電信網(wǎng)絡(luò)安全隱患與對(duì)策探析

李建國(guó)

（淮北師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，安徽 淮北235000）

隨著Internet網(wǎng)絡(luò)的普及，電信網(wǎng)絡(luò)技術(shù)也有了較快的發(fā)展，越來越成為人們之間溝通的重要手段，而且已滲入到社會(huì)的方方面面，為電信運(yùn)營(yíng)商帶來了巨大的經(jīng)濟(jì)效益，為社會(huì)的發(fā)展起到了重要的推動(dòng)作用。但網(wǎng)絡(luò)攻擊技術(shù)也隨之快速發(fā)展起來，而且日漸成熟。通過近年來國(guó)內(nèi)外的重大網(wǎng)絡(luò)安全事件分析來看，目前的網(wǎng)絡(luò)攻擊手段已呈現(xiàn)出規(guī)?；?、協(xié)同化、自動(dòng)化的特點(diǎn)。網(wǎng)絡(luò)攻擊已經(jīng)對(duì)國(guó)家的安全，社會(huì)的穩(wěn)定，以及包括電信運(yùn)營(yíng)商在內(nèi)的國(guó)有企業(yè)和客戶的利益造成了較大的危害。因此，電信網(wǎng)絡(luò)的安全問題，已引起業(yè)內(nèi)人士的廣泛關(guān)注。

1 電信網(wǎng)絡(luò)存在的安全隱患

1.1 病毒和惡意程序攻擊

隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，用戶群體的日益壯大，病毒和惡意程序?qū)﹄娦啪W(wǎng)絡(luò)和客戶端的攻擊也日漸猖獗，例如網(wǎng)絡(luò)釣魚軟件的肆意傳播，還有惡意扣費(fèi)、垃圾短信以及利用電信網(wǎng)絡(luò)的進(jìn)行欺詐行為等等，都給廣大用戶帶來了莫大的煩惱，甚至是巨大的經(jīng)濟(jì)損失。

CNCER數(shù)據(jù)統(tǒng)計(jì)表明，2012年有162981種惡意程序樣本被通報(bào)，比前一年增長(zhǎng)了25倍，其中惡意吸費(fèi)類的惡意程序居多，占據(jù)了39.8%的比例，流氓行為類的占據(jù)27.7%，資費(fèi)消耗類的占據(jù)11%。

1.2 分布式拒絕服務(wù)式攻擊

分布式拒絕服務(wù)式攻擊(DDoS:Distributed Denial of Service)是在拒絕服務(wù)式攻擊（Dos）的基礎(chǔ)上發(fā)展起來的一種新型的攻擊方式。Dos攻擊時(shí)利用TCP/IP協(xié)議的特點(diǎn)，通過連續(xù)發(fā)送大量的SYN請(qǐng)求，對(duì)服務(wù)區(qū)資源大量“非法”占用，致使服務(wù)器無法響應(yīng)正常的服務(wù)請(qǐng)求，從而導(dǎo)致服務(wù)器服務(wù)功能的癱瘓，攻擊成功。然而，隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)服務(wù)器的內(nèi)存增大，處理器處理能力有了增強(qiáng)，使得Dos攻擊難度增大。這時(shí)，就產(chǎn)生了分布式拒絕服務(wù)式攻擊(DDos),這種攻擊方式采用了C/S技術(shù)，聯(lián)合分布在不同地點(diǎn)的主機(jī)，對(duì)同一個(gè)目標(biāo)共同發(fā)動(dòng)Dos攻擊，這種分布式的聯(lián)合攻擊，大大超出了網(wǎng)路服務(wù)器的處理能力，從而達(dá)到攻擊的目的。

當(dāng)前，高速的電信網(wǎng)絡(luò)在給客戶帶來方便的同時(shí)也為DDos攻擊提供了有利條件。當(dāng)前，電信骨干網(wǎng)絡(luò)的連接都達(dá)到了G級(jí)，這將意味著攻擊者可以通過利用更遠(yuǎn)距離的主機(jī)作為傀儡主機(jī)，采取更大范圍的攻擊模式，是服務(wù)器陷入癱瘓。

1.3 漏洞攻擊

眾所周知在硬件設(shè)計(jì)、軟件編程、協(xié)議規(guī)劃以及系統(tǒng)的安全策略方面都會(huì)存在或多或少的缺陷，這些缺陷被稱為漏洞。攻擊者往往會(huì)利用漏洞對(duì)操作系統(tǒng)、服務(wù)器軟件、防火墻以及路由器設(shè)備等造成致命的打擊。漏洞的分類主要有：軟件在編寫過程中產(chǎn)生的BUG、系統(tǒng)配置的不當(dāng)、用戶口令失竊、Tcp/Ip協(xié)議本身的缺陷等等。

1.4 網(wǎng)絡(luò)管理缺陷

有的電信企業(yè)不能夠很好的對(duì)其自身的業(yè)務(wù)情況、網(wǎng)絡(luò)環(huán)境、管理模式等行業(yè)特性作全面的分析，沒有健全的的安全體系結(jié)構(gòu)、安全保障體系以及服務(wù)保障體系。因而就無法對(duì)網(wǎng)絡(luò)實(shí)施科學(xué)、有效的管理。同時(shí)，在公司內(nèi)部的安全管理方面，各個(gè)安全機(jī)構(gòu)之間缺乏交流，對(duì)協(xié)調(diào)處理安全事件的力度不夠。另外，網(wǎng)絡(luò)管理人員在平時(shí)工作中安全意識(shí)淡薄，可能會(huì)造成主機(jī)口令的丟失或不能及時(shí)更新口令。這些因素都會(huì)構(gòu)成對(duì)網(wǎng)絡(luò)安全的威脅。

2 電信網(wǎng)絡(luò)安全對(duì)策分析

對(duì)于電信網(wǎng)絡(luò)的安全問題應(yīng)該從管理和技術(shù)兩個(gè)層面加以研究，要建立一套統(tǒng)一的防御體系，除了要有必要的技術(shù)支持，也要有科學(xué)、有效的管理措施，才能阻止非法者的入侵，降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

2.1 技術(shù)層面的安全對(duì)策

2.1.1 采取防火墻技術(shù)

防火墻是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一道防御系統(tǒng)，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。防火墻在企業(yè)內(nèi)網(wǎng)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，從而實(shí)現(xiàn)內(nèi)網(wǎng)保護(hù)。為了保護(hù)電信網(wǎng)絡(luò)不受外來黑客的攻擊，應(yīng)該在每臺(tái)交換機(jī)的操作系統(tǒng)和終端設(shè)備上安裝防火墻軟件。

2.1.2 運(yùn)用虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡(jiǎn)稱VPN），就是通過專用的網(wǎng)絡(luò)技術(shù)，在公共網(wǎng)中建立一條安全、臨時(shí)的專用通道。虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。這樣將電信網(wǎng)絡(luò)劃分為若干虛擬網(wǎng)絡(luò)的方法，打破了整個(gè)共享網(wǎng)絡(luò)中地域的束縛，同時(shí)也提高了虛擬網(wǎng)的管理功能。

2.1.3 建立入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System）是一種基于網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)的主動(dòng)防御系統(tǒng)，該系統(tǒng)對(duì)網(wǎng)絡(luò)的非法攻擊，能夠提前預(yù)警。網(wǎng)絡(luò)防火墻雖然在某種程度上阻止了外來用戶對(duì)服務(wù)器的非法訪問，可是卻無法有效地防范內(nèi)部用戶的攻擊，尤其是對(duì)數(shù)據(jù)驅(qū)動(dòng)類型的攻擊手段，而入侵檢測(cè)系統(tǒng)可以彌補(bǔ)防火墻在這方面的缺陷。是電信網(wǎng)路的安全問題得到更好的解決。

2.1.4 建立病毒和惡意程序防御系統(tǒng)

由于病毒和惡意代碼攻擊給廣大客戶和運(yùn)營(yíng)商帶來的損失越來越大，電信部門應(yīng)該在整個(gè)國(guó)內(nèi)互聯(lián)網(wǎng)領(lǐng)域加大投入力度，采取更加有效的安全防護(hù)措施。包括建立一整套的全國(guó)性的病毒惡意代碼監(jiān)控體系，將集中監(jiān)控模塊分布到各個(gè)省中心節(jié)點(diǎn)，實(shí)施分布式處理，實(shí)時(shí)預(yù)警，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)安全監(jiān)測(cè)全覆蓋。近幾年，中國(guó)電信北京研究院在新疆地區(qū)分階段對(duì)當(dāng)?shù)氐囊苿?dòng)網(wǎng)咯進(jìn)行了惡意代碼的監(jiān)測(cè)表明，該監(jiān)測(cè)系統(tǒng)對(duì)惡意程序帶寬消耗、無線網(wǎng)絡(luò)資源占用以及惡意代碼的下載等幾個(gè)方面的防護(hù)都起到了明顯的效果。

2.1.5 聯(lián)合系統(tǒng)訪問控制與審計(jì)技術(shù)

訪問控制是在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。該技術(shù)可以對(duì)用戶需要訪問的具體資源，進(jìn)行有效控制，對(duì)于規(guī)則訪問控制列表意外的訪問能被有效攔截。

審計(jì)技術(shù)作為訪問控制技術(shù)的補(bǔ)充，可以監(jiān)控客戶使用的文件信息、訪問時(shí)間、對(duì)該文件執(zhí)行的何種操作等。審計(jì)和監(jiān)控的有效結(jié)合，對(duì)于今后災(zāi)難發(fā)生時(shí)的責(zé)任追查以及系統(tǒng)的恢復(fù)起到重要的輔助作用。

2.2 管理技術(shù)層面的安全對(duì)策

2.2.1 建立健全的管理制度

電信網(wǎng)絡(luò)安全不是僅僅通過網(wǎng)絡(luò)技術(shù)與計(jì)算機(jī)技術(shù)的提高就可以保證的，由于所有的技術(shù)、規(guī)則的實(shí)現(xiàn)都要通過人員的執(zhí)行才能奏效，因此還要有管理層面的介入，管理和技術(shù)必須同時(shí)跟進(jìn)，才能保證整個(gè)電信網(wǎng)絡(luò)系統(tǒng)的安全。

作為電信部門，首先要有嚴(yán)格的安全管理制度，制度建設(shè)要全面、認(rèn)真。只有通過實(shí)施嚴(yán)格的規(guī)則，才能保證技術(shù)人員和管理人員按照規(guī)定的職責(zé)辦事，從而防止責(zé)任權(quán)利重疊，和由此引發(fā)的惡意攻擊的發(fā)生。常見的信息安全管理制度主要包括：人員安全管理制度、安全操作管理制度、設(shè)備安全管理制度、運(yùn)行安全管理制度、應(yīng)急維護(hù)制度、安全等級(jí)保護(hù)制度；有害數(shù)據(jù)及計(jì)算機(jī)病毒防范管理制度；敏感數(shù)據(jù)保護(hù)制度、安全技術(shù)保障制度、安全計(jì)劃管理制度等。

2.2.1 加強(qiáng)工作人員的安全意識(shí)

電信工作人員的安全意識(shí)非常重要，事實(shí)證明，很多網(wǎng)絡(luò)攻擊的得逞，都與網(wǎng)絡(luò)安全人員的安全意識(shí)淡薄有關(guān)，作為電信運(yùn)營(yíng)商不僅要做到有法可依，還要做到有法必依，違法必究。作為安全人員，在技術(shù)水平不斷保持領(lǐng)先的同時(shí)，還要提高自己的安全保密意識(shí)，對(duì)相關(guān)的法律法規(guī)認(rèn)真學(xué)習(xí)并加以宣傳。

3 結(jié)束語

隨著網(wǎng)絡(luò)通信技術(shù)和計(jì)算機(jī)技術(shù)的快速發(fā)展，電信網(wǎng)絡(luò)的安全問題，日益引起廣大用戶和運(yùn)營(yíng)商的重視，也直接影響著運(yùn)營(yíng)商的生存和發(fā)展。電信網(wǎng)絡(luò)安全技術(shù)人員需要持續(xù)的加強(qiáng)學(xué)習(xí)、認(rèn)真研究網(wǎng)絡(luò)中可能出現(xiàn)的各種安全問題，同時(shí)，管理部門要強(qiáng)化管理意識(shí)，提高管理水平，共同保證電信網(wǎng)絡(luò)安全、穩(wěn)定、健康的發(fā)展。

［1］李立卡,陳慶年.電信核心網(wǎng)絡(luò)與信息安全模型及安全提升方案研究[J].電信科學(xué),2013(Z2):135-138.

［2］馮曉冬,宋麗,薄明霞,唐洪玉.惡意程序監(jiān)控系統(tǒng)在移動(dòng)互聯(lián)網(wǎng)安全防護(hù)中的應(yīng)用[J].電信技術(shù),2013(5):45-47.

［3］王迅.有關(guān)電信計(jì)算機(jī)網(wǎng)絡(luò)安全管理的分析與規(guī)劃[J].硅谷,2013(2):132-133.

［4］李新德.電信網(wǎng)絡(luò)安全問題的研究[J].電腦知識(shí)與技術(shù),2010(12):9972-9974.

［5］張斌.電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建探析[J].中國(guó)新通信,2013(9):26-26.