電信網(wǎng)絡(luò)安全問(wèn)題與常用技術(shù)分析

中國(guó)聯(lián)通西安分公司 梅 雪

1.網(wǎng)絡(luò)安全的概念與主要技術(shù)手段概述

網(wǎng)絡(luò)安全是指通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)、網(wǎng)絡(luò)控制技術(shù)，保護(hù)網(wǎng)絡(luò)中傳輸、交換、處理和存儲(chǔ)的信息的機(jī)密性、完整性、可用性、真實(shí)性、抗否認(rèn)性和可控性。從網(wǎng)絡(luò)的組成結(jié)構(gòu)來(lái)看，網(wǎng)絡(luò)安全的概念涵蓋了網(wǎng)絡(luò)組成硬件的安全、網(wǎng)絡(luò)運(yùn)行的安全以及網(wǎng)絡(luò)數(shù)據(jù)的安全三個(gè)層次。網(wǎng)絡(luò)安全運(yùn)行的基本目標(biāo)包括以下三個(gè)方面：①信息的保密性，即實(shí)現(xiàn)用戶信息不被非法用戶獲得和利用，以及不被合法用戶非法使用；②信息的完整性，信息的完整是指信息的存儲(chǔ)和修改等操作都必須在授權(quán)的前提下進(jìn)行，避免出現(xiàn)存儲(chǔ)信息的破壞或丟失；③信息的可用性，信息的可用性是指在需要向用戶提供網(wǎng)絡(luò)信息時(shí)，能夠及時(shí)的將對(duì)應(yīng)權(quán)限內(nèi)的信息完整的提供給用戶。為了實(shí)現(xiàn)以上網(wǎng)絡(luò)安全的基本目標(biāo)，就必須依賴于一定的技術(shù)手段，目前在保證網(wǎng)絡(luò)安全運(yùn)行方面技術(shù)手段主要有以下6大類(lèi)：數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)、消息認(rèn)證技術(shù)、身份鑒別技術(shù)、訪問(wèn)控制技術(shù)以及PKI技術(shù)。這幾類(lèi)技術(shù)手段從不同的角度來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全運(yùn)行。由于這幾類(lèi)技術(shù)的技術(shù)難度和應(yīng)用需求各異，因此在適用范圍上會(huì)有所差異。

2.電信寬帶城域網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題分析

對(duì)于網(wǎng)絡(luò)運(yùn)行商來(lái)說(shuō)，網(wǎng)絡(luò)安全基本的、也是重要的目標(biāo)就是保障各級(jí)網(wǎng)絡(luò)的正常運(yùn)行，對(duì)蠕蟲(chóng)病毒和DDOS攻擊等常見(jiàn)攻擊形式應(yīng)當(dāng)具有一定的抵御能力。為了保障網(wǎng)絡(luò)安全，已經(jīng)普遍采用防火墻技術(shù)、數(shù)據(jù)加密等技術(shù)手段，提高了面臨網(wǎng)絡(luò)攻擊時(shí)的應(yīng)對(duì)速度。但這些技術(shù)手段都還需要不斷的維護(hù)和升級(jí)才能適應(yīng)網(wǎng)絡(luò)的發(fā)展步伐。

為便于討論，本文僅限于對(duì)電信寬帶的城域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題的探討。筆者認(rèn)為當(dāng)前電信城域網(wǎng)網(wǎng)絡(luò)的安全問(wèn)題主要表現(xiàn)在以下幾個(gè)方面：①在網(wǎng)絡(luò)規(guī)模越來(lái)越大的情況下，并沒(méi)有形成一套能夠有效的城域網(wǎng)安全管理體系，現(xiàn)有技術(shù)對(duì)網(wǎng)絡(luò)安全的保障力度不夠；②缺乏網(wǎng)絡(luò)在運(yùn)行中的實(shí)時(shí)診斷、監(jiān)控技術(shù)，在面臨網(wǎng)絡(luò)攻擊時(shí)缺乏有效的應(yīng)對(duì)技術(shù)手段；③對(duì)不同服務(wù)級(jí)別的安全承諾SLSA缺乏有效的服務(wù)模式。

在上述幾類(lèi)問(wèn)題存在的情況下，要讓電信網(wǎng)絡(luò)正常運(yùn)行并為客戶提供更好的增值服務(wù)，首先是保障網(wǎng)絡(luò)的可用性，這是網(wǎng)絡(luò)安全基本特征之一。而就當(dāng)前城域網(wǎng)網(wǎng)絡(luò)安全的主要威脅來(lái)看，對(duì)網(wǎng)絡(luò)可用性威脅最大的因素是DDOS攻擊和網(wǎng)絡(luò)濫用。因此這是首先需要著力解決的問(wèn)題。為達(dá)到這一目標(biāo)，就必須建立各層次網(wǎng)絡(luò)的防護(hù)系統(tǒng)，規(guī)范網(wǎng)絡(luò)邊界，對(duì)各業(yè)務(wù)系統(tǒng)范圍內(nèi)的網(wǎng)絡(luò)提供有效保護(hù)，并提高面臨網(wǎng)絡(luò)攻擊時(shí)的應(yīng)急處理能力。從具體實(shí)施步驟上看，筆者認(rèn)為應(yīng)當(dāng)完成以下三類(lèi)基本的任務(wù)：①提高對(duì)網(wǎng)絡(luò)中異常流量的監(jiān)控力度，加強(qiáng)對(duì)城域網(wǎng)出口層、匯聚層、接入層等各個(gè)級(jí)別的網(wǎng)絡(luò)設(shè)備的監(jiān)控；②加強(qiáng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的源地址合法性審查；③完善各級(jí)網(wǎng)絡(luò)的安全管理機(jī)制，形成一套集網(wǎng)絡(luò)監(jiān)控、攻擊應(yīng)對(duì)機(jī)制、常規(guī)安全管理為一體的網(wǎng)絡(luò)安全管理模式。

3.技術(shù)體系分析

3.1 網(wǎng)絡(luò)邊界的保護(hù)措施

電信寬帶城域網(wǎng)的網(wǎng)絡(luò)層次結(jié)構(gòu)包括出口層、核心層、匯聚層和接入層四個(gè)部分。對(duì)上述四個(gè)網(wǎng)絡(luò)組成部分的邊界保護(hù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)之一。具體到各個(gè)層次而言，相應(yīng)的安全控制措施為：①出口層，通過(guò)訪問(wèn)控制列表來(lái)控制進(jìn)入電信城域網(wǎng)流量。②核心層，對(duì)與核心層相連接的網(wǎng)絡(luò)端口進(jìn)行數(shù)據(jù)包的ACL控制，加強(qiáng)對(duì)核心層基礎(chǔ)網(wǎng)絡(luò)設(shè)備的保護(hù)，對(duì)核心層管理系統(tǒng)進(jìn)行安全強(qiáng)化。③匯聚層，匯聚層的安全控制是網(wǎng)絡(luò)安全控制的核心，是網(wǎng)絡(luò)用戶數(shù)據(jù)匯聚的層次。為了加強(qiáng)這一層次的安全管理，首先應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)控和管理，可通過(guò)配置uRPF來(lái)防御源IP地址欺騙，同時(shí)開(kāi)啟TCP攔截或者CAR來(lái)限制網(wǎng)絡(luò)流量以避免高頻網(wǎng)絡(luò)數(shù)據(jù)包攻擊。此外，對(duì)已知網(wǎng)絡(luò)病毒的防御也應(yīng)在匯聚層的設(shè)備接口處來(lái)完成，可通過(guò)配置訪問(wèn)列表的方式來(lái)進(jìn)行攔截。④接入層，啟用uRPF或配置ACL，以加強(qiáng)對(duì)IP地址的控制和對(duì)外訪問(wèn)，依據(jù)需要還可以選擇ICMP限速等其他功能來(lái)配合接入層的安全控制。

3.2 應(yīng)用系統(tǒng)的安全防護(hù)

應(yīng)用系統(tǒng)的安全防護(hù)是配合當(dāng)前電信網(wǎng)絡(luò)中部署的DNS服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫(kù)等的正常使用。應(yīng)用系統(tǒng)的安全防護(hù)的內(nèi)容主要是指主機(jī)的安全防護(hù)、應(yīng)用系統(tǒng)的入侵檢測(cè)、應(yīng)用系統(tǒng)的安全隔離以及病毒防護(hù)等?，F(xiàn)分別對(duì)這幾個(gè)方面的安全防護(hù)方式進(jìn)行探討。

(1)主機(jī)安全防護(hù)

主機(jī)的安全對(duì)于網(wǎng)絡(luò)安全的重要意義不言而喻。主機(jī)的安全防護(hù)應(yīng)首先從主機(jī)系統(tǒng)的漏洞修補(bǔ)開(kāi)始，及時(shí)對(duì)主機(jī)所使用的系統(tǒng)進(jìn)行更新和病毒檢測(cè)。此外，為了避免主機(jī)在遭受攻擊時(shí)造成大面積的服務(wù)癱瘓，應(yīng)將重要的服務(wù)內(nèi)容分布在不同的主機(jī)上，并將主機(jī)的使用權(quán)限進(jìn)行嚴(yán)格的限制。

(2)訪問(wèn)的安全控制

對(duì)應(yīng)用系統(tǒng)訪問(wèn)的控制是保護(hù)系統(tǒng)數(shù)據(jù)安全的重要手段，當(dāng)前電信網(wǎng)絡(luò)應(yīng)用系統(tǒng)中對(duì)訪問(wèn)的主要控制手段是網(wǎng)絡(luò)隔離和密碼更換等方式。從理論上講，對(duì)訪問(wèn)的控制應(yīng)當(dāng)是全方面的，從物理層面到技術(shù)、管理層面都應(yīng)實(shí)施相應(yīng)的控制手段，而不應(yīng)當(dāng)局限于當(dāng)前采用的技術(shù)手段。

(3)安全隔離手段

當(dāng)前電信網(wǎng)絡(luò)中的安全隔離手段主要是設(shè)置防火墻來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界的保護(hù)和訪問(wèn)控制。因此鑒于這種普遍存在的情況，在防火墻的設(shè)置時(shí)應(yīng)在以下幾個(gè)方面進(jìn)行改進(jìn)。1以網(wǎng)絡(luò)重要性為基礎(chǔ)，將網(wǎng)絡(luò)劃分為具有不同安全級(jí)別的區(qū)域，在各個(gè)區(qū)域的邊界設(shè)置不同的防火墻安全級(jí)別，并依據(jù)安全隔離的需要配置合適類(lèi)型的防火墻設(shè)備。除了對(duì)硬件和軟件上的改進(jìn)，更重要是對(duì)不同安全區(qū)域之間的訪問(wèn)進(jìn)行控制，根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)變化和業(yè)務(wù)上的需求來(lái)實(shí)時(shí)的調(diào)整訪問(wèn)控制的管理的方式。

圖1 DDOS防護(hù)流程圖

(4)入侵檢測(cè)

以防火墻為主要安全隔離手段的網(wǎng)絡(luò)攻擊防護(hù)并不能完全保證系統(tǒng)不被非法入侵，而且也無(wú)法抵御來(lái)自系統(tǒng)內(nèi)部的攻擊，因此還需要配合系統(tǒng)的入侵檢測(cè)來(lái)進(jìn)一步保障系統(tǒng)的安全性。從系統(tǒng)的檢測(cè)形式來(lái)看，主要分為兩類(lèi)，一是來(lái)自網(wǎng)絡(luò)的系統(tǒng)入侵檢測(cè)，二是針對(duì)主機(jī)的系統(tǒng)入侵檢測(cè)。對(duì)于來(lái)自網(wǎng)絡(luò)的入侵檢測(cè)通過(guò)基于網(wǎng)絡(luò)的IDS宿主機(jī)來(lái)實(shí)現(xiàn)是比較理想的方式，可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)包來(lái)源進(jìn)行檢測(cè)和識(shí)別，具有較好的實(shí)時(shí)性，并可對(duì)受到的攻擊留下證據(jù)。基于主機(jī)的IDS能夠監(jiān)視系統(tǒng)的所有操作，在配合基于網(wǎng)絡(luò)的IDS方面有不可替代的作用，因此是其重要補(bǔ)充?？傊褂没诰W(wǎng)絡(luò)的IDS與基于主機(jī)的IDS的配合使用是檢測(cè)系統(tǒng)監(jiān)控和實(shí)時(shí)入侵檢測(cè)的必要手段。

(5)病毒防護(hù)

對(duì)病毒的防護(hù)是保障網(wǎng)絡(luò)安全的又一個(gè)重要方面，應(yīng)對(duì)可能存在的網(wǎng)絡(luò)安全漏洞進(jìn)行定期的檢查分析，并采取常規(guī)的防病毒措施。一旦發(fā)生系統(tǒng)病毒感染，關(guān)鍵阻止病毒的進(jìn)一步擴(kuò)散和查殺病毒。當(dāng)病毒無(wú)法及時(shí)清除時(shí)，需要采取必要的應(yīng)急措施來(lái)避免損失擴(kuò)大，可采取以下幾個(gè)方面?zhèn)溆脩?yīng)急措施：1對(duì)發(fā)生病毒感染的主機(jī)實(shí)施必要的隔離；2阻止被感染主機(jī)向外發(fā)送數(shù)據(jù)包；3必要時(shí)關(guān)閉郵件服務(wù)器，以避免病毒以郵件方式擴(kuò)散。

4.應(yīng)用實(shí)例

4.1 基本設(shè)置

本節(jié)中以某地電信防護(hù)DDOS攻擊應(yīng)用為例來(lái)闡述網(wǎng)絡(luò)安全的防御技術(shù)。該公司在防御DDOS攻擊時(shí)采用Detector攻擊探測(cè)器和Guard保護(hù)器的組合防護(hù)策略，該防御策略的工作流程如圖1所示。

4.2 系統(tǒng)配置

(1)清潔中心的配置

根據(jù)DDOS的攻擊原理，清潔中心越靠近攻擊源頭則越能夠發(fā)揮其作用，因此將清潔中心布置在網(wǎng)絡(luò)中比較脆弱的連接部位上游。

(2)Guard保護(hù)器的配置

該公司城域網(wǎng)中共配置有兩套Guard保護(hù)器。每套設(shè)備配置3條鏈路與核心設(shè)備連接，參數(shù)為：10GE鏈路×2+1GE鏈路×1，流量的轉(zhuǎn)發(fā)和吸引由10GE鏈路完成，鏈路冗余由1GE鏈路完成。

(3)Detector攻擊探測(cè)器的配置

Detector攻擊探測(cè)器的工作需要依賴于一定的監(jiān)控平臺(tái)，此處的安全監(jiān)控平臺(tái)由Cisco和Detector共同構(gòu)成，Cisco和Detector通過(guò)2個(gè)GE接口連接，并在核心鏈路中加入分光器，將發(fā)往用戶的光信號(hào)分流，監(jiān)控平臺(tái)和用戶之間光信號(hào)分流比例為2：8。在Cisco上配置SPAN作為進(jìn)入將Cisco的流量鏡像至Detector的途徑。此外，配合使用MSP設(shè)備，在策略路由中使用ACL過(guò)濾用戶流量，只將監(jiān)測(cè)對(duì)象的流量復(fù)制至Cisco以節(jié)約帶寬。

4.3 測(cè)試結(jié)果概述

為檢測(cè)上述配置應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力，采用模擬方法來(lái)進(jìn)行檢驗(yàn)。在實(shí)際測(cè)試中，采用4臺(tái)機(jī)模擬網(wǎng)絡(luò)攻擊，當(dāng)產(chǎn)生的攻擊流量在200Mpbs時(shí)，Guard的CPU使用率不超過(guò)3%，能夠較好的應(yīng)對(duì)網(wǎng)絡(luò)攻擊。當(dāng)采用子ZONE方式時(shí)，Guard可有效分流被攻擊主機(jī)的數(shù)據(jù)流，從而保障服務(wù)器的正常運(yùn)行。

[1]陳繼宏.電信網(wǎng)絡(luò)信息安全的體系結(jié)構(gòu)[C].中國(guó)航海學(xué)會(huì)通信導(dǎo)航專(zhuān)業(yè)委員會(huì)論文集.

[2]韓國(guó)柱.電信企業(yè)提高管理與服務(wù)對(duì)策[C].中國(guó)通信發(fā)展與經(jīng)營(yíng)管理學(xué)術(shù)論文集.

[3]文光斌.主動(dòng)防御網(wǎng)絡(luò)安全研究[J].計(jì)算機(jī)安全,2009(8).