摘要：通信業(yè)支撐網(wǎng)安全是現(xiàn)代信息技術(shù)發(fā)展的必然趨勢。隨著移動通信技術(shù)的飛速發(fā)展，電信產(chǎn)業(yè)的客戶群日益龐大，業(yè)務(wù)種類日益多樣化，業(yè)務(wù)范圍也日益廣泛，這為通信產(chǎn)業(yè)的發(fā)展提供了機遇，同時也帶來了新的挑戰(zhàn)。為了滿足發(fā)展的需求，電信企業(yè)將不斷完善自己的業(yè)務(wù)支撐系統(tǒng)。通信行業(yè)的發(fā)展是離不開互聯(lián)網(wǎng)技術(shù)的支撐。為了促進通信行業(yè)的安全穩(wěn)定發(fā)展，必須加強對支撐網(wǎng)絡(luò)的安全防護。本文從目前通信產(chǎn)業(yè)支撐網(wǎng)的安全現(xiàn)狀出發(fā)，對存在的問題進行了分析，并給出了解決方案。

關(guān)鍵詞：通信業(yè)；支撐網(wǎng)；現(xiàn)狀；安全策略

一、引言

根據(jù)工業(yè)和信息化部頒布的電信和互聯(lián)網(wǎng)安全保護標準，支撐網(wǎng)主要是由一個獨立于業(yè)務(wù)網(wǎng)的、用來維護、經(jīng)營和會計的綜合性信息系統(tǒng)構(gòu)成的網(wǎng)絡(luò)。

相對于其它類型的網(wǎng)管，支撐網(wǎng)具有很大的規(guī)模和大量的界面，包括了計費、帳篷、網(wǎng)管等重要的業(yè)務(wù)，所以，其安全問題應(yīng)該是運營商的重點。同時，支撐網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機的數(shù)量和類型以及服務(wù)的種類都要比其他網(wǎng)絡(luò)設(shè)備多得多，支撐網(wǎng)絡(luò)的安全性問題涉及了幾乎所有其他網(wǎng)絡(luò)設(shè)備的安全問題。

二、通信業(yè)務(wù)支撐網(wǎng)的安全現(xiàn)狀

近幾年，我國通信技術(shù)發(fā)展迅速，但是目前通信服務(wù)支撐網(wǎng)絡(luò)的安全狀況不容樂觀，許多問題仍未得到解決。

①拓撲安全性問題，諸如某些網(wǎng)絡(luò)平臺安全、遠程服務(wù)安全、終端安全等，支持網(wǎng)絡(luò)的拓撲結(jié)構(gòu)必須符合有關(guān)的工業(yè)和冗余容災(zāi)標準。而通信服務(wù)支持網(wǎng)絡(luò)的終端安全，則是指工作人員在維護終端設(shè)備的時候，或者是設(shè)備本身的問題。通過這些服務(wù)，可以保證用戶、網(wǎng)絡(luò)、系統(tǒng)等多個方面的數(shù)據(jù)都能夠準確的收集到，所以在網(wǎng)絡(luò)中，最容易出現(xiàn)問題的就是遠程服務(wù)，它的主要目的就是為了更好地管理通信服務(wù)，通過高質(zhì)量的管理來實現(xiàn)對服務(wù)器和設(shè)備的訪問。網(wǎng)絡(luò)平臺的安全，是網(wǎng)絡(luò)服務(wù)支持網(wǎng)絡(luò)安全的一個重要內(nèi)容，它的核心是網(wǎng)絡(luò)安全，它可以直接地影響到網(wǎng)絡(luò)的安全。

②通過對相關(guān)調(diào)查的分析，發(fā)現(xiàn)網(wǎng)絡(luò)拓撲是網(wǎng)絡(luò)中使用頻率最低的問題，其次是遠程服務(wù)，其次是網(wǎng)絡(luò)平臺。

③在管理通信服務(wù)支撐網(wǎng)絡(luò)期間，通信業(yè)各運營商尤其缺少用于監(jiān)測通信服務(wù)支撐網(wǎng)絡(luò)的運行狀況的監(jiān)測設(shè)施，以及對通信業(yè)務(wù)支撐網(wǎng)安全管理的規(guī)章制度亟待完善，通信業(yè)務(wù)支撐網(wǎng)安全防護工作的順利開展受到了嚴重的影響，難以保障通信業(yè)務(wù)支撐網(wǎng)維護工作的質(zhì)量。

④關(guān)于通信服務(wù)支撐網(wǎng)絡(luò)的安全設(shè)計，目前國內(nèi)一些通信業(yè)運營商存在著一定程度的安全審計問題，這使得網(wǎng)絡(luò)安全審計工作出現(xiàn)了很大的漏洞，特別是當多個網(wǎng)絡(luò)管理員同時管理一個賬戶時，很容易出現(xiàn)保存、收集和整理等問題，嚴重地影響了通信服務(wù)支持網(wǎng)絡(luò)的安全。

三、通信業(yè)務(wù)支撐網(wǎng)安全策略

（一）應(yīng)用網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻是實現(xiàn)通信服務(wù)支撐網(wǎng)安全的重要手段。網(wǎng)絡(luò)防火墻主要是安裝在通信服務(wù)支撐網(wǎng)的入口處，它能有效地保護中心的數(shù)據(jù)庫信息，通過嚴格的安全測試，才能保證數(shù)據(jù)的流通，避免數(shù)據(jù)丟失和感染。絕對準則是防火墻的基本原理，它可以保證通過防火墻的所有信息和數(shù)據(jù)都得到了系統(tǒng)的許可，而不能進行任何系統(tǒng)禁止的數(shù)據(jù)和操作。

針對目前我國通信服務(wù)支撐網(wǎng)的安全保護現(xiàn)狀，提出了一種新的防范措施。殺毒軟件可以從各個角度保護信息的流通，同時可以及時地檢測到隱藏在信息中的病毒，并對其進行技術(shù)處理。通信服務(wù)支持網(wǎng)絡(luò)依靠的是電腦技術(shù)，而病毒對電腦的威脅是眾所周知的，它會導(dǎo)致電腦的癱瘓、系統(tǒng)的崩潰，從而導(dǎo)致電信網(wǎng)絡(luò)的網(wǎng)絡(luò)癱瘓，從而影響到網(wǎng)絡(luò)的安全。而反病毒軟件的設(shè)置，則是在大數(shù)據(jù)環(huán)境下，通信服務(wù)支撐網(wǎng)絡(luò)的第二道防線[1]。

（二）新型密碼相關(guān)技術(shù)的應(yīng)用

利用密碼的方式進行數(shù)據(jù)加密，既可以為計算機系統(tǒng)提供密碼保護，又可以為數(shù)據(jù)的安全提供最直接的保護。和防火墻一樣，都是封鎖了所有的數(shù)據(jù)，不同的是，防火墻會將所有的數(shù)據(jù)進行歸類，讓系統(tǒng)認可的數(shù)據(jù)通過，而數(shù)據(jù)加密技術(shù)，則需要輸入相應(yīng)的密碼，而非加密的數(shù)據(jù)，則是無法進行加密的。在進行通信服務(wù)支持網(wǎng)絡(luò)的安全保護時，如果不對數(shù)據(jù)進行加密，就不能獲取相關(guān)的信息，而且還會給用戶帶來一些人為的安全隱患，比如黑客入侵之類的，但如果采用防火墻之類的保護措施來保護數(shù)據(jù)，將會極大地降低信息保護的工作效率。所以，為了保護這種數(shù)據(jù)，必須建立一個身份驗證系統(tǒng)，并對其進行權(quán)限設(shè)定，比如身份驗證等，這是目前使用最多的一種認證。在通信公司對員工進行了身份驗證后，該信息可以由經(jīng)過認證的員工任意使用。作為支撐網(wǎng)絡(luò)安全的基礎(chǔ)，深入開展新的加密技術(shù)具有十分重要的現(xiàn)實意義，電信運營商應(yīng)該主動提高客戶的安全意識，以保證網(wǎng)絡(luò)的安全。

同時，電信運營商要加大對其經(jīng)費的投資，為其提供有利的科研環(huán)境，促進其發(fā)展，不斷優(yōu)化和創(chuàng)新已有的加密技術(shù)，提高其安全性，保證通信服務(wù)支撐網(wǎng)絡(luò)的安全性；同時，也應(yīng)該加強對通信服務(wù)支撐網(wǎng)絡(luò)的使用者的安全意識，引導(dǎo)他們積極地進行相關(guān)的安全設(shè)置，積極地為他們的賬戶設(shè)定一些登錄權(quán)限，增加密碼的難度，從而有效地提高了通信服務(wù)支撐網(wǎng)絡(luò)設(shè)備的安全保護能力[2]。

（三）Web平臺安全

目前，許多應(yīng)用于不同的系統(tǒng)，都采用了基于網(wǎng)絡(luò)的管理平臺，但是這樣做帶來了便利，也造成了相應(yīng)的安全性問題。在整個問題中， Web平臺的安全問題被發(fā)現(xiàn)的數(shù)量約占1/5。從更高的層次來看，網(wǎng)絡(luò)平臺的安全問題可以分為認證和參數(shù)修正兩大類。驗證缺陷主要有缺省或可推測的使用者賬號密碼、HTTP窗體暴力破解、會話管理漏洞等。參數(shù)修正的漏洞主要有指令注入、存取檔案、跨站程式碼攻擊等。

其中26.9%的平臺在檢查過程中出現(xiàn)了安全問題，其中有26.9%的平臺是登錄模塊的設(shè)計，該系統(tǒng)只對用戶名和密碼進行了兩次驗證，不需要輸入任何特殊信息（如身份證號、工號）、不能進行動態(tài)認證，最重要的是，不能在短時間內(nèi)多次登錄。

如果輸入的使用者名稱不存在，那么暴力地破解賬號密碼就會變得相對簡單。更有甚者，一些公司覺得自己的權(quán)限控制策略很嚴格，索性就不設(shè)置登錄權(quán)限，讓訪問者可以直接登錄該平臺進行維護和管理。但他們并不知道，在所有的安全事故中，內(nèi)網(wǎng)的安全事故占據(jù)了70%，這種平臺會給公司的安全造成很大的威脅，而且這種平臺很難進行安全審核[3]。最好的辦法就是在登錄頁面上設(shè)置登錄次數(shù)，當?shù)卿洿螖?shù)達到一定數(shù)量后，這個賬號就會被暫時凍結(jié)。但這種方式會對合法使用者的正常使用造成一定的干擾，使干擾到的行為具有一定的時效性，所以在設(shè)置登錄次數(shù)的時候要根據(jù)實際情況進行詳細的分析，并根據(jù)使用者的不同，設(shè)置一個合理的下載量。因為強行破解需要花費大量的時間去登錄網(wǎng)站，管理員還可以利用防火墻、IDS等安全檢測手段，在短時間內(nèi)連續(xù)嘗試登錄失敗的IP，并采取相應(yīng)的措施來阻止。當然，對于用戶來說，密碼的復(fù)雜程度要達到一定的標準，并且要定期地進行更新。

支撐網(wǎng)絡(luò)管理平臺也存在著大量的敏感信息泄露，如目錄列表、源代碼泄露等，為黑客的后續(xù)攻擊提供了重要依據(jù)。所以，為了防止攻擊者獲得敏感的資料，應(yīng)該禁止訪問這些網(wǎng)頁。

（四）遠程服務(wù)安全

支撐網(wǎng)絡(luò)要處理大量的數(shù)據(jù)請求、數(shù)據(jù)采集和傳輸，因此需要大量的遠程業(yè)務(wù)，這就給網(wǎng)絡(luò)的安全性提出了新的要求。遠程服務(wù)分為三大類：遠程信息服務(wù)、遠程維護服務(wù)、數(shù)據(jù)庫服務(wù)[4]。

1. Television Service的安全性

網(wǎng)絡(luò)服務(wù)包括 FINGER、 NTP、 SNMP、 rwho、 DNS等，這些業(yè)務(wù)都是提供系統(tǒng)、用戶和網(wǎng)絡(luò)的具體數(shù)據(jù)。在網(wǎng)絡(luò)信息服務(wù)的安全性上， SNMP的問題最為突出，62.1%的運營商存在 SNMP的弱密碼，2個版本的 SNMP太老。SNMP的弱密碼對攻擊者來說是非常重要的，它可以讓攻擊者利用Pub-lic的組字字符串來獲取主機名，用戶名，運行的服務(wù)。

利用Private群體字符串，攻擊者可以入侵設(shè)備操作系統(tǒng)，獲取設(shè)備的簡要表，其中有一個直接存取密碼。圖3是使用 SNMP寫入許可群體字來修改目標裝置信息。SNMP服務(wù)需要具備強大的讀寫團隊字字符串。此外，若要使用 SNMP，推薦使用SNMPv3，此版本采用 DES和MD5、 SHA技術(shù)，能更好地保障通訊的保密及合法使用者的身份認證[5]。

2.遠程維護服務(wù)安全

遠程維護服務(wù)是為了管理目的，能夠直接對服務(wù)器和設(shè)備進行遠程訪問，在安全檢查中發(fā)現(xiàn)故障的遠程維護服務(wù)有 FTP、 SSH、 Telnet、 VNC、 rsh、遠程臺式機等。

在遠程維護服務(wù)的安全性問題中，弱密碼問題日益突出。弱密碼的危險性很大，據(jù)我們的數(shù)據(jù)顯示，在70%的入侵中，弱密碼起到了至關(guān)重要的作用。弱密碼問題并不是針對遠程維護服務(wù)安全的，而是存在于各種類型的安全問題中。通過對支撐網(wǎng)絡(luò)的安全數(shù)據(jù)分析，發(fā)現(xiàn)所有設(shè)備和服務(wù)器的安全問題中，有88.4%的設(shè)備和服務(wù)器存在著安全問題。問題之所以會這么嚴重，不僅僅是技術(shù)上的落后，還有一個重要的原因就是管理上的問題。

弱密碼的產(chǎn)生有以下3個原因：一小部分是由于管理員的安全意識不強，為了方便而采用較弱的密碼；有些是廠商在開發(fā)過程中，內(nèi)部的弱密碼，以適應(yīng)系統(tǒng)之間的通信需求；另外，管理員們也會用弱密碼來提高工作效率，例如，不同的服務(wù)器都要在同一個平臺上運行，所以管理員才會設(shè)置一個容易記憶的弱密碼。解決弱密碼問題，必須從多個方面入手：運營商必須調(diào)查相關(guān)系統(tǒng)與組織結(jié)構(gòu)的設(shè)定是否不恰當；強化安全教育，增強員工的安全意識；與廠商溝通，在源碼開發(fā)過程中，過程中所用的口令復(fù)雜程度要達到所需的口令，并且口令也要能隨時進行更改；要轉(zhuǎn)變員工的評價方法和激勵機制，不僅要從生產(chǎn)效益出發(fā)，還要從安全角度出發(fā)，把安全工作也納入到工作量中[6]。

由于技術(shù)的發(fā)展，目前的遠程維護服務(wù)已經(jīng)不再適合于使用，例如 Telnet Service、 rsh、 rexec、 rlogin等業(yè)務(wù)都是以明文方式進行傳送的，它們很容易被入侵，因此應(yīng)該由 SSH業(yè)務(wù)取代。VNC的認證機制很弱，所以也不能用。

由于運營商的網(wǎng)絡(luò)規(guī)模越來越大，設(shè)備越來越多，出現(xiàn)了一種情況：一是運營商的日常維護工作經(jīng)常是由廠商來做，二是多個用戶同時使用同一個賬戶。另外，由于對審計工作的需求，運營商迫切需要采用“堡壘式”或“4 A”級的審計體系來進行安全審核。這種安全審核體系既要滿足集中和精細兩個方面的需求，又要保證其安全性，并且要有足夠的備份，以防止由堡壘主機造成的單一故障[7]。

3.數(shù)據(jù)庫服務(wù)安全

在數(shù)據(jù)庫服務(wù)的安全性上，主要是由于使用的軟件版本太少而導(dǎo)致的弱密碼問題，這些問題之前已經(jīng)討論了，這里就不多說了。

（五）信息安全

通信行業(yè)的支撐網(wǎng)絡(luò)，要做海量的數(shù)據(jù)統(tǒng)計，收集各種任務(wù)，這就導(dǎo)致了遠程業(yè)務(wù)的出現(xiàn)。遠程維護服務(wù)是為了管理目的，能夠直接對服務(wù)器和設(shè)備進行遠程訪問，在安全檢查中發(fā)現(xiàn)故障的遠程維護服務(wù)有 FTP、 SSH、 Telnet、 VNC、 rsh、遠程臺式機等。為此，應(yīng)加強對審計工作和管理的改進，注重技術(shù)的創(chuàng)新利用，確保審計系統(tǒng)的安全和建立相應(yīng)的備份機制，以避免由“堡壘”造成的單一故障。

四、結(jié)束語

要做好支撐網(wǎng)的安全保護工作，就需要樹立全局觀念。在現(xiàn)實工作中，運營商往往忽略了網(wǎng)絡(luò)的互聯(lián)特性，忽略了一些關(guān)鍵環(huán)節(jié)：例如，對于某個系統(tǒng)的安全保護可以做得很好，但是對相應(yīng)的輔助系統(tǒng)的關(guān)注不夠；網(wǎng)絡(luò)的邊界是嚴格的，但內(nèi)部的網(wǎng)絡(luò)是沒有任何防護的；經(jīng)檢查，約40%的電信公司辦公終端存在嚴重的安全問題。要做好支撐網(wǎng)的安全保護，除以上所述的安全問題之外，還應(yīng)對網(wǎng)絡(luò)的安全性進行分區(qū)，通過防火墻策略、路由器 ACL配置等手段對網(wǎng)絡(luò)中的惡意 IP進行監(jiān)測和篩選。針對某些長期無法解決的問題，必須從深層次剖析，綜合提升制度、組織、人員、技術(shù)等各個層面的適應(yīng)性。

作者單位：余發(fā)科 廣東南方電信規(guī)劃咨詢設(shè)計院有限公司

參? 考? 文? 獻

[1]朱延敏. 我國通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對策探討[J].數(shù)字通信世界，2021（02）：126-127.

[2]黃煒瑋. 我國通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對策探討[J].中國新通信，2016，18（20）：10，11.

[3]李藝成. 關(guān)于通信業(yè)支撐網(wǎng)安全策略探討[J].信息通信，2020（08）：256-257.

[4]江瑞宇，胥小偉，張英孔. 通信業(yè)支撐網(wǎng)安全策略研究[J].數(shù)字通信世界，2019（05）：100.

[5]杜躍進，王偉哲. 我國通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對策探討[J]. 電信網(wǎng)技術(shù)，2011（03）：43-47.

[6]江瑞宇，胥小偉，張英孔. 通信業(yè)支撐網(wǎng)安全策略研究[J]. 數(shù)字通信世界，2019（05）：100.

[7]殷小紅，程紅波. IT支撐網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀及其發(fā)展建議[J]. 通信管理與技術(shù)，2011（02）：19-21.

余發(fā)科（1977.06-），男，漢族，廣東深圳，本科，高級工程師，研究方向：5G網(wǎng)絡(luò)、IP承載網(wǎng)、支撐網(wǎng)的網(wǎng)絡(luò)規(guī)劃和技術(shù)演進。