论电信网络安全管理_电信网络安全管理手册
论电信网络安全管理由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“电信网络安全管理手册”。
论电信网络安全管理
摘 要:电信网络的安全状况直接影响着金融、交通、能源等基础设施的正常运行。尽管目前国内电信运营商都比较重视网络安全,但安全问题仍不容忽视,因为影响电信网络安全的因素是多方面的。电信企业应做到主动防护与被动监控、全面防护与重点防护相结合,搭建深层防御安全体系。
关键词:电信网络;电信网络安全;电信运营商
电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。世界各国也将电信业的发展上升到国家战略的角度,通过发展电信业和信息行业来推动国家发展。在这个大背景下,电信网络安全已经上升到国家安全的层面。
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
从20世纪90年代至今,我国电信行业取得了跨越式发展。经过十几年的建设,目前我国电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信服务几乎已经渗透到我国所有地区、所有行业、所有不同阶层的群体,而且已经融入到了老百姓的日常生活中。同时,随着信息技术在我国的广泛运用,信息系统已经成为金融、交通、能源等基础设施的神经中枢。电信网的安全状况直接影响这些基础设施的正常运行。正是由于存在这种依赖性,电信网一旦出现重大事故,将可能严重影响国民经济发展和社会稳定。可以这么说,电信网已经和电力设施一样,成为所有基础设施的基础之一。随着信息化的进一步推进,社会对电 信网的依赖性还会越来越强。因此,我们应该关注电信 网的安全问题,研究应对措施,做到未雨绸缪。
一、我国电信网络安全的现状
目前,国内电信运营商都比较重视网络安全的建 设,几大运营商都针对自己的网络特点、业务特点建立 了系统的网络安全保障体系。
中国电信的网络安全保障体系建设起步较早。在2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。这个安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。目前SOC已经进入系统建设的试点阶段。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
中国移动的网络与信息安全保障体系NISS,对于涉及公司的所有信息资产,包括通信网、业务支撑系统、网络部、市场部、财务部、研发部、人力等各种重要信息进行保护。这个系统在2005年8月份,狙击波病毒来袭的时候发挥了重要作用。
中国网通的网络安全建设重点在其宽带网络上。其建立的信息安全管理体系(ISMS),包括组织管理、技术保障、运作保障三个子体系,在网络层面上对总部大网(CHINA169+CNCNET)100多台骨干网设备和核心网管系统进行加固。建设SAN网络,安全事件存储可以利用现有存储系统,实现集中存储,方便扩展,对异常流量系统和垃圾邮件系统的建设在进一步完善,对机房环境、动力电源系统进行规范管理,对全网的路由安全策略进行管理,等等。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
二、影响电信网络安全的因素
进入21世纪以来,电信领域的新技术、新业务、新情况不断出现,电信网与互联网的融合趋势日益明显,电信体制改革不断推进,形成由多运营商组成的竞争格局。这些情况的出现,使原有的电信网络安全保障体系面临新的挑战。
1、互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。此外,每个用户都有一个唯一的号码,用户的身份是明确的。这种机制有效地避免了电信用户非法进人网络控制系统,保障了网络安全。
IP电话的用户信息和控制信息都在IP包中传送。IP电话引人后,需要与传统电信网互联互通,电信用户的信息不再与控制信息隔离,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,因此TCP/IP协议面临的所有安全问题都有可能引入传统电信网,如病毒、黑客攻击、非法入侵等,由此可能带来电信网络中断甚至瘫痪、拒绝服务攻击、非法存取信息、话费诈欺或窃听等一系列新问题。IP电话的主叫用户号码不在IP包中传送,因此一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2、新技术、新业务的引入,给电信网的安全保障带来不确定因素
近年来,电信新技术不断涌现,新业务层出不穷。NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,如提高了网络的利用效率,增加了网络的灵活性,降低了网络的建设和运行维护成本等。但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WiMAX、IPI-V等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。尤其需要指出的是,随着宽带接人的普及,用户向网络侧发送信息的能力大大增强,导致每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
3、运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
1998年以来,我国出台了一系列针对电信行业的重大改革措施,如政企分离、企业拆分等。目前,我国有中国电信、中国移动、中国联通、中国网通以及中国铁通和中国卫通6家基础电信运营企业。应该说,这些改革措施极大加快了我国电信行业的发展,目前我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各个运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。此外,军队与地方之间的网络衔接配合问题也需要协调落实。
4、相关法规尚不完善,落实保障措施缺乏力度 随着电信网基础性地位的日益显现,应该通过立法来明确其安全保障工作,这样才能保证对攻击、破坏电信网行为有足够的惩罚力度。当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中。现有的与网络安全相关的法律法规还不完备,且缺乏操作性,导致有关部门在具体工作中没有足够的法律依据对破坏网络安全的行为进行制裁。
此外,在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
三、保障电信网络安全的技术手段
针对特殊信息安全当前的形势,电信企业要做到主动防护与被动监控、全面防护与重点防护相结合,搭建具有主动防御能力的深层防御安全体系。
1、发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
2、网络层安全解决方案
网络层安全主要是基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行安全隔离。与此同时,还应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3、网络层方案配臵
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测(如,冠群金辰公司的干将/莫邪入侵检测系统)产品,将工作站直接连接到主干交换机的监控端口(SPAN Port),用以监控局域网内各网段间的数据包,并可在关键网段内配臵含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
4、主机、操作系统、数据库配臵方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intra—net技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
5、系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
[参考文献] [1]信息产业部电信管理局.电信网络与信息安全管理[M],北京:
人民邮电出版社.2004:215—228.
[2]诺盛电信咨询,电信网络安全[EB/OL].(2006—06—21)[2007 一O1一O5].http://www.daodoc.com/news/review/story/0,3800057985,39451650,00.htm.
[3]陈纲.保障电信网络安全的五项措施[N/0L],通信产业报,(2003一O9—28)[2007一Ol—O6].http://industry.ceidnet.corn/
ar 238/20o30928/65782 1.htIrI1.
