電信網(wǎng)絡(luò)安全防護(hù)淺析

作者簡介：中國信息通信研究院工程師，主要研究方向?yàn)橥ㄐ女a(chǎn)品安全測試與認(rèn)證。

0   引言

電信網(wǎng)絡(luò)作為社會公用信息系統(tǒng)，是國家重要的基礎(chǔ)設(shè)施。電信網(wǎng)絡(luò)的安全對電信業(yè)務(wù)的持續(xù)性和可靠性具有決定性作用，對經(jīng)濟(jì)和社會的發(fā)展起著越來越重要的作用。

我國電信網(wǎng)絡(luò)在建設(shè)過程中，將安全需求和業(yè)務(wù)考慮在內(nèi)，網(wǎng)絡(luò)的安全水平持續(xù)提升。但是在網(wǎng)絡(luò)IP化的背景下，網(wǎng)絡(luò)威脅呈現(xiàn)出多樣性，持續(xù)增強(qiáng)電信網(wǎng)絡(luò)安全就顯得尤為重要。本文著重從網(wǎng)絡(luò)安全防護(hù)手段的角度，探討增強(qiáng)電信網(wǎng)絡(luò)安全的措施。

1   電信行業(yè)安全標(biāo)準(zhǔn)概況

1.1國際標(biāo)準(zhǔn)化組織安全體系結(jié)構(gòu)

《ISO 7498-2-1989信息處理系統(tǒng) 開放系統(tǒng)互連基本參考模型 第2部分:安全體系結(jié)構(gòu)》描述了開放系統(tǒng)互連參考模型的框架。開放系統(tǒng)互連的目的是使異構(gòu)的計(jì)算機(jī)系統(tǒng)能互連以實(shí)現(xiàn)有效通信。OSI（Open System Interconnection，開放系統(tǒng)互連）的安全包括安全通信和管理安全兩個(gè)層次。

開放系統(tǒng)互連分層說明了為實(shí)現(xiàn)端到端的通信，安全通道應(yīng)具備的安全機(jī)制和服務(wù)，終端的安全措施不在考慮之內(nèi)。OSI的安全管理從系統(tǒng)、服務(wù)和機(jī)制三個(gè)不同的維度管理安全通信。系統(tǒng)安全管理從安全通信策略的層次，對安全通信進(jìn)行規(guī)劃和維護(hù)。安全服務(wù)管理即對特定的服務(wù)進(jìn)行管理，這些服務(wù)以分層的方式，提供安全通信所必須的各種安全服務(wù)。安全機(jī)制從具體技術(shù)實(shí)現(xiàn)的角度，實(shí)現(xiàn)安全功能，為安全服務(wù)提供基礎(chǔ)。安全機(jī)制涉及訪問控制、密鑰管理、路由認(rèn)證、數(shù)據(jù)完整性技術(shù)等。

OSI是一個(gè)系統(tǒng)互連的框架，其安全機(jī)制應(yīng)部署在各種場合，使得竊取數(shù)據(jù)所花費(fèi)的時(shí)間空間代價(jià)遠(yuǎn)大于數(shù)據(jù)本身的價(jià)值，從而確保信息安全。

1.2 我國電信行業(yè)安全防護(hù)體系標(biāo)準(zhǔn)

《YD/T 2386-2011 數(shù)據(jù)網(wǎng)絡(luò)與開放系統(tǒng)通信安全端到端通信系統(tǒng)安全架構(gòu)》是我國為了實(shí)現(xiàn)在多運(yùn)營商環(huán)境中安全整合和安全互通而發(fā)布的行業(yè)標(biāo)注。該標(biāo)準(zhǔn)確立了由安全維度、安全層和安全平面三個(gè)要素組成的通用安全架構(gòu)，給出了該安全架構(gòu)能夠抵御的安全威脅以及能夠達(dá)到的安全目標(biāo)。該標(biāo)準(zhǔn)適用于各種端到端通信系統(tǒng)。

安全維度即解決某一網(wǎng)絡(luò)安全問題的安全措施。安全維度主要包括訪問控制、認(rèn)證、抗抵賴、數(shù)據(jù)機(jī)密性、完整性、可用性、通信安全和私密性。

安全層從安全視角將網(wǎng)絡(luò)劃分為基礎(chǔ)設(shè)施層安全、服務(wù)安全和應(yīng)用安全三個(gè)層次?；A(chǔ)設(shè)施安全層涉及設(shè)備和通信鏈路的安全。服務(wù)安全層涉及傳輸服務(wù)和保障性服務(wù)，如DHCP服務(wù)和AAA服務(wù)等。用戶應(yīng)用安全通過應(yīng)用安全層實(shí)現(xiàn)，相關(guān)應(yīng)用如FTP、Web、Email、電子商務(wù)、視頻會議等。

安全平面從安全的角度將端到端通信系統(tǒng)劃分為管理安全平面、控制安全平面和用戶安全平面。每個(gè)平面包括上述三個(gè)安全層次，可將多個(gè)所需的安全維度應(yīng)用在該平面上。

另外我國還頒布了一系列通信行業(yè)標(biāo)準(zhǔn)，就具體的電信網(wǎng)絡(luò)和電信業(yè)務(wù)提出了安全防護(hù)要求和檢測要求，如《YD/T 1746-2013 IP承載網(wǎng)安全防護(hù)要求》、《YD/T 1744-2009 傳送網(wǎng)安全防護(hù)要求》、《YD/T 2245-2001域名注冊系統(tǒng)防護(hù)要求》等。這些標(biāo)準(zhǔn)對于電信網(wǎng)絡(luò)安全體系建設(shè)具有重要的推進(jìn)作用。

2   國內(nèi)電信企業(yè)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

我國電信企業(yè)對網(wǎng)絡(luò)安全防護(hù)高度重視，各企業(yè)都制定了相關(guān)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范。

中國移動制定了企業(yè)內(nèi)部標(biāo)準(zhǔn)《中國移動網(wǎng)絡(luò)安全總體技術(shù)要求》，這是一個(gè)隨技術(shù)水平發(fā)展不斷修定的技術(shù)文件。該要求從網(wǎng)絡(luò)性質(zhì)出發(fā)，在適度安全、全過程安全和動態(tài)安全的基礎(chǔ)上，通過安全評估流程，研究各個(gè)網(wǎng)絡(luò)的脆弱性和威脅，從而找到合理的防御方案、恢復(fù)方案和追溯方法。該技術(shù)要求主要包括技術(shù)準(zhǔn)則、無線接入安全技術(shù)要求、核心網(wǎng)絡(luò)安全技術(shù)要求、業(yè)務(wù)平臺安全技術(shù)要求、終端和SIM卡安全技術(shù)要求和信息技術(shù)支撐系統(tǒng)安全技術(shù)要求。

中國電信從2010年起，每年發(fā)布《中國電信網(wǎng)絡(luò)安全技術(shù)白皮書》，針對當(dāng)年的網(wǎng)絡(luò)安全狀況和趨勢進(jìn)行分析，并提出對策。連續(xù)發(fā)布的白皮書有利于中國電信更準(zhǔn)確把握網(wǎng)絡(luò)安全總體態(tài)勢，聚焦于5G安全、移動互聯(lián)網(wǎng)安全、IPv6網(wǎng)絡(luò)安全、云安全、物聯(lián)網(wǎng)安全等相關(guān)熱點(diǎn)技術(shù)，結(jié)合企業(yè)自身特點(diǎn)，有針對性地加強(qiáng)網(wǎng)絡(luò)防護(hù)。中國電信開發(fā)了一系列的安全防護(hù)產(chǎn)品，為不同的用戶群體提供安全服務(wù)，云堤就是有代表性的網(wǎng)絡(luò)安全防護(hù)平臺。

中國聯(lián)通制定了一系列企業(yè)內(nèi)部的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，包括《中國聯(lián)通IMS網(wǎng)絡(luò)安全技術(shù)規(guī)范》、《中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司內(nèi)網(wǎng)信息安全總體策略》、《中國聯(lián)通數(shù)據(jù)中心技術(shù)規(guī)范書-數(shù)據(jù)中心網(wǎng)絡(luò)安全》等。

3   電信網(wǎng)絡(luò)安全防護(hù)技術(shù)手段介紹

ISO制定的安全體系架構(gòu)和我國的端到端通信系統(tǒng)架構(gòu)，其本質(zhì)都是通過分層的方式，劃分為若干容易處理的較小的系統(tǒng)，每層實(shí)現(xiàn)較為單一的功能。電信網(wǎng)絡(luò)既包括算機(jī)系統(tǒng)，也包括通信系統(tǒng)。比較而言，計(jì)算機(jī)系統(tǒng)拓?fù)浣Y(jié)構(gòu)明晰、資產(chǎn)類型相似、協(xié)議較單一，而通信系統(tǒng)規(guī)模龐大、資產(chǎn)多樣、拓?fù)鋸?fù)雜、協(xié)議多樣。電信網(wǎng)絡(luò)發(fā)展的主要趨勢是IP化。Internet的開放性使電信網(wǎng)絡(luò)面臨更多的威脅。

電信網(wǎng)絡(luò)安全防護(hù)手段在網(wǎng)絡(luò)威脅多樣化的趨勢下，也在快速發(fā)展演進(jìn)。本文主要介紹抗DDoS攻擊、反釣魚、網(wǎng)站安全監(jiān)控和網(wǎng)站安全防護(hù)。

3.1 DDos

DDoS攻擊是常見的對電信網(wǎng)絡(luò)政企客戶造成影響的攻擊方式。攻擊者控制僵尸網(wǎng)絡(luò)，對企業(yè)網(wǎng)服務(wù)器、IDC或電信網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)攻擊，會造成帶寬擁塞，導(dǎo)致服務(wù)不可達(dá)而丟失業(yè)務(wù)。在電子商務(wù)、政府、金融等行業(yè)，無法對外提供服務(wù)會帶來重大的經(jīng)濟(jì)損失和政治影響。在遭受DDoS攻擊時(shí)，通過在企業(yè)網(wǎng)關(guān)鍵節(jié)點(diǎn)部署防火墻、IDS、IPS等設(shè)備，可以確保網(wǎng)絡(luò)內(nèi)部通信正常，但無法保證接入電路不發(fā)生擁塞。為了確保業(yè)務(wù)正常，還需要在企業(yè)網(wǎng)連接的運(yùn)營商網(wǎng)絡(luò)中部署有效的抗DDoS攻擊措施。

流量清洗和流量壓制是常用的方法，即在電信網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)部署流量清洗設(shè)備，將網(wǎng)絡(luò)流量牽引、清洗、壓制后回注到客戶網(wǎng)絡(luò)。

電信運(yùn)營商可在IDC和城域網(wǎng)出口及骨干網(wǎng)部署大容量流量清洗設(shè)備。DDoS發(fā)現(xiàn)得越早，對減小攻擊影響越有利。因此，在攻擊流量檢測方面，電信運(yùn)營商在提供電信監(jiān)測服務(wù)的同時(shí)，應(yīng)給客戶開放自助監(jiān)測接口，使用戶能在發(fā)現(xiàn)流量異常時(shí)能夠啟動流量清洗功能。

流量壓制是電信運(yùn)營商利用對互聯(lián)網(wǎng)的流量調(diào)度能力，根據(jù)用戶的定制，在IP網(wǎng)絡(luò)發(fā)布對客戶IP地址或網(wǎng)段的黑洞路由，丟棄來自網(wǎng)絡(luò)特定方向的包括攻擊在內(nèi)的流量。運(yùn)營商可以根據(jù)需要，將來自國際運(yùn)營商、國內(nèi)其他運(yùn)營商或去往特定企業(yè)網(wǎng)絡(luò)的IP流量進(jìn)行阻斷。

3.2 反釣魚

釣魚的機(jī)制是通過電子郵件或短信等方式，給潛在的受害者發(fā)非法鏈接，誘騙其使用偽造的網(wǎng)站，在此過程中誘騙受害者泄漏個(gè)人身份和財(cái)務(wù)信息。據(jù)CNCERT統(tǒng)計(jì)，僅在2019年上半年，我國互聯(lián)網(wǎng)中的惡意電子郵件數(shù)量就超過5 000萬封，有30萬個(gè)以上的電子郵件附件攜帶惡意附件37萬余個(gè)，每個(gè)惡意附件平均傳播次數(shù)約151次。

釣魚網(wǎng)站給被仿冒的企業(yè)帶來經(jīng)濟(jì)和名譽(yù)的雙重?fù)p失，網(wǎng)民也深受其害。釣魚網(wǎng)站攔截的時(shí)效性至關(guān)重要，電信運(yùn)營商在治理釣魚網(wǎng)站方面具有較大優(yōu)勢。電信運(yùn)營商可依托電信骨干網(wǎng)絡(luò)控制能力、大數(shù)據(jù)資源優(yōu)勢和運(yùn)營商獨(dú)有的網(wǎng)絡(luò)智能管道能力，全面、及時(shí)、準(zhǔn)確地發(fā)現(xiàn)釣魚網(wǎng)站，實(shí)時(shí)地?cái)r截處置，為客戶提供強(qiáng)有力的反釣魚能力。

3.3 網(wǎng)站安全監(jiān)控

政企客戶多通過網(wǎng)站向外提供服務(wù)，保障網(wǎng)站安全就顯得尤為重要。網(wǎng)站安全監(jiān)控包括網(wǎng)站可用性監(jiān)控、網(wǎng)站內(nèi)容安全監(jiān)控和網(wǎng)站漏洞檢測等。

網(wǎng)站可用性監(jiān)控，是對客戶網(wǎng)站進(jìn)行7*24小時(shí)監(jiān)測，發(fā)現(xiàn)訪問中斷、訪問響應(yīng)太慢等異常時(shí)，及時(shí)向用戶進(jìn)行短信和郵件的告警，以快速啟動異常排查和處理工作。網(wǎng)站可用性監(jiān)控的實(shí)現(xiàn)方式是在網(wǎng)絡(luò)中部署多個(gè)分布式監(jiān)測點(diǎn)，多運(yùn)營商可以協(xié)同規(guī)劃部署監(jiān)測點(diǎn)。更多的監(jiān)測點(diǎn)可提高監(jiān)測結(jié)果的準(zhǔn)確性，排除因監(jiān)測線路、運(yùn)營商等問題造成的誤報(bào)。

網(wǎng)站內(nèi)容安全對政企客戶異常重要。網(wǎng)站內(nèi)容監(jiān)測包括篡改監(jiān)測、敏感關(guān)鍵字監(jiān)測和暗鏈監(jiān)測。運(yùn)營商監(jiān)測到用戶指定頁面的內(nèi)容和結(jié)構(gòu)的變化，向網(wǎng)站管理員告警，由網(wǎng)站管理員核實(shí)并處理。在敏感關(guān)鍵字監(jiān)測中，運(yùn)營商應(yīng)能自定義關(guān)鍵字庫，并實(shí)時(shí)監(jiān)測網(wǎng)頁敏感信息，在關(guān)鍵字匹配時(shí)通知網(wǎng)站管理員。如果客戶網(wǎng)站中存在隱藏的鏈接，如網(wǎng)游、博彩，色情等廣告鏈接，運(yùn)營商應(yīng)及時(shí)識別其危害程度，對暗鏈及時(shí)告警，并進(jìn)行必要處理。

網(wǎng)站存在高危漏洞時(shí)，易被攻擊者利用，導(dǎo)致網(wǎng)站數(shù)據(jù)泄露、被篡改或掛馬，甚至網(wǎng)站癱瘓。運(yùn)營商為保障網(wǎng)絡(luò)安全，應(yīng)對用戶網(wǎng)站進(jìn)行深層漏洞掃描，發(fā)現(xiàn)網(wǎng)站是否存在SQL注入漏洞、XSS漏洞、CSRF漏洞，以及Web應(yīng)用漏洞、CGI漏洞、表單繞過等漏洞，并提供加固意見。運(yùn)營商應(yīng)及時(shí)更新漏洞庫及維護(hù)自身0day漏洞庫，保障漏洞庫的時(shí)效性。

3.4 網(wǎng)站安全防護(hù)

運(yùn)營商通過部署 Web應(yīng)用防火墻（WAF），保障網(wǎng)站安全。訪客發(fā)起的用戶網(wǎng)站的訪問，先通過運(yùn)營商的網(wǎng)站安全防護(hù)服務(wù)節(jié)點(diǎn)。防護(hù)節(jié)點(diǎn)通過對訪問要求進(jìn)行分析、審計(jì)和過濾，符合安全要求的訪問被轉(zhuǎn)發(fā)給服務(wù)器，不符合要求的訪問被過濾掉。運(yùn)營商部署的WAF除了具有Web入侵防護(hù)功能外，還應(yīng)滿足運(yùn)營商特定需要，如智能IP地址過濾、基于地理位置的IP封禁、訪問過濾和虛擬補(bǔ)丁等。運(yùn)營商主要部署云WAF，特定場合也會部署硬件WAF或軟件WAF。

Web入侵防護(hù)通過設(shè)定的安全策略來檢測和過濾特定的Web流量，能夠防護(hù)針對Web發(fā)起的諸如SQL注入、XSS跨站攻擊、CC攻擊、跨站請求偽造、參數(shù)污染、緩存溢出攻擊、cookie修改、XML注入、解析漏洞、遠(yuǎn)程命令執(zhí)行、文件包含、多層編譯攻擊、動態(tài)應(yīng)用混淆攻擊等。

運(yùn)營商作為網(wǎng)絡(luò)的運(yùn)營者，對IP地址控制的要求是多方面的。運(yùn)營商自定義IP地址過濾策略，系統(tǒng)自動按照配置的策略阻擋惡意IP地址；運(yùn)營商還可根據(jù)具體需求，配置基于國家和地區(qū)的IP封禁策略，智能阻擋特定國家和地區(qū)的IP訪問；還可設(shè)定指定地址不能訪問網(wǎng)站，也可將指定IP、URL、 UserAgent、Referer設(shè)置為允許或阻斷，以實(shí)現(xiàn)訪問控制。網(wǎng)站安全防護(hù)應(yīng)提供管理和形式多樣的審計(jì)功能，對異常分析提供基礎(chǔ)數(shù)據(jù)。

4   總結(jié)

近年來，隨著5G網(wǎng)絡(luò)發(fā)展、大數(shù)據(jù)、云服務(wù)等新技術(shù)的應(yīng)用，電信網(wǎng)絡(luò)面臨新的挑戰(zhàn)。電信網(wǎng)絡(luò)安全防護(hù)是國家重要基礎(chǔ)設(shè)施防護(hù)的重點(diǎn)，各運(yùn)營商和安全機(jī)構(gòu)應(yīng)加強(qiáng)合作，在技術(shù)防護(hù)的同時(shí)推進(jìn)管理制度標(biāo)準(zhǔn)化、規(guī)范化，同時(shí)積極引進(jìn)和應(yīng)用國際標(biāo)準(zhǔn)規(guī)范，促進(jìn)電信網(wǎng)絡(luò)安全發(fā)展。

參考文獻(xiàn)：

[1]2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢[EB/OL].2019-08-13. https://www.cert.org.cn/publish/main/46/2019/20190813163941008331670/20190813163941008331670_.html

[2]王小群,丁麗,李佳,王適文.2017年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[J].保密科學(xué)技術(shù),2018(05):4-11.

[3]王德秀.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[J].有線電視技術(shù),2003(01):10-18.

[4]李明星.“安全云服務(wù)”大幅提升SaaS服務(wù) 三大功能保障用戶網(wǎng)站安全[J].通信世界,2012(47):36-37.

[5]鄒珺. 數(shù)字化校園網(wǎng)絡(luò)安全體系研究[D].南昌大學(xué),2009.

[6]周師熊,周亦群.信息網(wǎng)絡(luò)安全技術(shù)講座(1)[J].中國數(shù)據(jù)通信,2001(06):55-60.

[7]中國電信“云堤”為6000多個(gè)政企客戶提供安全防護(hù)服務(wù)[J].中國電信業(yè),2018(10):6.

（本文來源于《電子產(chǎn)品世界》雜志2020年9月期）