电信网络安全防护浅析

作者简介：中国信息通信研究院工程师，主要研究方向为通信产品安全测试与认证。

0   引言

电信网络作为社会公用信息系统，是国家重要的基础设施。电信网络的安全对电信业务的持续性和可靠性具有决定性作用，对经济和社会的发展起着越来越重要的作用。

我国电信网络在建设过程中，将安全需求和业务考虑在内，网络的安全水平持续提升。但是在网络IP化的背景下，网络威胁呈现出多样性，持续增强电信网络安全就显得尤为重要。本文着重从网络安全防护手段的角度，探讨增强电信网络安全的措施。

1   电信行业安全标准概况

1.1国际标准化组织安全体系结构

《ISO 7498-2-1989信息处理系统 开放系统互连基本参考模型 第2部分:安全体系结构》描述了开放系统互连参考模型的框架。开放系统互连的目的是使异构的计算机系统能互连以实现有效通信。OSI（Open System Interconnection，开放系统互连）的安全包括安全通信和管理安全两个层次。

开放系统互连分层说明了为实现端到端的通信，安全通道应具备的安全机制和服务，终端的安全措施不在考虑之内。OSI的安全管理从系统、服务和机制三个不同的维度管理安全通信。系统安全管理从安全通信策略的层次，对安全通信进行规划和维护。安全服务管理即对特定的服务进行管理，这些服务以分层的方式，提供安全通信所必须的各种安全服务。安全机制从具体技术实现的角度，实现安全功能，为安全服务提供基础。安全机制涉及访问控制、密钥管理、路由认证、数据完整性技术等。

OSI是一个系统互连的框架，其安全机制应部署在各种场合，使得窃取数据所花费的时间空间代价远大于数据本身的价值，从而确保信息安全。

1.2 我国电信行业安全防护体系标准

《YD/T 2386-2011 数据网络与开放系统通信安全端到端通信系统安全架构》是我国为了实现在多运营商环境中安全整合和安全互通而发布的行业标注。该标准确立了由安全维度、安全层和安全平面三个要素组成的通用安全架构，给出了该安全架构能够抵御的安全威胁以及能够达到的安全目标。该标准适用于各种端到端通信系统。

安全维度即解决某一网络安全问题的安全措施。安全维度主要包括访问控制、认证、抗抵赖、数据机密性、完整性、可用性、通信安全和私密性。

安全层从安全视角将网络划分为基础设施层安全、服务安全和应用安全三个层次。基础设施安全层涉及设备和通信链路的安全。服务安全层涉及传输服务和保障性服务，如DHCP服务和AAA服务等。用户应用安全通过应用安全层实现，相关应用如FTP、Web、Email、电子商务、视频会议等。

安全平面从安全的角度将端到端通信系统划分为管理安全平面、控制安全平面和用户安全平面。每个平面包括上述三个安全层次，可将多个所需的安全维度应用在该平面上。

另外我国还颁布了一系列通信行业标准，就具体的电信网络和电信业务提出了安全防护要求和检测要求，如《YD/T 1746-2013 IP承载网安全防护要求》、《YD/T 1744-2009 传送网安全防护要求》、《YD/T 2245-2001域名注册系统防护要求》等。这些标准对于电信网络安全体系建设具有重要的推进作用。

2   国内电信企业网络安全防护现状

我国电信企业对网络安全防护高度重视，各企业都制定了相关技术标准和管理规范。

中国移动制定了企业内部标准《中国移动网络安全总体技术要求》，这是一个随技术水平发展不断修定的技术文件。该要求从网络性质出发，在适度安全、全过程安全和动态安全的基础上，通过安全评估流程，研究各个网络的脆弱性和威胁，从而找到合理的防御方案、恢复方案和追溯方法。该技术要求主要包括技术准则、无线接入安全技术要求、核心网络安全技术要求、业务平台安全技术要求、终端和SIM卡安全技术要求和信息技术支撑系统安全技术要求。

中国电信从2010年起，每年发布《中国电信网络安全技术白皮书》，针对当年的网络安全状况和趋势进行分析，并提出对策。连续发布的白皮书有利于中国电信更准确把握网络安全总体态势，聚焦于5G安全、移动互联网安全、IPv6网络安全、云安全、物联网安全等相关热点技术，结合企业自身特点，有针对性地加强网络防护。中国电信开发了一系列的安全防护产品，为不同的用户群体提供安全服务，云堤就是有代表性的网络安全防护平台。

中国联通制定了一系列企业内部的网络安全标准，包括《中国联通IMS网络安全技术规范》、《中国联合网络通信集团有限公司内网信息安全总体策略》、《中国联通数据中心技术规范书-数据中心网络安全》等。

3   电信网络安全防护技术手段介绍

ISO制定的安全体系架构和我国的端到端通信系统架构，其本质都是通过分层的方式，划分为若干容易处理的较小的系统，每层实现较为单一的功能。电信网络既包括算机系统，也包括通信系统。比较而言，计算机系统拓扑结构明晰、资产类型相似、协议较单一，而通信系统规模庞大、资产多样、拓扑复杂、协议多样。电信网络发展的主要趋势是IP化。Internet的开放性使电信网络面临更多的威胁。

电信网络安全防护手段在网络威胁多样化的趋势下，也在快速发展演进。本文主要介绍抗DDoS攻击、反钓鱼、网站安全监控和网站安全防护。

3.1 DDos

DDoS攻击是常见的对电信网络政企客户造成影响的攻击方式。攻击者控制僵尸网络，对企业网服务器、IDC或电信网络的关键节点攻击，会造成带宽拥塞，导致服务不可达而丢失业务。在电子商务、政府、金融等行业，无法对外提供服务会带来重大的经济损失和政治影响。在遭受DDoS攻击时，通过在企业网关键节点部署防火墙、IDS、IPS等设备，可以确保网络内部通信正常，但无法保证接入电路不发生拥塞。为了确保业务正常，还需要在企业网连接的运营商网络中部署有效的抗DDoS攻击措施。

流量清洗和流量压制是常用的方法，即在电信网络的关键节点部署流量清洗设备，将网络流量牵引、清洗、压制后回注到客户网络。

电信运营商可在IDC和城域网出口及骨干网部署大容量流量清洗设备。DDoS发现得越早，对减小攻击影响越有利。因此，在攻击流量检测方面，电信运营商在提供电信监测服务的同时，应给客户开放自助监测接口，使用户能在发现流量异常时能够启动流量清洗功能。

流量压制是电信运营商利用对互联网的流量调度能力，根据用户的定制，在IP网络发布对客户IP地址或网段的黑洞路由，丢弃来自网络特定方向的包括攻击在内的流量。运营商可以根据需要，将来自国际运营商、国内其他运营商或去往特定企业网络的IP流量进行阻断。

3.2 反钓鱼

钓鱼的机制是通过电子邮件或短信等方式，给潜在的受害者发非法链接，诱骗其使用伪造的网站，在此过程中诱骗受害者泄漏个人身份和财务信息。据CNCERT统计，仅在2019年上半年，我国互联网中的恶意电子邮件数量就超过5 000万封，有30万个以上的电子邮件附件携带恶意附件37万余个，每个恶意附件平均传播次数约151次。

钓鱼网站给被仿冒的企业带来经济和名誉的双重损失，网民也深受其害。钓鱼网站拦截的时效性至关重要，电信运营商在治理钓鱼网站方面具有较大优势。电信运营商可依托电信骨干网络控制能力、大数据资源优势和运营商独有的网络智能管道能力，全面、及时、准确地发现钓鱼网站，实时地拦截处置，为客户提供强有力的反钓鱼能力。

3.3 网站安全监控

政企客户多通过网站向外提供服务，保障网站安全就显得尤为重要。网站安全监控包括网站可用性监控、网站内容安全监控和网站漏洞检测等。

网站可用性监控，是对客户网站进行7*24小时监测，发现访问中断、访问响应太慢等异常时，及时向用户进行短信和邮件的告警，以快速启动异常排查和处理工作。网站可用性监控的实现方式是在网络中部署多个分布式监测点，多运营商可以协同规划部署监测点。更多的监测点可提高监测结果的准确性，排除因监测线路、运营商等问题造成的误报。

网站内容安全对政企客户异常重要。网站内容监测包括篡改监测、敏感关键字监测和暗链监测。运营商监测到用户指定页面的内容和结构的变化，向网站管理员告警，由网站管理员核实并处理。在敏感关键字监测中，运营商应能自定义关键字库，并实时监测网页敏感信息，在关键字匹配时通知网站管理员。如果客户网站中存在隐藏的链接，如网游、博彩，色情等广告链接，运营商应及时识别其危害程度，对暗链及时告警，并进行必要处理。

网站存在高危漏洞时，易被攻击者利用，导致网站数据泄露、被篡改或挂马，甚至网站瘫痪。运营商为保障网络安全，应对用户网站进行深层漏洞扫描，发现网站是否存在SQL注入漏洞、XSS漏洞、CSRF漏洞，以及Web应用漏洞、CGI漏洞、表单绕过等漏洞，并提供加固意见。运营商应及时更新漏洞库及维护自身0day漏洞库，保障漏洞库的时效性。

3.4 网站安全防护

运营商通过部署 Web应用防火墙（WAF），保障网站安全。访客发起的用户网站的访问，先通过运营商的网站安全防护服务节点。防护节点通过对访问要求进行分析、审计和过滤，符合安全要求的访问被转发给服务器，不符合要求的访问被过滤掉。运营商部署的WAF除了具有Web入侵防护功能外，还应满足运营商特定需要，如智能IP地址过滤、基于地理位置的IP封禁、访问过滤和虚拟补丁等。运营商主要部署云WAF，特定场合也会部署硬件WAF或软件WAF。

Web入侵防护通过设定的安全策略来检测和过滤特定的Web流量，能够防护针对Web发起的诸如SQL注入、XSS跨站攻击、CC攻击、跨站请求伪造、参数污染、缓存溢出攻击、cookie修改、XML注入、解析漏洞、远程命令执行、文件包含、多层编译攻击、动态应用混淆攻击等。

运营商作为网络的运营者，对IP地址控制的要求是多方面的。运营商自定义IP地址过滤策略，系统自动按照配置的策略阻挡恶意IP地址；运营商还可根据具体需求，配置基于国家和地区的IP封禁策略，智能阻挡特定国家和地区的IP访问；还可设定指定地址不能访问网站，也可将指定IP、URL、 UserAgent、Referer设置为允许或阻断，以实现访问控制。网站安全防护应提供管理和形式多样的审计功能，对异常分析提供基础数据。

4   总结

近年来，随着5G网络发展、大数据、云服务等新技术的应用，电信网络面临新的挑战。电信网络安全防护是国家重要基础设施防护的重点，各运营商和安全机构应加强合作，在技术防护的同时推进管理制度标准化、规范化，同时积极引进和应用国际标准规范，促进电信网络安全发展。

参考文献：

[1]2019年上半年我国互联网网络安全态势[EB/OL].2019-08-13. https://www.cert.org.cn/publish/main/46/2019/20190813163941008331670/20190813163941008331670_.html

[2]王小群,丁丽,李佳,王适文.2017年我国互联网网络安全态势综述[J].保密科学技术,2018(05):4-11.

[3]王德秀.网络安全技术及应用[J].有线电视技术,2003(01):10-18.

[4]李明星.“安全云服务”大幅提升SaaS服务 三大功能保障用户网站安全[J].通信世界,2012(47):36-37.

[5]邹珺. 数字化校园网络安全体系研究[D].南昌大学,2009.

[6]周师熊,周亦群.信息网络安全技术讲座(1)[J].中国数据通信,2001(06):55-60.

[7]中国电信“云堤”为6000多个政企客户提供安全防护服务[J].中国电信业,2018(10):6.

（本文来源于《电子产品世界》杂志2020年9月期）