电信网络安全(PPT)

1、第二章 通信网络(wnglu)平安体系结构第一页，共四十五页。 国家公用通信网包括通常所说的根底电信网络固定网络、移动通信网、公用互联网和卫星(wixng)通信网等根底电信网络2.1.1电信网络平安对抗体系结构；2.1.2电信网络典型攻击；2.1.3网络防卫。一、国家(guji)通信网络平安防护第二页，共四十五页。通信 communication按照一致同意的约定传递信息电信(dinxn) telecommunication电信是利用有线、无线、光或其他电磁系统，传输、发送或接收代表符号、书写件、影像和声音或其他任何承载情报的媒体的信号会议(huy)书报(sh bo)文娱邮政其他电信通信传递信

2、息利用电磁系统传输信号第三页，共四十五页。电信网络(wnglu)组成媒体网络同步网络信令网络管理网络 业务系统数据业务系统图像业务系统。一、电信(dinxn)网络的网络平安对抗体系结构网络层链路层物理层同步网信令网管理(gunl)网传输复接寻址第四页，共四十五页。1媒体网络：对应于计算机网络中的通信子网，是传递信号的主体网络，涵盖(hn i)了计算机网络低三层功能。 媒体网络需要同步网络、信令网络和管理网络支持，才能完成上述功能。2同步网络：向媒体网络和其他网络提供定时的同步信号。第五页，共四十五页。3信令网络：对于用户终端和媒体网络进行实时控制，支持媒体网络实现信号寻址与交换功能。4管理网络

3、：对于整体电信网络实施管理与控制，实现故障管理、配置管理、性能管理、账务管理、平安管理。5在电信网络平台之上建设有各类业务(yw)系统，直接提供用户效劳的系统，包括用户终端和用户驻地网络，主要有： 业务(yw)系统、数据业务(yw)系统和图像业务(yw)系统。第六页，共四十五页。物理平安(png n)：电信网平安最根本的保障，对应于网络根底设施和设备的可靠性以及网络运营大环境的保护，包括了网络拓扑结构等技术因素。系统平安：电信网络根底设施之上的运营系统，例如承载网技术、交换技术等，从技术上保障网络平安运营和效劳提供的有效性和网络的可控性。信息平安：面向电信网络的效劳对象，保障信息和数据在传输交

4、换和存储过程中的保密性、完整性和不可抵赖性等特性。内容平安：更高层次的平安要求，由于电信网的国家根底设施地位，要求对网络中信息的传播行为以及信息内容到达可控性，防止和控制非法、有害的信息的传播，维护社会道德、国家法规和人民利益。平安(png n)层次结构第七页，共四十五页。传统的电信网以传输和交换为主，强调网络的可用性和可靠性；电信网络的优劣判据主要考虑业务质量和网络资源利用效率。电信网向NGN演进，软交换技术选择了IP网作为承载网信令网与传输网用同一张网进行承载承载网的平安变得非常重要。不仅要强调业务的可用性和可控性，还要强调承载网的可靠性和生存性，而且要保证信息传递的完整性、机密性和不可否

5、认性。例如传统的 网络采用TDM专线传输，面向连接的通道采用IP技术进行通信后，无连接性，不对源地址进行认证因此电信网络平安需要把承载网放到与信令网同等(tngdng)重要的地位，研究基于IP技术的电信网络平安。电信网平安内涵(nihn)的演进第八页，共四十五页。第九页，共四十五页。网络边界模糊“网络平安的定义大多专注于指计算机系统例如：防火墙技术通过平安策略的设置(shzh)把电信网络与计算机局域网或者计算机系统隔离开，保护了计算机系统的平安，但是电信网络的平安就无能为力了。第十页，共四十五页。第十一页，共四十五页。信息系统信息基础设施电信网络信息传递计算机网络信息传递和处理计算机系统信息处

6、理和执行应用信息业务系统电话网数据网计算机网络广播电视网信息系统的平安问题(wnt)的来源平安(png n)问题第十二页，共四十五页。非法(fif)利用和阻止非法(fif)利用电信网络的难易程度侦测和防止侦测电信网络的难易程度恶意破坏和恢复破坏电信网络的难易程度网络平安(png n)优劣概念第十三页，共四十五页。非法利用网络资源 对于可控性的攻击；秘密侦测网络资源 对于机密性的攻击；恶意( y)破坏网络资源 对于可用性的攻击。关于电信网络对抗(dukng)攻击第十四页，共四十五页。电信网络(wnglu)机理防卫；电信网络实现技术防卫；工程应用防卫；运营管理防卫。关于电信网络对抗(dukng)防

7、卫第十五页，共四十五页。电信(dinxn)网络的网络对抗模型一、电信网络(wnglu)的网络(wnglu)平安对抗体系结构第十六页，共四十五页。电信(dinxn)网络典型攻击第十七页，共四十五页。秘密使用网络资源敌人秘密利用(lyng)我电信网络资源，占用通信容量，不骚扰合法用户，不破坏网络资源：平时国内敌人之间秘密通信；平时和战时国内外敌人之间秘密通信；战时敌人之间秘密通信。例如普通的有线 电视用户，通过破解机顶盒密码和节目加密信息，不缴费却接收付费电视节目信号，造成运营商大量收视费的流失，1、第一种网络攻击 非法(fif)利用第十八页，共四十五页。非法骚扰和插播敌人通过合法用户接口，利用(

8、lyng)我电信网络资源，骚扰和欺骗合法用户，不破坏网络： 政治骚扰； 和数据商业骚扰； 和数据欺骗犯罪；播送电视敌对政治煽动插播；虚伪广告、色情宣传、垃圾邮件、商业欺骗播送。1、第一种网络攻击 非法(fif)利用第十九页，共四十五页。秘密侦听通信内容秘密侦听电信网络传递(chund)的信息内容，不骚扰正常通信：经济信息侦听；政治信息侦听；军事信息侦听；政府高层信息侦听。2、第二种网络攻击 秘密(mm)侦测第二十页，共四十五页。通过电信网络侦测信息系统利用电信网络作为通路，侦测信息系统，不破坏电信网络：通过电信网络侦测计算机系统；通过电信网络侦测各种信息(xnx)业务系统；通过电磁波辐射接收侦

9、测信息。2、第二种网络攻击 秘密(mm)侦测第二十一页，共四十五页。电磁干扰通常针对无线传输系统，严重时影响整个电信网络：施放常规电磁干扰，劣化或阻断电磁信号传输；施放强电磁脉冲干扰(gnro)，击毁电信网络设备的电子器件。恶意业务量拥塞电信网络秘密制造虚伪的大话务量，拥塞电信网络；释放蠕虫病毒，拥塞电信网络。3、第三种网络攻击 恶意( y)破坏第二十二页，共四十五页。恶意控制和破坏电信(dinxn)网络的支持网络支持网络是电信网络的网络平安薄弱环节。通过在支持网络中设置木马，在必要时启动破坏作用，通过对于电信网络的支持系统的软破坏，使得电信网络全面瘫痪：恶意控制和破坏同步网；恶意控制和破坏信

10、令网；恶意控制和破坏管理网。破坏电信网络设施直接破坏电信网络设施，使得电信网络永久性功能失效：破坏节点设施；破坏链路设施；破坏电源设施。3、第三种网络攻击 恶意( y)破坏第二十三页，共四十五页。网络(wnglu)防卫第二十四页，共四十五页。第一类电信网络的合法用户接口具有收发能力，通过合法用户接口可能对网络实施攻击，但是这种接口具有由网络决定的明确地址；在网络内部，信号传递经过受控确定的节点和电路，容易定位。第二类电信网络的合法用户接口具有收发能力，通过合法用户接口可能对网络实施攻击，而且这种接口的地址可以伪造。第三类电信网络的合法用户接口只有接收能力，通过合法用户接口不能对网络实施攻击。在

11、网络内部，信号传递经过固定连接，很容易定位。第四类作为核心网应用，与边缘网络具有确定的受控接口。在网络内部，信号传递经过受控确定的节点，节点之间的电路不确定，但是不影响信源和节点定位。有线传输(chun sh)具有比较好的封闭性。无线传输具有不可防止的开放性。1.第一种网络防卫(fngwi) 技术机理防卫第二十五页，共四十五页。实现技术防卫是指：尽可能采用网络平安属性比较利于防卫的技术方法，包括尽可能减少电信网络实现技术的平安薄弱环节、平安漏洞和平安局限性，采取必要的对抗技术阻止攻击。实现技术方法种类繁多，重点围绕机密性、真实性、可靠性和可用性进行防范，例如：1 实现根本功能的技术和实现对抗功

12、能的技术；2 支持(zhch)媒体网络的技术和支持(zhch)支持(zhch)网络的技术3 由硬件实现的技术和由软件实现的技术等等。它们的共同点是：这种技术出现各有其主要理由 保障效劳质量、追求网络资源利用效率或追求网络平安属性。因此，现实应用的具体实现技术通常都存在种种平安属性缺陷。这在电信网络的网络平安方面大量存在。实现技术防卫可以充分利用计算机网络对抗技术成就和思路，例如电信防火墙、电信入侵检测、电信网络漏洞扫描等技术。2、第二种网络防卫(fngwi) 实现技术防卫第二十六页，共四十五页。工程应用防卫电信网络的网络平安对抗本质上是人与人之间的对抗。管理防卫方面包括如下几方面。1 要求高网

13、络平安的工程应用，尽可能采用高网络平安的电信网络 2 要求低网络平安的工程应用，尽可能采用低网络平安的电信网络因此可以换取其他好处。客观上各类工程应用对于电信网络具有不同的要求：( l 有的要求高效劳(xio lo)质量；( 2 有的要求高网络资源利用效率；( 3 有的要求高网络平安性能；( 4 有的要求高经济性。3、第三种网络防卫(fngwi) 工程应用防卫第二十七页，共四十五页。运营管理防卫是指：人员管理在网络对抗中的作用。电信设备：包括硬件和软件，功能和性能的选择和维护。电信系统：包括终端和媒体，功能和性能的选择和维护。电信网络：包括网络结构和节点(ji din)配置，功能和性能的选择和

14、维护业务系统：对于所支持的业务系统，作明确限制和监视。网络环境：对于网间互通，作明确限制和监视。物理环境：包括节点机房和传输通路设施，建设和维护。供电配电：包括供电和配电系统，建设和维护。组织管理：包括人员素质、组织和管理。人员培训：工作人员的定期强化培训。规章布幢：制定明确的规章带峻，力求从源头上杜绝不平安因素。4、第四种网络防卫 运营(ynyng)管理防卫第二十八页，共四十五页。二、电信网络平安(png n)防范传输网的网络平安防卫(fngwi)技术同步网的网络平安防卫技术信令网的网络平安防卫技术 网的网络平安防卫技术播送电视网的网络平安防卫技术网间互联的网络平安防卫技术第二十九页，共四十

15、五页。传输网的网络(wnglu)平安防卫技术传输(chun sh)介质有线切入检测定位系统同轴电缆和双绞线光缆尽可能防止无线传输无线必须配置标识认证第三十页，共四十五页。电缆电磁辐射和电磁泄露在正常的发射和传输过程中是存在的，也许，办公室楼外的一台接收机可以完整复制办公桌上的显示器上的图像。光缆在甲乙两地之间的光纤上搭接一个3dB光分路器，将一半的传输光强通过另一根光纤传送到第三方，传输信号被截获，而且由于系统设备存在冗余，甲乙两地的传输设备可能均未告警(gojng)。现有物理搭线攻击技术可以做到插入损耗小于3dB，而美国联邦政府的军事和情报组织使用的物理搭线攻击技术可以降到0.5dB以下，从

16、而实现对光网络无感的物理搭线攻击。针对全光交换节点的光窜扰攻击，光纤宏弯窃听攻击等。对于光网络的物理保护，可以利用光网络攻击定位算法、光网络节点参数比较、光交换节点的优化等，从理论、机制和产品三个方面开展光网络平安技术的研究工作。第三十一页，共四十五页。第三十二页，共四十五页。同步网的网络平安(png n)防卫技术三种威胁和攻击信号窃取包括电信网络上传输的数据信号以及传输信号本身的属性信息，例如信号的有无、信号流量(liling)以及顶峰时间等，即流量(liling)分析攻击，信息的机密性受到破坏。非法侵入攻击者注入到电信网络当中，利用电信网络资源，获取网络体系结构和技术信息。软硬件破坏攻击者

17、对电信网络实施主动攻击，在物理层破坏网络的可用性和可靠性。第三十三页，共四十五页。有线传输系统平安防卫(fngwi)技术电缆传输系统光缆传输系统光网络物理(wl)平安理论研究对物理平安机制的研究平安产品的研究第三十四页，共四十五页。无线传输系统(xtng)平安防卫技术扩展谱技术体制，将信号带宽进行扩展传输的通信抗干扰技术体制。非扩展谱技术体制，利用自适应滤波、功率调整、信道编码、干扰限幅、自适应天线调零、信号冗余、分集接收、高效调制、突发传输、信号交织、干扰陷波、自适应选频和快捷(kui ji)变频等技术，保护通信信号不被干扰信号淹没。第三十五页，共四十五页。同步网的网络(wnglu)平安防卫

18、技术同步网平安(png n)问题切断或劣化时钟源干扰或劣化时钟分配传递设备不同步或者时钟同步质量下降表现为：在语音信号中出现咔嚓声； 出现垂直图文丧失；音频数据出现载波中断；视频信号劣化；GSMCDMA出现通话中断第三十六页，共四十五页。同步网的平安(png n)防护从网络平安考虑，尽量不采用外时钟方案。大规模电信网络的高层节点宜采用原子标准独立时钟。小规模电信网络的节点之间宜采用相互同步方案。第三十七页，共四十五页。信令网的网络平安(png n)防卫技术信令网络平安问题用户接口攻击。信令链路攻击。信令配置攻击。拒绝(jju)效劳攻击。第三十八页，共四十五页。信令网平安防卫用户接口平安保护机制

19、严格(yng)限制用户寻址控制授权因为未知设备的接入，都会使线路上的电流、电压、铃流等特性发生变化。采用信令变异或信令加固技术。采用信令标识认证技术，简化用户信令网络。第三十九页，共四十五页。传输系统群接口的防卫对策(duc)采用信令变异或信令加固技术，采用局间信令标识认证技术。网络管理接口的防卫大量的恶意呼叫占用信令资源的入侵防卫信令网络的网间接口的平安防卫第四十页，共四十五页。 网的网络平安防卫(fngwi)技术 网的网络平安问题 和短信骚扰搭线窃听和侦测网络的恶意( y)破坏 骚扰根本防御对策 骚扰根本防御对策恶意破坏的根本防御对策窃听和侦测的根本防御对策第四十一页，共四十五页。播送电视网的网络平安(png n)防卫技术播送(b sn)