通信公司网络安全技术白皮书.doc

中国电信集团公司技术标准中国电信网络安全技术白皮书（2010 年版）2010-3-30 发布2010-4-10 实施中国电信集团公司发布34 / 34目1.录 网络安全综述.1 1.1. 2009 年网络安全态势总体状况.1 1.2. 电信网络安全技术及应用发展动态.22. 电信网络安全技术发展与应用.4 2.1. 移动互联网安全.4 2.1.1.移动终端安全.4 2.1.2.网络安全.6 2.1.3.应用与内容安全.7 2.2. IP 网安全 .9 2.2.1.承载网安全.9 2.2.2.支撑系统安全.11 2.2.3.应用系统安全.12 2.2.4.安全管理.13 2.2.5.IPv6 网络演进 .163. 网络安全热点.18 3.1. 云安全.18 3.1.1.云计算安全.18 3.1.2.安全云.20 3.2. 物联网安全.214. 网络安全设备.225. 结语.27关于中国电信网络安全实验室.28术语和缩略语.29中国电信网络安全技术白皮书(2010 年版)1. 网络安全综述1.1. 2009 年网络安全态势总体状况2009 年以来，国内互联网用户及应用继续保持着高速发展，据统计，2009年底我国互联网网民数量达到 3.84 亿，手机上网用户达 2.33 亿。随着互联网应用的广泛普及，其在国家政治、经济、文化以及社会生活的各个方面发挥着越来越重要的作用，已经成为国家、社会、民众交互的重要平台。与此同时，互联网面临的安全威胁也随着互联网及应用的发展而不断演化，呈现日益复杂的局面，网络安全形势不容乐观。纵观 2009 年国内网络安全总体态势，主要特征如下：1、 木马病毒数量爆发式增加，变种更新速度加快据国家计算机病毒应急处理中心统计，2009 年新增病毒样本 299 万个，其中新增木马 246 万多个，是 08 年新增木马的 5.5 倍。其主要特征是本土化趋势加剧，变种速度更快、变化更多，隐蔽性增强，攻击目标明确，趋利目的明显。2、 病毒传播形式途径多样化2009 年病毒传播形式不断翻新，主要包括工具捆绑病毒、恶意广告、垃圾邮件、钓鱼欺诈、网址导航、热点挂马等多种传播类型。其中较显著的变化是黑客开始利用当前社会重大、流行事件的关键词进行指向性、针对性挂马， “XX如门”“阿凡达”等流行热词都是黑客重点利用挂马的对象。、3、 僵尸网络发展迅速，威胁日益严重僵尸网络发展迅速，已成为网络安全的最大隐患之一，并逐渐成为攻击的主要手段。目前僵尸网络规模总体上趋于小型化、局部化和专业化；但也存在规模巨大的僵尸网络，一旦被利用发起 DDoS 攻击，后果不堪设想。4、 网络犯罪的产业化趋势明显网络犯罪正成为一种新型犯罪职业，组织化、集团化、产业化进程加速，挂马集团和攻击组织拥有了完整的病毒开发、下毒盗号、销赃转卖、攻击等一条龙运作模式，窃取虚拟账号、恶意推广、欺骗下载或网络钓鱼等非法牟利行为呈现出愈演愈烈之势。第 1 页 共 33 页中国电信网络安全技术白皮书(2010 年版)面对不断增长的安全威胁，国家有关部门加大了对互联网安全的管理力度，2009 年 5 月，工信部颁布了互联网网络安全信息通报实施办法和木马和僵尸网络监测和处置机制，对 CNCERT、运营商、域名服务机构以及网络安全企业共同开展网络安全信息共享和打击黑客产业提出了具体工作要求，并组织了多次木马和僵尸网络专项治理行动，有效地净化了网络安全环境。2009 年以来，中国电信继续在网络安全建设与运营方面开展了大量卓有成效的工作，其中在集团层面组织开展了 SOC 体系建设、网络安全检查、DNS 安全专项整治、DDoS 攻击防御体系完善、C 网承载网安全评估等工作，有力地保障了电信网的平稳运行。但由于主要受到外部因素影响，网络安全整体形势仍不容乐观。全网安全漏洞仍然频发，影响对象包括众多 DNS 服务器、核心网络设备等；网络病毒、僵尸木马等引发的安全事件大量增加；针对网络设备、重要支撑系统、在网客户的 DDoS 攻击不断出现。据统计，2009 年中国电信全网发生DDoS 攻击 3.7 万余次，全年垃圾邮件投诉量超过 51 万次，各类安全事件均呈现快速上涨势头。总体来说，随着移动互联网的兴起，传统宽带应用日益丰富，移动网络IP化、终端智能化和应用丰富化给病毒传播、恶意攻击提供了有利的条件，给电信运营商安全运营带来了极大的挑战。因此，电信运营商需不断提升电信基础网络和重要业务系统的安全防护能力，同时也应加强终端及信息服务安全，以满足全业务安全运营的迫切需求。另外，云计算、物联网应用的兴起，将极大拓展电信运营商的业务领域，如何保障云计算、物联网应用的运营安全也是电信运营商必须面对的问题。1.2. 电信网络安全技术及应用发展动态2009 年 3G 商用开启了国内移动互联网新时代，移动互联网安全可划分为终端、网络、应用与内容等几个安全域。移动终端安全热点主要为硬件安全架构、智能手机安全防护和终端安全管理等技术；网络部分包括接入网与核心及承载网，与传统互联网相比，主要区别在于接入网部分，主要关注接入鉴权和密钥协商、非法流量管控等技术；第 2 页 共 33 页中国电信网络安全技术白皮书(2010 年版)应用安全领域重点关注应用层通用认证架构，以及垃圾短信、不良站点防治等内容安全技术。在传统 IP 网领域，随着网络规模日益扩大，接入带宽不断增长，网络应用日益丰富，电信运营商 IP 网络运营面临的安全威胁更为突出。IP 网安全按网络层次架构可划分为承载网安全、支撑系统安全、应用系统安全和安全管理技术。承载网安全最核心的问题是如何保障网络的可用性，主要技术手段包括网络设备安全加固、异常流量攻击防御、Botnet 监测和控制技术等；DNS 系统是当前支撑系统中最薄弱的环节，主要研究领域包括 DNS 攻击防护、DNSSEC、DNS 安全监控技术等；应用系统安全主要关注 Web 应用安全，主要研究领域包括安全认证、防网页挂马、源代码安全分析等技术；安全管理技术则侧重于 SOC 技术，技术热点主要集中在 SOC 平台的理念和定位、安全关联分析技术，以及 SOC 平台与云计算技术的结合等。另外，随着 IPv6 的演进提速，IPv6 网络安全也成为业界关注的重点，主要研究领域包括 IPv6 自身安全机制研究、IPv6 过渡技术安全研究、IPv6 应用安全研究等。在新兴技术及应用领域，随着云计算与物联网技术及应用的快速发展，云安全、物联网安全成为网络安全研究热点。其中云安全主要包括云计算应用自身安全，以及云计算技术及理念在网络安全领域的具体应用，包括安全设备、安全基础设施的“云化”、云安全业务等。物联网安全研究重点则包括节点认证、加密、密钥管理、路由安全和入侵检测等方面。在网络安全设备领域，随着安全需求从单一安全产品发展到综合防御体系，网络安全产品也从过去简单的功能堆砌转向系统化设计，网络安全设备也顺应由过去单一的网络安全产品，向多种安全产品及多种安全技术的融合应用转变。同时，随着云计算技术及理念在安全设备领域的应用，网络安全产品的“云化”趋势明显，为网络安全设备的功能、性能的提升注入了新的活力，为实现全程全网的安全防护提供了可能。为满足互联网应用发展及自身业务运营的安全需求，电信运营商需继续强化网络安全基础设施建设，为社会及公众提供安全、高可用、可信的网络基础设施第 3 页 共 33 页中国电信网络安全技术白皮书(2010 年版)和综合信息服务。可管、可控的可信网络将是电信网络安全技术及应用的发展目标。2. 电信网络安全技术发展与应用2.1. 移动互联网安全3G 开启了移动互联网新时代，提供了比 2G/2.5G 网络更为智能化、多样化的业务，为人们生产、生活提供了便利。然而，随着移动网络 IP 化、终端智能化和应用丰富化，木马、病毒、恶意攻击、垃圾信息等传统互联网的安全问题也威胁着移动互联网。移动安全问题已经引起了用户较大的关注，甚至影响了安全敏感型业务的推广。根据移动互联网的特点，其安全保障应采取“分层分域”的策略，从终端、网络、应用与内容等层面保障其安全性。2.1.1. 移动终端安全移动终端向智能化方向发展，手机正由传统的通信工具逐渐发展成为个人信息助理。然而智能手机带给用户便利的同时，安全问题也日益突显。一方面，手机中存储的个人信息越来越丰富，另一方面手机计算、存储及数据交换能力显著增强、智能手机操作系统的开放性，为信息泄露和病毒传播提供了可能。因此如何提高移动终端特别是智能手机的安全性，已成为业界及用户非常关注的问题。移动终端面临的安全威胁主要有病毒、木马等恶意代码、信息骚扰，以及终端遗失或被窃。据统计，目前已发现手机恶意代码近千种，可导致用户隐私泄露、设备损坏、经济损失，甚至危及运营商网络。随着 3G 智能手机的广泛使用，手机恶意代码呈现出加速增长的趋势。垃圾短信、骚扰电话为商业广告、违法诈骗等信息传播提供了方便，不仅骚扰手机用户，还可能对用户造成经济损失。根据移动终端面临的威胁，综合考虑移动终端架构和网络环境，其安全防护应按分层防御的思路，采用多层次安全加固、立体式安全防护的策略，分别从终端硬件、软件系统和网络侧安全管理实施安全防护，全面保障终端应用和数据的第 4 页 共 33 页中国电信网络安全技术白皮书(2010 年版)安全性。硬件安全架构：以 UIM 卡为可信根，构筑应用安全基础基于硬件架构的改进来提高移动终端系统安全性，典型的有可信计算组织TCG 的可信移动平台和 ARM 公司的 TrustZone 技术。TCG 将可信计算的概念引入到移动领域，提出了 TCG 移动参考体系结构并发表了 MTM 规范。ARM 则依靠增强的体系结构和扩展指令集，开发研究 TrustZone 技术，将安全相关特性和功能直接加入到处理器内核和内存系统。虽然业界在硬件安全架构方面进行了探索，但由于标准化、产业支持等原因，尚未整合成完整的产业链。UIM 卡是带微处理器芯片的智能卡，具备较好的安全机制，且是用户必备、由运营商控制的硬件，建议以其作为可信根，现阶段从应用安全入手，针对安全要求高的用户，增强 UIM 卡的安全功能，作为业务认证、密钥管理的基础，同时，积极跟踪 TCG 等标准化组织在硬件安全研究中的进展和产业应用情况。系统安全防护：加固与防御并重，打造终端防护体系智能手机由于具有开放的操作系统，可安装第三方软件，面临更多威胁。相比之下，非智能手机环境封闭、安全性较高。智能手机操作系统与 PC 操作系统类似，但针对移动终端的特点，功能有所简化，在安全机制方面也存在较大差异，通常采用代码签名机制来控制安装软件的权限、采用安全沙箱机制隔离程序访问权限。智能手机操作系统种类较多，目前 Windows Mobile 是天翼智能手机中应用最普遍的系统，提供了一系列安全策略定制不同安全级别，但其权限隔离机制较弱，只要程序被允许运行，就拥有可访问甚至修改系统资源的权限，而同时由于 Windows Mobile 开发门槛比较低，黑客很容易开发针对其的恶意代码，因此该系统易受恶意代码攻击。针对系统安全防护，主要有客户端软件、网络侧流量过滤两种思路，提供服务的既有传统的杀毒厂商，也有专门从事手机安全服务的厂商。中国电信网络安全实验室在调研用户需求并充分考虑移动终端特点的基础上，已经设计开发了天翼安全伴侣原型系统，提供了安全检查、防病毒、防骚扰、防盗用和数据保护等安全功能，可以为用户提供全面的安全服务。智能手机系统的防护，应从加固与防御两方面着手，在充分利用系统提供的安全策略进行加固的基础上，为用户提供必要的安全防护手段。建议通过定制终第 5 页 共 33 页中国电信网络安全技术白皮书(2010 年版)端预装、网站下载等途径分发安全防护软件，为天翼智能手机用户免费提供系统安全检查等基础服务，在此基础上，有偿提供杀毒、防盗用等安全防护增值服务。终端安全管理：构筑终端管理体系，掌控安全态势国际标准化组织 OMA 制订了用于实现终端设备管理的标准 OMA DM，可以通过 OTA 的方式来采集终端信息，配置终端的参数信息，将数据包从网络下载到终端上安装，处理终端设备产生的事件和告警信息。终端安全管理为运营商提高服务质量提供了有效手段，技术上建议在集团层面或移动业务发展较好的省可构建终端安全管理平台，试点开展终端安全管理服务，为用户提供固件升级、软件分发、故障诊断、安全事件采集、事件通告等服务。2.1.2. 网络安全移动互联网网络包括接入网和核心及承载网，与传统互联网相比，主要区别在于接入网部分。接入网无线空中接口的安全威胁主要有非法接入网络、跟踪窃听空口传送的信息、滥用网络服务等。这些安全隐患和问题已经引起各界重视，相关标准在接入鉴权、空口加密等安全保护机制方面都有比较全面的考虑，特别是 3G 网络安全保障有了进一步的改进。中国电信移动网络采用的 CDMA 标准具有抗干扰、安全通信、保密性好的特性。CDMA 1x 采用专用 CAVE 算法产生密钥，并用长码序列、ORYX 和增强的分组加密算法 E_CMEA，分别实现语音、数据和控制信令的加密，鉴权过程使用 CAVE 算法。EV-DO 空口增加了安全层，提供空口加密以及信令的完整性保护，可支持 AES、SHA-1 等算法，接入认证采用基于 MD5 算法的 CHAP 认证。存在的安全问题主要是：CDMA 2000 1x 和 EV-DO 接入鉴权均为单向鉴权，即只有网络对终端的鉴权，没有终端对网络的鉴权；基于 CAVE 和 MD5 算法的认证密钥较短，只有 64bit，且与之相关联的语音、信令、数据加密算法有些已被证明存在安全隐患。针对以上问题，3GPP2 在 3GPP 鉴权和密钥协商体制 AKA 的基础上改进，形成增强型用户鉴权机制，并确定为主要安全认证技术。AKA 实现了网络和用户的双向认证机制，采用 AES 加密算法，密钥长度增加到 128bit，安全性得到第 6 页 共 33 页中国电信网络安全技术白皮书(2010 年版)很大提升。CDMA 后续演进中可能采用的 IMS、LTE 都已明确采用 AKA 作为认证机制。CDMA 核心网承载于中国电信大客户专网 CN2 专业 VPN 上，具备大容量、QoS 能力、高可用性、专网级安全等特性，关于 CN2 的安全性，参见 IP 网络安全的承载网部分。和传统互联网类似，移动互联网设备和网络面临着各种攻击威胁，主要的防护措施包括安全域划分、边界防护、实施严格的访问控制策略、设备安全加固等。由于接入资源有限，移动互联网业务更易受到非法流量的影响，对其他高附加值业务造成冲击，因此，有必要对流量进行有效的识别和管控。目前流量检测技术主要有 xFlow 和 DPI 检测等，基于 xFlow 的技术对网络三、四层的流量进行监控，DPI 技术则在分析包头的基础上，增加了对应用层的分析，更适用于需要精细和准确识别、精细管理的环境，可防止网络资源滥用、抑制垃圾流量、进行内容过滤等。综合考虑移动互联网网络和业务特点，以及内容管控的要求，技术上建议采用 DPI 技术进行流量管控。针对移动互联网的主要问题，建议从以下方面进行改进：提高网络各层面安全防护能力，加强网络资源可用性。如在网络的控制层面通过对上送 CE 设备主控板流量的限制，防止攻击流或异常流挤占主控引擎资源；在数据转发层面针对常见及危害程度较大的病毒端口进行 ACL 限制防止攻击流量占用带宽资源；在路由层面启动路由认证机制防止路由欺骗、路由攻击；在管理层面实施设备统一认证、管理和授权防止攻击者非法入侵网元设备；结合现网试点情况部署 DPI 设备，增强对网络流量、业务的识别和管控能力，防范流量攻击、屏蔽对不良站点的访问；在网络演进中，积极稳妥地引入 AKA 等新型安全机制，增强移动互联网的安全性；在网络融合中，统一规划接入认证平台，加强统一安全管控，简化认证流程。2.1.3. 应用与内容安全应用是移动互联网发展的助推器，应用的安全影响着移动业务的推广，至关第 7 页 共 33 页中国电信网络安全技术白皮书(2010 年版)重要。同时，垃圾短信、不良站点等是移动互联网应用安全中棘手的问题，需要通过技术检测和管理手段相结合的方式进行治理。应用安全：利用接入层安全机制，构筑移动互联网应用安全基础设施众多业务的开展，需要可靠的认证机制来保证合法的业务使用以及正确的计费，目前各种业务的认证通常由各业务平台独立进行，认证机制和实现方式差异较大，不仅不利于业务开展，还可能存在安全隐患。为了解决应用层的密钥共享、业务鉴权等一系列问题，提供统一的认证服务，3GPP 和 3GPP2 定义了一种通用的认证机制 GBA。GBA 可以为已有的和将要开展的业务提供安全服务，不仅可以解决密钥分发的安全问题，也可以避免为每一种业务都提供独立的鉴权机制，以一致的方式解决业务的安全认证问题。GBA 正在标准化，中国电信可关注其标准化和产业支持情况，同时可借鉴 GBA 的思路，构筑移动互联网应用安全基础设施，为服务提供商增强应用安全性提供必要技术支持。目前，移动互联网应用以账号口令认证为主，安全性差。可通过以下两种技术提高安全性：一是利用移动通信接入的安全性，提供基于接入层的身份溯源；二是提供基于 UIM 卡的 PKI/WPKI 应用支持。根据不同应用安全要求，可分别构建两类应用安全支撑平台，提供应用安全支持服务，技术上可考虑：选择试点省份构建接入身份溯源系统，为具有较高安全要求的服务提供商开展基于 UIM 用户信息的身份溯源服务，实现应用层用户账号与接入信息绑定，增强用户认证的安全性；在集团层面构建基于 UIM 卡的 PKI/WPKI 支持基础设施， UIM 卡作以为数字证书、私钥的存储介质，并支持多组证书，通过平台统一管理，为具有高安全要求的应用提供基于 PKI 的身份认证、交易签名、数据加密功能，提高应用的安全性。内容安全：技术检测与管理手段结合，防治垃圾信息和不良站点针对垃圾短信的监控和过滤，当前主要有关键字过滤机制和号码黑名单机制，但面对不断演变的垃圾短信，这两种机制取得的效果并不非常理想。中国电信网络安全实验室已经开发的天翼安全伴侣采用了基于智能模式识别的垃圾短信监控技术，其核心是基于朴素贝叶斯方法对短信内容进行特征学习和智能分类，进而实现对垃圾短信的智能化监控，具有较高的精确度，并通过建立短信反第 8 页 共 33 页中国电信网络安全技术白皮书(2010 年版)馈和再学习机制，可进一步实现系统根据短信内容的自适应。不良站点的监测，可通过爬虫技术采集站点内容，并进行语义、图像、流媒体识别等自动分析，其中在文本信息的检测方面，基于统计方法、专家系统等分类识别技术已经比较成熟，但图像、视频等多媒体识别技术成熟度较低，需要结合人工审核。不良信息过滤，主要采用 DPI 技术分析用户访问站点 URL，并进行过滤。不良站点应采取防、治结合的手段治理，技术上建议如下：部署内容检测系统，主动检测网内网站，及时发现不良站点，并通过管理手段进行整治；在 C 网综合 CE 到 163 和 CN2 的链路上，部署 DPI 设备，分析用户访问网页的 URL 信息，实现移动上网日志留存；C 网分组域业务流量综合管理系统增加 URL 封堵功能，一旦发现用户访问不良信息，屏蔽该页面。其中，URL 封堵模块与内容检测系统接口，及时获取 URL 列表。外网无法检测的站点，则根据主管部门下发的名单进行封堵。2.2. IP 网安全IP 网络是电信运营最重要的基础网络，安全是保证网络质量的基础。IP 网络安全可分为承载网安全、支撑系统安全、应用系统安全几个层次，同时，安全的专业化趋势使统一网络安全管理成为一项重要课题，此外，随着中国电信 IPv6网络演进的进程加速，IPv6 网络安全也提上日程。2.2.1. 承载网安全承载网安全主要通过对网络设备、路由的安全保护，强化网络的抗攻击能力，提高网络的可用性、可生存性，并防范外部对网络的流量攻击。在历年的安全整治中，通过平面隔离、严格的访问控制策略的实施、设备安全加固以及设备的安全管理、安全审计等机制提高了网络设备的安全防护能力和可生存能力，在路由协议中实施认证与完整性检查提高了网络路由的安全性。但第 9 页 共 33 页中国电信网络安全技术白皮书(2010 年版)在 2009 年通信安全巡检中，网络设备和路由的安全依然暴露了一些不足，主要表现在：设备管理存在安全漏洞，未完全按照安全规范的要求进行设备配置和管理；设备自身安全防护策略不够精细化；BGP 路由协议安全策略尚需优化。技术上建议重点进行以下改进工作：1、构建带外网管，加强对设备的安全规范化管控；2、对 BGP 协议采用精细化路由控制策略，包括：限制接收的 AS PATH 长度、设置 BGP TTL Security 值、启用邻居加密机制、发布路由时使用prefix-list 的方式进行白名单的控制、接收路由时设置最大接收前缀等；3、启用设备关键资源防护（Anti-DDoS）措施，提高骨干设备的自我防护及防瘫能力。流量攻击是承载网面临的严重安全威胁。根据集团的 DDoS 攻击监测平台统计，每月发生在中国电信网内的 DDoS 攻击就有几千次，主要种类为 SYN FLOOD和 ICMP FLOOD，攻击时长以短期为主，半小时以下占主要成分，其中 1-15 分钟的攻击最多，对过滤清洗造成一定的困难。因此，对于异常流量攻击安全防护的技术建议如下：1、在接入层加强对虚假源地址流量的控制，减轻异常流量对大网的冲击；2、进一步完善 DDoS 攻击防御平台的建设，采用基于骨干网平台+本地清洗系统的二级联动业务部署方案，本地平台解决小规模和本地攻击，骨干平台解决大规模跨域攻击，充分利用骨干网平台的大容量清洗能力和本地平台的灵活性部署和精细化防护策略，在降低部署成本的基础上，大力提升全网攻击防御能力；3、主动防御，对异常流量的主要来源之一 Botnet 进行监控，在其形成危害之前消除。目前业界主要利用 DPI 和蜜网技术进行 Botnet 检测，但蜜网需要在全网分布式部署蜜罐系统，DPI 则需要在省网网络出口部署，部署难度及成本均较高。据此，中国电信网络安全实验室已提出了一种基于网络流量特征和 DNS 分析进行僵尸网络追溯的方案，部署难度及成本均较低，只需要对现有 DNS 系统进行改造，并与现有的攻击溯源系统对接即可。具体步骤如下：1、通过攻击溯源系统得到僵尸主机 IP 地址；第 10 页 共 33 页中国电信网络安全技术白皮书(2010 年版)2、改造现有的 DNS 系统，使之具备关联查询和统计分析功能；3、将僵尸主机 IP 导入到 DNS 分析系统中，分析僵尸主机 IP 地址所共同访问的域名；4、找到僵尸域名后，根据 DNS 访问记录，找出访问僵尸域名的僵尸主机；5、根据僵尸主机 IP 地址进行僵尸网络的清理工作。2.2.2. 支撑系统安全支撑系统包括 DNS、CTG-MBOSS 等，支撑着中国电信网络和业务的正常运营。CTG-MBOSS 处于内部专网，一般采用安全域划分、边界防护等方式实现系统之间的隔离，控制安全风险的影响范围；采用严格的访问控制策略，防止非授权用户的访问，并根据安全规范和安全策略，对设备进行安全管理和加固，实现设备层的安全防护。总的来看，设备层面的安全风险较低，建议加强内控，完善用户权限管控和安全审计工作。DNS 为公众提供域名解析服务，发生故障后的影响范围较大，因此，需要重点加强安全防护。目前，DNS 面临的安全威胁主要有两类：一类是域名劫持、缓存中毒等 DNS 欺骗攻击，将用户引导到错误的站点；另一类是 DDoS 等异常流量攻击，使 DNS 服务器无法响应用户域名解析请求。DNS 欺骗攻击源于 DNS 协议自身设计存在安全缺陷，无法保障 DNS 信息的真实性。DNS 安全扩展协议（DNSSEC）解决了此问题，依靠公钥技术对 DNS中的信息进行数字签名，为 DNS 提供认证和信息完整性检查，其公共密钥来源于根域名服务器。目前，.gov 和.org 顶级域名已经开始采用 DNSSEC 协议，瑞典、巴西等国的顶级域名也采用了 DNSSEC。但是，DNSSEC 的部署还存在很多问题：首先，DNSSEC 增加了多次验证签名的过程，对网络及服务器性能影响较大，同时，DNSSEC 比 DNS 对时间更为敏感，系统时钟必须非常准确；另外，根域名服务器信任定位点的密钥不受我们自主控制。因此，DNSSEC 的部署条件尚不成熟，现阶段暂不建议大网实施。对于异常流量的安全防护，主要有两种思路。其一是对发往 DNS 节点的总流量进行限速，避免 DNS 系统因流量过载而瘫痪。由于正常用户流量被淹没在第 11 页 共 33 页中国电信网络安全技术白皮书(2010 年版)异常流量中，总流量限速依然会影响正常用户，同时，其对于非带宽占用的 DDoS攻击无效。因此，此方法只能作为异常流量防护的辅助手段。其二是采用 Anycast架构，将一个 Anycast 多播地址标识一组提供 DNS 服务的主机，访问该地址的DNS 请求报文将被路由到这一组 DNS 服务器中路由最近的一台主机上。当Anycast 组中某些成员受到攻击时，负责报文转发的路由器根据各个组成员的响应时间来决定报文应该转发到哪里，从而减轻网络拥塞给用户带来的影响，同时，可以分散 DDoS 攻击流量，降低 DDoS 攻击对网络和系统所造成的影响。目前，电信大部分 DNS 系统不是 Anycast 架构，整改工作量较大，建议新建 DNS 系统考虑应用 Anycast 架构。因此，从可行性考虑，目前应重点完善 DNS 安全监控手段，针对异常流量以及 DNS 欺骗攻击的特点， DNS 服务器健康情况、对DNS 负载均衡设备、DNS系统解析情况等进行监控，及时发现并解决安全问题。建议重点进行如下安全数据分析和告警：DNS 域名稳定性分析：是否存在查询的次数变化幅度比较大的域名；DNS 域名劫持主动和被动监控：缓存服务器是否收到不断变化前缀的NXDOMAIN 域名请求；上层授权服务器返回缓存服务器中 DNS 应答记录中 Additional A 记录的变化；重点域名是否存在不同的应答，包括 A记录和 NS 记录；DNS 恶意请求分析：统计分析单 IP 大量域名请求、不存在域名请求、大量突发失效域名的查询。2.2.3. 应用系统安全应用系统是电信业务的载体，其安全关系着电信业务的正常运营，重要性不言而喻。在 2009 年应用系统抽样安全检查中，发现部分应用系统存在严重的Web 应用安全漏洞，攻击者可以利用这些安全漏洞获取系统数据库的用户名和密码、表结构信息以及用户的账号/密码/身份证等敏感信息，还可以通过恶意构造的链接欺骗用户或管理员点击，传播木马。应用系统安全分为 3 个层次：主机层安全、网络层安全、应用层安全。主机层安全和网络层安全主要通过传统的平面隔离和边界防护、实施严格的访问控制第 12 页 共 33 页中国电信网络安全技术白皮书(2010 年版)策略和防病毒策略、设备安全加固、规范以及设备的安全管理等技术手段，此处不再赘述，下面将主要从应用层角度出发阐述应用系统的安全防护技术及建议。应用层安全主要分为两个方面：业务流程安全以及应用软件自身的安全。目前，电信业务系统普遍采用账号/口令的认证方式，安全性依赖于口令的复杂度，且传输过程普遍未经加密传输，容易被窃取。建议对于敏感数据实行加密传输，并且采用口令+随机短信、口令+接入物理信息、接入物理信息+随机短信等双因素认证方式，对于大客户资料变更和业务办理等则采用最高安全级别的USB Key 认证方式。应用软件自身安全问题本质上源于软件质量问题。为提升应用软件的安全性，应要求软件开发商在应用系统软件开发生命周期中遵循安全编码原则，并在系统上线前使用源代码安全分析工具或者应用安全扫描工具等进行测试，及早发现并消除安全漏洞。对于已经上线的某些业务系统，由于其定制化特点决定了没有通用补丁可用，而整改代码则代价过大，较难实行。目前应用层防火墙（WAF）可以进行协议解析和编码还原，对请求的内容进行安全性和合法性的检测和验证，相对于传统防火墙来说，检测精度更高，粒度更细。因此，对于已上线的应用系统建议部署应用层防火墙进行安全防护。网页“挂马”是目前比较泛滥的安全问题，主要有两种解决思路。一种是事前防御，防止网页被恶意篡改。通过动态学习功能，对整个网站的构架进行学习和复制，将每个参数和其对应的值进行锁定，在此基础上，对所有的 HTTP 请求进行全面扫描，识别其中包含的恶意命令、恶意脚本，阻断一切与初始网页不匹配的参数。另一种是健康体检，及时发现并解决问题。利用爬虫技术定期自动抓取网站的内容，在本地检测分析是否存在恶意代码、木马链接等。这两种技术各有千秋，前者实时性好，但个性化强，保护范围较小；后者具有一定的滞后性，但通用性强，可保护的范围大。建议在电信内部的 Web 应用系统前部署 WAF 设备，实现防挂马、防注入等 Web 安全防护。同时，可以考虑与专业安全公司合作，利用爬虫扫描技术，为中国电信的客户提供网站挂马检测服务。2.2.4. 安全管理网络安全专业化的趋势使网络安全管理成为电信运营商网络运营工作的一第 13 页 共 33 页中国电信网络安全技术白皮书(2010 年版)项重要课题。网络安全管理平台 SOC 作为网络安全管理的重要技术支撑手段，是目前中国电信网络安全工作的重点。SOC 平台在国内外有不同的定位。国外 SOC 平台主要定位为安全业务运营平台，提供安全外包服务，国外电信运营商（如 AT&T、NTT、MCI 等）以及安全厂商（如 IBM、Symantec 等）都已开展了基于 SOC 平台的安全服务。国内 SOC平台主要定位为网络运维支撑平台，面向企业网或电信大网进行统一安全管理，通过统一的安全风险监控、分析、报警和响应，为统一的安全策略管理、安全风险管理、安全预警管理、安全知识管理等提供技术平台支撑。但是目前国内厂商推出的 SOC 平台更多的适用于企业网等局域网的安全管理，对于电信大网的安全管理还不够成熟，需要厂商与电信运营商进一步沟通与磨合。国内 SOC 平台主要有以下发展趋势：由面向资产或面向风险的安全管理向面向业务的安全管理的方向转变。强调业务流程和业务价值，实现对业务连续性的监控、业务安全性的审计和业务风险的度量；由安全运维管理平台向安全综合运营管理平台的转变。在加强 SOC 平台面向内部安全运维支撑管理的基础上，面向外部客户提供可管理安全业务；关联分析技术向基于业务价值和流程的关联分析发展。关联分析属性将更多的基于业务价值和流程，但这需要 SOC 平台的厂家结合不同网络需求和业务流程进行定制，提供丰富的关联规则模板；与云计算技术的结合。SOC 平台可为云计算服务提供技术支撑，成为云计算、云安全的安全管理后台；同时可利用云计算技术对 SOC 平台架构进行优化，提高 SOC 平台服务的效率和可靠性、安全性。目前中国电信 SOC 平台定位为中国电信网络安全综合监控、分析、告警和响应的专业化、流程化的安全运营管理平台，面向 IP 承载网、IP 网网络和业务支撑系统、IP 网所承载的业务网络、电信内部网络以及电信内部业务系统、安全业务系统提供统一的安全风险管理、安全服务管理以及安全策略管理、安全预警管理、安全考核管理、报表管理、安全设备性能管理等安全运维管理，并将垃圾邮件处理系统、异常流量管理系统、异常流量监控系统、DNS 安全分析系统、第 14 页 共 33 页中国电信网络安全技术白皮书(2010 年版)DDoS 攻击溯源系统、蜜罐系统、安全态势分析系统、终端安全管理系统、僵尸网络监控系统等专业安全子系统的告警信息作为事件源在 SOC 平台进行集中监控、关联、告警和响应。中国电信在 2003 年由集团统筹建设了集团、江苏两个试点 SOC 平台，初步构建了二级 SOC 平台架构，湖南、广东、福建等省也开展了 SOC 平台的建设。其中集团 SOC 平台通过三期的扩容工程建设，目前已实现对 IP 承载网、网管网、部分 C 网业务系统等的集中安全管理，建设了部分专业安全子系统，初步形成了全网安全集中监控、分析、处理的流程化安全管理能力。结合国内 SOC 平台发展趋势以及中国电信 SOC 平台的现状，对中国电信SOC 平台的技术发展建议如下：1、进一步深化集团 SOC 平台对大网的安全管理能力。扩充平台管辖范围：实现对 C 网业务系统、C 网分组域、集团 DCN网等的安全管理，并为向互联网接入用户开展安全服务提供技术储备；扩展平台功能：提高安全态势分析能力，部署安全态势分析系统、蜜罐系统；加强路由安全，增加对路由的安全监测和分析功能；加强僵尸网络监控能力，部署僵尸网络监控系统；提升关联分析能力，以业务流程为导向制定关联分析模板；同时进一步提升垃圾邮件处理、DNS 安全分析、DDoS 攻击防御等专项安全管理能力。2、以中国电信 SOC 平台定位为导向，推动省级 SOC 平台发展。已建 SOC 平台的省公司，根据集团规范要求，对本省 SOC 平台进行改造及优化，加强路由安全、异常流量管理、基于业务流程的关联分析等功能，强化 SOC 平台的运维及管理职能，加强对各种安全数据、信息的分析、处理能力，解决与集团 SOC 平台的接口问题；未建 SOC 平台的省公司，根据集团规范要求，构建本省 SOC 平台基础框架，重点面向 IP 承载网以及 IP 网网络和业务支撑系统实现安全事件管理、安全脆弱性管理、安全风险管理、安全策略管理、安全预警、安全响应等功能，为日常安全运维及管理提供基本的监控手段及技术支撑，并加快对异常流量管理、DNS 安全分析、垃圾邮件处理等专业安全子系统的部署和优化。第 15 页 共 33 页中国电信网络安全技术白皮书(2010 年版)2.2.5. IPv6 网络演进目前国家已经确定 IPv6 网络作为下一代网络发展的目标，中国电信已在湖南长沙部署了 IPv6 商用网，实现了试点 IDC 的 IPv6 化及 IPv6 版互联星空湖南站的上线，初步采用了以双栈技术为主的过渡策略。网络安全作为网络建设的一个重要方面，须与 IPv6 网络进行同步规划和构筑。尽管 IPv6 协议在设计时考虑了安全问题，但与很多人的认识不同，在 IPv6环境下安全性相较于 IPv4 网络并没有大的提升：首先，IPv6 网络在 IP 层引入了 IPv6 协议，在网络架构上采用双栈等过渡技术以 IPv4 网络为基础进行逐步演进，因此在网络安全架构上没有质的改变。其次，IPSec 机制作为 IPv6 数据包头的一部分内嵌到协议本身，尽管能使IPSec 中间路由过程加快，但是在 IPSec 部署实施上与 IPv4 并没有明显不同，同样需配套 PKI 等体系的建设。第三，虽然 IPv6 环境下扫描和分片攻击类的实施将比 IPv4 环境变得困难，但溢出类和 DDoS 等资源占用类攻击在 IPv6 环境下实施并未有难度上的变化，该类攻击在网络攻击危害中仍占据主导地位，网络安全威胁在 IPv6 环境仍将严峻。第四，IPv6 网络同样需考虑应用层、传输层、物理层等的安全。因此，在目前中国电信 IPv4 网络向 IPv6 网络过渡的时期，仍需从多方面考虑安全体系架构的建设和完善，在原有 IPv4 环境下安全措施改进的基础上，加强对 IPv6 特定安全问题的防范以及对过渡技术安全问题的防范，具体技术建议如下：1、加强支撑系统安全，利用现有技术保障 DNS 系统安全。I