电信网络安全技术白皮书.ppt

电信网络安全技术白皮书 网络安全综述 纵观2009年国内网络安全总体态势 主要特征如下 木马病毒数量爆发式增加 变种更新速度加快病毒传播形式途径多样化僵尸网络发展迅速 威胁日益严重网络犯罪的产业化趋势明显 电信网络安全技术及应用发展动态移动互联网安全移动终端安全 热点主要为硬件安全架构 智能手机安全防护和终端安全管理等技术网络部分安全 主要在于接入网部分 主要关注接入鉴权和密钥协商 非法流量管控等技术应用安全领域 重点关注应用层通用认证架构 以及垃圾短信 不良站点防治等内容安全技术传统IP网安全承载网安全 最核心的问题是如何保障网络的可用性DNS系统安全 包括DNS攻击防护 DNSSEC DNS安全监控技术应用系统安全 主要关注Web应用安全安全管理技术 侧重于SOC技术 IPv6安全云安全概念物联网安全 电信网络安全技术发展与应用 移动互联网安全移动终端安全硬件安全架构 以UIM卡为可信根 构筑应用安全基础系统安全防护 加固与防御并重 打造终端防护体系终端安全管理 构筑终端管理体系 掌控安全态势 移动互联网安全网络安全提高网络各层面安全防护能力 加强网络资源可用性结合现网试点情况部署DPI设备 增强对网络流量 业务的识别和管控能力 防范流量攻击 屏蔽对不良站点的访问在网络演进中 积极稳妥地引入AKA等新型安全机制 增强移动互联网的安全性 在网络融合中 统一规划接入认证平台 加强统一安全管控 简化认证流程 移动互联网安全应用与内容安全应用安全 利用接入层安全机制 构筑移动互联网应用安全基础设施内容安全 技术检测与管理手段结合 防治垃圾信息和不良站点 IP网安全承载网安全1 构建带外网管 加强对设备的安全规范化管控 2 对BGP协议采用精细化路由控制策略 包括 限制接收的ASPATH长度 设置BGPTTLSecurity值 启用邻居加密机制 发布路由时使用prefix list的方式进行白名单的控制 接收路由时设置最大接收前缀等 3 启用设备关键资源防护 Anti DDoS 措施 提高骨干设备的自我防护及防瘫能力 IP网安全承载网安全对于异常流量攻击安全防护的技术 1 在接入层加强对虚假源地址流量的控制 减轻异常流量对大网的冲击 2 进一步完善DDoS攻击防御平台的建设 采用基于骨干网平台 本地清洗系统的二级联动业务部署方案 本地平台解决小规模和本地攻击 骨干平台解决大规模跨域攻击 充分利用骨干网平台的大容量清洗能力和本地平台的灵活性部署和精细化防护策略 在降低部署成本的基础上 大力提升全网攻击防御能力 3 主动防御 对异常流量的主要来源之一Botnet进行监控 在其形成危害之前消除 中国电信网络安全实验室已提出了一种基于网络流量特征和DNS分析进行僵尸网络追溯的方案 部署难度及成本均较低 只需要对现有DNS系统进行改造 并与现有的攻击溯源系统对接即可 IP网安全支撑系统安全CTG MBOSS 总的来看 设备层面的安全风险较低 建议加强内控 完善用户权限管控和安全审计工作 DNS 面临的安全威胁主要有两类 一类是域名劫持 缓存中毒等DNS欺骗攻击 将用户引导到错误的站点 另一类是DDoS等异常流量攻击 使DNS服务器无法响应用户域名解析请求 目前应重点完善DNS安全监控手段 IP网安全应用系统安全业务流程安全应用软件自身安全 IP网安全安全管理网络安全专业化的趋势使网络安全管理成为电信运营商网络运营工作的一项重要课题 网络安全管理平台SOC作为网络安全管理的重要技术支撑手段 是目前中国电信网络安全工作的重点 IP网安全IPv6演进与很多人的认识不同 在IPv6环境下安全性相较于IPv4网络并没有大的提升因此 在目前中国电信IPv4网络向IPv6网络过渡的时期 仍需从多方面考虑安全体系架构的建设和完善 在原有IPv4环境下安全措施改进的基础上 加强对IPv6特定安全问题的防范以及对过渡技术安全问题的防范 网络安全热点 云安全云计算安全数据安全保护业务连续性要求 确保具备高可用 可靠的持续服务能力云计算设施安全高可用性和容灾备份安全云电信运营商在网络安全运营领域应用云计算技术主要包括安全基础设施的 云化 以及开发面向客户的云安全服务 物联网安全存在特殊安全问题 特别是感知网络的安全 是一个全新的课题感知节点的物理安全问题感知网络的传输与信息安全问题目前 物联网通信安全研究重点在节点认证 加密 密钥管理 路由安全和入侵检测等方面物联网应用和行业紧密相关 可能有特殊的安全需求 作为运营商 技术建议如下 构建物联网安全管理平台积极关注并参与标准制定工作 网络安全设备 防火墙IDS IPS流量监测分析设备异常流量清洗设备DPIWAF 从目前技术和应用的发展来看 网络安全设备主要有以下发展趋势安全功能集成化安全设备云化硬件多核化 结语 2010年网络安全总体形势仍然十分严峻 这将主要体现在随着移动互联网及业务应用的不断丰富 智能手机终端等移动设备将成为新的安全事件多发源地社交网络与电子商务平台将成为被攻击的重点云计