电信网络安全问题与常用技术分析
2012-07-12中国联通西安分公司
中国联通西安分公司 梅 雪
1.网络安全的概念与主要技术手段概述
网络安全是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术,保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。从网络的组成结构来看,网络安全的概念涵盖了网络组成硬件的安全、网络运行的安全以及网络数据的安全三个层次。网络安全运行的基本目标包括以下三个方面:①信息的保密性,即实现用户信息不被非法用户获得和利用,以及不被合法用户非法使用;②信息的完整性,信息的完整是指信息的存储和修改等操作都必须在授权的前提下进行,避免出现存储信息的破坏或丢失;③信息的可用性,信息的可用性是指在需要向用户提供网络信息时,能够及时的将对应权限内的信息完整的提供给用户。为了实现以上网络安全的基本目标,就必须依赖于一定的技术手段,目前在保证网络安全运行方面技术手段主要有以下6大类:数据加密技术、数字签名技术、消息认证技术、身份鉴别技术、访问控制技术以及PKI技术。这几类技术手段从不同的角度来实现对网络安全运行。由于这几类技术的技术难度和应用需求各异,因此在适用范围上会有所差异。
2.电信宽带城域网的网络安全问题分析
对于网络运行商来说,网络安全基本的、也是重要的目标就是保障各级网络的正常运行,对蠕虫病毒和DDOS攻击等常见攻击形式应当具有一定的抵御能力。为了保障网络安全,已经普遍采用防火墙技术、数据加密等技术手段,提高了面临网络攻击时的应对速度。但这些技术手段都还需要不断的维护和升级才能适应网络的发展步伐。
为便于讨论,本文仅限于对电信宽带的城域网网络安全问题的探讨。笔者认为当前电信城域网网络的安全问题主要表现在以下几个方面:①在网络规模越来越大的情况下,并没有形成一套能够有效的城域网安全管理体系,现有技术对网络安全的保障力度不够;②缺乏网络在运行中的实时诊断、监控技术,在面临网络攻击时缺乏有效的应对技术手段;③对不同服务级别的安全承诺SLSA缺乏有效的服务模式。
在上述几类问题存在的情况下,要让电信网络正常运行并为客户提供更好的增值服务,首先是保障网络的可用性,这是网络安全基本特征之一。而就当前城域网网络安全的主要威胁来看,对网络可用性威胁最大的因素是DDOS攻击和网络滥用。因此这是首先需要着力解决的问题。为达到这一目标,就必须建立各层次网络的防护系统,规范网络边界,对各业务系统范围内的网络提供有效保护,并提高面临网络攻击时的应急处理能力。从具体实施步骤上看,笔者认为应当完成以下三类基本的任务:①提高对网络中异常流量的监控力度,加强对城域网出口层、汇聚层、接入层等各个级别的网络设备的监控;②加强对网络数据的源地址合法性审查;③完善各级网络的安全管理机制,形成一套集网络监控、攻击应对机制、常规安全管理为一体的网络安全管理模式。
3.技术体系分析
3.1 网络边界的保护措施
电信宽带城域网的网络层次结构包括出口层、核心层、汇聚层和接入层四个部分。对上述四个网络组成部分的边界保护是实现网络安全的基础之一。具体到各个层次而言,相应的安全控制措施为:①出口层,通过访问控制列表来控制进入电信城域网流量。②核心层,对与核心层相连接的网络端口进行数据包的ACL控制,加强对核心层基础网络设备的保护,对核心层管理系统进行安全强化。③汇聚层,汇聚层的安全控制是网络安全控制的核心,是网络用户数据汇聚的层次。为了加强这一层次的安全管理,首先应加强对网络数据包的监控和管理,可通过配置uRPF来防御源IP地址欺骗,同时开启TCP拦截或者CAR来限制网络流量以避免高频网络数据包攻击。此外,对已知网络病毒的防御也应在汇聚层的设备接口处来完成,可通过配置访问列表的方式来进行拦截。④接入层,启用uRPF或配置ACL,以加强对IP地址的控制和对外访问,依据需要还可以选择ICMP限速等其他功能来配合接入层的安全控制。
3.2 应用系统的安全防护
应用系统的安全防护是配合当前电信网络中部署的DNS服务器、邮件服务器、数据库等的正常使用。应用系统的安全防护的内容主要是指主机的安全防护、应用系统的入侵检测、应用系统的安全隔离以及病毒防护等。现分别对这几个方面的安全防护方式进行探讨。
(1)主机安全防护
主机的安全对于网络安全的重要意义不言而喻。主机的安全防护应首先从主机系统的漏洞修补开始,及时对主机所使用的系统进行更新和病毒检测。此外,为了避免主机在遭受攻击时造成大面积的服务瘫痪,应将重要的服务内容分布在不同的主机上,并将主机的使用权限进行严格的限制。
(2)访问的安全控制
对应用系统访问的控制是保护系统数据安全的重要手段,当前电信网络应用系统中对访问的主要控制手段是网络隔离和密码更换等方式。从理论上讲,对访问的控制应当是全方面的,从物理层面到技术、管理层面都应实施相应的控制手段,而不应当局限于当前采用的技术手段。
(3)安全隔离手段
当前电信网络中的安全隔离手段主要是设置防火墙来实现对网络边界的保护和访问控制。因此鉴于这种普遍存在的情况,在防火墙的设置时应在以下几个方面进行改进。1以网络重要性为基础,将网络划分为具有不同安全级别的区域,在各个区域的边界设置不同的防火墙安全级别,并依据安全隔离的需要配置合适类型的防火墙设备。除了对硬件和软件上的改进,更重要是对不同安全区域之间的访问进行控制,根据网络的结构变化和业务上的需求来实时的调整访问控制的管理的方式。
图1 DDOS防护流程图
(4)入侵检测
以防火墙为主要安全隔离手段的网络攻击防护并不能完全保证系统不被非法入侵,而且也无法抵御来自系统内部的攻击,因此还需要配合系统的入侵检测来进一步保障系统的安全性。从系统的检测形式来看,主要分为两类,一是来自网络的系统入侵检测,二是针对主机的系统入侵检测。对于来自网络的入侵检测通过基于网络的IDS宿主机来实现是比较理想的方式,可以对网络数据包来源进行检测和识别,具有较好的实时性,并可对受到的攻击留下证据。基于主机的IDS能够监视系统的所有操作,在配合基于网络的IDS方面有不可替代的作用,因此是其重要补充。总之使用基于网络的IDS与基于主机的IDS的配合使用是检测系统监控和实时入侵检测的必要手段。
(5)病毒防护
对病毒的防护是保障网络安全的又一个重要方面,应对可能存在的网络安全漏洞进行定期的检查分析,并采取常规的防病毒措施。一旦发生系统病毒感染,关键阻止病毒的进一步扩散和查杀病毒。当病毒无法及时清除时,需要采取必要的应急措施来避免损失扩大,可采取以下几个方面备用应急措施:1对发生病毒感染的主机实施必要的隔离;2阻止被感染主机向外发送数据包;3必要时关闭邮件服务器,以避免病毒以邮件方式扩散。
4.应用实例
4.1 基本设置
本节中以某地电信防护DDOS攻击应用为例来阐述网络安全的防御技术。该公司在防御DDOS攻击时采用Detector攻击探测器和Guard保护器的组合防护策略,该防御策略的工作流程如图1所示。
4.2 系统配置
(1)清洁中心的配置
根据DDOS的攻击原理,清洁中心越靠近攻击源头则越能够发挥其作用,因此将清洁中心布置在网络中比较脆弱的连接部位上游。
(2)Guard保护器的配置
该公司城域网中共配置有两套Guard保护器。每套设备配置3条链路与核心设备连接,参数为:10GE链路×2+1GE链路×1,流量的转发和吸引由10GE链路完成,链路冗余由1GE链路完成。
(3)Detector攻击探测器的配置
Detector攻击探测器的工作需要依赖于一定的监控平台,此处的安全监控平台由Cisco和Detector共同构成,Cisco和Detector通过2个GE接口连接,并在核心链路中加入分光器,将发往用户的光信号分流,监控平台和用户之间光信号分流比例为2:8。在Cisco上配置SPAN作为进入将Cisco的流量镜像至Detector的途径。此外,配合使用MSP设备,在策略路由中使用ACL过滤用户流量,只将监测对象的流量复制至Cisco以节约带宽。
4.3 测试结果概述
为检测上述配置应对网络攻击的能力,采用模拟方法来进行检验。在实际测试中,采用4台机模拟网络攻击,当产生的攻击流量在200Mpbs时,Guard的CPU使用率不超过3%,能够较好的应对网络攻击。当采用子ZONE方式时,Guard可有效分流被攻击主机的数据流,从而保障服务器的正常运行。
[1]陈继宏.电信网络信息安全的体系结构[C].中国航海学会通信导航专业委员会论文集.
[2]韩国柱.电信企业提高管理与服务对策[C].中国通信发展与经营管理学术论文集.
[3]文光斌.主动防御网络安全研究[J].计算机安全,2009(8).