摘要:通信業(yè)支撐網(wǎng)安全是現(xiàn)代信息技術(shù)發(fā)展的必然趨勢。隨著移動通信技術(shù)的飛速發(fā)展,電信產(chǎn)業(yè)的客戶群日益龐大,業(yè)務(wù)種類日益多樣化,業(yè)務(wù)范圍也日益廣泛,這為通信產(chǎn)業(yè)的發(fā)展提供了機遇,同時也帶來了新的挑戰(zhàn)。為了滿足發(fā)展的需求,電信企業(yè)將不斷完善自己的業(yè)務(wù)支撐系統(tǒng)。通信行業(yè)的發(fā)展是離不開互聯(lián)網(wǎng)技術(shù)的支撐。為了促進通信行業(yè)的安全穩(wěn)定發(fā)展,必須加強對支撐網(wǎng)絡(luò)的安全防護。本文從目前通信產(chǎn)業(yè)支撐網(wǎng)的安全現(xiàn)狀出發(fā),對存在的問題進行了分析,并給出了解決方案。
關(guān)鍵詞:通信業(yè);支撐網(wǎng);現(xiàn)狀;安全策略
一、引言
根據(jù)工業(yè)和信息化部頒布的電信和互聯(lián)網(wǎng)安全保護標準,支撐網(wǎng)主要是由一個獨立于業(yè)務(wù)網(wǎng)的、用來維護、經(jīng)營和會計的綜合性信息系統(tǒng)構(gòu)成的網(wǎng)絡(luò)。
相對于其它類型的網(wǎng)管,支撐網(wǎng)具有很大的規(guī)模和大量的界面,包括了計費、帳篷、網(wǎng)管等重要的業(yè)務(wù),所以,其安全問題應(yīng)該是運營商的重點。同時,支撐網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機的數(shù)量和類型以及服務(wù)的種類都要比其他網(wǎng)絡(luò)設(shè)備多得多,支撐網(wǎng)絡(luò)的安全性問題涉及了幾乎所有其他網(wǎng)絡(luò)設(shè)備的安全問題。
二、通信業(yè)務(wù)支撐網(wǎng)的安全現(xiàn)狀
近幾年,我國通信技術(shù)發(fā)展迅速,但是目前通信服務(wù)支撐網(wǎng)絡(luò)的安全狀況不容樂觀,許多問題仍未得到解決。
①拓撲安全性問題,諸如某些網(wǎng)絡(luò)平臺安全、遠程服務(wù)安全、終端安全等,支持網(wǎng)絡(luò)的拓撲結(jié)構(gòu)必須符合有關(guān)的工業(yè)和冗余容災(zāi)標準。而通信服務(wù)支持網(wǎng)絡(luò)的終端安全,則是指工作人員在維護終端設(shè)備的時候,或者是設(shè)備本身的問題。通過這些服務(wù),可以保證用戶、網(wǎng)絡(luò)、系統(tǒng)等多個方面的數(shù)據(jù)都能夠準確的收集到,所以在網(wǎng)絡(luò)中,最容易出現(xiàn)問題的就是遠程服務(wù),它的主要目的就是為了更好地管理通信服務(wù),通過高質(zhì)量的管理來實現(xiàn)對服務(wù)器和設(shè)備的訪問。網(wǎng)絡(luò)平臺的安全,是網(wǎng)絡(luò)服務(wù)支持網(wǎng)絡(luò)安全的一個重要內(nèi)容,它的核心是網(wǎng)絡(luò)安全,它可以直接地影響到網(wǎng)絡(luò)的安全。
②通過對相關(guān)調(diào)查的分析,發(fā)現(xiàn)網(wǎng)絡(luò)拓撲是網(wǎng)絡(luò)中使用頻率最低的問題,其次是遠程服務(wù),其次是網(wǎng)絡(luò)平臺。
③在管理通信服務(wù)支撐網(wǎng)絡(luò)期間,通信業(yè)各運營商尤其缺少用于監(jiān)測通信服務(wù)支撐網(wǎng)絡(luò)的運行狀況的監(jiān)測設(shè)施,以及對通信業(yè)務(wù)支撐網(wǎng)安全管理的規(guī)章制度亟待完善,通信業(yè)務(wù)支撐網(wǎng)安全防護工作的順利開展受到了嚴重的影響,難以保障通信業(yè)務(wù)支撐網(wǎng)維護工作的質(zhì)量。
④關(guān)于通信服務(wù)支撐網(wǎng)絡(luò)的安全設(shè)計,目前國內(nèi)一些通信業(yè)運營商存在著一定程度的安全審計問題,這使得網(wǎng)絡(luò)安全審計工作出現(xiàn)了很大的漏洞,特別是當多個網(wǎng)絡(luò)管理員同時管理一個賬戶時,很容易出現(xiàn)保存、收集和整理等問題,嚴重地影響了通信服務(wù)支持網(wǎng)絡(luò)的安全。
三、通信業(yè)務(wù)支撐網(wǎng)安全策略
(一)應(yīng)用網(wǎng)絡(luò)防火墻
網(wǎng)絡(luò)防火墻是實現(xiàn)通信服務(wù)支撐網(wǎng)安全的重要手段。網(wǎng)絡(luò)防火墻主要是安裝在通信服務(wù)支撐網(wǎng)的入口處,它能有效地保護中心的數(shù)據(jù)庫信息,通過嚴格的安全測試,才能保證數(shù)據(jù)的流通,避免數(shù)據(jù)丟失和感染。絕對準則是防火墻的基本原理,它可以保證通過防火墻的所有信息和數(shù)據(jù)都得到了系統(tǒng)的許可,而不能進行任何系統(tǒng)禁止的數(shù)據(jù)和操作。
針對目前我國通信服務(wù)支撐網(wǎng)的安全保護現(xiàn)狀,提出了一種新的防范措施。殺毒軟件可以從各個角度保護信息的流通,同時可以及時地檢測到隱藏在信息中的病毒,并對其進行技術(shù)處理。通信服務(wù)支持網(wǎng)絡(luò)依靠的是電腦技術(shù),而病毒對電腦的威脅是眾所周知的,它會導(dǎo)致電腦的癱瘓、系統(tǒng)的崩潰,從而導(dǎo)致電信網(wǎng)絡(luò)的網(wǎng)絡(luò)癱瘓,從而影響到網(wǎng)絡(luò)的安全。而反病毒軟件的設(shè)置,則是在大數(shù)據(jù)環(huán)境下,通信服務(wù)支撐網(wǎng)絡(luò)的第二道防線[1]。
(二)新型密碼相關(guān)技術(shù)的應(yīng)用
利用密碼的方式進行數(shù)據(jù)加密,既可以為計算機系統(tǒng)提供密碼保護,又可以為數(shù)據(jù)的安全提供最直接的保護。和防火墻一樣,都是封鎖了所有的數(shù)據(jù),不同的是,防火墻會將所有的數(shù)據(jù)進行歸類,讓系統(tǒng)認可的數(shù)據(jù)通過,而數(shù)據(jù)加密技術(shù),則需要輸入相應(yīng)的密碼,而非加密的數(shù)據(jù),則是無法進行加密的。在進行通信服務(wù)支持網(wǎng)絡(luò)的安全保護時,如果不對數(shù)據(jù)進行加密,就不能獲取相關(guān)的信息,而且還會給用戶帶來一些人為的安全隱患,比如黑客入侵之類的,但如果采用防火墻之類的保護措施來保護數(shù)據(jù),將會極大地降低信息保護的工作效率。所以,為了保護這種數(shù)據(jù),必須建立一個身份驗證系統(tǒng),并對其進行權(quán)限設(shè)定,比如身份驗證等,這是目前使用最多的一種認證。在通信公司對員工進行了身份驗證后,該信息可以由經(jīng)過認證的員工任意使用。作為支撐網(wǎng)絡(luò)安全的基礎(chǔ),深入開展新的加密技術(shù)具有十分重要的現(xiàn)實意義,電信運營商應(yīng)該主動提高客戶的安全意識,以保證網(wǎng)絡(luò)的安全。
同時,電信運營商要加大對其經(jīng)費的投資,為其提供有利的科研環(huán)境,促進其發(fā)展,不斷優(yōu)化和創(chuàng)新已有的加密技術(shù),提高其安全性,保證通信服務(wù)支撐網(wǎng)絡(luò)的安全性;同時,也應(yīng)該加強對通信服務(wù)支撐網(wǎng)絡(luò)的使用者的安全意識,引導(dǎo)他們積極地進行相關(guān)的安全設(shè)置,積極地為他們的賬戶設(shè)定一些登錄權(quán)限,增加密碼的難度,從而有效地提高了通信服務(wù)支撐網(wǎng)絡(luò)設(shè)備的安全保護能力[2]。
(三)Web平臺安全
目前,許多應(yīng)用于不同的系統(tǒng),都采用了基于網(wǎng)絡(luò)的管理平臺,但是這樣做帶來了便利,也造成了相應(yīng)的安全性問題。在整個問題中, Web平臺的安全問題被發(fā)現(xiàn)的數(shù)量約占1/5。從更高的層次來看,網(wǎng)絡(luò)平臺的安全問題可以分為認證和參數(shù)修正兩大類。驗證缺陷主要有缺省或可推測的使用者賬號密碼、HTTP窗體暴力破解、會話管理漏洞等。參數(shù)修正的漏洞主要有指令注入、存取檔案、跨站程式碼攻擊等。
其中26.9%的平臺在檢查過程中出現(xiàn)了安全問題,其中有26.9%的平臺是登錄模塊的設(shè)計,該系統(tǒng)只對用戶名和密碼進行了兩次驗證,不需要輸入任何特殊信息(如身份證號、工號)、不能進行動態(tài)認證,最重要的是,不能在短時間內(nèi)多次登錄。
如果輸入的使用者名稱不存在,那么暴力地破解賬號密碼就會變得相對簡單。更有甚者,一些公司覺得自己的權(quán)限控制策略很嚴格,索性就不設(shè)置登錄權(quán)限,讓訪問者可以直接登錄該平臺進行維護和管理。但他們并不知道,在所有的安全事故中,內(nèi)網(wǎng)的安全事故占據(jù)了70%,這種平臺會給公司的安全造成很大的威脅,而且這種平臺很難進行安全審核[3]。最好的辦法就是在登錄頁面上設(shè)置登錄次數(shù),當?shù)卿洿螖?shù)達到一定數(shù)量后,這個賬號就會被暫時凍結(jié)。但這種方式會對合法使用者的正常使用造成一定的干擾,使干擾到的行為具有一定的時效性,所以在設(shè)置登錄次數(shù)的時候要根據(jù)實際情況進行詳細的分析,并根據(jù)使用者的不同,設(shè)置一個合理的下載量。因為強行破解需要花費大量的時間去登錄網(wǎng)站,管理員還可以利用防火墻、IDS等安全檢測手段,在短時間內(nèi)連續(xù)嘗試登錄失敗的IP,并采取相應(yīng)的措施來阻止。當然,對于用戶來說,密碼的復(fù)雜程度要達到一定的標準,并且要定期地進行更新。
支撐網(wǎng)絡(luò)管理平臺也存在著大量的敏感信息泄露,如目錄列表、源代碼泄露等,為黑客的后續(xù)攻擊提供了重要依據(jù)。所以,為了防止攻擊者獲得敏感的資料,應(yīng)該禁止訪問這些網(wǎng)頁。
(四)遠程服務(wù)安全
支撐網(wǎng)絡(luò)要處理大量的數(shù)據(jù)請求、數(shù)據(jù)采集和傳輸,因此需要大量的遠程業(yè)務(wù),這就給網(wǎng)絡(luò)的安全性提出了新的要求。遠程服務(wù)分為三大類:遠程信息服務(wù)、遠程維護服務(wù)、數(shù)據(jù)庫服務(wù)[4]。
1. Television Service的安全性
網(wǎng)絡(luò)服務(wù)包括 FINGER、 NTP、 SNMP、 rwho、 DNS等,這些業(yè)務(wù)都是提供系統(tǒng)、用戶和網(wǎng)絡(luò)的具體數(shù)據(jù)。在網(wǎng)絡(luò)信息服務(wù)的安全性上, SNMP的問題最為突出,62.1%的運營商存在 SNMP的弱密碼,2個版本的 SNMP太老。SNMP的弱密碼對攻擊者來說是非常重要的,它可以讓攻擊者利用Pub-lic的組字字符串來獲取主機名,用戶名,運行的服務(wù)。
利用Private群體字符串,攻擊者可以入侵設(shè)備操作系統(tǒng),獲取設(shè)備的簡要表,其中有一個直接存取密碼。圖3是使用 SNMP寫入許可群體字來修改目標裝置信息。SNMP服務(wù)需要具備強大的讀寫團隊字字符串。此外,若要使用 SNMP,推薦使用SNMPv3,此版本采用 DES和MD5、 SHA技術(shù),能更好地保障通訊的保密及合法使用者的身份認證[5]。
2.遠程維護服務(wù)安全
遠程維護服務(wù)是為了管理目的,能夠直接對服務(wù)器和設(shè)備進行遠程訪問,在安全檢查中發(fā)現(xiàn)故障的遠程維護服務(wù)有 FTP、 SSH、 Telnet、 VNC、 rsh、遠程臺式機等。
在遠程維護服務(wù)的安全性問題中,弱密碼問題日益突出。弱密碼的危險性很大,據(jù)我們的數(shù)據(jù)顯示,在70%的入侵中,弱密碼起到了至關(guān)重要的作用。弱密碼問題并不是針對遠程維護服務(wù)安全的,而是存在于各種類型的安全問題中。通過對支撐網(wǎng)絡(luò)的安全數(shù)據(jù)分析,發(fā)現(xiàn)所有設(shè)備和服務(wù)器的安全問題中,有88.4%的設(shè)備和服務(wù)器存在著安全問題。問題之所以會這么嚴重,不僅僅是技術(shù)上的落后,還有一個重要的原因就是管理上的問題。
弱密碼的產(chǎn)生有以下3個原因:一小部分是由于管理員的安全意識不強,為了方便而采用較弱的密碼;有些是廠商在開發(fā)過程中,內(nèi)部的弱密碼,以適應(yīng)系統(tǒng)之間的通信需求;另外,管理員們也會用弱密碼來提高工作效率,例如,不同的服務(wù)器都要在同一個平臺上運行,所以管理員才會設(shè)置一個容易記憶的弱密碼。解決弱密碼問題,必須從多個方面入手:運營商必須調(diào)查相關(guān)系統(tǒng)與組織結(jié)構(gòu)的設(shè)定是否不恰當;強化安全教育,增強員工的安全意識;與廠商溝通,在源碼開發(fā)過程中,過程中所用的口令復(fù)雜程度要達到所需的口令,并且口令也要能隨時進行更改;要轉(zhuǎn)變員工的評價方法和激勵機制,不僅要從生產(chǎn)效益出發(fā),還要從安全角度出發(fā),把安全工作也納入到工作量中[6]。
由于技術(shù)的發(fā)展,目前的遠程維護服務(wù)已經(jīng)不再適合于使用,例如 Telnet Service、 rsh、 rexec、 rlogin等業(yè)務(wù)都是以明文方式進行傳送的,它們很容易被入侵,因此應(yīng)該由 SSH業(yè)務(wù)取代。VNC的認證機制很弱,所以也不能用。
由于運營商的網(wǎng)絡(luò)規(guī)模越來越大,設(shè)備越來越多,出現(xiàn)了一種情況:一是運營商的日常維護工作經(jīng)常是由廠商來做,二是多個用戶同時使用同一個賬戶。另外,由于對審計工作的需求,運營商迫切需要采用“堡壘式”或“4 A”級的審計體系來進行安全審核。這種安全審核體系既要滿足集中和精細兩個方面的需求,又要保證其安全性,并且要有足夠的備份,以防止由堡壘主機造成的單一故障[7]。
3.數(shù)據(jù)庫服務(wù)安全
在數(shù)據(jù)庫服務(wù)的安全性上,主要是由于使用的軟件版本太少而導(dǎo)致的弱密碼問題,這些問題之前已經(jīng)討論了,這里就不多說了。
(五)信息安全
通信行業(yè)的支撐網(wǎng)絡(luò),要做海量的數(shù)據(jù)統(tǒng)計,收集各種任務(wù),這就導(dǎo)致了遠程業(yè)務(wù)的出現(xiàn)。遠程維護服務(wù)是為了管理目的,能夠直接對服務(wù)器和設(shè)備進行遠程訪問,在安全檢查中發(fā)現(xiàn)故障的遠程維護服務(wù)有 FTP、 SSH、 Telnet、 VNC、 rsh、遠程臺式機等。為此,應(yīng)加強對審計工作和管理的改進,注重技術(shù)的創(chuàng)新利用,確保審計系統(tǒng)的安全和建立相應(yīng)的備份機制,以避免由“堡壘”造成的單一故障。
四、結(jié)束語
要做好支撐網(wǎng)的安全保護工作,就需要樹立全局觀念。在現(xiàn)實工作中,運營商往往忽略了網(wǎng)絡(luò)的互聯(lián)特性,忽略了一些關(guān)鍵環(huán)節(jié):例如,對于某個系統(tǒng)的安全保護可以做得很好,但是對相應(yīng)的輔助系統(tǒng)的關(guān)注不夠;網(wǎng)絡(luò)的邊界是嚴格的,但內(nèi)部的網(wǎng)絡(luò)是沒有任何防護的;經(jīng)檢查,約40%的電信公司辦公終端存在嚴重的安全問題。要做好支撐網(wǎng)的安全保護,除以上所述的安全問題之外,還應(yīng)對網(wǎng)絡(luò)的安全性進行分區(qū),通過防火墻策略、路由器 ACL配置等手段對網(wǎng)絡(luò)中的惡意 IP進行監(jiān)測和篩選。針對某些長期無法解決的問題,必須從深層次剖析,綜合提升制度、組織、人員、技術(shù)等各個層面的適應(yīng)性。
作者單位:余發(fā)科 廣東南方電信規(guī)劃咨詢設(shè)計院有限公司
參? 考? 文? 獻
[1]朱延敏. 我國通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對策探討[J].數(shù)字通信世界,2021(02):126-127.
[2]黃煒瑋. 我國通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對策探討[J].中國新通信,2016,18(20):10,11.
[3]李藝成. 關(guān)于通信業(yè)支撐網(wǎng)安全策略探討[J].信息通信,2020(08):256-257.
[4]江瑞宇,胥小偉,張英孔. 通信業(yè)支撐網(wǎng)安全策略研究[J].數(shù)字通信世界,2019(05):100.
[5]杜躍進,王偉哲. 我國通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對策探討[J]. 電信網(wǎng)技術(shù),2011(03):43-47.
[6]江瑞宇,胥小偉,張英孔. 通信業(yè)支撐網(wǎng)安全策略研究[J]. 數(shù)字通信世界,2019(05):100.
[7]殷小紅,程紅波. IT支撐網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀及其發(fā)展建議[J]. 通信管理與技術(shù),2011(02):19-21.
余發(fā)科(1977.06-),男,漢族,廣東深圳,本科,高級工程師,研究方向:5G網(wǎng)絡(luò)、IP承載網(wǎng)、支撐網(wǎng)的網(wǎng)絡(luò)規(guī)劃和技術(shù)演進。