系統(tǒng)詢(xún)問(wèn)用戶(hù)口令，若口令與用戶(hù)文件中的相匹配，證明了用戶(hù)的身份，即可進(jìn)入。 一 次 性 口 令 系 統(tǒng) 的 建 設(shè) 一 次 性 口 令 系 統(tǒng) 是身 份 認(rèn) 證 技 術(shù) 的 一 種 。 防火墻采用 CISCO 的 PIX 硬件。 (6) 信息安全保密技術(shù)與措施： 通過(guò)路由器、服務(wù)器和重要的工作站上設(shè)置“防火墻 ”，重要或敏感的網(wǎng)絡(luò)出入設(shè)置專(zhuān)用訪(fǎng)問(wèn)控制機(jī)構(gòu)，對(duì)所有各級(jí)保密數(shù)據(jù)在傳送之前進(jìn)行加密處理。 (4) 易 用 性： 防 火 墻 的 管 理 和 配 置 要 比 較 簡(jiǎn) 潔 和 易 于 理 解 。 (2) 安 全 性： 保 證 被 保 護(hù) 網(wǎng) 絡(luò) 的 安 全 級(jí) 別 以 及 其 本 身 的 安 全 性。 由上所述，在內(nèi)外網(wǎng)相連處采用防火墻來(lái)保證避免來(lái)自 INTE RNE T 上不安全因素的攻擊?；?W WW 的URL (統(tǒng)一資源定位 )、 JAVA 控件等的進(jìn)一步限制，我們可在防火墻系統(tǒng)上建立 DMZ(安全的非軍事區(qū) )來(lái)達(dá)到控制目的。在防火墻系統(tǒng)的建設(shè)中，我們?cè)趦?nèi)、外網(wǎng)結(jié)合處，亦即在防火墻上將內(nèi)部和外部的安全層次加以定義，完成對(duì) IP 地址，以及 TE LNE T 端口號(hào)、網(wǎng)絡(luò)號(hào)等的授權(quán)和控制。 我們認(rèn)為 CAT V 網(wǎng)是廣電部門(mén)自己管理并維護(hù)的網(wǎng)絡(luò)，是安全的內(nèi)部網(wǎng)。而在 CATV 網(wǎng)外部，它是與 INTE RNE T 真正相連的部分，這種連通性是由真正的 INTE R NE T/ IP 地址來(lái)保證的，為了使部分INTE R NE T IP 地址來(lái)對(duì)應(yīng) CATV 內(nèi)部網(wǎng)規(guī)劃的合法IP 來(lái)保證網(wǎng)絡(luò)的連通性，我們利用防火墻系統(tǒng)來(lái)完成網(wǎng)絡(luò)地址轉(zhuǎn)換。作用有兩個(gè)： 一 、 完 成 南 昌 市 C ATV 網(wǎng) 私 有 IP 地 址 與INTE RNE T 真地址之間的地址轉(zhuǎn)換功能 (NAT)； 南昌市 CAT V 網(wǎng)絡(luò)將按照綜合網(wǎng) 絡(luò)平臺(tái)的規(guī)模