通信網(wǎng)絡(luò)安全防護(hù)技術(shù)分析(20210313123050)

1、通信網(wǎng)絡(luò)安全防護(hù)技術(shù)分析1. 通信網(wǎng)絡(luò)網(wǎng)絡(luò)面臨的安全形勢隨著手機(jī)游戲 、彩鈴 、彩信、位置服務(wù) 、移動商城等各種數(shù)據(jù)業(yè)務(wù)的快速發(fā)展 ，用戶數(shù)量呈現(xiàn) 高速增長 ，截至 2010 年 6 月底 ，據(jù) CNNIC 發(fā)布的報告顯示 ，中國的手機(jī)用戶數(shù)量超過 8 億 戶， 中國網(wǎng)民數(shù)達(dá) 4.2 億，手機(jī)上網(wǎng)用戶 2.77 億。在互聯(lián)網(wǎng)互聯(lián)網(wǎng)快速發(fā)展的同時 ，安全 事件也層出不窮 ，黑色產(chǎn)業(yè)鏈日益成熟 ，攻擊行為組織化 、攻擊手段自動化 、 攻擊目標(biāo)多樣 化、 攻擊目的趨利化等特點明顯 。近兩年來針對運(yùn)營商運(yùn)營商的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全事件總體有所上升， 例如“5·19&rdquo

2、;， “6·25”互聯(lián)網(wǎng) DNS 安全事件。 除互聯(lián)網(wǎng)常見的安全事件外 ，以惡意獲取非法收入事件為主的事件明顯上升 ，例如通過惡 意復(fù)制SIM卡、WAP惡意訂購、非法定位、泄露客戶信息等謀取經(jīng)濟(jì)利益等。目前，通信網(wǎng) 絡(luò)的安全現(xiàn)狀呈現(xiàn)出以下的一些趨勢 ：（1）網(wǎng)絡(luò) IPIP 化、 設(shè)備 IT 化、 應(yīng)用 Web 化使電信業(yè)務(wù)系統(tǒng)日益開放 ，業(yè)務(wù)安全漏洞更加 易于利用 。 針對業(yè)務(wù)攻擊日益突出 ，電信業(yè)務(wù)系統(tǒng)的攻擊越來越趨向追求經(jīng)濟(jì)利益 。（2） 手機(jī)終端智能化帶來了惡意代碼傳播、 客戶信息安全及對網(wǎng)絡(luò)的沖擊等安全問題 。（3）三網(wǎng)融合三網(wǎng)融合 、云計算 、

3、物聯(lián)網(wǎng)帶來的網(wǎng)絡(luò)開放性 、終端復(fù)雜性使網(wǎng)絡(luò)面臨更多安 全攻擊和威脅 ；系統(tǒng)可靠性以及數(shù)據(jù)保護(hù)將面臨更大的風(fēng)險 ；網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全問題從互聯(lián)網(wǎng) 的虛擬空間拓展到物理空間 ，網(wǎng)絡(luò)安全和危機(jī)處置將面臨更大的挑戰(zhàn) 。（4 ）電信運(yùn)營企業(yè)保存的客戶信息 （包括訂購關(guān)系 ）日益增多 ， 客戶信息的流轉(zhuǎn)環(huán)節(jié)不斷增 加， 也存在 SP 等合作伙伴訪問客戶信息的需要 ， 泄露、 篡改、 偽造客戶信息的問題日益突 出。（5 ）電信運(yùn)營企業(yè)內(nèi)部人員 、 第三方支持人員 、 SP 等利用擁有的權(quán)限以及業(yè)務(wù)流程漏洞 ，實 施以追求經(jīng)濟(jì)利益為目的的犯罪 。這些形勢都使互聯(lián)網(wǎng)安全 、 客戶信息的安全保護(hù) 、 業(yè)務(wù)安全成為各

4、運(yùn)營商在通信網(wǎng)絡(luò)安全防護(hù) 著重考慮的問題 ，對這些安全風(fēng)險的控制也成為運(yùn)營中的重要環(huán)節(jié) 。2. 通信網(wǎng)絡(luò)的安全防護(hù)措施2.1. 互聯(lián)網(wǎng)安全防護(hù)互聯(lián)網(wǎng) （CMNet ）是完全開放的 IP 網(wǎng)絡(luò)。 面臨的主要安全風(fēng)險來自用戶 、 互聯(lián)伙伴的帶有拒 絕服務(wù)攻擊性質(zhì)的安全事件 ，包括利用路由器漏洞的安全攻擊 ，分布式大流量攻擊 ， 蠕蟲病 毒、 虛假路由 、 釣魚攻擊 、 P2P 濫用等 。 互聯(lián)網(wǎng)上的安全事件會影響直接或間接連接互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng) 。因此 ，針對互聯(lián)網(wǎng) ， 應(yīng)重點做 好以下幾方面安全措施 ：（1）流量控制系統(tǒng) ：在互聯(lián)網(wǎng)的國際出入口 、 網(wǎng)間接口 、 骨干網(wǎng)接口的合適位置部署流量控 制

5、系統(tǒng) ，具備對各種業(yè)務(wù)流量帶寬進(jìn)行控制的能力 ，防止 P2P 等業(yè)務(wù)濫用 。（2 ）流量清洗系統(tǒng) ：在互聯(lián)網(wǎng)骨干網(wǎng) 、網(wǎng)間等接口部署異常流量清洗系統(tǒng) ，用于發(fā)現(xiàn)對特定 端口 、特定協(xié)議等的攻擊行為并進(jìn)行阻斷 ，防止或減緩拒絕服務(wù)攻擊發(fā)生的可能性 。（3 ）惡意代碼監(jiān)測監(jiān)測系統(tǒng) ：在骨干網(wǎng)接口 、網(wǎng)間接口 、IDC 和重要系統(tǒng)的前端部署惡意代 碼監(jiān)測系統(tǒng) ，具備對蠕蟲 、 木馬和僵尸網(wǎng)絡(luò)的監(jiān)測能力 。（4）路由安全監(jiān)測 ：對互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施重要組成的 BGP 路由系統(tǒng)進(jìn)行監(jiān)測 ，防止惡意的 路由宣告 、攔截或篡改 BGP 路由的事件發(fā)生 。（5）重點完善DNS安全監(jiān)控和防護(hù)手段，針對異常流量以

6、及 DNS欺騙攻擊的特點，對DNS 服務(wù)器健康情況、DNS負(fù)載均衡設(shè)備、DNS系統(tǒng)解析情況等進(jìn)行監(jiān)控，及時發(fā)現(xiàn)并解決安全 問題 。2.2. 移動互聯(lián)網(wǎng)安全防護(hù)移動互聯(lián)網(wǎng)把移動通信移動通信網(wǎng)作為接入網(wǎng)絡(luò) ， 包括移動通信網(wǎng)絡(luò)接入 、公眾互聯(lián)網(wǎng)服務(wù) 、 移動互聯(lián)網(wǎng)終端 。移動互聯(lián)網(wǎng)面臨的安全威脅主要來自終端 、 網(wǎng)絡(luò)和業(yè)務(wù) 。終端的智能化帶來 的威脅主要是手機(jī)病毒和惡意代碼引起的破壞終端功能 、 竊取用戶信息 、 濫用網(wǎng)絡(luò)資源 、 非法 惡意訂購等 。網(wǎng)絡(luò)的安全威脅主要包括非法接入網(wǎng)絡(luò) 、 進(jìn)行拒絕服務(wù)攻擊 、跟蹤竊聽空口傳輸 的信息 、濫用網(wǎng)絡(luò)服務(wù)等 。業(yè)務(wù)層面的安全威脅包括非法訪問業(yè)務(wù) 、 非

7、法訪問數(shù)據(jù) 、 拒絕服務(wù) 攻擊 、 垃圾信息的泛濫 、不良信息的傳播 、 個人隱私和敏感信息的泄露等 。針對以上安全威脅 ， 應(yīng)在終端側(cè)和網(wǎng)絡(luò)側(cè)進(jìn)行安全防護(hù) 。（1）在終端側(cè) ，主要增強(qiáng)終端自身的安全功能 ， 終端應(yīng)具有身份認(rèn)證 、 業(yè)務(wù)應(yīng)用的訪問控制 能力 ， 同時要安裝手機(jī)防病毒軟件 。（2 ）在網(wǎng)絡(luò)側(cè) ，針對協(xié)議漏洞或網(wǎng)絡(luò)設(shè)備自身漏洞 ， 首先要對網(wǎng)絡(luò)設(shè)備進(jìn)行安全評估和加 固， 確保系統(tǒng)自身安全 。其次， 針對網(wǎng)絡(luò)攻擊和業(yè)務(wù)層面的攻擊 ， 應(yīng)在移動互聯(lián)網(wǎng)的互聯(lián)邊界 和核心節(jié)點部署流量分析 、 流量清洗設(shè)備 ， 識別出正常業(yè)務(wù)流量 、 異常攻擊流量等內(nèi)容 ， 實現(xiàn) 對DDoS攻擊的防護(hù)。針

8、對手機(jī)惡意代碼導(dǎo)致的濫發(fā)彩信 、非法聯(lián)網(wǎng)、惡意下載、惡意訂購等 行為，應(yīng)在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測系統(tǒng) 。在GGSN上的Gn和Gp 口通過分光把數(shù)據(jù)包采集 到手機(jī)惡意代碼監(jiān)測系統(tǒng)進(jìn)行掃描分析 ，同時可以從彩信中心獲取數(shù)據(jù) ， 對彩信及附件進(jìn)行掃 描分析 ，從而實現(xiàn)對惡意代碼的監(jiān)測和攔截 （見圖 1）。圖 1 在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測系統(tǒng)2.3. 核心網(wǎng)安全防護(hù)（1）軟交換網(wǎng)安全防護(hù) 。軟交換網(wǎng)需要重點防范來自內(nèi)部的風(fēng)險 ，如維護(hù)終端 、 現(xiàn)場支持 、 支撐系統(tǒng)接入帶來的安全問題 。 重點防護(hù)措施可以包括 ：在軟交換網(wǎng)和網(wǎng)管 、 計費網(wǎng)絡(luò)的連接 邊界， 設(shè)置安全訪問策略 ， 禁止越權(quán)訪問 。 根據(jù)

9、需要 ， 在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)類產(chǎn)品 ， 以 避免蠕蟲病毒的蔓延 ；維測終端 、 反牽終端安裝網(wǎng)絡(luò)版防病毒軟件 ， 并專用于設(shè)備維護(hù) 。（2） GPRS核心網(wǎng)安全防護(hù)。GPRS系統(tǒng)面臨來自GPRS用戶、互聯(lián)伙伴和內(nèi)部的安全風(fēng)險 。 GPRS安全防護(hù)措施對 GPRS網(wǎng)絡(luò)劃分了多個安全域，例如Gn安全域、Gi安全域、Gp安全 域等，各安全域之間VLAN或防火墻實現(xiàn)與互聯(lián)網(wǎng)的隔離 ；省際Gn域互聯(lián)、Gp域與其它PLMN GRPS網(wǎng)絡(luò)互連、以及Gn與Gi域互聯(lián)時，均應(yīng)設(shè)置防火墻，并配置合理的防火墻策 略。（3）3G 核心網(wǎng)安全防護(hù) ：3G 核心網(wǎng)不僅在分組域采用 IP 技術(shù) ， 電路域核心網(wǎng)也將采

10、用 IP 技術(shù)在核心網(wǎng)元間傳輸媒體流及信令信息 ， 因此 IP 網(wǎng)絡(luò)的風(fēng)險也逐步引入到 3G 核心網(wǎng)之 中。由于3G核心網(wǎng)的重要性和復(fù)雜性，可以對其PS域網(wǎng)絡(luò)和CS域網(wǎng)絡(luò)分別劃分安全域并 進(jìn)行相應(yīng)的防護(hù)。例如對CS域而言，可以劃分信令域、媒體域、維護(hù)0M域、計費域等；對 于PS域可以分為Gn/Gp域，Gi域，Gom維護(hù)域、計費域等；對劃分的安全域分別進(jìn)行安全 威脅分析并進(jìn)行針對性的防護(hù) 。 重要安全域中的網(wǎng)元之間要做到雙向認(rèn)證 、數(shù)據(jù)一致性檢查 ， 同時對不同安全域要做到隔離 ， 并在安全域之間進(jìn)行相應(yīng)的訪問控制 。2.4. 支撐網(wǎng)絡(luò)安全防護(hù)支撐網(wǎng)絡(luò)包括網(wǎng)管支撐系統(tǒng) 、業(yè)務(wù)支撐系統(tǒng)和管理支撐系

11、統(tǒng) 。 支撐網(wǎng)絡(luò)中有大量的 IT 設(shè)備 、 終端， 面臨的安全威脅主要包括病毒 、 木馬、 非授權(quán)的訪問或越權(quán)使用 、 信息泄密 、 數(shù)據(jù)完整 性破壞 、系統(tǒng)可用性被破壞等 。支撐網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)是做好安全域劃分 、 系統(tǒng)自身安全和增加基礎(chǔ)安全防護(hù)手段 。同時 ， 通過建立 4A 系統(tǒng)， 對內(nèi)部維護(hù)人員和廠家人員操作網(wǎng)絡(luò) 、 業(yè)務(wù)系統(tǒng) 、網(wǎng)管系統(tǒng) 、業(yè)務(wù)支撐系 統(tǒng)、OA系統(tǒng)等的全過程實施管控。對支撐系統(tǒng)進(jìn)行區(qū)域劃分，進(jìn)行層次化、有重點的保護(hù)是 保證系統(tǒng)安全的有效手段 。 安全域劃分遵循集中化防護(hù)和分等級防護(hù)原則 ，整合整合各系統(tǒng)分 散的防護(hù)邊界 ， 形成數(shù)個大的安全域 ， 內(nèi)部分區(qū)控制 、

12、外部整合邊界 ，并以此為基礎(chǔ)集中部署 安全域內(nèi)各系統(tǒng)共享的安全技術(shù)防護(hù)手段 ， 實現(xiàn)重兵把守 、縱深防護(hù) 。4A 系統(tǒng)為用戶訪問資源 、進(jìn)行維護(hù)操作提供了便捷 、高效 、可靠的途徑 ， 并對操作維護(hù)過程 進(jìn)行實時日志審計 ， 同時也為加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)與信息安全控制 、 滿足相關(guān)法案審計要求提供 技術(shù)保證 。 圖 2 為維護(hù)人員通過登錄 4A 系統(tǒng)后訪問后臺設(shè)備的示意圖 。圖 2 維護(hù)人員通過登錄 4A 系統(tǒng)后訪問后臺設(shè)備的示意4A 系統(tǒng)作為用戶訪問后臺系統(tǒng)的惟一入口 ， 可以實現(xiàn)對系統(tǒng)維護(hù)人員 、用戶的統(tǒng)一接入訪問 控制 、 授權(quán)和操作行為審計 。對于防止違規(guī)訪問敏感信息系統(tǒng)和在訪問之后進(jìn)行審

13、計提供非常 重要的管控手段 。3. 重要系統(tǒng)的安全防護(hù)3.1. Web網(wǎng)站安全防護(hù)隨著網(wǎng)絡(luò)層防護(hù)水平的提高，Web等應(yīng)用層由于其開放性可能會面臨著越來越多的攻擊，隨著通信業(yè)務(wù) Web化的發(fā)展趨勢，Web系統(tǒng)的安全直接影響到通信業(yè)務(wù)系統(tǒng)的安全。Web系統(tǒng)防護(hù)是一個復(fù)雜的問題，包括應(yīng)對網(wǎng)頁篡改、DDoS攻擊、信息泄漏、導(dǎo)致系統(tǒng)可用性問題的其 它類型黑客攻擊等各種措施 。針對 Web 系統(tǒng)的許多攻擊方式都是利用了 Web 系統(tǒng)設(shè)計編碼中 存在的漏洞，因此Web網(wǎng)站的安全防護(hù)通常要包括Web系統(tǒng)上線的安全編碼階段、安全檢測及上線之后的監(jiān)控及運(yùn)行防護(hù)階段 。 Web 系統(tǒng)上線之前的階段側(cè)重于應(yīng)用工具發(fā)現(xiàn)

14、代碼存在的 漏洞 ， 而在監(jiān)控及運(yùn)行防護(hù)階段需要針對系統(tǒng)分層進(jìn)行分別防護(hù) ， 例如分為內(nèi)容層安全 、 應(yīng)用 層安全 、網(wǎng)絡(luò)層安全 、系統(tǒng)層安全等 。在分層防護(hù)時分別部署內(nèi)容檢測系統(tǒng) 、Web 安全漏洞掃 描系統(tǒng) 、防火墻 、Web 應(yīng)用防火墻 、 系統(tǒng)漏洞掃描器等措施 。3.2. DNS 系統(tǒng)的安全防護(hù)DNS 系統(tǒng)是互聯(lián)網(wǎng)的神經(jīng)系統(tǒng) ，因此對 DNS 系統(tǒng)的安全防護(hù)尤為重要 。近幾年來 ，針對 DNS 系統(tǒng)的攻擊比較突出的為 DoS攻擊、DNS投毒、域名劫持及重定向等。DNS系統(tǒng)的安全防護(hù) 需要部署流量清洗設(shè)備，在發(fā)生異常DNS Flood攻擊時，能夠?qū)NS流量牽引到流量清洗 設(shè)備進(jìn)行清洗，

15、保障DNS業(yè)務(wù)系統(tǒng)的正常運(yùn)行。同時，DNS系統(tǒng)安全防護(hù)需要進(jìn)行安全配置 并同時要運(yùn)行安全的 DNS系統(tǒng)或者啟用安全的協(xié)議，例如運(yùn)行源端口隨機(jī)化的系統(tǒng)來部分解 決DNS投毒問題或者利用 DNSSEC協(xié)議來避免DNS投毒、DNS劫持等。4. 新業(yè)務(wù)網(wǎng)絡(luò)的安全防護(hù)4.1. 物聯(lián)網(wǎng)安全物聯(lián)網(wǎng)由大量的機(jī)器構(gòu)成 ， 很多節(jié)點處于無人值守環(huán)境 ， 并且資源受限 、 數(shù)量龐大 ， 因此物聯(lián) 網(wǎng)除了面對移動通信網(wǎng)絡(luò)的傳統(tǒng)網(wǎng)絡(luò)安全問題之外 ，還存在著一些特殊安全問題 ，包括感知網(wǎng) 絡(luò)的安全 ， 以及感知網(wǎng)絡(luò)與通信網(wǎng)絡(luò)之間安全機(jī)制的相互協(xié)調(diào) 。對于感知網(wǎng)絡(luò)的安全 ，主要有 以下安全問題 ：（1）感知節(jié)點的物理安全問

16、題 。很多節(jié)點處于無人值守環(huán)境 ，容易失效或受到物理攻擊 ，在 進(jìn)行安全設(shè)計時必須考慮失效 / 被俘節(jié)點的檢測 、 撤除問題 ， 同時還要將失效 / 被俘節(jié)點導(dǎo)致 的安全隱患限制在最小范圍內(nèi) 。（2） 感知網(wǎng)絡(luò)的傳輸與信息安全問題。感知網(wǎng)絡(luò)通常采用短距離通信技術(shù) 、 以自組織方式組 網(wǎng)， 且感知節(jié)點處理器 、存儲器 、 電源等資源非常有限 。 開放的環(huán)境使傳輸介質(zhì)易受外界環(huán)境 影響 ， 節(jié)點附近容易產(chǎn)生信道沖突 ，惡意攻擊者也可以方便竊聽重要信息 。資源受限使節(jié)點無 法進(jìn)行快速的高復(fù)雜度的計算 ， 這對依賴于加解密算法的安全架構(gòu)提出了挑戰(zhàn) ， 需要考慮輕量 級、 高效的安全實現(xiàn)方案 。目前，

17、物聯(lián)網(wǎng)通網(wǎng)通信安全防護(hù)重點在節(jié)點認(rèn)證 、 加密、 密鑰管理 、 路由安全和入侵檢測等方 面， 業(yè)界也提出了一些針對性的解決方案 ， 如 SPINS 協(xié)議，其子協(xié)議 SNEP 提供點到點通信 認(rèn)證、 數(shù)據(jù)機(jī)密性 、 完整性和新鮮性等安全服務(wù) ， 子協(xié)議 μTESLA 提供對廣播消息的數(shù)據(jù) 認(rèn)證服務(wù) 。 但目前主要針對某個領(lǐng)域解決特定的安全問題，遠(yuǎn)未形成物聯(lián)網(wǎng)安全防護(hù)體系 ， 更無法與通信網(wǎng)絡(luò)相互配合形成統(tǒng)一的物聯(lián)網(wǎng)安全防護(hù)體系。物聯(lián)網(wǎng)應(yīng)用和行業(yè)緊密相關(guān) ，有特殊的安全需求 ， 作為運(yùn)營商 ，應(yīng)提供基礎(chǔ)安全服務(wù) ，解決物 聯(lián)網(wǎng)中共性的安全問題 ，例如構(gòu)建物聯(lián)網(wǎng)安全管理平臺 ， 為物聯(lián)網(wǎng)應(yīng)用提供安全基礎(chǔ)支撐環(huán) 境， 重點提供認(rèn)證 、 加密等安全通信服務(wù) ， 并解決節(jié)點監(jiān)控與管理 、 網(wǎng)絡(luò)安全狀態(tài)監(jiān)控 、 網(wǎng)絡(luò) 故障修復(fù) 、 安全策略分發(fā)等問題 。4.2. 云計算安全云計算的虛擬化 、多租戶和動態(tài)性不僅加重了傳統(tǒng)的安全問題 ，同時也引入了一些新的安全問 題。 云計算系統(tǒng)的安全防護(hù)應(yīng)重點考慮如下方面 （1 ）數(shù)據(jù)安全和隱私保護(hù) 。 由于虛擬技術(shù) 、數(shù)據(jù)遷移 、業(yè)務(wù)遷移等多個因素綜合導(dǎo)致數(shù)據(jù)保 護(hù)將面臨更大的挑戰(zhàn) ， 應(yīng)通過管理和技術(shù)手段 ，解決用戶隱私數(shù)據(jù)保護(hù)和數(shù)據(jù)內(nèi)容安全問題 。（2 ）虛擬化安全 。重點解決虛擬機(jī)隔離 、虛擬機(jī)監(jiān)控 、虛擬機(jī)安全遷移和鏡像文件的安全存