電信網(wǎng)絡(luò)安全問題與常用技術(shù)分析

中國聯(lián)通西安分公司 梅 雪

1.網(wǎng)絡(luò)安全的概念與主要技術(shù)手段概述

網(wǎng)絡(luò)安全是指通過各種計算機、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)、網(wǎng)絡(luò)控制技術(shù)，保護網(wǎng)絡(luò)中傳輸、交換、處理和存儲的信息的機密性、完整性、可用性、真實性、抗否認(rèn)性和可控性。從網(wǎng)絡(luò)的組成結(jié)構(gòu)來看，網(wǎng)絡(luò)安全的概念涵蓋了網(wǎng)絡(luò)組成硬件的安全、網(wǎng)絡(luò)運行的安全以及網(wǎng)絡(luò)數(shù)據(jù)的安全三個層次。網(wǎng)絡(luò)安全運行的基本目標(biāo)包括以下三個方面：①信息的保密性，即實現(xiàn)用戶信息不被非法用戶獲得和利用，以及不被合法用戶非法使用；②信息的完整性，信息的完整是指信息的存儲和修改等操作都必須在授權(quán)的前提下進(jìn)行，避免出現(xiàn)存儲信息的破壞或丟失；③信息的可用性，信息的可用性是指在需要向用戶提供網(wǎng)絡(luò)信息時，能夠及時的將對應(yīng)權(quán)限內(nèi)的信息完整的提供給用戶。為了實現(xiàn)以上網(wǎng)絡(luò)安全的基本目標(biāo)，就必須依賴于一定的技術(shù)手段，目前在保證網(wǎng)絡(luò)安全運行方面技術(shù)手段主要有以下6大類：數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)、消息認(rèn)證技術(shù)、身份鑒別技術(shù)、訪問控制技術(shù)以及PKI技術(shù)。這幾類技術(shù)手段從不同的角度來實現(xiàn)對網(wǎng)絡(luò)安全運行。由于這幾類技術(shù)的技術(shù)難度和應(yīng)用需求各異，因此在適用范圍上會有所差異。

2.電信寬帶城域網(wǎng)的網(wǎng)絡(luò)安全問題分析

對于網(wǎng)絡(luò)運行商來說，網(wǎng)絡(luò)安全基本的、也是重要的目標(biāo)就是保障各級網(wǎng)絡(luò)的正常運行，對蠕蟲病毒和DDOS攻擊等常見攻擊形式應(yīng)當(dāng)具有一定的抵御能力。為了保障網(wǎng)絡(luò)安全，已經(jīng)普遍采用防火墻技術(shù)、數(shù)據(jù)加密等技術(shù)手段，提高了面臨網(wǎng)絡(luò)攻擊時的應(yīng)對速度。但這些技術(shù)手段都還需要不斷的維護和升級才能適應(yīng)網(wǎng)絡(luò)的發(fā)展步伐。

為便于討論，本文僅限于對電信寬帶的城域網(wǎng)網(wǎng)絡(luò)安全問題的探討。筆者認(rèn)為當(dāng)前電信城域網(wǎng)網(wǎng)絡(luò)的安全問題主要表現(xiàn)在以下幾個方面：①在網(wǎng)絡(luò)規(guī)模越來越大的情況下，并沒有形成一套能夠有效的城域網(wǎng)安全管理體系，現(xiàn)有技術(shù)對網(wǎng)絡(luò)安全的保障力度不夠；②缺乏網(wǎng)絡(luò)在運行中的實時診斷、監(jiān)控技術(shù)，在面臨網(wǎng)絡(luò)攻擊時缺乏有效的應(yīng)對技術(shù)手段；③對不同服務(wù)級別的安全承諾SLSA缺乏有效的服務(wù)模式。

在上述幾類問題存在的情況下，要讓電信網(wǎng)絡(luò)正常運行并為客戶提供更好的增值服務(wù)，首先是保障網(wǎng)絡(luò)的可用性，這是網(wǎng)絡(luò)安全基本特征之一。而就當(dāng)前城域網(wǎng)網(wǎng)絡(luò)安全的主要威脅來看，對網(wǎng)絡(luò)可用性威脅最大的因素是DDOS攻擊和網(wǎng)絡(luò)濫用。因此這是首先需要著力解決的問題。為達(dá)到這一目標(biāo)，就必須建立各層次網(wǎng)絡(luò)的防護系統(tǒng)，規(guī)范網(wǎng)絡(luò)邊界，對各業(yè)務(wù)系統(tǒng)范圍內(nèi)的網(wǎng)絡(luò)提供有效保護，并提高面臨網(wǎng)絡(luò)攻擊時的應(yīng)急處理能力。從具體實施步驟上看，筆者認(rèn)為應(yīng)當(dāng)完成以下三類基本的任務(wù)：①提高對網(wǎng)絡(luò)中異常流量的監(jiān)控力度，加強對城域網(wǎng)出口層、匯聚層、接入層等各個級別的網(wǎng)絡(luò)設(shè)備的監(jiān)控；②加強對網(wǎng)絡(luò)數(shù)據(jù)的源地址合法性審查；③完善各級網(wǎng)絡(luò)的安全管理機制，形成一套集網(wǎng)絡(luò)監(jiān)控、攻擊應(yīng)對機制、常規(guī)安全管理為一體的網(wǎng)絡(luò)安全管理模式。

3.技術(shù)體系分析

3.1 網(wǎng)絡(luò)邊界的保護措施

電信寬帶城域網(wǎng)的網(wǎng)絡(luò)層次結(jié)構(gòu)包括出口層、核心層、匯聚層和接入層四個部分。對上述四個網(wǎng)絡(luò)組成部分的邊界保護是實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)之一。具體到各個層次而言，相應(yīng)的安全控制措施為：①出口層，通過訪問控制列表來控制進(jìn)入電信城域網(wǎng)流量。②核心層，對與核心層相連接的網(wǎng)絡(luò)端口進(jìn)行數(shù)據(jù)包的ACL控制，加強對核心層基礎(chǔ)網(wǎng)絡(luò)設(shè)備的保護，對核心層管理系統(tǒng)進(jìn)行安全強化。③匯聚層，匯聚層的安全控制是網(wǎng)絡(luò)安全控制的核心，是網(wǎng)絡(luò)用戶數(shù)據(jù)匯聚的層次。為了加強這一層次的安全管理，首先應(yīng)加強對網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)控和管理，可通過配置uRPF來防御源IP地址欺騙，同時開啟TCP攔截或者CAR來限制網(wǎng)絡(luò)流量以避免高頻網(wǎng)絡(luò)數(shù)據(jù)包攻擊。此外，對已知網(wǎng)絡(luò)病毒的防御也應(yīng)在匯聚層的設(shè)備接口處來完成，可通過配置訪問列表的方式來進(jìn)行攔截。④接入層，啟用uRPF或配置ACL，以加強對IP地址的控制和對外訪問，依據(jù)需要還可以選擇ICMP限速等其他功能來配合接入層的安全控制。

3.2 應(yīng)用系統(tǒng)的安全防護

應(yīng)用系統(tǒng)的安全防護是配合當(dāng)前電信網(wǎng)絡(luò)中部署的DNS服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫等的正常使用。應(yīng)用系統(tǒng)的安全防護的內(nèi)容主要是指主機的安全防護、應(yīng)用系統(tǒng)的入侵檢測、應(yīng)用系統(tǒng)的安全隔離以及病毒防護等。現(xiàn)分別對這幾個方面的安全防護方式進(jìn)行探討。

(1)主機安全防護

主機的安全對于網(wǎng)絡(luò)安全的重要意義不言而喻。主機的安全防護應(yīng)首先從主機系統(tǒng)的漏洞修補開始，及時對主機所使用的系統(tǒng)進(jìn)行更新和病毒檢測。此外，為了避免主機在遭受攻擊時造成大面積的服務(wù)癱瘓，應(yīng)將重要的服務(wù)內(nèi)容分布在不同的主機上，并將主機的使用權(quán)限進(jìn)行嚴(yán)格的限制。

(2)訪問的安全控制

對應(yīng)用系統(tǒng)訪問的控制是保護系統(tǒng)數(shù)據(jù)安全的重要手段，當(dāng)前電信網(wǎng)絡(luò)應(yīng)用系統(tǒng)中對訪問的主要控制手段是網(wǎng)絡(luò)隔離和密碼更換等方式。從理論上講，對訪問的控制應(yīng)當(dāng)是全方面的，從物理層面到技術(shù)、管理層面都應(yīng)實施相應(yīng)的控制手段，而不應(yīng)當(dāng)局限于當(dāng)前采用的技術(shù)手段。

(3)安全隔離手段

當(dāng)前電信網(wǎng)絡(luò)中的安全隔離手段主要是設(shè)置防火墻來實現(xiàn)對網(wǎng)絡(luò)邊界的保護和訪問控制。因此鑒于這種普遍存在的情況，在防火墻的設(shè)置時應(yīng)在以下幾個方面進(jìn)行改進(jìn)。1以網(wǎng)絡(luò)重要性為基礎(chǔ)，將網(wǎng)絡(luò)劃分為具有不同安全級別的區(qū)域，在各個區(qū)域的邊界設(shè)置不同的防火墻安全級別，并依據(jù)安全隔離的需要配置合適類型的防火墻設(shè)備。除了對硬件和軟件上的改進(jìn)，更重要是對不同安全區(qū)域之間的訪問進(jìn)行控制，根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)變化和業(yè)務(wù)上的需求來實時的調(diào)整訪問控制的管理的方式。

圖1 DDOS防護流程圖

(4)入侵檢測

以防火墻為主要安全隔離手段的網(wǎng)絡(luò)攻擊防護并不能完全保證系統(tǒng)不被非法入侵，而且也無法抵御來自系統(tǒng)內(nèi)部的攻擊，因此還需要配合系統(tǒng)的入侵檢測來進(jìn)一步保障系統(tǒng)的安全性。從系統(tǒng)的檢測形式來看，主要分為兩類，一是來自網(wǎng)絡(luò)的系統(tǒng)入侵檢測，二是針對主機的系統(tǒng)入侵檢測。對于來自網(wǎng)絡(luò)的入侵檢測通過基于網(wǎng)絡(luò)的IDS宿主機來實現(xiàn)是比較理想的方式，可以對網(wǎng)絡(luò)數(shù)據(jù)包來源進(jìn)行檢測和識別，具有較好的實時性，并可對受到的攻擊留下證據(jù)。基于主機的IDS能夠監(jiān)視系統(tǒng)的所有操作，在配合基于網(wǎng)絡(luò)的IDS方面有不可替代的作用，因此是其重要補充。總之使用基于網(wǎng)絡(luò)的IDS與基于主機的IDS的配合使用是檢測系統(tǒng)監(jiān)控和實時入侵檢測的必要手段。

(5)病毒防護

對病毒的防護是保障網(wǎng)絡(luò)安全的又一個重要方面，應(yīng)對可能存在的網(wǎng)絡(luò)安全漏洞進(jìn)行定期的檢查分析，并采取常規(guī)的防病毒措施。一旦發(fā)生系統(tǒng)病毒感染，關(guān)鍵阻止病毒的進(jìn)一步擴散和查殺病毒。當(dāng)病毒無法及時清除時，需要采取必要的應(yīng)急措施來避免損失擴大，可采取以下幾個方面?zhèn)溆脩?yīng)急措施：1對發(fā)生病毒感染的主機實施必要的隔離；2阻止被感染主機向外發(fā)送數(shù)據(jù)包；3必要時關(guān)閉郵件服務(wù)器，以避免病毒以郵件方式擴散。

4.應(yīng)用實例

4.1 基本設(shè)置

本節(jié)中以某地電信防護DDOS攻擊應(yīng)用為例來闡述網(wǎng)絡(luò)安全的防御技術(shù)。該公司在防御DDOS攻擊時采用Detector攻擊探測器和Guard保護器的組合防護策略，該防御策略的工作流程如圖1所示。

4.2 系統(tǒng)配置

(1)清潔中心的配置

根據(jù)DDOS的攻擊原理，清潔中心越靠近攻擊源頭則越能夠發(fā)揮其作用，因此將清潔中心布置在網(wǎng)絡(luò)中比較脆弱的連接部位上游。

(2)Guard保護器的配置

該公司城域網(wǎng)中共配置有兩套Guard保護器。每套設(shè)備配置3條鏈路與核心設(shè)備連接，參數(shù)為：10GE鏈路×2+1GE鏈路×1，流量的轉(zhuǎn)發(fā)和吸引由10GE鏈路完成，鏈路冗余由1GE鏈路完成。

(3)Detector攻擊探測器的配置

Detector攻擊探測器的工作需要依賴于一定的監(jiān)控平臺，此處的安全監(jiān)控平臺由Cisco和Detector共同構(gòu)成，Cisco和Detector通過2個GE接口連接，并在核心鏈路中加入分光器，將發(fā)往用戶的光信號分流，監(jiān)控平臺和用戶之間光信號分流比例為2：8。在Cisco上配置SPAN作為進(jìn)入將Cisco的流量鏡像至Detector的途徑。此外，配合使用MSP設(shè)備，在策略路由中使用ACL過濾用戶流量，只將監(jiān)測對象的流量復(fù)制至Cisco以節(jié)約帶寬。

4.3 測試結(jié)果概述

為檢測上述配置應(yīng)對網(wǎng)絡(luò)攻擊的能力，采用模擬方法來進(jìn)行檢驗。在實際測試中，采用4臺機模擬網(wǎng)絡(luò)攻擊，當(dāng)產(chǎn)生的攻擊流量在200Mpbs時，Guard的CPU使用率不超過3%，能夠較好的應(yīng)對網(wǎng)絡(luò)攻擊。當(dāng)采用子ZONE方式時，Guard可有效分流被攻擊主機的數(shù)據(jù)流，從而保障服務(wù)器的正常運行。

[1]陳繼宏.電信網(wǎng)絡(luò)信息安全的體系結(jié)構(gòu)[C].中國航海學(xué)會通信導(dǎo)航專業(yè)委員會論文集.

[2]韓國柱.電信企業(yè)提高管理與服務(wù)對策[C].中國通信發(fā)展與經(jīng)營管理學(xué)術(shù)論文集.

[3]文光斌.主動防御網(wǎng)絡(luò)安全研究[J].計算機安全,2009(8).