網(wǎng)絡安全是一個涉及面廣泛的問題。隨著人們對網(wǎng)絡依賴性的增強�����,電信網(wǎng)的安全性���、可靠性與容災能力越來越受到重視。雖然一開始�,網(wǎng)絡設計者就采用SDH恢復、雙歸屬等技術來進行網(wǎng)絡的冗余與備份����,以提高電信業(yè)務的抗災能力��,但是由于災難的不可預測性�����,如何做到未雨綢繆以及在緊急情況下迅速提供電信業(yè)務一直是人們關注的焦點�����。此外��,隨著WLAN����、互聯(lián)網(wǎng)和3G的廣泛應用�,下一代網(wǎng)絡的安全性問題也日益受到重視。
一����、網(wǎng)絡安全涉及的內(nèi)容
網(wǎng)絡安全涉及的層面非常廣,從網(wǎng)絡到信息��,從物理網(wǎng)絡的保護到對各種病毒和網(wǎng)絡攻擊的預防����,涉及IT行業(yè)的方方面面��。一般來講�,網(wǎng)絡安全可以簡單分為以下幾個層次�����。
1.電信網(wǎng)絡的安全可靠性
電信網(wǎng)絡的可靠性問題由來已久�����。傳統(tǒng)上��,電信網(wǎng)的可靠性一般分為兩個方面���,即預防網(wǎng)絡故障的發(fā)生以及電信網(wǎng)絡發(fā)生故障后的保護和恢復����。目前隨著通信協(xié)議在網(wǎng)絡中的應用越來越廣泛����,通信協(xié)議的安全性也越來越重要�,特別是在互聯(lián)網(wǎng)的開放環(huán)境中,對通信協(xié)議的安全性要求更高。
預防網(wǎng)絡故障的發(fā)生一般在網(wǎng)絡規(guī)劃和建設時就已經(jīng)考慮����,但仍然需要根據(jù)構成設備的可靠性來分析建成后系統(tǒng)的整體可靠性。
故障發(fā)生時的網(wǎng)絡保護和恢復能力也是電信網(wǎng)絡建設所考慮的重點�,特別是隨著傳輸設備的交叉連接能力的增強,為傳輸網(wǎng)絡的故障恢復能力提供了重要保證����。目前,IP網(wǎng)絡的相關故障恢復主要發(fā)生在以下三個層次:光傳輸層���、ATM層和IP層����。其中�����,越是底層的網(wǎng)絡����,要求保護和恢復的時間越快、代價越高����,也越不靈活�����。
2.互聯(lián)網(wǎng)的安全可靠性
由于互聯(lián)網(wǎng)是一種全球性���、開放性、透明性的網(wǎng)絡��,是無邊界的�,任何團體或個人都可以在互聯(lián)網(wǎng)上方便地傳送或獲取各種各樣的信息。然而目前網(wǎng)絡自身的安全保護能力有限���,許多應用系統(tǒng)處于不設防或很少設防的狀態(tài)���,存在很多漏洞,而將來對網(wǎng)絡的攻擊不僅僅是已經(jīng)出現(xiàn)的蠕蟲����、病毒和黑客攻擊,還會有針對互聯(lián)網(wǎng)基本機理的攻擊����,使關鍵的交換機�、路由器和傳輸設備癱瘓�����。隨著上網(wǎng)單位和網(wǎng)上信息的日益增多��,網(wǎng)絡與信息安全面臨的挑戰(zhàn)越來越大�。
互聯(lián)網(wǎng)協(xié)議構件的安全性問題也越來越嚴重����,一方面與互聯(lián)網(wǎng)協(xié)議本身有關,另一方面也與互聯(lián)網(wǎng)的商業(yè)化進程密切相關�����,如目前由于互聯(lián)網(wǎng)運營模式的變化�,可能受到的攻擊手段也在增加,特別是隨著VoIP業(yè)務使得互聯(lián)網(wǎng)和傳統(tǒng)電信網(wǎng)互連�����,對傳統(tǒng)電信網(wǎng)的信令系統(tǒng)也造成很大的威脅�����。因此對于互聯(lián)網(wǎng)架構的安全性問題,一方面可以通過協(xié)議的安全性改進���、實現(xiàn)的一致性����、安全性問題標準化等措施來加強�,另一方面則應盡量減少協(xié)議受攻擊或者威脅的可能。
3.信息安全
網(wǎng)絡安全與信息安全是休戚相關的�,網(wǎng)絡不安全,就談不上信息安全;然而網(wǎng)絡再安全�,也不可能萬無一失,所以還要加強信息自身的安全性?���,F(xiàn)在,基本上在網(wǎng)絡硬件�����、網(wǎng)絡操作系統(tǒng)���、網(wǎng)絡中的應用程序��、數(shù)據(jù)安全和用戶安全等五個層面上開展研究工作�����。除了常用的防火墻�、代理服務器、安全過濾�����、用戶證書�����、授權����、訪問控制�、數(shù)據(jù)加密、安全審計和故障恢復等安全技術外���,還要采取更多的措施來加強網(wǎng)絡的安全����,例如����,針對現(xiàn)有路由器�����、交換機�、邊界網(wǎng)關協(xié)議(BGP)����、域名系統(tǒng) (DNS)所存在的安全漏洞提出解決辦法;迅速采用增強安全性的網(wǎng)絡協(xié)議(特別是IPv6);對關鍵的網(wǎng)元、網(wǎng)站�����、數(shù)據(jù)中心設置真正的冗余���、分集和保護; 實時全面地觀察和了解整個互聯(lián)網(wǎng)的情況��,對傳送的信息內(nèi)容負責����,不盲目傳遞病毒或進行攻擊;嚴格控制新技術和新系統(tǒng)�����,在找到和克服安全漏洞或者另加安全性之前不允許把它們匆忙推向市場。
目前就信息的安全性要求來說��,一般強調(diào)五個要求��,即信息的可用性����、保密性、完整性�、真實性和不可抵賴性��。
二���、電信行業(yè)在網(wǎng)絡安全方面的經(jīng)驗
電信網(wǎng)絡一般指有線���、無線、衛(wèi)星網(wǎng)絡以及互聯(lián)網(wǎng)等����,電信網(wǎng)絡所受到的威脅主要是恐怖襲擊、自然災難或類似情況���。電信行業(yè)在安全方面的工作重點主要包括業(yè)務�����、網(wǎng)絡和企業(yè)的安全可靠性���。
對于電信行業(yè)來講���,安全隱患一般分為以下兩種:
脆弱性(vulnerability):指通信網(wǎng)絡設施的某些方面容易損壞或受到安全威脅的特性;
威脅:可能損害或危及網(wǎng)絡安全的任何潛在因素。
1.通信設施主要安全問題及對策
通信設施的安全問題主要來自以下幾個方面�����,運營商應該在問題發(fā)生之前采取預防措施��,或在問題發(fā)生之后采取積極的補救措施���。
(1)環(huán)境
包括建筑物����、電纜溝槽��、衛(wèi)星軌道的空間����、海纜沿途等環(huán)境�����。沒有絕對安全的環(huán)境�,要整體考慮環(huán)境安全計劃����,需要定期對環(huán)境進行評估和再評估,特殊環(huán)境需要特殊考慮��。
(2)供電
包括電池����、地線����、電纜、保險絲����、備用應急發(fā)電機和燃料。內(nèi)部電力設施常常被忽略����,需要持續(xù)檢驗電力系統(tǒng)是否有效�����,業(yè)務提供商和網(wǎng)絡運營商要保證對重要的設備不間斷供電�,在發(fā)生自然災難(如臺風�����、地震)時�����,能夠提供發(fā)電機的燃料供應和后備電源的使用�����。
(3)硬件
包括硬件架構�、電子電路模塊和電路板、金屬件以及光纜�����、電纜���、半導體芯片�。關鍵網(wǎng)元的設備供應商應該對電子硬件進行測試,以確保兼容性�����、抗震性�、耐壓性、溫度適應性等�。
(4)軟件
包括軟件版本的物理儲藏、開發(fā)與測試�����、版本控制與管理等���。提供商應提供安全的軟件傳送方式���。
(5)網(wǎng)絡
包括節(jié)點的配置����、多種網(wǎng)絡與技術、同步�����、冗余�、物理與邏輯的分集��。業(yè)務提供商和網(wǎng)絡運營商應該開發(fā)一套嚴密的程序����,以評估和管理各種危險(如迂回路由�����、緊急狀態(tài)快速反應)���。
(6)負載
包括跨越網(wǎng)絡設施傳送的信息、業(yè)務量模型與統(tǒng)計�、信息攔截偵聽����。網(wǎng)絡運營商在設計網(wǎng)絡時應該使?jié)撛诘男畔r截降到最小��。
(7)人員
包括有意和無意的行為、限制�����、教育與培訓、道德規(guī)范等��。業(yè)務提供商與網(wǎng)絡運營商應該考慮建立員工安全意識培訓計劃。
2.運營商對互聯(lián)網(wǎng)采取的安全措施
互聯(lián)網(wǎng)是未來的發(fā)展方向�,也是安全隱患最大的地方��。目前,互聯(lián)網(wǎng)最常見的安全問題是病毒���、蠕蟲�����、拒絕服務攻擊,網(wǎng)絡受到的攻擊越來越多���。據(jù)美國計算機緊急 響應小組協(xié)調(diào)中心(CERTCC)統(tǒng)計�����,1999~2002年間,每年網(wǎng)絡受攻擊數(shù)分別為9859�、21756���、52 658、86 000次���,網(wǎng)絡攻擊愈演愈烈之勢由此可見一斑��。因此�����,運營商都在積極努力�,以保證網(wǎng)絡的正常運行。AT&T已經(jīng)有七層安全協(xié)議來應對外部攻擊����,并 且在其網(wǎng)絡中樞構建了基于網(wǎng)絡的主動式安全系統(tǒng)��,可以進行細致深入的分析并能預見到各種攻擊。
3.保護七號信令網(wǎng)
七號信令網(wǎng)絡是電信網(wǎng)重要的控制系統(tǒng)�����,目前七號信令及其安全性越來越受到關注。FCC在調(diào)查造成網(wǎng)絡癱瘓的因素時��,專門對因七號信令而造成的事故進行了調(diào) 查與研究。其2002年底的一份調(diào)查顯示����,由于七號信令而造成的網(wǎng)絡故障有上升的趨勢��。幾年前美國參議院司法委員會就提議運營商重視七號信令的安 全����,F(xiàn)BI 國家基礎設施保護中心(NIPC)也把此列為工作重點。
七號信令攻擊具有以下一些共同的特點:
消息中帶有非相鄰信令節(jié)點的地址���;
特定消息類型的量增加或異常�;
特定消息類型的出現(xiàn)頻次增加或異常���;
消息集中在某鏈路或鏈路集上���。
高質(zhì)量的防衛(wèi)將是一個多元的安全政策,最好的防衛(wèi)是早期檢測�����。運營商必須安裝能夠監(jiān)控整個網(wǎng)絡的設備���,該設備必須能夠?qū)崟r地檢測所有的信令消息并向中心地點報告這些情況�����,而且要能夠?qū)ο⑦M行分析���。
運營商應該認識到�,對七號信令網(wǎng)絡真正的攻擊可能不只是簡單的攻擊�����,很可能是一個充分組織的復雜攻擊����,因此更要積極防范。
三���、網(wǎng)絡安全是NGN的重要內(nèi)容
NGN指移動與固定運營商未來將擁有的能夠提供一系列先進新業(yè)務的網(wǎng)絡設施�����。在NGN中�,網(wǎng)絡安全是最重要的內(nèi)容���,也是亟待解決的問題����。隨著新技術特別是WLAN、IP分組網(wǎng)絡��、3G等的發(fā)展與應用�,網(wǎng)絡中的薄弱環(huán)節(jié)也越來越多����。
1.WLAN
如今,WLAN的安全性成為一個突出的問題���。隨著WLAN的普遍實施���,其安全性應該引起業(yè)界足夠的重視。設備廠商在試圖通過加密與認證等方式來減少一些安全隱患�。
針對WLAN存在的安全問題,目前有四項主要的技術措施:802.1x認證協(xié)議�、專門針對WLAN的安全體系標準802.11/802.11i、VPN和 實現(xiàn)WLAN中用戶隔離的虛擬局域網(wǎng)(VLAN)�����。這4項技術有的正在開發(fā)之中,有的又過于復雜��,因此WLAN的安全問題在最近一段時間內(nèi)難以得到徹底的 解決����。
2.基于IP的分組交換網(wǎng)
在過去的電信網(wǎng)絡中,網(wǎng)絡所受到的安全威脅比較典型�,如毀壞PBX、惡意撥號等�。而基于IP的分組交換網(wǎng)的安全問題將更加突出,并且與以往的安全問題相比有很大的不同�。
人們使用VoIP或者MPLS來構筑VPN時,安全隱患將變大�。因為人們在使用IP地址時會把自己“暴露”在大庭廣眾之中,這樣就會面臨電路交換網(wǎng)甚至 ATM或者幀中繼中從未有過的安全問題�����。你可以從公共域“看到”別人�,別人也可以采用標準的攻擊形式輕而易舉地破壞路由表。例如��,攻擊一個交換機并非易 事�,但是攻擊一個實施了MPLS的交換設備卻方便得多,因為可以從內(nèi)部網(wǎng)看到它所擁有的IP地址����。如果有人進到內(nèi)部網(wǎng)����,就可以接入到交換機���,從而帶來更大 的安全隱患�。
3.3G
3G電話更易受到攻擊�。在2.5G網(wǎng)絡中,IP地址是在基站���,黑客必須先攻擊基站才能攻擊到電話,而基站一般都有保護措施�����。然而在3G網(wǎng)絡中����,IP地址實際上是在電話中,黑客可以直接攻擊電話�����。因此,3G在安全性方面與2.5G或者i-mode相比有很大的弱點����。
四、結(jié)語
隨著技術的發(fā)展��,電信網(wǎng)絡涵蓋的范圍越來越廣�,以前單一、封閉的網(wǎng)絡正在向開放多樣的網(wǎng)絡演進���,因此電信行業(yè)面臨的安全問題更加復雜�����、多樣�����,保障電信網(wǎng)絡 和業(yè)務的安全面臨著更加嚴峻的形勢��。由于電信網(wǎng)絡是人們向信息社會邁進的基石����,與人們的工作����、生活息息相關�����,因此無論政府���、運營商還是用戶,都應該更多地 關心電信網(wǎng)絡的安全問題�����。
