网络安全的问题主要涉及哪几方面

(1)成为敌对势力、不法分子的攻击目标。
(2)存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。
(3)计算机系统使用的场所正在转向工业、农业、野外 、天空、海上、宇宙空间、核辐射环境，……，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。
(4)随着计算机系统的广泛应用，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。
(5)计算机网络安全问题涉及许多学科领域，是一个非常复杂的综合问题，随着系统应用环境变化而不断变化。
(6)从认识论的高度看，人们往往首先关注对系统的需要、功能，然后才被动地从现象注意系统应用安全问题 。

基于网络的信息系统安全问题分析与对策

是一个统一的、多业务的、以数据网络为中心的、在开放的业务平台上提供不同服务质量业务的下一代网络。它是当前业界广泛讨论的热点与焦点，其中主要讨论的问题有网络安全、服务质量、商业模式等。

其中网络安全和服务质量，是开展一个可持续盈利的商业模式必须要解决的基础性问题，也是NGN的承载网IP网络必须解决的最关键的两个问题。
本文仅对NGN安全性作一些讨论。

NGN安全问题来源

在TDM网络中，整个通信系统不管是接入、传输、交换还是控制，其各部分通信设备的部署和各种协议的运行都是安全的。如果想入侵TDM通信系统，要么进入保护严密的通信机房，要么挖出地下的通信电缆。
而在以IP为基础的NGN网络中，设备与网络之间的连接可以有很多不同的方法。比如，一个连接Modem的PC，不但能接入整个网络，完成数据传输，而且能通过远程登录机制，控制远端的某个系统设备。

NGN为了提高业务的扩展性以及IP网络端到端的各个设备之间的互操作性，提出了一个非常开放的网络架构，允许不同的网络、不同的设备接入电信NGN网络，这种开放性使得网络极易受到安全威胁。

在如图1所示的网络分布中，不管是接入网中的用户（PC或其他终端），还是与NGN连接的Internet/Intranet，或是其他的运营商网络，都有可能对于某个运营商的NGN核心网络造成安全威胁。

NGN安全威胁的分类

目前，大部分的NGN网络都是基于IP进行通信的，因此，根据IP协议层次的不同，NGN安全威胁可以分为来自底层协议的攻击和来自高层协议的攻击。

底层协议攻击

底层协议攻击主要是指第一层到第四层的网络攻击，比如，针对TCP、UDP或SCTP协议的攻击。来自底层协议的攻击是非常普遍的，对于网络中的大量设备会产生相同的影响，所以，对这些攻击的防范是与整个网络密切相关的，且与上面运行什么协议无关。

高层协议攻击

高层协议攻击主要是针对NGN协议的攻击，比如SIP、H。323、MEGACO、COPS等协议。由于来自高层协议的攻击一般都是针对特定目标协议的，因此一般的防护方法是，或针对特定的协议，或使用安全的隧道机制。

另外，NGN中还存在一些其他的常见攻击种类。

拒绝服务攻击

拒绝服务攻击的目的是，让正常用户无法使用某种服务，比如，让系统设备无法工作或者是让系统的资源不足。这种攻击采用的方法有很多，比如：发送大量的数据包给特定的系统或设备，让设备无法接收正常的数据包，或使系统忙于处理这些无用的数据包；利用系统的弱点入侵，让系统无法正常工作或开机。
另外还有：发送大量的伪造请求给某个设备；TCP数据洪流，即发送大量的带有不同TCP标记的数据包，比较常用的有SYN、ACK或RST的TCP数据包；ICMP洪流，即发送大量的ICMP请求/ 回应（ping洪流）数据包给特定IP地址的网络设备；发送大量的大数据包的Ping数据流给特定IP地址的网络设备；UDP洪流，即发送大量的数据包给特定IP地址的设备；呼叫建立洪流，即在使用SIP协议时，发送大量的INVITE/BYTE呼叫建立请求等数据包给特定的设备，或者发送大量的其他协议的呼叫建立请求；非法的通信结束请求，使得正常用户的呼叫中断；注册洪流，即发送大量的注册请求给一个特定的设备，使得正常的用户注册服务无法进行；从物理上断开网络设备（当然，由于大量设备都在比较安全的机房里，所以这点相对比较难做到）。

偷听

这类攻击的目的主要是想非法获取一些信息或者资源，比如机密的数据。

偷听攻击的种类主要有：偷听通信的数据内容；偷听网络设备的ID（用于网络设备间通信前的身份验证）；使用特定的消息比如OPTIONS或Audit请求，获取SIP代理/ 服务器、网关以及软交换的信息等。

伪装

入侵者使用偷听的信息来伪装一个合法的请求，比如，他可以先截取用户名和密码，然后修改其信息，非法访问某个网络或者设备。在合法用户和某个设备建立连接以后，入侵者还可以使用伪装的方法使用这种现成的连接进行其他类型的攻击，比如拒绝服务攻击。
下面是一些伪装的例子：在注册过程中伪装成一个合法用户来截取所有用户的通信；在验证过程中伪装成一个合法用户，把所有的通信费都算在其他合法用户账户上；在用户验证过程中伪装成一个网络设备，来获取这个用户的账户信息；在呼叫建立过程中伪装成合法用户，使得呼叫费用记在那个合法用户账户上；在呼叫建立过程中伪装成被叫，使通信费用发生在通信的另一端。
另外还有通过MAC地址和IP地址的伪装攻击。

修改信息

修改信息的入侵者经过某种特定的操作，使数据被破坏或者变成毫无用处。一般来说，这种修改是其他攻击的开始，比如拒绝服务攻击、伪装或者欺诈攻击。被修改的信息可以有很多个方面，比如，用户的通信内容、终端ID、网络设备ID、呼叫建立信息、路由信息、用户验证信息、服务验证信息、网络设备的验证信息以及用户注册时的交互信息等，都可能被修改。