作者簡介：中國信息通信研究院工程師，主要研究方向為通信產品安全測試與認證。

0   引言

電信網絡作為社會公用信息系統，是國家重要的基礎設施。電信網絡的安全對電信業務的持續性和可靠性具有決定性作用，對經濟和社會的發展起著越來越重要的作用。

我國電信網絡在建設過程中，將安全需求和業務考慮在內，網絡的安全水平持續提升。但是在網絡IP化的背景下，網絡威脅呈現出多樣性，持續增強電信網絡安全就顯得尤為重要。本文著重從網絡安全防護手段的角度，探討增強電信網絡安全的措施。

1   電信行業安全標準概況

1.1國際標準化組織安全體系結構

《ISO 7498-2-1989信息處理系統 開放系統互連基本參考模型 第2部分:安全體系結構》描述了開放系統互連參考模型的框架。開放系統互連的目的是使異構的計算機系統能互連以實現有效通信。OSI（Open System Interconnection，開放系統互連）的安全包括安全通信和管理安全兩個層次。

開放系統互連分層說明了為實現端到端的通信，安全通道應具備的安全機制和服務，終端的安全措施不在考慮之內。OSI的安全管理從系統、服務和機制三個不同的維度管理安全通信。系統安全管理從安全通信策略的層次，對安全通信進行規劃和維護。安全服務管理即對特定的服務進行管理，這些服務以分層的方式，提供安全通信所必須的各種安全服務。安全機制從具體技術實現的角度，實現安全功能，為安全服務提供基礎。安全機制涉及訪問控制、密鑰管理、路由認證、數據完整性技術等。

OSI是一個系統互連的框架，其安全機制應部署在各種場合，使得竊取數據所花費的時間空間代價遠大于數據本身的價值，從而確保信息安全。

1.2 我國電信行業安全防護體系標準

《YD/T 2386-2011 數據網絡與開放系統通信安全端到端通信系統安全架構》是我國為了實現在多運營商環境中安全整合和安全互通而發布的行業標注。該標準確立了由安全維度、安全層和安全平面三個要素組成的通用安全架構，給出了該安全架構能夠抵御的安全威脅以及能夠達到的安全目標。該標準適用于各種端到端通信系統。

安全維度即解決某一網絡安全問題的安全措施。安全維度主要包括訪問控制、認證、抗抵賴、數據機密性、完整性、可用性、通信安全和私密性。

安全層從安全視角將網絡劃分為基礎設施層安全、服務安全和應用安全三個層次。基礎設施安全層涉及設備和通信鏈路的安全。服務安全層涉及傳輸服務和保障性服務，如DHCP服務和AAA服務等。用戶應用安全通過應用安全層實現，相關應用如FTP、Web、Email、電子商務、視頻會議等。

安全平面從安全的角度將端到端通信系統劃分為管理安全平面、控制安全平面和用戶安全平面。每個平面包括上述三個安全層次，可將多個所需的安全維度應用在該平面上。

另外我國還頒布了一系列通信行業標準，就具體的電信網絡和電信業務提出了安全防護要求和檢測要求，如《YD/T 1746-2013 IP承載網安全防護要求》、《YD/T 1744-2009 傳送網安全防護要求》、《YD/T 2245-2001域名注冊系統防護要求》等。這些標準對于電信網絡安全體系建設具有重要的推進作用。

2   國內電信企業網絡安全防護現狀

我國電信企業對網絡安全防護高度重視，各企業都制定了相關技術標準和管理規范。

中國移動制定了企業內部標準《中國移動網絡安全總體技術要求》，這是一個隨技術水平發展不斷修定的技術文件。該要求從網絡性質出發，在適度安全、全過程安全和動態安全的基礎上，通過安全評估流程，研究各個網絡的脆弱性和威脅，從而找到合理的防御方案、恢復方案和追溯方法。該技術要求主要包括技術準則、無線接入安全技術要求、核心網絡安全技術要求、業務平臺安全技術要求、終端和SIM卡安全技術要求和信息技術支撐系統安全技術要求。

中國電信從2010年起，每年發布《中國電信網絡安全技術白皮書》，針對當年的網絡安全狀況和趨勢進行分析，并提出對策。連續發布的白皮書有利于中國電信更準確把握網絡安全總體態勢，聚焦于5G安全、移動互聯網安全、IPv6網絡安全、云安全、物聯網安全等相關熱點技術，結合企業自身特點，有針對性地加強網絡防護。中國電信開發了一系列的安全防護產品，為不同的用戶群體提供安全服務，云堤就是有代表性的網絡安全防護平臺。

中國聯通制定了一系列企業內部的網絡安全標準，包括《中國聯通IMS網絡安全技術規范》、《中國聯合網絡通信集團有限公司內網信息安全總體策略》、《中國聯通數據中心技術規范書-數據中心網絡安全》等。

3   電信網絡安全防護技術手段介紹

ISO制定的安全體系架構和我國的端到端通信系統架構，其本質都是通過分層的方式，劃分為若干容易處理的較小的系統，每層實現較為單一的功能。電信網絡既包括算機系統，也包括通信系統。比較而言，計算機系統拓撲結構明晰、資產類型相似、協議較單一，而通信系統規模龐大、資產多樣、拓撲復雜、協議多樣。電信網絡發展的主要趨勢是IP化。Internet的開放性使電信網絡面臨更多的威脅。

電信網絡安全防護手段在網絡威脅多樣化的趨勢下，也在快速發展演進。本文主要介紹抗DDoS攻擊、反釣魚、網站安全監控和網站安全防護。

3.1 DDos

DDoS攻擊是常見的對電信網絡政企客戶造成影響的攻擊方式。攻擊者控制僵尸網絡，對企業網服務器、IDC或電信網絡的關鍵節點攻擊，會造成帶寬擁塞，導致服務不可達而丟失業務。在電子商務、政府、金融等行業，無法對外提供服務會帶來重大的經濟損失和政治影響。在遭受DDoS攻擊時，通過在企業網關鍵節點部署防火墻、IDS、IPS等設備，可以確保網絡內部通信正常，但無法保證接入電路不發生擁塞。為了確保業務正常，還需要在企業網連接的運營商網絡中部署有效的抗DDoS攻擊措施。

流量清洗和流量壓制是常用的方法，即在電信網絡的關鍵節點部署流量清洗設備，將網絡流量牽引、清洗、壓制后回注到客戶網絡。

電信運營商可在IDC和城域網出口及骨干網部署大容量流量清洗設備。DDoS發現得越早，對減小攻擊影響越有利。因此，在攻擊流量檢測方面，電信運營商在提供電信監測服務的同時，應給客戶開放自助監測接口，使用戶能在發現流量異常時能夠啟動流量清洗功能。

流量壓制是電信運營商利用對互聯網的流量調度能力，根據用戶的定制，在IP網絡發布對客戶IP地址或網段的黑洞路由，丟棄來自網絡特定方向的包括攻擊在內的流量。運營商可以根據需要，將來自國際運營商、國內其他運營商或去往特定企業網絡的IP流量進行阻斷。

3.2 反釣魚

釣魚的機制是通過電子郵件或短信等方式，給潛在的受害者發非法鏈接，誘騙其使用偽造的網站，在此過程中誘騙受害者泄漏個人身份和財務信息。據CNCERT統計，僅在2019年上半年，我國互聯網中的惡意電子郵件數量就超過5 000萬封，有30萬個以上的電子郵件附件攜帶惡意附件37萬余個，每個惡意附件平均傳播次數約151次。

釣魚網站給被仿冒的企業帶來經濟和名譽的雙重損失，網民也深受其害。釣魚網站攔截的時效性至關重要，電信運營商在治理釣魚網站方面具有較大優勢。電信運營商可依托電信骨干網絡控制能力、大數據資源優勢和運營商獨有的網絡智能管道能力，全面、及時、準確地發現釣魚網站，實時地攔截處置，為客戶提供強有力的反釣魚能力。

3.3 網站安全監控

政企客戶多通過網站向外提供服務，保障網站安全就顯得尤為重要。網站安全監控包括網站可用性監控、網站內容安全監控和網站漏洞檢測等。

網站可用性監控，是對客戶網站進行7*24小時監測，發現訪問中斷、訪問響應太慢等異常時，及時向用戶進行短信和郵件的告警，以快速啟動異常排查和處理工作。網站可用性監控的實現方式是在網絡中部署多個分布式監測點，多運營商可以協同規劃部署監測點。更多的監測點可提高監測結果的準確性，排除因監測線路、運營商等問題造成的誤報。

網站內容安全對政企客戶異常重要。網站內容監測包括篡改監測、敏感關鍵字監測和暗鏈監測。運營商監測到用戶指定頁面的內容和結構的變化，向網站管理員告警，由網站管理員核實并處理。在敏感關鍵字監測中，運營商應能自定義關鍵字庫，并實時監測網頁敏感信息，在關鍵字匹配時通知網站管理員。如果客戶網站中存在隱藏的鏈接，如網游、博彩，色情等廣告鏈接，運營商應及時識別其危害程度，對暗鏈及時告警，并進行必要處理。

網站存在高危漏洞時，易被攻擊者利用，導致網站數據泄露、被篡改或掛馬，甚至網站癱瘓。運營商為保障網絡安全，應對用戶網站進行深層漏洞掃描，發現網站是否存在SQL注入漏洞、XSS漏洞、CSRF漏洞，以及Web應用漏洞、CGI漏洞、表單繞過等漏洞，并提供加固意見。運營商應及時更新漏洞庫及維護自身0day漏洞庫，保障漏洞庫的時效性。

3.4 網站安全防護

運營商通過部署 Web應用防火墻（WAF），保障網站安全。訪客發起的用戶網站的訪問，先通過運營商的網站安全防護服務節點。防護節點通過對訪問要求進行分析、審計和過濾，符合安全要求的訪問被轉發給服務器，不符合要求的訪問被過濾掉。運營商部署的WAF除了具有Web入侵防護功能外，還應滿足運營商特定需要，如智能IP地址過濾、基于地理位置的IP封禁、訪問過濾和虛擬補丁等。運營商主要部署云WAF，特定場合也會部署硬件WAF或軟件WAF。

Web入侵防護通過設定的安全策略來檢測和過濾特定的Web流量，能夠防護針對Web發起的諸如SQL注入、XSS跨站攻擊、CC攻擊、跨站請求偽造、參數污染、緩存溢出攻擊、cookie修改、XML注入、解析漏洞、遠程命令執行、文件包含、多層編譯攻擊、動態應用混淆攻擊等。

運營商作為網絡的運營者，對IP地址控制的要求是多方面的。運營商自定義IP地址過濾策略，系統自動按照配置的策略阻擋惡意IP地址；運營商還可根據具體需求，配置基于國家和地區的IP封禁策略，智能阻擋特定國家和地區的IP訪問；還可設定指定地址不能訪問網站，也可將指定IP、URL、 UserAgent、Referer設置為允許或阻斷，以實現訪問控制。網站安全防護應提供管理和形式多樣的審計功能，對異常分析提供基礎數據。

4   總結

近年來，隨著5G網絡發展、大數據、云服務等新技術的應用，電信網絡面臨新的挑戰。電信網絡安全防護是國家重要基礎設施防護的重點，各運營商和安全機構應加強合作，在技術防護的同時推進管理制度標準化、規范化，同時積極引進和應用國際標準規范，促進電信網絡安全發展。

參考文獻：

[1]2019年上半年我國互聯網網絡安全態勢[EB/OL].2019-08-13. https://www.cert.org.cn/publish/main/46/2019/20190813163941008331670/20190813163941008331670_.html

[2]王小群,丁麗,李佳,王適文.2017年我國互聯網網絡安全態勢綜述[J].保密科學技術,2018(05):4-11.

[3]王德秀.網絡安全技術及應用[J].有線電視技術,2003(01):10-18.

[4]李明星.“安全云服務”大幅提升SaaS服務 三大功能保障用戶網站安全[J].通信世界,2012(47):36-37.

[5]鄒珺. 數字化校園網絡安全體系研究[D].南昌大學,2009.

[6]周師熊,周亦群.信息網絡安全技術講座(1)[J].中國數據通信,2001(06):55-60.

[7]中國電信“云堤”為6000多個政企客戶提供安全防護服務[J].中國電信業,2018(10):6.

（本文來源于《電子產品世界》雜志2020年9月期）