公眾IP網(wǎng)絡(luò)安全模型的研究及應(yīng)用.pdf

1、當(dāng)前，計(jì)算機(jī)安全理論和方法學(xué)正在經(jīng)歷一個(gè)重大的變革。由于傳統(tǒng)的計(jì)算機(jī)安全理論不能適應(yīng)動(dòng)態(tài)變化的，多維互聯(lián)的網(wǎng)絡(luò)環(huán)境，可適應(yīng)網(wǎng)絡(luò)安全理論體系逐漸形成。九十年代后期，隨著可適應(yīng)網(wǎng)絡(luò)安全理論或者稱為動(dòng)態(tài)信息安全理論的主要模型就是P2DR模型的產(chǎn)生，在業(yè)界得到了廣泛的應(yīng)用和認(rèn)可。 中國(guó)電信建設(shè)的公眾IP網(wǎng)對(duì)我國(guó)Internet的發(fā)展起著決定性作用，重慶電信163/169互聯(lián)網(wǎng)是國(guó)家骨干網(wǎng)在本地的延伸，擁有7個(gè)核心節(jié)點(diǎn)(采用Cisco12

2、012、2*2.5GDPT環(huán))，三十八個(gè)匯接節(jié)點(diǎn)，能提供寬帶，窄帶多種接入方式的公眾IP網(wǎng)，現(xiàn)擁有近20萬(wàn)用戶，占全市互聯(lián)網(wǎng)用戶四分之三以上，作為這樣一個(gè)擁有眾多用戶，開(kāi)放的IP平臺(tái)，會(huì)受到各種各樣的安全威脅，主要表現(xiàn)在IP網(wǎng)絡(luò)的開(kāi)放性，來(lái)自外部的攻擊增多，如DOS/DDOS攻擊；所使用的操作系統(tǒng)運(yùn)行的網(wǎng)絡(luò)協(xié)議自身的脆弱性；主機(jī)、網(wǎng)絡(luò)設(shè)備的配置是否缺乏評(píng)估手段；不可避免的內(nèi)部非法訪問(wèn)；缺乏必要的攻擊審計(jì)作為犯罪取證，出此之外，還有管理上

3、的一些問(wèn)題，如人員安全意識(shí)不強(qiáng)，安全制度不夠健全等多方面原因。 本文應(yīng)用現(xiàn)代安全理論，采用P2DR安全模型，確定策略，對(duì)重慶電信公眾IP網(wǎng)進(jìn)行全方位的安全設(shè)計(jì)，并結(jié)合工程進(jìn)行了實(shí)施，在本文中包括以下工作：首先，通過(guò)對(duì)傳統(tǒng)安全理論和P2DR的安全數(shù)學(xué)模型比較研究，明確提出將P2DR模型作為解決重慶電信IP網(wǎng)絡(luò)完整信息安全解決方案的理論基礎(chǔ)。 其次，結(jié)合網(wǎng)絡(luò)特點(diǎn)，分析現(xiàn)實(shí)網(wǎng)絡(luò)安全需求，以P2DR安全模型作為理論指導(dǎo)，按照PA

4、DIMEE方法論，確定重慶公眾IP網(wǎng)的安全策略。 第三，在安全體系設(shè)計(jì)中，提出了網(wǎng)絡(luò)安全體系邏輯架構(gòu)，采用靜態(tài)式防范(如：防火墻、ACL措施、數(shù)字加密等)和主動(dòng)式安全檢測(cè)(如：入侵檢測(cè)，漏洞掃描等)相結(jié)合的技術(shù)，針對(duì)公眾IP網(wǎng)在物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層進(jìn)行了相應(yīng)的設(shè)計(jì)，充分反映了全方位、動(dòng)態(tài)的設(shè)計(jì)思想。 第四，全面的安全產(chǎn)品部署和工程實(shí)施，全力打造重慶電信公眾IP網(wǎng)，使之成為全國(guó)領(lǐng)先的安全、可靠、可運(yùn)營(yíng)、可管理的網(wǎng)