1、“.....分别是具有自生成特点的主动防御网络服务平台安全基础设施用户接入认证部分业务应用安全机制攻击检测和追踪系统和整体安全运营管理体系。安全体系架构任何部分的实现都从安全设计和安全防护两个思路，同时既保护网络系统自身的安全，又保护网络上业务应用的安全性。下面分别介绍每部分的具体功能和在整个安全体系中的作用。处于安全体系框架最底层的是网络基础服务平台，为上层业务提供安全可靠的独立传输平台。该平台基于借用互联网在安全保障上的成功之处，融合多种优秀的传统安全技术，根据安全技术的发展趋向而搭建，具有主动防御和在受攻击的情况下自生成的能力。该网络传输平台是业务开展的基础......”。

2、“.....该平台主要需要主动防御大范围蠕虫爆发和分布式拒绝服务攻击的能力，同时网络设备自身的漏洞也是影响网络可用性的重要威胁，必须具备非常快的应急响应能力。考虑到网络平台提供电信业务必须具备不可中断的特点，该平台具备网络生存性的特点，能够容忍大多数攻击的发生，在受到攻击的情况下仍然保证业务的不中断或者具有自动网络重新生成的能力。安全基础设施是网络安全体系的核心部分，它为整个网络认证和加密起到关键的作用。在自生成主动防御的物理网络平台上建立的安全基础设施，为在上开展重大电信业务应用的安全提供认证和密钥协商的基础条件。它的存在使得电信运营商可以为任意用户提供端到端保密通信的能力。由于整个网络应用的安全是以它自身的安全为前提的，所以它自身的安全就显得异常重要，虽然可以尽最大的努力来保证它的安全性，但在以技术为基础的中，绝对的安全是不存在的......”。

3、“.....基于分布式思想，避免由于单点失效而引起的整个网络的安全危机。用户认证接入体系，也是网络安全的重要组成部分。传统电信网络具有天然的接入认证体系，物理用户电话线的不可伪装性使得传统电信网络不需要对用户进行其他的认证，条电话线，严格的讲是个物理的交换机借口代表个特定的用户。但是对于基于和分组特征的网络，个或者个分组并没有任何用户身份特征的信息，所以必须采用特殊的身份认证体系，来保护用户的可信性。上部署的电信业务为非常关键的应用，它必须有足够的安全性，所以接入认证必须为强认证，能够有法律效力。安全基础设施为电信业务应用的安全提供了基本的条件，用户接入体系使得这种安全和用户联系起来，但真正的应用安全，应用协议必须有自己的健壮的安全机制或者利用通道才能达到。应用安全机制是保证应用本身不受干扰和破坏，同时也保证应用的保密性......”。

4、“.....在定程度上，对攻击源的追踪比防御攻击本身更有效，安全体系的其他部分虽然在尽力做到网络具备足够的安全，但是这并不意味着就没有攻击的发生，对用户身份的认证虽然可以使得接入用户的可信性，但是如果没有相应的攻击检测和追踪机制，用户认证便毫无意义。最后作为运营的电信网络，应当具备统的安全应允管理能力，各安全部分在统的调度下协同工作，才能使网络达到比较好的安全能力。安全防护措施系统加固系统加固把安全防线建立到系统的内部，使得网络中的每个系统都具有安全防御能力，从而达到主机或者系统安全的目的，它虽然不能防御对网络发动的各种攻击，但却可以有效的将针对主机系统的攻击进行防御。系统加固的实现方法有三种系统安全配置系统防火墙打补丁。安全配置将服务器系统不需要与外界通信的端口以及服务关掉，使得受保护的系统尽量不要暴露到网络上，将安全风险降到最低。将系统其他默认的可能影响到系统选项都做特殊的配置......”。

5、“.....安装系统防火墙也是系统加固的另个手段，主机系统防火墙相当于在系统层面上建立道最后的安全防线。同时防火墙也可以融合其他的安全技术。作为网络前哨的防火墙控制进出两个方向的通信，通过限制与网络或特定区域的通信，以达到防止非法用户侵犯和公用网络的目的。防火墙是种被动防卫技术，它假设了网络的边界和服务，因此对内部的非法访问难以有效地控制。因此，防火墙最适合于相对独立的与外部网络互连途径有限的网络服务种类相对集中的单网络。实现防火墙的主要技术有数据包过滤应用网关和代理服务等。包过滤技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址目的地址所用的端口与链路状态等因素来确定是否允许数据包通过。应用网关技术是建立在网络应用层上的协议过滤。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告......”。

6、“.....这种代理服务准许网管员允许或拒绝特定的应用程序或应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，旦判断条件满足，防火墙内部网络的结构和运行状态便暴露在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的链接，由两个终止于代理服务的链接来实现，就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施较强的数据流监控过滤记录和报告等功能。如将应用网关技术和包过滤技术结合起来，将保证应用层安全性统支持处理所有协议审计和预警等，其运转对于用户和建立系统都是透明的，便于配置和管理。系统加固是个不断完善的过程。它有个非常关键的步骤就是打补丁的过程。上面所提到的系统加固的方法主要是尽量的不要将系统暴露出去从而减少安全风险，而打补丁是减少系统的内在的安全脆弱性......”。

7、“.....安全核心加密技术防火墙技术是种被动的防卫技术，因此难以控制上潮水般的访问，加密作为种主动的防卫手段，其优势就显示出来了。在网络应用中般采取两种加密形式秘密秘钥和公开密钥。对于秘密密钥又叫私钥加密和对称密钥加密，其常见加密标准为等。当使用时，用户和接受方采用位密钥对报文加密和解密，当对安全性有特殊要求时，则要采取和三重等。作为传统企业网络广泛应用的加密技术，秘密密钥效率高，它采用来集中管理和分发密钥并以此为基础验证身份，但是并不适合环境。公钥系统即公开密钥加密，它的加密密钥和解密密钥是不同的，在中广泛使用。般对于每个用户生成对密钥后，将其中个作为公钥公开，另外个则作为私钥由用户自己保存。常用的公钥加密算法是算法，加密强度很高。由于此种方法加密强度高，并且不要求通信双方事先要建立种信任关系或共享种秘密，因此十分适合网上使用。电子认证是安全的关键仅仅加密是不够的......”。

8、“.....它确保参与加密对话的人确实是其本人。电子认证技术包括安全卡和身份鉴别等。安全卡能确保只有经过授权的用户才能通过个人计算机进行上的交互式交易，身份鉴别则提供种方法，用它生成种形式的口令或数字签名，交易的另方据此来认证他的交易伙伴。用户管理的口令通常是前种安全措施硬件软件解决方案则不仅正逐步成为数字身份认证的手段，同时它也可以被可信第三方用来完成用户数字身份的相关确认。电子认证就是指用户必须提供他是谁的证明，他是个雇员，个组织的代理，个软件过程等。认证的标准方法就是弄清楚他是谁，他具有什么特征，他知道什么可用于识别他的东西。认证的主要方法有双重认证数字证书智能卡和安全电子交易协议等。双重认证也就是说不是采用种方法，而是采用有两种形式的证明方法，这些证明方法包括令牌智能卡和仿生装置，如视网膜或指纹扫描器。数字证书是种检验用户身份的电子文件，也是企业现在可以使用的种工具......”。

9、“.....提供更强的访问控制，并具有很高的安全性和可靠性。智能卡这种解决办法可以持续较长的时间，并且更加灵活，存储信息更多，并具有可供选择的管理方式。安全电子交易协议这是迄今为止最为完整最为权威的电子商务安全保障协议。协议规定了交易各方进行安全交易的具体流程。在协议中，使用对称密钥算法非对称密钥算法等提供数据加密数字签名数字信封等功能，给信息在网络中的传输提供了安全性保证。入侵检测技术入侵检测技术是动态安全技术的最核心技术之。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，从分析方式上分为两种异常发现技术和模式发现技术。异常发现技术假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹......”。