電信網(wǎng)絡安全防控策略論文

時間:2022-10-15 04:27:00

導語:電信網(wǎng)絡安全防控策略論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

電信網(wǎng)絡安全防控策略論文

摘要:電信網(wǎng)絡的安全問題不容忽視。分析了電信網(wǎng)絡安全現(xiàn)狀,指出了影響電信網(wǎng)絡安全的主要因素,并從技術角度提出了防護措施。

關鍵詞:電信;網(wǎng)絡安全;技術防護

從20世紀90年代至今,我國電信行業(yè)取得了跨越式發(fā)展,電信固定網(wǎng)和移動網(wǎng)的規(guī)模均居世界第一,網(wǎng)絡的技術水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網(wǎng)的安全狀況直接影響這些基礎設施的正常運行。加強電信網(wǎng)絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網(wǎng)絡安全及防護工作做了一些思考。

一、電信網(wǎng)絡安全及其現(xiàn)狀

狹義的電信網(wǎng)絡安全是指電信網(wǎng)絡本身的安全性,按照網(wǎng)絡對象的不同包括了PSTN網(wǎng)絡的安全、IP/Internet網(wǎng)絡安全、傳輸網(wǎng)絡安全、電信運營商內部網(wǎng)絡安全等幾個方面;廣義的網(wǎng)絡安全是包括了網(wǎng)絡本身安全這個基本層面,在這個基礎上還有信息安全和業(yè)務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡安全的建設,針對網(wǎng)絡特點、業(yè)務特點建立了系統(tǒng)的網(wǎng)絡安全保障體系。我國電信的網(wǎng)絡安全保障體系建設起步較早。2000年,原中國電信意識到網(wǎng)絡安全的重要性,并專門成立了相關的網(wǎng)絡安全管理部門,著力建立中國電信自己的網(wǎng)絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據(jù)組織保障策略引導、保障機制支撐的原則。隨著網(wǎng)絡規(guī)模的不斷擴大和業(yè)務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網(wǎng)絡安全方面的工作。為此,建立了網(wǎng)絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作,來完成對網(wǎng)絡安全事件的監(jiān)控,完成對網(wǎng)絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而,網(wǎng)絡安全是相對的。網(wǎng)絡開放互聯(lián)、設備引進、新技術引入、自然災害和突發(fā)事件的存在等,造成了網(wǎng)絡的脆弱性。當電信網(wǎng)絡由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務轉型中,安全問題更加暴露。從狹義的網(wǎng)絡安全層面看,隨著攻擊技術的發(fā)展,網(wǎng)絡攻擊工具的獲得越來越容易,對網(wǎng)絡發(fā)起攻擊變得容易;而運營商網(wǎng)絡分布越來越廣泛,這種分布式的網(wǎng)絡從管理上也容易產(chǎn)生漏洞,容易被攻擊。從廣義的網(wǎng)絡安全層面看,業(yè)務欺詐、垃圾郵件、違法違規(guī)的SP行為等,也是威脅網(wǎng)絡安全的因素。

二、電信網(wǎng)絡安全面臨的形勢及問題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合,給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務網(wǎng)中傳送,信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務網(wǎng)隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡控制系統(tǒng),保障了網(wǎng)絡安全。IP電話引入后,需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通,電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎上,TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現(xiàn)不法行為,無論是運營商還是執(zhí)法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。

2.2新技術、新業(yè)務的引入,給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入,徹底打破了電信網(wǎng)根據(jù)不同業(yè)務網(wǎng)分別建設、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網(wǎng)絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網(wǎng)絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業(yè)務的引入,都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網(wǎng)絡側發(fā)送信息的能力大大增強,每一個用戶都有能力對網(wǎng)絡發(fā)起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網(wǎng)絡群,其拒絕服務攻擊的破壞力將可能十分巨大。

2.3運營商之間網(wǎng)絡規(guī)劃、建設缺乏協(xié)調配合,網(wǎng)絡出現(xiàn)重大事故時難以迅速恢復

目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監(jiān)管措施還不配套,給電信網(wǎng)絡安全帶來了新的威脅。如在網(wǎng)絡規(guī)劃建設方面,原來由行業(yè)主管部門對電信網(wǎng)絡進行統(tǒng)一規(guī)劃、統(tǒng)一建設,現(xiàn)在由各運營企業(yè)承擔各自網(wǎng)絡的規(guī)劃、建設,行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡癱瘓問題,不同運營商之間的網(wǎng)絡能否互相支援配合就存在問題。

2.4相關法規(guī)尚不完善,落實保障措施缺乏力度

當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網(wǎng)絡安全相關的法律法規(guī)還不完備,且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設方面,也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位,更多地關注網(wǎng)絡建設、業(yè)務開發(fā)、市場份額和投資回報,把經(jīng)濟效益放在首位,網(wǎng)絡安全相關的建設、運行維護管理等相對滯后。

三、電信網(wǎng)絡安全防護的對策思考

強化電信網(wǎng)絡安全,應做到主動防護與被動監(jiān)控、全面防護與重點防護相結合,著重考慮以下幾方面。

3.1發(fā)散性的技術方案設計思路

在采用電信行業(yè)安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發(fā)散性的思路進行安全分析和保護,并將方案的目的確定為電信網(wǎng)絡系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng),使其具有統(tǒng)一的業(yè)務處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡層安全解決方案

網(wǎng)絡層安全要基于以下幾點考慮:控制不同的訪問者對網(wǎng)絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區(qū)域的訪問和誤操作。可以按照網(wǎng)絡區(qū)域安全級別把網(wǎng)絡劃分成兩大安全區(qū)域,即關鍵服務器區(qū)域和外部接入網(wǎng)絡區(qū)域,在這兩大區(qū)域之間需要進行安全隔離。同時,應結合網(wǎng)絡系統(tǒng)的安全防護和監(jiān)控需要,與實際應用環(huán)境、工作業(yè)務流程以及機構組織形式進行密切結合,在系統(tǒng)中建立一個完善的安全體系,包括企業(yè)級的網(wǎng)絡實時監(jiān)控、入侵檢測和防御,系統(tǒng)訪問控制,網(wǎng)絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統(tǒng)的總體可控性。公務員之家

3.3網(wǎng)絡層方案配置

在電信網(wǎng)絡系統(tǒng)核心網(wǎng)段應該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品,將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort),用以監(jiān)控局域網(wǎng)內各網(wǎng)段間的數(shù)據(jù)包,并可在關鍵網(wǎng)段內配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應的監(jiān)測。

3.4主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

由于電信行業(yè)的網(wǎng)絡系統(tǒng)基于Intranet體系結構,兼呈局域網(wǎng)和廣域網(wǎng)的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網(wǎng)絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產(chǎn)品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產(chǎn)品進行中央管理。

3.5系統(tǒng)、數(shù)據(jù)庫漏洞掃描

系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。

參考文獻:

[1]信息產(chǎn)業(yè)部電信管理局.電信網(wǎng)絡與信息安全管理[M].北京:人民郵電出版社,2004.

[2]陳綱.保障電信網(wǎng)絡安全的五項措施[N].通信產(chǎn)業(yè)報,2003-9-28.