淺談運營商互聯網信息安全的分析與防范

白 冰

（中移鐵通福建分公司云數據支撐中心，福州 350000）

1 引言

近年來，互聯網業務飛速發現，網絡流量呈現爆發式增長。而斯諾登曝光美國的“棱鏡”計劃，使得人們發現互聯網帶來巨大便利的的同時，也存在嚴重的信息安全隱患，意識到提升信息安全的緊迫性與重要性。

2 互聯網信息安全概述

信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。對基礎電信運營商而言，建立健全信息安全管理制度，通過制度嚴控每個管理及生產環節，并對重點環節進行重點整治，不留信息安全隱患。

3 網絡信息安全面臨的威脅

目前網絡信息安全面臨的威脅主要來自于以下幾個方面：

3.1 網絡滲透、病毒攻擊威脅

網絡攻擊可能極大浪費運營商骨干網絡寶貴的帶寬資源，嚴重增加核心設備的工作負荷，造成關鍵業務的中斷或網絡服務質量的大幅降低。在公司信譽也會蒙受損失的同時，造成利潤下降、生產效率降低。常見的網絡攻擊有DDOS攻擊，木馬蠕蟲攻擊等。

3.1.1 DDoS攻擊

拒絕服務（Denial of Service，DoS）攻擊是一種通過占用計算機系統和網絡，包括 CPU、內存、帶寬、數據庫服務器等在內的各種資源，以達到耗盡資源、拒絕其它正常用戶服務訪問、破壞網絡應用服務系統正常運行的攻擊方式。

3.1.2 木馬蠕蟲攻擊

不法分子使用滲透掃描工具，通過特定端口傳播蠕蟲惡意代碼，已NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件為代表，危害巨大。

3.2 網絡劫持威脅

網絡劫持是在用戶不知情的情況下，通過多種方式改變用戶請求目的，常見的網絡劫持包括DNS劫持、HTTP劫持，劫持可發生在任何網絡層面，劫持行為隱蔽性高，監管難度大。

3.2.1 DNS劫持

該類劫持通過篡改用戶DNS，或在特定網絡范圍內攔截指定的域名解析的請求，將用戶正常DNS請求，引導向釣魚等網站，達到欺騙用戶，騙取用戶信息、獲取不良收益的目的。

3.2.2 HTTP劫持

該類劫持可通過鏡像或分光等方式，劫持用戶HTTP GET請求，修改HTTP響應數據，模仿源站進行偽造應答，應答包里嵌套惡意代碼，優先源站響應用戶，已達到欺騙用戶的目的，導致用戶在訪問源站內容的同時訪問了部分非源站提供內容。而非源站提供的內容可能為廣告推送、涉黃、詐騙等信息，在增加用戶投訴的同時，也增加信息安全隱患。

3.3 不良信息威脅

目前國內新增ICP入網采用實名制及備案審查，沒有實名制及備案一律不得提供互聯網內容服務，但是針對境外資源，無法進行嚴格審查，一些不法分子利用境外互聯網資源架設服務器，提供虛假、涉黃、暴力、反動的不良信息，通過域名變換和翻墻不斷調整域名，給內容監管帶來巨大困難，對人們正常的生活造成影響，嚴重污染了互聯網環境，給社會帶來了極大的危害。

4 互聯網信息安全防范措施

針對運營商面臨的三方面信息安全威脅，在保障自身網內各類系統、主機、網絡設備安全的基礎上，為接入用戶提供安全可靠的互聯網體驗環境，需要采取必要的措施加以管控，對相關威脅進行防范。

4.1 網絡滲透、病毒攻擊防護措施

4.1.1 基礎網絡防護

網絡設備配置嚴格ACL，VTY接口僅允許AAAA系統授權的用戶登錄，除AAAA登錄權限外，刪除原有設備所有登錄權限，AAAA登錄權限需具備較高強度，使用超時時間機制將管理會話縮短，定期更新口令，并采用加密傳輸（SSH）替代明文傳輸（Telnet）遠程登錄；同時對本地CONSOLE接口進行安全防護，消除本地管理隱患；對設備SNMP也需要進行嚴格限制，禁止使用默認讀寫團體屬性，需配置嚴格ACL，僅允許授權網管進行數據采集，對于沒有SNMP監控需求的設備一律關閉服務。

原則上禁止外部請求對內網資源的直接訪問，對于確實存在的外部用戶的正常請求，可通過SSL VPN，L2TP VPN等VPN技術進行穿透，VPN需具備口令+短信，口令+UKEY等強認證方式，已確認登錄用戶的合法性；對于必須通過映射才能實現的特殊應用，不能直接做公網IP做內網IP的映射，這樣會將內網資源直接暴露在公網，應使用公網IP+公網端口+內網IP+內網端口的映射，并通過包過濾策略嚴格限制公網IP的范圍，僅允許授權的IP訪問，這樣才能保障在存在映射的環境下，內網資源不被非法IP訪問。

4.1.2 DDOS攻擊防護

對于運營商或者大型網絡，使用流量清洗系統，在骨干網或內容網絡，利用旁路集群部署，在不改變原有運營商網絡結構的前提下，提供抵御海量DDoS攻擊的能力。

4.2 網絡劫持防護措施

4.2.1 DNS劫持防護

針對需要向虛假DNS請求的劫持情況，在核心層將DNS請求UDP53端口進行管控，通過策略路由將本省DNS請求放行，將其他請求該端口數據指向安全防火墻，將DNS請求通過源NAT為防火墻內部地址，然后在防火墻通過策略路由將該請求進行回指，在防火墻接口出方向做目的NAT為本省DNS，使得異常DNS請求轉換為本省DNS請求，即使用戶側DNS被劫持，其DNS請求的結果仍然與本省DNS解析結果相同。

4.2.2 HTTP劫持防護

HTTP劫持，可通過管理手段和技術手段加以事前預防，二者相輔相成，缺一不可，同時對于已經發生的劫持行為，通過劫持定位等相關措施最終消除現網隱患。

4.2.2.1 管理手段

正常情況下，運營商通過省干各平面的DPI或專用分光平臺將分光流量直接接入緩存、推送等業務系統，但是利用管理漏洞，可以將分光流量接入二層或三層交換機，在該交換機下存在正常使用分光流量業務，同時通過交換機對分光流量進行復制，然后將分光流量輸入同一交換機下未授權的劫持服務器，導致異常劫持的發生，這種分光接入方式操作隱蔽，監管困難，危害巨大。為避免此種情況的發生，通過管理手段需禁止將分光流量直接接入現網交換機，同時對DPI或分光平臺進行定期檢查，對已經停止使用的分光接口及未授權的分光端口進行關閉。

4.2.2.2 技術手段

HTTP劫持行為通過偽造用戶源地址，對用戶進行欺騙，使用URPF協議可以從技術層面進行管控。

4.2.2.2.1 URPF協議原理

URPF（Unicast Reverse Path Forwarding）是一種單播反向路由查找技術，用于防止基于源地址欺騙的網絡攻擊行為。通常情況下，網絡中的路由器接收到報文后，獲取報文的目的地址，針對目的地址查找路由，如果查找到則進行正常的轉發，否則丟棄該報文。URPF通過檢查數據包中源IP地址，并根據接收到數據包的接口和路由表中是否存在源地址路由信息條目，來確定流量是否真實有效，并選擇數據包是轉發或丟棄。

4.2.2.2.2 具體操作步驟

已華為S9300系列交換機為例

進入接口配置模式

4.2.2.3 劫持定位

根據劫持優先響應的原則，劫持點比源站距離用戶更近，劫持偽造報文的TTL值會明顯高于源站響應的報文，通過wireshark抓包進行跟蹤劫持報文情況，并根據報文的TTL值，對比tracert數據直觀定位劫持點。

4.3 不良信息防護措施

4.3.1 不良敏感信息掃描

使用不良信息審計系統，通過基于域名、關鍵字、正則表達式等多種組合，以及內容審計策略掃描指定TOP網站，對被檢測站點網頁頁面進行深度內容掃描檢測，快速、準確的分析判斷網頁頁面是否含有非法敏感信息、木馬信息等，實時告警響應，從而有效防止不良信息擴散，為追查取證提供有力支持。

4.3.2 不良敏感信息封堵

使用DPI等系統對用戶投訴、主動探測等多種渠道發現的涉黃、暴力、反動等不良信息進行阻斷，采取丟棄策略，限制用戶訪問不良敏感信息，對已接入省內內容網絡的CP，發現不良信息需立刻采取封堵處理，同時要求CP處理，并限期要求CP提供整改報告，核實問題已解決后，方可恢復服務。

5 結束語

運營商通過加強自身監管，并附以科學的技術手段支撐，做好信息安全保障，同時對接入內容網絡的客戶進行信息安全審核和管理，對接入的用戶行為進行有效的管控，預防信息安全事件的發生，為用戶打造提供綠色、健康的網絡生態環境。