安全生產_通信網(wǎng)絡安全體系結構概述

第二章通信網(wǎng)絡安全體系結構 國家公用通信網(wǎng)包括通常所說的基礎電信網(wǎng)絡 固定網(wǎng)絡 移動通信網(wǎng) 公用互聯(lián)網(wǎng)和衛(wèi)星通信網(wǎng)等基礎電信網(wǎng)絡2 1 1電信網(wǎng)絡安全對抗體系結構 2 1 2電信網(wǎng)絡典型攻擊 2 1 3網(wǎng)絡防衛(wèi) 一 國家通信網(wǎng)絡安全防護 通信communication按照一致同意的約定傳遞信息電信telecommunication電信是利用有線 無線 光或其他電磁系統(tǒng) 傳輸 發(fā)送或接收代表符號 書寫件 影像和聲音或其他任何承載情報的媒體的信號 會議 書報 文娛 郵政 其他 電信 通信 傳遞信息 利用電磁系統(tǒng)傳輸信號 電信網(wǎng)絡組成媒體網(wǎng)絡同步網(wǎng)絡信令網(wǎng)絡管理網(wǎng)絡電話業(yè)務系統(tǒng)數(shù)據(jù)業(yè)務系統(tǒng)圖像業(yè)務系統(tǒng) 一 電信網(wǎng)絡的網(wǎng)絡安全對抗體系結構 網(wǎng)絡層 鏈路層 物理層 同步網(wǎng) 信令網(wǎng) 管理網(wǎng) 傳輸 復接 尋址 1 媒體網(wǎng)絡 對應于計算機網(wǎng)絡中的通信子網(wǎng) 是傳遞信號的主體網(wǎng)絡 涵蓋了計算機網(wǎng)絡低三層功能 媒體網(wǎng)絡需要同步網(wǎng)絡 信令網(wǎng)絡和管理網(wǎng)絡支持 才能完成上述功能 2 同步網(wǎng)絡 向媒體網(wǎng)絡和其他網(wǎng)絡提供定時的同步信號 3 信令網(wǎng)絡 對于用戶終端和媒體網(wǎng)絡進行實時控制 支持媒體網(wǎng)絡實現(xiàn)信號尋址與交換功能 4 管理網(wǎng)絡 對于整體電信網(wǎng)絡實施管理與控制 實現(xiàn)故障管理 配置管理 性能管理 賬務管理 安全管理 5 在電信網(wǎng)絡平臺之上建設有各類業(yè)務系統(tǒng) 直接提供用戶服務的系統(tǒng) 包括用戶終端和用戶駐地網(wǎng)絡 主要有 電話業(yè)務系統(tǒng) 數(shù)據(jù)業(yè)務系統(tǒng)和圖像業(yè)務系統(tǒng) 物理安全 電信網(wǎng)安全最根本的保障 對應于網(wǎng)絡基礎設施和設備的可靠性以及網(wǎng)絡運營大環(huán)境的保護 包括了網(wǎng)絡拓撲結構等技術因素 系統(tǒng)安全 電信網(wǎng)絡基礎設施之上的運營系統(tǒng) 例如承載網(wǎng)技術 交換技術等 從技術上保障網(wǎng)絡安全運營和服務提供的有效性和網(wǎng)絡的可控性 信息安全 面向電信網(wǎng)絡的服務對象 保障信息和數(shù)據(jù)在傳輸交換和存儲過程中的保密性 完整性和不可抵賴性等特性 內容安全 更高層次的安全要求 由于電信網(wǎng)的國家基礎設施地位 要求對網(wǎng)絡中信息的傳播行為以及信息內容達到可控性 防止和控制非法 有害的信息的傳播 維護社會道德 國家法規(guī)和人民利益 安全層次結構 傳統(tǒng)的電信網(wǎng)以傳輸和交換為主 強調網(wǎng)絡的可用性和可靠性 電信網(wǎng)絡的優(yōu)劣判據(jù)主要考慮業(yè)務質量和網(wǎng)絡資源利用效率 電信網(wǎng)向NGN演進 軟交換技術選擇了IP網(wǎng)作為承載網(wǎng)信令網(wǎng)與傳輸網(wǎng)用同一張網(wǎng)進行承載承載網(wǎng)的安全變得非常重要 不僅要強調業(yè)務的可用性和可控性 還要強調承載網(wǎng)的可靠性和生存性 而且要保證信息傳遞的完整性 機密性和不可否認性 例如傳統(tǒng)的電話網(wǎng)絡采用TDM專線傳輸 面向連接的通道采用IP技術進行通信后 無連接性 不對源地址進行認證因此電信網(wǎng)絡安全需要把承載網(wǎng)放到與信令網(wǎng)同等重要的地位 研究基于IP技術的電信網(wǎng)絡安全 電信網(wǎng)安全內涵的演進 網(wǎng)絡邊界模糊 網(wǎng)絡安全 的定義大多專注于指計算機系統(tǒng)例如 防火墻技術通過安全策略的設置把電信網(wǎng)絡與計算機局域網(wǎng)或者計算機系統(tǒng)隔離開 保護了計算機系統(tǒng)的安全 但是電信網(wǎng)絡的安全就無能為力了 信息系統(tǒng)的安全問題的來源 安全問題 非法利用和阻止非法利用電信網(wǎng)絡的難易程度偵測和防止偵測電信網(wǎng)絡的難易程度惡意破壞和恢復破壞電信網(wǎng)絡的難易程度 網(wǎng)絡安全優(yōu)劣概念 非法利用網(wǎng)絡資源 對于可控性的攻擊 秘密偵測網(wǎng)絡資源 對于機密性的攻擊 惡意破壞網(wǎng)絡資源 對于可用性的攻擊 關于電信網(wǎng)絡對抗攻擊 電信網(wǎng)絡機理防衛(wèi) 電信網(wǎng)絡實現(xiàn)技術防衛(wèi) 工程應用防衛(wèi) 運營管理防衛(wèi) 關于電信網(wǎng)絡對抗防衛(wèi) 電信網(wǎng)絡的網(wǎng)絡對抗模型 一 電信網(wǎng)絡的網(wǎng)絡安全對抗體系結構 電信網(wǎng)絡典型攻擊 秘密使用網(wǎng)絡資源敵人秘密利用我電信網(wǎng)絡資源 占用通信容量 不騷擾合法用戶 不破壞網(wǎng)絡資源 平時國內敵人之間秘密通信 平時和戰(zhàn)時國內外敵人之間秘密通信 戰(zhàn)時敵人之間秘密通信 例如普通的有線電視用戶 通過破解機頂盒密碼和節(jié)目加密信息 不繳費卻接收付費電視節(jié)目信號 造成運營商大量收視費的流失 1 第一種網(wǎng)絡攻擊 非法利用 非法騷擾和插播敵人通過合法用戶接口 利用我電信網(wǎng)絡資源 騷擾和欺騙合法用戶 不破壞網(wǎng)絡 電話政治騷擾 電話和數(shù)據(jù)商業(yè)騷擾 電話和數(shù)據(jù)欺騙犯罪 廣播電視敵對政治煽動插播 虛偽廣告 色情宣傳 垃圾郵件 商業(yè)欺騙廣播 1 第一種網(wǎng)絡攻擊 非法利用 秘密偵聽通信內容秘密偵聽電信網(wǎng)絡傳遞的信息內容 不騷擾正常通信 經(jīng)濟信息偵聽 政治信息偵聽 軍事信息偵聽 政府高層信息偵聽 2 第二種網(wǎng)絡攻擊 秘密偵測 通過電信網(wǎng)絡偵測信息系統(tǒng)利用電信網(wǎng)絡作為通路 偵測信息系統(tǒng) 不破壞電信網(wǎng)絡 通過電信網(wǎng)絡偵測計算機系統(tǒng) 通過電信網(wǎng)絡偵測各種信息業(yè)務系統(tǒng) 通過電磁波輻射接收偵測信息 2 第二種網(wǎng)絡攻擊 秘密偵測 電磁干擾通常針對無線傳輸系統(tǒng) 嚴重時影響整個電信網(wǎng)絡 施放常規(guī)電磁干擾 劣化或阻斷電磁信號傳輸 施放強電磁脈沖干擾 擊毀電信網(wǎng)絡設備的電子器件 惡意業(yè)務量擁塞電信網(wǎng)絡秘密制造虛偽的大話務量 擁塞電信網(wǎng)絡 釋放蠕蟲病毒 擁塞電信網(wǎng)絡 3 第三種網(wǎng)絡攻擊 惡意破壞 惡意控制和破壞電信網(wǎng)絡的支持網(wǎng)絡支持網(wǎng)絡是電信網(wǎng)絡的網(wǎng)絡安全薄弱環(huán)節(jié) 通過在支持網(wǎng)絡中設置木馬 在必要時啟動破壞作用 通過對于電信網(wǎng)絡的支持系統(tǒng)的軟破壞 使得電信網(wǎng)絡全面癱瘓 惡意控制和破壞同步網(wǎng) 惡意控制和破壞信令網(wǎng) 惡意控制和破壞管理網(wǎng) 破壞電信網(wǎng)絡設施直接破壞電信網(wǎng)絡設施 使得電信網(wǎng)絡永久性功能失效 破壞節(jié)點設施 破壞鏈路設施 破壞電源設施 3 第三種網(wǎng)絡攻擊 惡意破壞 網(wǎng)絡防衛(wèi) 第一類電信網(wǎng)絡的合法用戶接口具有收發(fā)能力 通過合法用戶接口可能對網(wǎng)絡實施攻擊 但是這種接口具有由網(wǎng)絡決定的明確地址 在網(wǎng)絡內部 信號傳遞經(jīng)過受控確定的節(jié)點和電路 容易定位 第二類電信網(wǎng)絡的合法用戶接口具有收發(fā)能力 通過合法用戶接口可能對網(wǎng)絡實施攻擊 而且這種接口的地址可以偽造 第三類電信網(wǎng)絡的合法用戶接口只有接收能力 通過合法用戶接口不能對網(wǎng)絡實施攻擊 在網(wǎng)絡內部 信號傳遞經(jīng)過固定連接 很容易定位 第四類作為核心網(wǎng)應用 與邊緣網(wǎng)絡具有確定的受控接口 在網(wǎng)絡內部 信號傳遞經(jīng)過受控確定的節(jié)點 節(jié)點之間的電路不確定 但是不影響信源和節(jié)點定位 有線傳輸具有比較好的封閉性 無線傳輸具有不可避免的開放性 1 第一種網(wǎng)絡防衛(wèi) 技術機理防衛(wèi) 實現(xiàn)技術防衛(wèi)是指 盡可能采用網(wǎng)絡安全屬性比較利于防衛(wèi)的技術方法 包括盡可能減少電信網(wǎng)絡實現(xiàn)技術的安全薄弱環(huán)節(jié) 安全漏洞和安全局限性 采取必要的對抗技術阻止攻擊 實現(xiàn)技術方法種類繁多 重點圍繞機密性 真實性 可靠性和可用性進行防范 例如 1 實現(xiàn)基本功能的技術和實現(xiàn)對抗功能的技術 2 支持媒體網(wǎng)絡的技術和支持支持網(wǎng)絡的技術3 由硬件實現(xiàn)的技術和由軟件實現(xiàn)的技術等等 它們的共同點是 這種技術出現(xiàn)各有其主要理由 保障服務質量 追求網(wǎng)絡資源利用效率或追求網(wǎng)絡安全屬性 因此 現(xiàn)實應用的具體實現(xiàn)技術通常都存在種種安全屬性缺陷 這在電信網(wǎng)絡的網(wǎng)絡安全方面大量存在 實現(xiàn)技術防衛(wèi)可以充分利用計算機網(wǎng)絡對抗技術成就和思路 例如電信防火墻 電信入侵檢測 電信網(wǎng)絡漏洞掃描等技術 2 第二種網(wǎng)絡防衛(wèi) 實現(xiàn)技術防衛(wèi) 工程應用防衛(wèi)電信網(wǎng)絡的網(wǎng)絡安全對抗本質上是人與人之間的對抗 管理防衛(wèi)方面包括如下幾方面 1 要求高網(wǎng)絡安全的工程應用 盡可能采用高網(wǎng)絡安全的電信網(wǎng)絡2 要求低網(wǎng)絡安全的工程應用 盡可能采用低網(wǎng)絡安全的電信網(wǎng)絡因此可以換取其他好處 客觀上各類工程應用對于電信網(wǎng)絡具有不同的要求 l 有的要求高服務質量 2 有的要求高網(wǎng)絡資源利用效率 3 有的要求高網(wǎng)絡安全性能 4 有的要求高經(jīng)濟性 3 第三種網(wǎng)絡防衛(wèi) 工程應用防衛(wèi) 運營管理防衛(wèi)是指 人員管理在網(wǎng)絡對抗中的作用 電信設備 包括硬件和軟件 功能和性能的選擇和維護 電信系統(tǒng) 包括終端和媒體 功能和性能的選擇和維護 電信網(wǎng)絡 包括網(wǎng)絡結構和節(jié)點配置 功能和性能的選擇和維護業(yè)務系統(tǒng) 對于所支持的業(yè)務系統(tǒng) 作明確限制和監(jiān)視 網(wǎng)絡環(huán)境 對于網(wǎng)間互通 作明確限制和監(jiān)視 物理環(huán)境 包括節(jié)點機房和傳輸通路設施 建設和維護 供電配電 包括供電和配電系統(tǒng) 建設和維護 組織管理 包括人員素質 組織和管理 人員培訓 工作人員的定期強化培訓 規(guī)章布幢 制定明確的規(guī)章帶峻 力求從源頭上杜絕不安全因素 4 第四種網(wǎng)絡防衛(wèi) 運營管理防衛(wèi) 二 電信網(wǎng)絡安全防范 傳輸網(wǎng)的網(wǎng)絡安全防衛(wèi)技術同步網(wǎng)的網(wǎng)絡安全防衛(wèi)技術信令網(wǎng)的網(wǎng)絡安全防衛(wèi)技術電話網(wǎng)的網(wǎng)絡安全防衛(wèi)技術廣播電視網(wǎng)的網(wǎng)絡安全防衛(wèi)技術網(wǎng)間互聯(lián)的網(wǎng)絡安全防衛(wèi)技術 傳輸網(wǎng)的網(wǎng)絡安全防衛(wèi)技術 傳輸介質有線 切入檢測定位系統(tǒng)同軸電纜和雙絞線光纜盡可能避免無線傳輸無線 必須配置標識認證 電纜電磁輻射和電磁泄露在正常的發(fā)射和傳輸過程中是存在的 也許 辦公室樓外的一臺接收機可以完整復制辦公桌上的顯示器上的圖像 光纜在甲乙兩地之間的光纖上搭接一個3dB光分路器 將一半的傳輸光強通過另一根光纖傳送到第三方 傳輸信號被截獲 而且由于系統(tǒng)設備存在冗余 甲乙兩地的傳輸設備可能均未告警 現(xiàn)有物理搭線攻擊技術可以做到插入損耗小于3dB 而美國聯(lián)邦政府的軍事和情報組織使用的物理搭線攻擊技術可以降到0 5dB以下 從而實現(xiàn)對光網(wǎng)絡無感的物理搭線攻擊 針對全光交換節(jié)點的光竄擾攻擊 光纖宏彎竊聽攻擊等 對于光網(wǎng)絡的物理保護 可以利用光網(wǎng)絡攻擊定位算法 光網(wǎng)絡節(jié)點參數(shù)比較 光交換節(jié)點的優(yōu)化等 從理論 機制和產品三個方面開展光網(wǎng)絡安全技術的研究工作 同步網(wǎng)的網(wǎng)絡安全防衛(wèi)技術 三種威脅和攻擊信號竊取包括電信網(wǎng)絡上傳輸?shù)臄?shù)據(jù)信號以及傳輸信號本身的屬性信息 例如信號的有無 信號流量以及高峰時間等 即流量分析攻擊 信息的機密性受到破壞 非法侵入攻擊者注入到電信網(wǎng)絡當中 利用電信網(wǎng)絡資源 獲取網(wǎng)絡體系結構和技術信息 軟硬件破壞攻擊者對電信網(wǎng)絡實施主動攻擊 在物理層破壞網(wǎng)絡的可用性和可靠性 有線傳輸系統(tǒng)安全防衛(wèi)技術 電纜傳輸系統(tǒng)光纜傳輸系統(tǒng)光網(wǎng)絡物理安全理論研究對物理安全機制的研究安全產品的研究 無線傳輸系統(tǒng)安全防衛(wèi)技術 擴展譜技術體制 將信號帶寬進行擴展傳輸?shù)耐ㄐ趴垢蓴_技術體制 非擴展譜技術體制 利用自適應濾波 功率調整 信道編碼 干擾限幅 自適應天線調零 信號冗余 分集接收 高效調制 突發(fā)傳輸 信號交織 干擾陷波 自適應選頻和快捷變頻等技術 保護通信信號不被干擾信號淹沒 同步網(wǎng)的網(wǎng)絡安全防衛(wèi)技術 同步網(wǎng)安全問題切斷或劣化時鐘源干擾或劣化時鐘分配傳遞設備不同步或者時鐘同步質量下降表現(xiàn)為 在語音信號中出現(xiàn)咔嚓聲 傳真出現(xiàn)垂直圖文丟失 音頻數(shù)據(jù)出現(xiàn)載波中斷 視頻信號劣化 GSM CDMA出現(xiàn)通話中斷 同步網(wǎng)的安全防護從網(wǎng)絡安全考慮 盡量不采用外時鐘方案 大規(guī)模電信網(wǎng)絡的高層節(jié)點宜采用原子標準獨立時鐘 小規(guī)模電信網(wǎng)絡的節(jié)點之間宜采用相互同步方案 信令網(wǎng)的網(wǎng)絡安全防衛(wèi)技術 信令網(wǎng)絡安全問題用戶接口攻擊 信令鏈路攻擊 信令配置攻擊 拒絕服務攻擊 信令網(wǎng)安全防衛(wèi)用戶接口安全保護機制嚴格限制用戶尋址控制授權因為未知設備的接入 都會使線路上的電流 電壓 鈴流等特性發(fā)生變化 采用信令變異或信令加固技術 采用信令標識認證技術 簡化用戶信令網(wǎng)絡 傳輸系統(tǒng)群接口的防衛(wèi)對策采用信令變異或信令加固技術 采用局間信令標識認證技術 網(wǎng)絡管理接口的防衛(wèi)大量的惡意呼叫占用信令資源的入侵防衛(wèi)信令網(wǎng)絡的網(wǎng)間接口的安全防衛(wèi) 電話網(wǎng)的網(wǎng)絡安全防衛(wèi)技術 電話網(wǎng)的網(wǎng)絡安全問題電話和短信騷擾搭線竊聽和偵測網(wǎng)絡的惡意破壞電話騷擾基本防御對策電話騷擾基本防御對策惡意破壞的基本防御對策竊聽和偵測的基本防御對策 廣播電視網(wǎng)的網(wǎng)絡安全防衛(wèi)技術 廣播電視網(wǎng)絡的安全問題非法授權接入 UnauthorizedAccess 不繳納收視費但又要接收電視節(jié)目而采取的非法自行接入電視節(jié)目信號的行為 絕大多數(shù)為個人行為 其后果是造成運營商大