电信网络安全问题分析与对策研究

电信网络安全问题分析与对策研究

随着互联网网络的普及，电信网络技术也取得了迅速的发展，成为人们之间沟通的重要手段，也渗透到社会各个方面，为电信运营商带来了巨大的经济效益，在社会发展中发挥了重要的推动作用。但网络攻击技术也随之快速发展起来,而且日渐成熟。通过近年来国内外的重大网络安全事件分析来看,目前的网络攻击手段已呈现出规模化、协同化、自动化的特点。网络攻击已经对国家的安全,社会的稳定,以及包括电信运营商在内的国有企业和客户的利益造成了较大的危害。因此,电信网络的安全问题,已引起业内人士的广泛关注。1通信网络的潜在安全风险1.1给广大用户带来的利益随着移动互联网的快速发展,用户群体的日益壮大,病毒和恶意程序对电信网络和客户端的攻击也日渐猖獗,例如网络钓鱼软件的肆意传播,还有恶意扣费、垃圾短信以及利用电信网络的进行欺诈行为等等,都给广大用户带来了莫大的烦恼,甚至是巨大的经济损失。CNCER数据统计表明,2012年有162981种恶意程序样本被通报,比前一年增长了25倍,其中恶意吸费类的恶意程序居多,占据了39.8%的比例,流氓行为类的占据27.7%,资费消耗类的占据11%。1.2s攻击提供的有利条件当前,高速的电信网络在给客户带来方便的同时也为DDos攻击提供了有利条件。当前,电信骨干网络的连接都达到了G级,这将意味着攻击者可以通过利用更远距离的主机作为傀儡主机,采取更大范围的攻击模式,是服务器陷入瘫痪。1.3攻击系统漏洞众所周知在硬件设计、软件编程、协议规划以及系统的安全策略方面都会存在或多或少的缺陷,这些缺陷被称为漏洞。攻击者往往会利用漏洞对操作系统、服务器软件、防火墙以及路由器设备等造成致命的打击。漏洞的分类主要有:软件在编写过程中产生的BUG、系统配置的不当、用户口令失窃、Tcp/Ip协议本身的缺陷等等。1.4执行网络不安全有的电信企业不能够很好的对其自身的业务情况、网络环境、管理模式等行业特性作全面的分析,没有健全的的安全体系结构、安全保障体系以及服务保障体系。因而就无法对网络实施科学、有效的管理。同时,在公司内部的安全管理方面,各个安全机构之间缺乏交流，对协调处理安全事件的力度不够。另外,网络管理人员在平时工作中安全意识淡薄,可能会造成主机口令的丢失或不能及时更新口令。这些因素都会构成对网络安全的威胁。2电信网络网络安全对策分析2.1技术安全对策2.1.1网络安全技术防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统,目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访,从而实现内网保护。为了保护电信网络不受外来黑客的攻击,应该在每台交换机的操作系统和终端设备上安装防火墙软件。2.1.2公共网络的安全虚拟专用网络(VirtualPrivateNetwork,简称VPN),就是通过专用的网络技术,在公共网中建立一条安全、临时的专用通道。虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。这样将电信网络划分为若干虚拟网络的方法,打破了整个共享网络中地域的束缚,同时也提高了虚拟网的管理功能。2.1.3提高网络防病毒能力入侵检测系统(IntrusionDetectionSystem)是一种基于网络实时监测的主动防御系统,该系统对网络的非法攻击,能够提前预警。网络防火墙虽然在某种程度上阻止了外来用户对服务器的非法访问,可是却无法有效地防范内部用户的攻击,尤其是对数据驱动类型的攻击手段,而入侵检测系统可以弥补防火墙在这方面的缺陷。是电信网路的安全问题得到更好的解决。2.1.4建立统一的安全防护体系,加强监控能力由于病毒和恶意代码攻击给广大客户和运营商带来的损失越来越大,电信部门应该在整个国内互联网领域加大投入力度,采取更加有效的安全防护措施。包括建立一整套的全国性的病毒恶意代码监控体系,将集中监控模块分布到各个省中心节点,实施分布式处理,实时预警,实现整个网络安全监测全覆盖。近几年,中国电信北京研究院在新疆地区分阶段对当地的移动网咯进行了恶意代码的监测表明,该监测系统对恶意程序带宽消耗、无线网络资源占用以及恶意代码的下载等几个方面的防护都起到了明显的效果。2.1.5访问控制审计技术访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。该技术可以对用户需要访问的具体资源,进行有效控制,对于规则访问控制列表意外的访问能被有效拦截。审计技术作为访问控制技术的补充,可以监控客户使用的文件信息、访问时间、对该文件执行的何种操作等。审计和监控的有效结合，对于今后灾难发生时的责任追查以及系统的恢复起到重要的辅助作用。2.2管理技术安全对策2.2.1建立健全保证网络安全网络用户电信网络安全不是仅仅通过网络技术与计算机技术的提高就可以保证的,由于所有的技术、规则的实现都要通过人员的执行才能奏效,因此还要有管理层面的介入,管理和技术必须同时跟进,才能保证整个电信网络系统的安全。作为电信部门,首先要有严格的安全管理制度,制度建设要全面、认真。只有通过实施严格的规则,才能保证技术人员和管理人员按照规定的职责办事,从而防止责任权利重叠,和由此引发的恶意攻击的发生。常见的信息安全管理制度主要包括:人员安全管理制度、安全操作管理制度、设备安全管理制度、运行安全管理制度、应急维护制度、安全等级保护制度;有害数据及计算机病毒防范管理制度;敏感数据保护制度、安全技术保障制度、安全计划管理制度等。2.2.2网络安全人员电信工作人员的安全意识非常重要,事实证明,很多网络攻击的得逞,都与网络安全人员的安全意识淡薄有关,作为电信运营商不仅要做到有法可依,还要做到有法必依,违法必究。作为安全人员,在技术水平不断保持领先的同时,还要提高自己的安全保密意识,对相关的法律法规认真学习并加以宣传。3拒绝服务式攻击随着网络通信技术和计算机技术的快速发展,电信网络的安全问题,日益引起广大用户和运营商的重视,也直接影响着运营商的生存和发展。电信网络安全技术人员需要持续的加强学习、认真研究网络中可能出现的各种安全问题,同时,管理部门要强化管理意识,提高管理水平,共同保证电信网络安全、稳定、健康的发展。分布式拒绝服务式攻击(DDoS:DistributedDenialofService)是在拒绝服务式攻击(Dos)的基础上发展起来的一种新型的攻击方式。Dos攻击时利用TCP/IP协议的特点,通过连续发送大量的SYN请求,对服务区资源大量“非法”占用,致使服务器无法响应正常的服务请求,从而导致服务器服务功能的瘫痪,攻击成功。然而,随着计算机与网络技术的发展,网络服务器的内存增大,处理器处理能力有了增强,使得Dos攻击难度增大。这时,就产生了分布式拒绝服务式攻击(DDos),这种攻击方式采用了C/S技术,联合分布在