安全生产中国电信网络安全技术白皮书中国电信集团技术部拟文.docx
- 文档编号:7758588
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:31
- 大小:51.78KB
安全生产中国电信网络安全技术白皮书中国电信集团技术部拟文.docx
《安全生产中国电信网络安全技术白皮书中国电信集团技术部拟文.docx》由会员分享,可在线阅读,更多相关《安全生产中国电信网络安全技术白皮书中国电信集团技术部拟文.docx(31页珍藏版)》请在冰豆网上搜索。
安全生产中国电信网络安全技术白皮书中国电信集团技术部拟文
中国电信集团公司技术标准
中国电信网络安全技术白皮书
(2010年版)
2010-3-30发布2010-4-10实施
中国电信集团公司
发布
网络安全综
述
1
1.1.2009年网络安全态势总体状目录
况1
1.1.2.电信网络安全技术及应用发展动
态2
2.电信网络安全技术发展与应
用
...4
2.1.
移动互联网安
全
...4
2.1.1.移动终端安
全
4
2.1.2.网络安
全
...6
2.1.3.应用与内容安
全
...7
2.2.IP网安全9
2.2.1.承载网安
全
9
2.2.2.支撑系统安
全
11
2.2.3.应用系统安
全
12
2.2.4.安全管
理
13
2.2.5.IPv6网络演进16
3.网络安全热
点
八、、
18
3.1.云安
全
18
3.1.1.云计算安
全
18
3.1.2.安全
云
20
3.2.物联网安
全
21
4.网络安全设
备
22
5.结
语
27
关于中国电信网络安全实验
室
28
术语和缩略
语
29
1.网络安全综述
1.1.2009年网络安全态势总体状况
2009年以来,国内互联网用户及应用继续保持着高速发展,据统计,2009
年底我国互联网网民数量达到3.84亿,手机上网用户达2.33亿。
随着互联网应
用的广泛普及,其在国家政治、经济、文化以及社会生活的各个方面发挥着越来越重要的作用,已经成为国家、社会、民众交互的重要平台。
与此同时,互联网面临的安全威胁也随着互联网及应用的发展而不断演化,呈现日益复杂的局面,网络安全形势不容乐观。
纵观2009年国内网络安全总体态势,主要特征如下:
1、木马病毒数量爆发式增加,变种更新速度加快
据国家计算机病毒应急处理中心统计,2009年新增病毒样本299万个,其
中新增木马246万多个,是08年新增木马的5.5倍。
其主要特征是本土化趋势加剧,变种速度更快、变化更多,隐蔽性增强,攻击目标明确,趋利目的明显。
2、病毒传播形式途径多样化
2009年病毒传播形式不断翻新,主要包括工具捆绑病毒、恶意广告、垃圾邮件、钓鱼欺诈、网址导航、热点挂马等多种传播类型。
其中较显著的变化是黑客开始利用当前社会重大、流行事件的关键词进行指向性、针对性挂马,“XX如
门”“阿凡达”等流行热词都是黑客重点利用挂马的对象。
、
3、僵尸网络发展迅速,威胁日益严重
僵尸网络发展迅速,已成为网络安全的最大隐患之一,并逐渐成为攻击的主
要手段。
目前僵尸网络规模总体上趋于小型化、局部化和专业化;但也存在规模
巨大的僵尸网络,一旦被利用发起DDoS攻击,后果不堪设想。
4、网络犯罪的产业化趋势明显
网络犯罪正成为一种新型犯罪职业,组织化、集团化、产业化进程加速,挂
马集团和攻击组织拥有了完整的病毒开发、下毒盗号、销赃转卖、攻击等一条龙运作模式,窃取虚拟账号、恶意推广、欺骗下载或网络钓鱼等非法牟利行为呈现出愈演愈烈之势。
面对不断增长的安全威胁,国家有关部门加大了对互联网安全的管理力度,
2009年5月,工信部颁布了《互联网网络安全信息通报实施办法》和《木马和僵尸网络监测和处置机制》,对CNCERT、运营商、域名服务机构以及网络安
全企业共同开展网络安全信息共享和打击黑客产业提出了具体工作要求,并组织了多次木马和僵尸网络专项治理行动,有效地净化了网络安全环境。
2009年以来,中国电信继续在网络安全建设与运营方面开展了大量卓有成
效的工作,其中在集团层面组织开展了SOC体系建设、网络安全检查、DNS安
全专项整治、DDoS攻击防御体系完善、C网承载网安全评估等工作,有力地保障了电信网的平稳运行。
但由于主要受到外部因素影响,网络安全整体形势仍不容乐观。
全网安全漏洞仍然频发,影响对象包括众多DNS服务器、核心网络设
备等;网络病毒、僵尸木马等引发的安全事件大量增加;针对网络设备、重要支撑系统、在网客户的DDoS攻击不断出现。
据统计,2009年中国电信全网发生
DDoS攻击3.7万余次,全年垃圾邮件投诉量超过51万次,各类安全事件均呈现
快速上涨势头。
总体来说,随着移动互联网的兴起,传统宽带应用日益丰富,移动网络IP
化、终端智能化和应用丰富化给病毒传播、恶意攻击提供了有利的条件,给电信运营商安全运营带来了极大的挑战。
因此,电信运营商需不断提升电信基础网络和重要业务系统的安全防护能力,同时也应加强终端及信息服务安全,以满足全业务安全运营的迫切需求。
另外,云计算、物联网应用的兴起,将极大拓展电信运营商的业务领域,如何保障云计算、物联网应用的运营安全也是电信运营商必须面对的问题。
1.2.电信网络安全技术及应用发展动态
2009年3G商用开启了国内移动互联网新时代,移动互联网安全可划分为终端、网络、应用与内容等几个安全域。
移动终端安全热点主要为硬件安全架构、智能手机安全防护和终端安全管理等技术;
网络部分包括接入网与核心及承载网,与传统互联网相比,主要区别在于接入网部分,主要关注接入鉴权和密钥协商、非法流量管控等技术;应用安全领域重点关注应用层通用认证架构,以及垃圾短信、不良站点防治等内容安全技术。
在传统IP网领域,随着网络规模日益扩大,接入带宽不断增长,网络应用
日益丰富,电信运营商IP网络运营面临的安全威胁更为突出。
IP网安全按网络
层次架构可划分为承载网安全、支撑系统安全、应用系统安全和安全管理技术。
承载网安全最核心的问题是如何保障网络的可用性,主要技术手段包括网络设备安全加固、异常流量攻击防御、Botnet监测和控制技术等;
DNS系统是当前支撑系统中最薄弱的环节,主要研究领域包括DNS攻
击防护、DNSSECDNS安全监控技术等;
应用系统安全主要关注Web应用安全,主要研究领域包括安全认证、防
网页挂马、源代码安全分析等技术;
安全管理技术则侧重于SOC技术,技术热点主要集中在SOC平台的理
念和定位、安全关联分析技术,以及SOC平台与云计算技术的结合等。
另外,随着IPv6的演进提速,IPv6网络安全也成为业界关注的重点,主要研究领域包括IPv6自身安全机制研究、IPv6过渡技术安全研究、IPv6应用安全研究等。
在新兴技术及应用领域,随着云计算与物联网技术及应用的快速发展,云安全、物联网安全成为网络安全研究热点。
其中云安全主要包括云计算应用自身安全,以及云计算技术及理念在网络安全领域的具体应用,包括安全设备、安全基础设施的“云化”、云安全业务等。
物联网安全研究重点则包括节点认证、加密、密钥管理、路由安全和入侵检测等方面。
在网络安全设备领域,随着安全需求从单一安全产品发展到综合防御体系,网络安全产品也从过去简单的功能堆砌转向系统化设计,网络安全设备也顺应由过去单一的网络安全产品,向多种安全产品及多种安全技术的融合应用转变。
同时,随着云计算技术及理念在安全设备领域的应用,网络安全产品的“云化”趋势明显,为网络安全设备的功能、性能的提升注入了新的活力,为实现全程全网的安全防护提供了可能。
为满足互联网应用发展及自身业务运营的安全需求,电信运营商需继续强化网络安全基础设施建设,为社会及公众提供安全、高可用、可信的网络基础设施
和综合信息服务。
可管、可控的可信网络将是电信网络安全技术及应用的发展目标。
2.电信网络安全技术发展与应用
2.1.移动互联网安全
3G开启了移动互联网新时代,提供了比2G/2.5G网络更为智能化、多样化的业务,为人们生产、生活提供了便利。
然而,随着移动网络IP化、终端智能
化和应用丰富化,木马、病毒、恶意攻击、垃圾信息等传统互联网的安全问题也威胁着移动互联网。
移动安全问题已经引起了用户较大的关注,甚至影响了安全敏感型业务的推广。
根据移动互联网的特点,其安全保障应采取“分层分域”的策略,从终端、网络、应用与内容等层面保障其安全性。
2.1.1.移动终端安全
移动终端向智能化方向发展,手机正由传统的通信工具逐渐发展成为个人信息助理。
然而智能手机带给用户便利的同时,安全问题也日益突显。
一方面,手机中存储的个人信息越来越丰富,另一方面手机计算、存储及数据交换能力显著增强、智能手机操作系统的开放性,为信息泄露和病毒传播提供了可能。
因此如何提高移动终端特别是智能手机的安全性,已成为业界及用户非常关注的问题。
移动终端面临的安全威胁主要有病毒、木马等恶意代码、信息骚扰,以及终端遗失或被窃。
据统计,目前已发现手机恶意代码近千种,可导致用户隐私泄露、设备损坏、经济损失,甚至危及运营商网络。
随着3G智能手机的广泛使用,手
机恶意代码呈现出加速增长的趋势。
垃圾短信、骚扰电话为商业广告、违法诈骗等信息传播提供了方便,不仅骚扰手机用户,还可能对用户造成经济损失。
根据移动终端面临的威胁,综合考虑移动终端架构和网络环境,其安全防护应按分层防御的思路,采用多层次安全加固、立体式安全防护的策略,分别从终端硬件、软件系统和网络侧安全管理实施安全防护,全面保障终端应用和数据的安全性。
硬件安全架构:
以UIM卡为可信根,构筑应用安全基础
基于硬件架构的改进来提高移动终端系统安全性,典型的有可信计算组织
TCG的可信移动平台和ARM公司的TrustZone技术。
TCG将可信计算的概念引入到移动领域,提出了TCG移动参考体系结构并发表了MTM规范。
ARM则依
靠增强的体系结构和扩展指令集,开发研究TrustZone技术,将安全相关特性和
功能直接加入到处理器内核和内存系统。
虽然业界在硬件安全架构方面进行了探索,但由于标准化、产业支持等原因,尚未整合成完整的产业链。
UIM卡是带微处理器芯片的智能卡,具备较好的安全机制,且是用户必备、
由运营商控制的硬件,建议以其作为可信根,现阶段从应用安全入手,针对安全要求高的用户,增强UIM卡的安全功能,作为业务认证、密钥管理的基础,同时,积极跟踪TCG等标准化组织在硬件安全研究中的进展和产业应用情况。
系统安全防护:
加固与防御并重,打造终端防护体系
智能手机由于具有开放的操作系统,可安装第三方软件,面临更多威胁。
相
比之下,非智能手机环境封闭、安全性较高。
智能手机操作系统与PC操作系统类似,但针对移动终端的特点,功能有所
简化,在安全机制方面也存在较大差异,通常采用代码签名机制来控制安装软件的权限、采用安全沙箱机制隔离程序访问权限。
智能手机操作系统种类较多,目前WindowsMobile是天翼智能手机中应用最普遍的系统,提供了一系列安全策略定制不同安全级别,但其权限隔离机制较弱,只要程序被允许运行,就拥有可访问甚至修改系统资源的权限,而同时由于WindowsMobile开发门槛比较低,
黑客很容易开发针对其的恶意代码,因此该系统易受恶意代码攻击。
针对系统安全防护,主要有客户端软件、网络侧流量过滤两种思路,提供服
务的既有传统的杀毒厂商,也有专门从事手机安全服务的厂商。
中国电信网络安全实验室在调研用户需求并充分考虑移动终端特点的基础上,已经设计开发了天翼安全伴侣原型系统,提供了安全检查、防病毒、防骚扰、防盗用和数据保护等安全功能,可以为用户提供全面的安全服务。
智能手机系统的防护,应从加固与防御两方面着手,在充分利用系统提供的
安全策略进行加固的基础上,为用户提供必要的安全防护手段。
建议通过定制终
端预装、网站下载等途径分发安全防护软件,为天翼智能手机用户免费提供系统
安全检查等基础服务,在此基础上,有偿提供杀毒、防盗用等安全防护增值服务。
终端安全管理:
构筑终端管理体系,掌控安全态势
国际标准化组织OMA制订了用于实现终端设备管理的标准OMADM,可
以通过OTA的方式来采集终端信息,配置终端的参数信息,将数据包从网络下载到终端上安装,处理终端设备产生的事件和告警信息。
终端安全管理为运营商提高服务质量提供了有效手段,技术上建议在集团层
面或移动业务发展较好的省可构建终端安全管理平台,试点开展终端安全管理服务,为用户提供固件升级、软件分发、故障诊断、安全事件采集、事件通告等服务。
2.1.2.网络安全
移动互联网网络包括接入网和核心及承载网,与传统互联网相比,主要区别在于接入网部分。
接入网无线空中接口的安全威胁主要有非法接入网络、跟踪窃听空口传送的信息、滥用网络服务等。
这些安全隐患和问题已经引起各界重视,相关标准在接入鉴权、空口加密等安全保护机制方面都有比较全面的考虑,特别是3G网络安全保障有了进一步的改进。
中国电信移动网络采用的CDMA标准具有抗干扰、安全通信、保密性好的
特性。
CDMA1X采用专用CAVE算法产生密钥,并用长码序列、ORYX和增强
的分组加密算法E_CMEA,分别实现语音、数据和控制信令的加密,鉴权过程使用CAVE算法。
EV-DO空口增加了安全层,提供空口加密以及信令的完整性保护,可支持AES、SHA-1等算法,接入认证采用基于MD5算法的CHAP认证。
存在的安全问题主要是:
CDMA20001x和EV-DO接入鉴权均为单向鉴权,即
只有网络对终端的鉴权,没有终端对网络的鉴权;基于CAVE和MD5算法的认
证密钥较短,只有64bit,且与之相关联的语音、信令、数据加密算法有些已被证明存在安全隐患。
针对以上问题,3GPP2在3GPP鉴权和密钥协商体制AKA的基础上改进,
形成增强型用户鉴权机制,并确定为主要安全认证技术。
AKA实现了网络和用
户的双向认证机制,采用AES加密算法,密钥长度增加到128bit,安全性得到
很大提升。
CDMA后续演进中可能采用的IMS、LTE都已明确采用AKA作为认
证机制。
CDMA核心网承载于中国电信大客户专网CN2专业VPN上,具备大容量、
QoS能力、高可用性、专网级安全等特性,关于CN2的安全性,参见IP网络安
全的承载网部分。
和传统互联网类似,移动互联网设备和网络面临着各种攻击威胁,主要的防护措施包括安全域划分、边界防护、实施严格的访问控制策略、设备安全加固等。
由于接入资源有限,移动互联网业务更易受到非法流量的影响,对其他高附加值业务造成冲击,因此,有必要对流量进行有效的识别和管控。
目前流量检测技术主要有xFlow和DPI检测等,基于xFlow的技术对网络三、四层的流量进行监控,DPI技术则在分析包头的基础上,增加了对应用层的分析,更适用于需要精细和准确识别、精细管理的环境,可防止网络资源滥用、抑制垃圾流量、进行内容过滤等。
综合考虑移动互联网网络和业务特点,以及内容管控的要求,技术上建议采用DPI技术进行流量管控。
针对移动互联网的主要问题,建议从以下方面进行改进:
提高网络各层面安全防护能力,加强网络资源可用性。
如在网络的控制
层面通过对上送CE设备主控板流量的限制,防止攻击流或异常流挤占主控引擎资源;在数据转发层面针对常见及危害程度较大的病毒端口进行ACL限制防止攻击流量占用带宽资源;在路由层面启动路由认证机制防止路由欺骗、路由攻击;在管理层面实施设备统一认证、管理和授权防止攻击者非法入侵网元设备;
结合现网试点情况部署DPI设备,增强对网络流量、业务的识别和管控能力,防范流量攻击、屏蔽对不良站点的访问;
在网络演进中,积极稳妥地引入AKA等新型安全机制,增强移动互联
网的安全性;在网络融合中,统一规划接入认证平台,加强统一安全管控,简化认证流程。
2.1.3.应用与内容安全
应用是移动互联网发展的助推器,应用的安全影响着移动业务的推广,至关
重要。
同时,垃圾短信、不良站点等是移动互联网应用安全中棘手的问题,需要
通过技术检测和管理手段相结合的方式进行治理。
应用安全:
利用接入层安全机制,构筑移动互联网应用安全基础设施
众多业务的开展,需要可靠的认证机制来保证合法的业务使用以及正确的计
费,目前各种业务的认证通常由各业务平台独立进行,认证机制和实现方式差异较大,不仅不利于业务开展,还可能存在安全隐患。
为了解决应用层的密钥共享、业务鉴权等一系列问题,提供统一的认证服务,3GPP和3GPP2定义了一种通用
的认证机制GBA。
GBA可以为已有的和将要开展的业务提供安全服务,不仅可以解决密钥分发的安全问题,也可以避免为每一种业务都提供独立的鉴权机制,以一致的方式解决业务的安全认证问题。
GBA正在标准化,中国电信可关注其
标准化和产业支持情况,同时可借鉴GBA的思路,构筑移动互联网应用安全基
础设施,为服务提供商增强应用安全性提供必要技术支持。
目前,移动互联网应用以账号口令认证为主,安全性差。
可通过以下两种技
术提高安全性:
一是利用移动通信接入的安全性,提供基于接入层的身份溯源;
二是提供基于UIM卡的PKI/WPKI应用支持。
根据不同应用安全要求,可分别
构建两类应用安全支撑平台,提供应用安全支持服务,技术上可考虑:
选择试点省份构建接入身份溯源系统,为具有较高安全要求的服务提供商开展基于UIM用户信息的身份溯源服务,实现应用层用户账号与接入信息绑定,增强用户认证的安全性;
在集团层面构建基于UIM卡的PKI/WPKI支持基础设施,UIM卡作以
为数字证书、私钥的存储介质,并支持多组证书,通过平台统一管理,为具有高安全要求的应用提供基于PKI的身份认证、交易签名、数据
加密功能,提高应用的安全性。
内容安全:
技术检测与管理手段结合,防治垃圾信息和不良站点
针对垃圾短信的监控和过滤,当前主要有关键字过滤机制和号码黑名单机
制,但面对不断演变的垃圾短信,这两种机制取得的效果并不非常理想。
中国电信网络安全实验室已经开发的天翼安全伴侣采用了基于智能模式识别的垃圾短信监控技术,其核心是基于朴素贝叶斯方法对短信内容进行特征学习和智能分类,进而实现对垃圾短信的智能化监控,具有较高的精确度,并通过建立短信反馈和再学习机制,可进一步实现系统根据短信内容的自适应。
不良站点的监测,可通过爬虫技术采集站点内容,并进行语义、图像、流媒
体识别等自动分析,其中在文本信息的检测方面,基于统计方法、专家系统等分类识别技术已经比较成熟,但图像、视频等多媒体识别技术成熟度较低,需要结合人工审核。
不良信息过滤,主要采用DPI技术分析用户访问站点URL,并进
行过滤。
不良站点应采取防、治结合的手段治理,技术上建议如下:
部署内容检测系统,主动检测网内网站,及时发现不良站点,并通过管
理手段进行整治;
在C网综合CE到163和CN2的链路上,部署DPI设备,分析用户访问网页的URL信息,实现移动上网日志留存;
C网分组域业务流量综合管理系统增加URL封堵功能,一旦发现用户
访问不良信息,屏蔽该页面。
其中,URL封堵模块与内容检测系统接口,
及时获取URL列表。
外网无法检测的站点,则根据主管部门下发的名单进行封堵。
2.2.IP网安全
ip网络是电信运营最重要的基础网络,安全是保证网络质量的基础。
ip网
络安全可分为承载网安全、支撑系统安全、应用系统安全几个层次,同时,安全的专业化趋势使统一网络安全管理成为一项重要课题,此外,随着中国电信IPv6
网络演进的进程加速,IPv6网络安全也提上日程。
2.2.1.承载网安全
承载网安全主要通过对网络设备、路由的安全保护,强化网络的抗攻击能力,
提高网络的可用性、可生存性,并防范外部对网络的流量攻击。
在历年的安全整治中,通过平面隔离、严格的访问控制策略的实施、设备安全加固以及设备的安全管理、安全审计等机制提高了网络设备的安全防护能力和可生存能力,在路由协议中实施认证与完整性检查提高了网络路由的安全性。
但
在2009年通信安全巡检中,网络设备和路由的安全依然暴露了一些不足,主要
表现在:
设备管理存在安全漏洞,未完全按照安全规范的要求进行设备配置和管
理;设备自身安全防护策略不够精细化;BGP路由协议安全策略尚需优化。
技
术上建议重点进行以下改进工作:
1、构建带外网管,加强对设备的安全规范化管控;
2、对BGP协议采用精细化路由控制策略,包括:
限制接收的ASPATH长
度、设置BGPTTLSecurity值、启用邻居加密机制、发布路由时使用prefix-list的方式进行白名单的控制、接收路由时设置最大接收前缀等;
3、启用设备关键资源防护(Anti-DDoS)措施,提高骨干设备的自我防护
及防瘫能力。
流量攻击是承载网面临的严重安全威胁。
根据集团的DDoS攻击监测平台统
计,每月发生在中国电信网内的DDoS攻击就有几千次,主要种类为SYNFLOOD
和ICMPFLOOD,攻击时长以短期为主,半小时以下占主要成分,其中1-15分
钟的攻击最多,对过滤清洗造成一定的困难。
因此,对于异常流量攻击安全防护
的技术建议如下:
1、在接入层加强对虚假源地址流量的控制,减轻异常流量对大网的冲击;
2、进一步完善DDoS攻击防御平台的建设,采用基于骨干网平台+本地清洗
系统的二级联动业务部署方案,本地平台解决小规模和本地攻击,骨干平台解决大规模跨域攻击,充分利用骨干网平台的大容量清洗能力和本地平台的灵活性部署和精细化防护策略,在降低部署成本的基础上,大力提升全网攻击防御能力;
3、主动防御,对异常流量的主要来源之一Botnet进行监控,在其形成危害
之前消除。
目前业界主要利用DPI和蜜网技术进行Botnet检测,但蜜网需要在全网分布式部署蜜罐系统,DPI则需要在省网网络出口部署,部署难度及成本均较高。
据此,中国电信网络安全实验室已提出了一种基于网络流量特征和DNS分析进行
僵尸网络追溯的方案,部署难度及成本均较低,只需要对现有DNS系统进行改
造,并与现有的攻击溯源系统对接即可。
具体步骤如下:
1、通过攻击溯源系统得到僵尸主机IP地址;
2、改造现有的DNS系统,使之具备关联查询和统计分析功能;
3、将僵尸主机IP导入到DNS分析系统中,分析僵尸主机IP地址所共同访
问的域名;
4、找到僵尸域名后,根据DNS访问记录,找出访问僵尸域名的僵尸主机;
5、根据僵尸主机IP地址进行僵尸网络的清理工作。
2.2.2.支撑系统安全
支撑系统包括DNS、CTG-MBOSS等,支撑着中国电信网络和业务的正常运营。
CTG-MBOSS处于内部专网,一般采用安全域划分、边界防护等方式实现系统之间的隔离,控制安全风险的影响范围;采用严格的访问控制策略,防止非授权用户的访问,并根据安全规范和安全策略,对设备进行安全管理和加固,实现设备层的安全防护。
总的来看,设备层面的安全风险较低,建议加强内控,完善用户权限管控和安全审计工作。
DNS为公众提供域名解析服务,发生故障后的影响范围较大,因此,需要重点加强安全防护。
目前,DNS面临的安全威胁主要有两类:
一类是域名劫持、
缓存中毒等DNS欺骗攻击,将用户引导到错误的站点;另一类是DDoS等异常
流量攻击,使DNS服务器无法响应用户域名解析请求。
DNS欺骗攻击源于DNS协议自身设计存在安全缺陷,无法保障DNS信息
的真实性
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全生产 中国电信 网络安全 技术 白皮书 集团 技术部