電信網(wǎng)絡安全防護淺析

作者簡介：中國信息通信研究院工程師，主要研究方向為通信產(chǎn)品安全測試與認證。

0   引言

電信網(wǎng)絡作為社會公用信息系統(tǒng)，是國家重要的基礎設施。電信網(wǎng)絡的安全對電信業(yè)務的持續(xù)性和可靠性具有決定性作用，對經(jīng)濟和社會的發(fā)展起著越來越重要的作用。

我國電信網(wǎng)絡在建設過程中，將安全需求和業(yè)務考慮在內(nèi)，網(wǎng)絡的安全水平持續(xù)提升。但是在網(wǎng)絡IP化的背景下，網(wǎng)絡威脅呈現(xiàn)出多樣性，持續(xù)增強電信網(wǎng)絡安全就顯得尤為重要。本文著重從網(wǎng)絡安全防護手段的角度，探討增強電信網(wǎng)絡安全的措施。

1   電信行業(yè)安全標準概況

1.1國際標準化組織安全體系結(jié)構(gòu)

《ISO 7498-2-1989信息處理系統(tǒng) 開放系統(tǒng)互連基本參考模型 第2部分:安全體系結(jié)構(gòu)》描述了開放系統(tǒng)互連參考模型的框架。開放系統(tǒng)互連的目的是使異構(gòu)的計算機系統(tǒng)能互連以實現(xiàn)有效通信。OSI（Open System Interconnection，開放系統(tǒng)互連）的安全包括安全通信和管理安全兩個層次。

開放系統(tǒng)互連分層說明了為實現(xiàn)端到端的通信，安全通道應具備的安全機制和服務，終端的安全措施不在考慮之內(nèi)。OSI的安全管理從系統(tǒng)、服務和機制三個不同的維度管理安全通信。系統(tǒng)安全管理從安全通信策略的層次，對安全通信進行規(guī)劃和維護。安全服務管理即對特定的服務進行管理，這些服務以分層的方式，提供安全通信所必須的各種安全服務。安全機制從具體技術實現(xiàn)的角度，實現(xiàn)安全功能，為安全服務提供基礎。安全機制涉及訪問控制、密鑰管理、路由認證、數(shù)據(jù)完整性技術等。

OSI是一個系統(tǒng)互連的框架，其安全機制應部署在各種場合，使得竊取數(shù)據(jù)所花費的時間空間代價遠大于數(shù)據(jù)本身的價值，從而確保信息安全。

1.2 我國電信行業(yè)安全防護體系標準

《YD/T 2386-2011 數(shù)據(jù)網(wǎng)絡與開放系統(tǒng)通信安全端到端通信系統(tǒng)安全架構(gòu)》是我國為了實現(xiàn)在多運營商環(huán)境中安全整合和安全互通而發(fā)布的行業(yè)標注。該標準確立了由安全維度、安全層和安全平面三個要素組成的通用安全架構(gòu)，給出了該安全架構(gòu)能夠抵御的安全威脅以及能夠達到的安全目標。該標準適用于各種端到端通信系統(tǒng)。

安全維度即解決某一網(wǎng)絡安全問題的安全措施。安全維度主要包括訪問控制、認證、抗抵賴、數(shù)據(jù)機密性、完整性、可用性、通信安全和私密性。

安全層從安全視角將網(wǎng)絡劃分為基礎設施層安全、服務安全和應用安全三個層次?；A設施安全層涉及設備和通信鏈路的安全。服務安全層涉及傳輸服務和保障性服務，如DHCP服務和AAA服務等。用戶應用安全通過應用安全層實現(xiàn)，相關應用如FTP、Web、Email、電子商務、視頻會議等。

安全平面從安全的角度將端到端通信系統(tǒng)劃分為管理安全平面、控制安全平面和用戶安全平面。每個平面包括上述三個安全層次，可將多個所需的安全維度應用在該平面上。

另外我國還頒布了一系列通信行業(yè)標準，就具體的電信網(wǎng)絡和電信業(yè)務提出了安全防護要求和檢測要求，如《YD/T 1746-2013 IP承載網(wǎng)安全防護要求》、《YD/T 1744-2009 傳送網(wǎng)安全防護要求》、《YD/T 2245-2001域名注冊系統(tǒng)防護要求》等。這些標準對于電信網(wǎng)絡安全體系建設具有重要的推進作用。

2   國內(nèi)電信企業(yè)網(wǎng)絡安全防護現(xiàn)狀

我國電信企業(yè)對網(wǎng)絡安全防護高度重視，各企業(yè)都制定了相關技術標準和管理規(guī)范。

中國移動制定了企業(yè)內(nèi)部標準《中國移動網(wǎng)絡安全總體技術要求》，這是一個隨技術水平發(fā)展不斷修定的技術文件。該要求從網(wǎng)絡性質(zhì)出發(fā)，在適度安全、全過程安全和動態(tài)安全的基礎上，通過安全評估流程，研究各個網(wǎng)絡的脆弱性和威脅，從而找到合理的防御方案、恢復方案和追溯方法。該技術要求主要包括技術準則、無線接入安全技術要求、核心網(wǎng)絡安全技術要求、業(yè)務平臺安全技術要求、終端和SIM卡安全技術要求和信息技術支撐系統(tǒng)安全技術要求。

中國電信從2010年起，每年發(fā)布《中國電信網(wǎng)絡安全技術白皮書》，針對當年的網(wǎng)絡安全狀況和趨勢進行分析，并提出對策。連續(xù)發(fā)布的白皮書有利于中國電信更準確把握網(wǎng)絡安全總體態(tài)勢，聚焦于5G安全、移動互聯(lián)網(wǎng)安全、IPv6網(wǎng)絡安全、云安全、物聯(lián)網(wǎng)安全等相關熱點技術，結(jié)合企業(yè)自身特點，有針對性地加強網(wǎng)絡防護。中國電信開發(fā)了一系列的安全防護產(chǎn)品，為不同的用戶群體提供安全服務，云堤就是有代表性的網(wǎng)絡安全防護平臺。

中國聯(lián)通制定了一系列企業(yè)內(nèi)部的網(wǎng)絡安全標準，包括《中國聯(lián)通IMS網(wǎng)絡安全技術規(guī)范》、《中國聯(lián)合網(wǎng)絡通信集團有限公司內(nèi)網(wǎng)信息安全總體策略》、《中國聯(lián)通數(shù)據(jù)中心技術規(guī)范書-數(shù)據(jù)中心網(wǎng)絡安全》等。

3   電信網(wǎng)絡安全防護技術手段介紹

ISO制定的安全體系架構(gòu)和我國的端到端通信系統(tǒng)架構(gòu)，其本質(zhì)都是通過分層的方式，劃分為若干容易處理的較小的系統(tǒng)，每層實現(xiàn)較為單一的功能。電信網(wǎng)絡既包括算機系統(tǒng)，也包括通信系統(tǒng)。比較而言，計算機系統(tǒng)拓撲結(jié)構(gòu)明晰、資產(chǎn)類型相似、協(xié)議較單一，而通信系統(tǒng)規(guī)模龐大、資產(chǎn)多樣、拓撲復雜、協(xié)議多樣。電信網(wǎng)絡發(fā)展的主要趨勢是IP化。Internet的開放性使電信網(wǎng)絡面臨更多的威脅。

電信網(wǎng)絡安全防護手段在網(wǎng)絡威脅多樣化的趨勢下，也在快速發(fā)展演進。本文主要介紹抗DDoS攻擊、反釣魚、網(wǎng)站安全監(jiān)控和網(wǎng)站安全防護。

3.1 DDos

DDoS攻擊是常見的對電信網(wǎng)絡政企客戶造成影響的攻擊方式。攻擊者控制僵尸網(wǎng)絡，對企業(yè)網(wǎng)服務器、IDC或電信網(wǎng)絡的關鍵節(jié)點攻擊，會造成帶寬擁塞，導致服務不可達而丟失業(yè)務。在電子商務、政府、金融等行業(yè)，無法對外提供服務會帶來重大的經(jīng)濟損失和政治影響。在遭受DDoS攻擊時，通過在企業(yè)網(wǎng)關鍵節(jié)點部署防火墻、IDS、IPS等設備，可以確保網(wǎng)絡內(nèi)部通信正常，但無法保證接入電路不發(fā)生擁塞。為了確保業(yè)務正常，還需要在企業(yè)網(wǎng)連接的運營商網(wǎng)絡中部署有效的抗DDoS攻擊措施。

流量清洗和流量壓制是常用的方法，即在電信網(wǎng)絡的關鍵節(jié)點部署流量清洗設備，將網(wǎng)絡流量牽引、清洗、壓制后回注到客戶網(wǎng)絡。

電信運營商可在IDC和城域網(wǎng)出口及骨干網(wǎng)部署大容量流量清洗設備。DDoS發(fā)現(xiàn)得越早，對減小攻擊影響越有利。因此，在攻擊流量檢測方面，電信運營商在提供電信監(jiān)測服務的同時，應給客戶開放自助監(jiān)測接口，使用戶能在發(fā)現(xiàn)流量異常時能夠啟動流量清洗功能。

流量壓制是電信運營商利用對互聯(lián)網(wǎng)的流量調(diào)度能力，根據(jù)用戶的定制，在IP網(wǎng)絡發(fā)布對客戶IP地址或網(wǎng)段的黑洞路由，丟棄來自網(wǎng)絡特定方向的包括攻擊在內(nèi)的流量。運營商可以根據(jù)需要，將來自國際運營商、國內(nèi)其他運營商或去往特定企業(yè)網(wǎng)絡的IP流量進行阻斷。

3.2 反釣魚

釣魚的機制是通過電子郵件或短信等方式，給潛在的受害者發(fā)非法鏈接，誘騙其使用偽造的網(wǎng)站，在此過程中誘騙受害者泄漏個人身份和財務信息。據(jù)CNCERT統(tǒng)計，僅在2019年上半年，我國互聯(lián)網(wǎng)中的惡意電子郵件數(shù)量就超過5 000萬封，有30萬個以上的電子郵件附件攜帶惡意附件37萬余個，每個惡意附件平均傳播次數(shù)約151次。

釣魚網(wǎng)站給被仿冒的企業(yè)帶來經(jīng)濟和名譽的雙重損失，網(wǎng)民也深受其害。釣魚網(wǎng)站攔截的時效性至關重要，電信運營商在治理釣魚網(wǎng)站方面具有較大優(yōu)勢。電信運營商可依托電信骨干網(wǎng)絡控制能力、大數(shù)據(jù)資源優(yōu)勢和運營商獨有的網(wǎng)絡智能管道能力，全面、及時、準確地發(fā)現(xiàn)釣魚網(wǎng)站，實時地攔截處置，為客戶提供強有力的反釣魚能力。

3.3 網(wǎng)站安全監(jiān)控

政企客戶多通過網(wǎng)站向外提供服務，保障網(wǎng)站安全就顯得尤為重要。網(wǎng)站安全監(jiān)控包括網(wǎng)站可用性監(jiān)控、網(wǎng)站內(nèi)容安全監(jiān)控和網(wǎng)站漏洞檢測等。

網(wǎng)站可用性監(jiān)控，是對客戶網(wǎng)站進行7*24小時監(jiān)測，發(fā)現(xiàn)訪問中斷、訪問響應太慢等異常時，及時向用戶進行短信和郵件的告警，以快速啟動異常排查和處理工作。網(wǎng)站可用性監(jiān)控的實現(xiàn)方式是在網(wǎng)絡中部署多個分布式監(jiān)測點，多運營商可以協(xié)同規(guī)劃部署監(jiān)測點。更多的監(jiān)測點可提高監(jiān)測結(jié)果的準確性，排除因監(jiān)測線路、運營商等問題造成的誤報。

網(wǎng)站內(nèi)容安全對政企客戶異常重要。網(wǎng)站內(nèi)容監(jiān)測包括篡改監(jiān)測、敏感關鍵字監(jiān)測和暗鏈監(jiān)測。運營商監(jiān)測到用戶指定頁面的內(nèi)容和結(jié)構(gòu)的變化，向網(wǎng)站管理員告警，由網(wǎng)站管理員核實并處理。在敏感關鍵字監(jiān)測中，運營商應能自定義關鍵字庫，并實時監(jiān)測網(wǎng)頁敏感信息，在關鍵字匹配時通知網(wǎng)站管理員。如果客戶網(wǎng)站中存在隱藏的鏈接，如網(wǎng)游、博彩，色情等廣告鏈接，運營商應及時識別其危害程度，對暗鏈及時告警，并進行必要處理。

網(wǎng)站存在高危漏洞時，易被攻擊者利用，導致網(wǎng)站數(shù)據(jù)泄露、被篡改或掛馬，甚至網(wǎng)站癱瘓。運營商為保障網(wǎng)絡安全，應對用戶網(wǎng)站進行深層漏洞掃描，發(fā)現(xiàn)網(wǎng)站是否存在SQL注入漏洞、XSS漏洞、CSRF漏洞，以及Web應用漏洞、CGI漏洞、表單繞過等漏洞，并提供加固意見。運營商應及時更新漏洞庫及維護自身0day漏洞庫，保障漏洞庫的時效性。

3.4 網(wǎng)站安全防護

運營商通過部署 Web應用防火墻（WAF），保障網(wǎng)站安全。訪客發(fā)起的用戶網(wǎng)站的訪問，先通過運營商的網(wǎng)站安全防護服務節(jié)點。防護節(jié)點通過對訪問要求進行分析、審計和過濾，符合安全要求的訪問被轉(zhuǎn)發(fā)給服務器，不符合要求的訪問被過濾掉。運營商部署的WAF除了具有Web入侵防護功能外，還應滿足運營商特定需要，如智能IP地址過濾、基于地理位置的IP封禁、訪問過濾和虛擬補丁等。運營商主要部署云WAF，特定場合也會部署硬件WAF或軟件WAF。

Web入侵防護通過設定的安全策略來檢測和過濾特定的Web流量，能夠防護針對Web發(fā)起的諸如SQL注入、XSS跨站攻擊、CC攻擊、跨站請求偽造、參數(shù)污染、緩存溢出攻擊、cookie修改、XML注入、解析漏洞、遠程命令執(zhí)行、文件包含、多層編譯攻擊、動態(tài)應用混淆攻擊等。

運營商作為網(wǎng)絡的運營者，對IP地址控制的要求是多方面的。運營商自定義IP地址過濾策略，系統(tǒng)自動按照配置的策略阻擋惡意IP地址；運營商還可根據(jù)具體需求，配置基于國家和地區(qū)的IP封禁策略，智能阻擋特定國家和地區(qū)的IP訪問；還可設定指定地址不能訪問網(wǎng)站，也可將指定IP、URL、 UserAgent、Referer設置為允許或阻斷，以實現(xiàn)訪問控制。網(wǎng)站安全防護應提供管理和形式多樣的審計功能，對異常分析提供基礎數(shù)據(jù)。

4   總結(jié)

近年來，隨著5G網(wǎng)絡發(fā)展、大數(shù)據(jù)、云服務等新技術的應用，電信網(wǎng)絡面臨新的挑戰(zhàn)。電信網(wǎng)絡安全防護是國家重要基礎設施防護的重點，各運營商和安全機構(gòu)應加強合作，在技術防護的同時推進管理制度標準化、規(guī)范化，同時積極引進和應用國際標準規(guī)范，促進電信網(wǎng)絡安全發(fā)展。

參考文獻：

[1]2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢[EB/OL].2019-08-13. https://www.cert.org.cn/publish/main/46/2019/20190813163941008331670/20190813163941008331670_.html

[2]王小群,丁麗,李佳,王適文.2017年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述[J].保密科學技術,2018(05):4-11.

[3]王德秀.網(wǎng)絡安全技術及應用[J].有線電視技術,2003(01):10-18.

[4]李明星.“安全云服務”大幅提升SaaS服務 三大功能保障用戶網(wǎng)站安全[J].通信世界,2012(47):36-37.

[5]鄒珺. 數(shù)字化校園網(wǎng)絡安全體系研究[D].南昌大學,2009.

[6]周師熊,周亦群.信息網(wǎng)絡安全技術講座(1)[J].中國數(shù)據(jù)通信,2001(06):55-60.

[7]中國電信“云堤”為6000多個政企客戶提供安全防護服務[J].中國電信業(yè),2018(10):6.

（本文來源于《電子產(chǎn)品世界》雜志2020年9月期）