通信網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述VIP

1、 國家公用通信網(wǎng)包括通常所說的基礎(chǔ)電信網(wǎng)絡(luò)（固定網(wǎng)絡(luò)）、移動通信網(wǎng)、公用互聯(lián)網(wǎng)和衛(wèi)星通信網(wǎng)等基礎(chǔ)電信網(wǎng)絡(luò)2.1.1電信網(wǎng)絡(luò)安全對抗體系結(jié)構(gòu)；2.1.2電信網(wǎng)絡(luò)典型攻擊；2.1.3網(wǎng)絡(luò)防衛(wèi)。通信 communication 按照一致同意的約定傳遞信息電信 telecommunication 電信是利用有線、無線、光或其他電磁系統(tǒng)，傳輸、發(fā)送或接收代表符號、書寫件、影像和聲音或其他任何承載情報(bào)的媒體的信號會議書報(bào)文娛郵政其他電信通信傳遞信息利用電磁系統(tǒng)傳輸信號電信網(wǎng)絡(luò)組成電信網(wǎng)絡(luò)組成媒體網(wǎng)絡(luò)同步網(wǎng)絡(luò)信令網(wǎng)絡(luò)管理網(wǎng)絡(luò)電話業(yè)務(wù)系統(tǒng)數(shù)據(jù)業(yè)務(wù)系統(tǒng)圖像業(yè)務(wù)系統(tǒng)。網(wǎng)絡(luò)層鏈路層物理層同步網(wǎng)信令網(wǎng)管理網(wǎng)傳輸復(fù)接尋

2、址1）媒體網(wǎng)絡(luò)：對應(yīng)于計(jì)算機(jī)網(wǎng)絡(luò)中的通信子網(wǎng)，是傳遞信號的主體網(wǎng)絡(luò)，涵蓋了計(jì)算機(jī)網(wǎng)絡(luò)低三層功能。 媒體網(wǎng)絡(luò)需要同步網(wǎng)絡(luò)、信令網(wǎng)絡(luò)和管理網(wǎng)絡(luò)支持，才能完成上述功能。2）同步網(wǎng)絡(luò)：向媒體網(wǎng)絡(luò)和其他網(wǎng)絡(luò)提供定時(shí)的同步信號。3）信令網(wǎng)絡(luò)：對于用戶終端和媒體網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)控制，支持媒體網(wǎng)絡(luò)實(shí)現(xiàn)信號尋址與交換功能。4）管理網(wǎng)絡(luò)：對于整體電信網(wǎng)絡(luò)實(shí)施管理與控制，實(shí)現(xiàn)故障管理、配置管理、性能管理、賬務(wù)管理、安全管理。5）在電信網(wǎng)絡(luò)平臺之上建設(shè)有各類業(yè)務(wù)系統(tǒng)，直接提供用戶服務(wù)的系統(tǒng)，包括用戶終端和用戶駐地網(wǎng)絡(luò)，主要有：電話業(yè)務(wù)系統(tǒng)、數(shù)據(jù)業(yè)務(wù)系統(tǒng)和圖像業(yè)務(wù)系統(tǒng)。物理安全： 電信網(wǎng)安全最根本的保障，對應(yīng)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施

3、和設(shè)備的可靠性以及網(wǎng)絡(luò)運(yùn)營大環(huán)境的保護(hù)，包括了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等技術(shù)因素。系統(tǒng)安全： 電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上的運(yùn)營系統(tǒng)，例如承載網(wǎng)技術(shù)、交換技術(shù)等，從技術(shù)上保障網(wǎng)絡(luò)安全運(yùn)營和服務(wù)提供的有效性和網(wǎng)絡(luò)的可控性。信息安全： 面向電信網(wǎng)絡(luò)的服務(wù)對象，保障信息和數(shù)據(jù)在傳輸交換和存儲過程中的保密性、完整性和不可抵賴性等特性。內(nèi)容安全： 更高層次的安全要求，由于電信網(wǎng)的國家基礎(chǔ)設(shè)施地位，要求對網(wǎng)絡(luò)中信息的傳播行為以及信息內(nèi)容達(dá)到可控性，防止和控制非法、有害的信息的傳播，維護(hù)社會道德、國家法規(guī)和人民利益。傳統(tǒng)的電信網(wǎng)以傳輸和交換為主，強(qiáng)調(diào)網(wǎng)絡(luò)的可用性和可靠性；電信網(wǎng)絡(luò)的優(yōu)劣判據(jù)主要考慮業(yè)務(wù)質(zhì)量和網(wǎng)絡(luò)資源利用效率。電

4、信網(wǎng)向NGN演進(jìn)，軟交換技術(shù)選擇了IP網(wǎng)作為承載網(wǎng)信令網(wǎng)與傳輸網(wǎng)用同一張網(wǎng)進(jìn)行承載承載網(wǎng)的安全變得非常重要。不僅要強(qiáng)調(diào)業(yè)務(wù)的可用性和可控性，還要強(qiáng)調(diào)承載網(wǎng)的可靠性和生存性，而且要保證信息傳遞的完整性、機(jī)密性和不可否認(rèn)性。例如 傳統(tǒng)的電話網(wǎng)絡(luò)采用TDM專線傳輸，面向連接的通道 采用IP技術(shù)進(jìn)行通信后，無連接性，不對源地址進(jìn)行認(rèn)證因此電信網(wǎng)絡(luò)安全需要把承載網(wǎng)放到與信令網(wǎng)同等重要的地位，研究基于IP技術(shù)的電信網(wǎng)絡(luò)安全。網(wǎng)絡(luò)邊界模糊“網(wǎng)絡(luò)安全”的定義大多專注于指計(jì)算機(jī)系統(tǒng)例如： 防火墻技術(shù)通過安全策略的設(shè)置把電信網(wǎng)絡(luò)與計(jì)算機(jī)局域網(wǎng)或者計(jì)算機(jī)系統(tǒng)隔離開，保護(hù)了計(jì)算機(jī)系統(tǒng)的安全，但是電信網(wǎng)絡(luò)的安全就無能為

5、力了。信息系統(tǒng)信息基礎(chǔ)設(shè)施電信網(wǎng)絡(luò)信息傳遞計(jì)算機(jī)網(wǎng)絡(luò)信息傳遞和處理計(jì)算機(jī)系統(tǒng)信息處理和執(zhí)行應(yīng)用信息業(yè)務(wù)系統(tǒng)電話網(wǎng)數(shù)據(jù)網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)廣播電視網(wǎng)安全問題非法利用和阻止非法利用電信網(wǎng)絡(luò)的難易程度偵測和防止偵測電信網(wǎng)絡(luò)的難易程度惡意破壞和恢復(fù)破壞電信網(wǎng)絡(luò)的難易程度非法利用網(wǎng)絡(luò)資源 對于可控性的攻擊；秘密偵測網(wǎng)絡(luò)資源 對于機(jī)密性的攻擊；惡意破壞網(wǎng)絡(luò)資源 對于可用性的攻擊。電信網(wǎng)絡(luò)機(jī)理防衛(wèi)；電信網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)防衛(wèi)；工程應(yīng)用防衛(wèi)；運(yùn)營管理防衛(wèi)。電信網(wǎng)絡(luò)的網(wǎng)絡(luò)對抗模型電信網(wǎng)絡(luò)的網(wǎng)絡(luò)對抗模型電信網(wǎng)絡(luò)典型攻擊秘密使用網(wǎng)絡(luò)資源秘密使用網(wǎng)絡(luò)資源敵人秘密利用我電信網(wǎng)絡(luò)資源，占用通信容量，不騷擾合法用戶，不破壞網(wǎng)絡(luò)資源： 平

6、時(shí)國內(nèi)敵人之間秘密通信； 平時(shí)和戰(zhàn)時(shí)國內(nèi)外敵人之間秘密通信； 戰(zhàn)時(shí)敵人之間秘密通信。 例如普通的有線 電視用戶，通過破解機(jī)頂盒密碼和節(jié)目加密信息，不繳費(fèi)卻接收付費(fèi)電視節(jié)目信號，造成運(yùn)營商大量收視費(fèi)的流失，非法騷擾和插播非法騷擾和插播敵人通過合法用戶接口，利用我電信網(wǎng)絡(luò)資源，騷擾和欺騙合法用戶，不破壞網(wǎng)絡(luò)： 電話政治騷擾； 電話和數(shù)據(jù)商業(yè)騷擾； 電話和數(shù)據(jù)欺騙犯罪； 廣播電視敵對政治煽動插播； 虛偽廣告、色情宣傳、垃圾郵件、商業(yè)欺騙廣播。秘密偵聽通信內(nèi)容秘密偵聽通信內(nèi)容秘密偵聽電信網(wǎng)絡(luò)傳遞的信息內(nèi)容，不騷擾正常通信： 經(jīng)濟(jì)信息偵聽； 政治信息偵聽； 軍事信息偵聽； 政府高層信息偵聽。通過電信網(wǎng)絡(luò)

7、偵測信息系統(tǒng)通過電信網(wǎng)絡(luò)偵測信息系統(tǒng)利用電信網(wǎng)絡(luò)作為通路，偵測信息系統(tǒng)，不破壞電信網(wǎng)絡(luò)： 通過電信網(wǎng)絡(luò)偵測計(jì)算機(jī)系統(tǒng)； 通過電信網(wǎng)絡(luò)偵測各種信息業(yè)務(wù)系統(tǒng)； 通過電磁波輻射接收偵測信息。電磁干擾電磁干擾通常針對無線傳輸系統(tǒng)，嚴(yán)重時(shí)影響整個(gè)電信網(wǎng)絡(luò)： 施放常規(guī)電磁干擾，劣化或阻斷電磁信號傳輸； 施放強(qiáng)電磁脈沖干擾，擊毀電信網(wǎng)絡(luò)設(shè)備的電子器件。惡意業(yè)務(wù)量擁塞電信網(wǎng)絡(luò)惡意業(yè)務(wù)量擁塞電信網(wǎng)絡(luò)秘密制造虛偽的大話務(wù)量，擁塞電信網(wǎng)絡(luò)；釋放蠕蟲病毒，擁塞電信網(wǎng)絡(luò)。惡意控制和破壞電信網(wǎng)絡(luò)的支持網(wǎng)絡(luò)惡意控制和破壞電信網(wǎng)絡(luò)的支持網(wǎng)絡(luò)支持網(wǎng)絡(luò)是電信網(wǎng)絡(luò)的網(wǎng)絡(luò)安全薄弱環(huán)節(jié)。通過在支持網(wǎng)絡(luò)中設(shè)置木馬，在必要時(shí)啟動破壞作用，

8、通過對于電信網(wǎng)絡(luò)的支持系統(tǒng)的軟破壞，使得電信網(wǎng)絡(luò)全面癱瘓： 惡意控制和破壞同步網(wǎng)； 惡意控制和破壞信令網(wǎng)； 惡意控制和破壞管理網(wǎng)。破壞電信網(wǎng)絡(luò)設(shè)施破壞電信網(wǎng)絡(luò)設(shè)施直接破壞電信網(wǎng)絡(luò)設(shè)施，使得電信網(wǎng)絡(luò)永久性功能失效： 破壞節(jié)點(diǎn)設(shè)施； 破壞鏈路設(shè)施； 破壞電源設(shè)施。網(wǎng)絡(luò)防衛(wèi)第一類電信網(wǎng)絡(luò)的合法用戶接口具有收發(fā)能力，通過合法用戶接口可能對網(wǎng)絡(luò)實(shí)施攻擊，但是這種接口具有由網(wǎng)絡(luò)決定的明確地址；在網(wǎng)絡(luò)內(nèi)部，信號傳遞經(jīng)過受控確定的節(jié)點(diǎn)和電路，容易定位。第二類電信網(wǎng)絡(luò)的合法用戶接口具有收發(fā)能力，通過合法用戶接口可能對網(wǎng)絡(luò)實(shí)施攻擊，而且這種接口的地址可以偽造。第三類電信網(wǎng)絡(luò)的合法用戶接口只有接收能力，通過合法用戶

9、接口不能對網(wǎng)絡(luò)實(shí)施攻擊。在網(wǎng)絡(luò)內(nèi)部，信號傳遞經(jīng)過固定連接，很容易定位。第四類作為核心網(wǎng)應(yīng)用，與邊緣網(wǎng)絡(luò)具有確定的受控接口。在網(wǎng)絡(luò)內(nèi)部，信號傳遞經(jīng)過受控確定的節(jié)點(diǎn)，節(jié)點(diǎn)之間的電路不確定，但是不影響信源和節(jié)點(diǎn)定位。有線傳輸具有比較好的封閉性。無線傳輸具有不可避免的開放性。實(shí)現(xiàn)技術(shù)防衛(wèi)是指：盡可能采用網(wǎng)絡(luò)安全屬性比較利于防衛(wèi)的技術(shù)方法，包括盡可能減少電信網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)的安全薄弱環(huán)節(jié)、安全漏洞和安全局限性，采取必要的對抗技術(shù)阻止攻擊。實(shí)現(xiàn)技術(shù)方法種類繁多，重點(diǎn)圍繞機(jī)密性、真實(shí)性、可靠性和可用性進(jìn)行防范，例如： 1 實(shí)現(xiàn)基本功能的技術(shù)和實(shí)現(xiàn)對抗功能的技術(shù)； 2 支持媒體網(wǎng)絡(luò)的技術(shù)和支持支持網(wǎng)絡(luò)的技術(shù) 3

10、由硬件實(shí)現(xiàn)的技術(shù)和由軟件實(shí)現(xiàn)的技術(shù)等等。它們的共同點(diǎn)是：這種技術(shù)出現(xiàn)各有其主要理由 保障服務(wù)質(zhì)量、追求網(wǎng)絡(luò)資源利用效率或追求網(wǎng)絡(luò)安全屬性。因此，現(xiàn)實(shí)應(yīng)用的具體實(shí)現(xiàn)技術(shù)通常都存在種種安全屬性缺陷。這在電信網(wǎng)絡(luò)的網(wǎng)絡(luò)安全方面大量存在。實(shí)現(xiàn)技術(shù)防衛(wèi)可以充分利用計(jì)算機(jī)網(wǎng)絡(luò)對抗技術(shù)成就和思路，例如電信防火墻、電信入侵檢測、電信網(wǎng)絡(luò)漏洞掃描等技術(shù)。工程應(yīng)用防衛(wèi)電信網(wǎng)絡(luò)的網(wǎng)絡(luò)安全對抗本質(zhì)上是人與人之間的對抗。管理防衛(wèi)方面包括如下幾方面。1 要求高網(wǎng)絡(luò)安全的工程應(yīng)用，盡可能采用高網(wǎng)絡(luò)安全的電信網(wǎng)絡(luò) 2 要求低網(wǎng)絡(luò)安全的工程應(yīng)用，盡可能采用低網(wǎng)絡(luò)安全的電信網(wǎng)絡(luò)因此可以換取其他好處?？陀^上各類工程應(yīng)用對于電信網(wǎng)絡(luò)

11、具有不同的要求：( l ）有的要求高服務(wù)質(zhì)量；( 2 ）有的要求高網(wǎng)絡(luò)資源利用效率；( 3 ）有的要求高網(wǎng)絡(luò)安全性能；( 4 ）有的要求高經(jīng)濟(jì)性。運(yùn)營管理防衛(wèi)是指：人員管理在網(wǎng)絡(luò)對抗中的作用。電信設(shè)備：包括硬件和軟件，功能和性能的選擇和維護(hù)。電信系統(tǒng)：包括終端和媒體，功能和性能的選擇和維護(hù)。電信網(wǎng)絡(luò)：包括網(wǎng)絡(luò)結(jié)構(gòu)和節(jié)點(diǎn)配置，功能和性能的選擇和維護(hù)業(yè)務(wù)系統(tǒng)：對于所支持的業(yè)務(wù)系統(tǒng)，作明確限制和監(jiān)視。網(wǎng)絡(luò)環(huán)境：對于網(wǎng)間互通，作明確限制和監(jiān)視。物理環(huán)境：包括節(jié)點(diǎn)機(jī)房和傳輸通路設(shè)施，建設(shè)和維護(hù)。供電配電：包括供電和配電系統(tǒng)，建設(shè)和維護(hù)。組織管理：包括人員素質(zhì)、組織和管理。人員培訓(xùn)：工作人員的定期強(qiáng)化培訓(xùn)

12、。規(guī)章布幢：制定明確的規(guī)章帶峻，力求從源頭上杜絕不安全因素。傳輸網(wǎng)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)同步網(wǎng)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)信令網(wǎng)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)電話網(wǎng)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)廣播電視網(wǎng)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)網(wǎng)間互聯(lián)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)傳輸介質(zhì)有線切入檢測定位系統(tǒng) 同軸電纜和雙絞線 光纜盡可能避免無線傳輸無線必須配置標(biāo)識認(rèn)證電纜電磁輻射和電磁泄露在正常的發(fā)射和傳輸過程中是存在的，也許，辦公室樓外的一臺接收機(jī)可以完整復(fù)制辦公桌上的顯示器上的圖像。光纜在甲乙兩地之間的光纖上搭接一個(gè)3dB光分路器，將一半的傳輸光強(qiáng)通過另一根光纖傳送到第三方，傳輸信號被截獲，而且由于系統(tǒng)設(shè)備存在冗余，甲乙兩地的傳輸設(shè)備可能均未告警?，F(xiàn)有物理搭

13、線攻擊技術(shù)可以做到插入損耗小于3dB，而美國聯(lián)邦政府的軍事和情報(bào)組織使用的物理搭線攻擊技術(shù)可以降到0.5dB以下，從而實(shí)現(xiàn)對光網(wǎng)絡(luò)無感的物理搭線攻擊。針對全光交換節(jié)點(diǎn)的光竄擾攻擊，光纖宏彎竊聽攻擊等。對于光網(wǎng)絡(luò)的物理保護(hù)，可以利用光網(wǎng)絡(luò)攻擊定位算法、光網(wǎng)絡(luò)節(jié)點(diǎn)參數(shù)比較、光交換節(jié)點(diǎn)的優(yōu)化等，從理論、機(jī)制和產(chǎn)品三個(gè)方面開展光網(wǎng)絡(luò)安全技術(shù)的研究工作。三種威脅和攻擊信號竊取 包括電信網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)信號以及傳輸信號本身的屬性信息，例如信號的有無、信號流量以及高峰時(shí)間等，即流量分析攻擊，信息的機(jī)密性受到破壞。非法侵入 攻擊者注入到電信網(wǎng)絡(luò)當(dāng)中，利用電信網(wǎng)絡(luò)資源，獲取網(wǎng)絡(luò)體系結(jié)構(gòu)和技術(shù)信息。軟硬件破壞 攻

14、擊者對電信網(wǎng)絡(luò)實(shí)施主動攻擊，在物理層破壞網(wǎng)絡(luò)的可用性和可靠性。電纜傳輸系統(tǒng)光纜傳輸系統(tǒng) 光網(wǎng)絡(luò)物理安全理論研究 對物理安全機(jī)制的研究 安全產(chǎn)品的研究擴(kuò)展譜技術(shù)體制，將信號帶寬進(jìn)行擴(kuò)展傳輸?shù)耐ㄐ趴垢蓴_技術(shù)體制。非擴(kuò)展譜技術(shù)體制，利用自適應(yīng)濾波、功率調(diào)整、信道編碼、干擾限幅、自適應(yīng)天線調(diào)零、信號冗余、分集接收、高效調(diào)制、突發(fā)傳輸、信號交織、干擾陷波、自適應(yīng)選頻和快捷變頻等技術(shù)，保護(hù)通信信號不被干擾信號淹沒。同步網(wǎng)安全問題 切斷或劣化時(shí)鐘源 干擾或劣化時(shí)鐘分配傳遞設(shè)備不同步或者時(shí)鐘同步質(zhì)量下降表現(xiàn)為： 在語音信號中出現(xiàn)咔嚓聲； 傳真出現(xiàn)垂直圖文丟失； 音頻數(shù)據(jù)出現(xiàn)載波中斷； 視頻信號劣化； GSMC

15、DMA出現(xiàn)通話中斷同步網(wǎng)的安全防護(hù) 從網(wǎng)絡(luò)安全考慮，盡量不采用外時(shí)鐘方案。 大規(guī)模電信網(wǎng)絡(luò)的高層節(jié)點(diǎn)宜采用原子標(biāo)準(zhǔn)獨(dú)立時(shí)鐘。 小規(guī)模電信網(wǎng)絡(luò)的節(jié)點(diǎn)之間宜采用相互同步方案。信令網(wǎng)絡(luò)安全問題 用戶接口攻擊。 信令鏈路攻擊。 信令配置攻擊。 拒絕服務(wù)攻擊。信令網(wǎng)安全防衛(wèi) 用戶接口安全保護(hù)機(jī)制 嚴(yán)格限制用戶尋址控制授權(quán) 因?yàn)槲粗O(shè)備的接入，都會使線路上的電流、電壓、鈴流等特性發(fā)生變化。 采用信令變異或信令加固技術(shù)。 采用信令標(biāo)識認(rèn)證技術(shù)， 簡化用戶信令網(wǎng)絡(luò)。傳輸系統(tǒng)群接口的防衛(wèi)對策 采用信令變異或信令加固技術(shù)， 采用局間信令標(biāo)識認(rèn)證技術(shù)。網(wǎng)絡(luò)管理接口的防衛(wèi)大量的惡意呼叫占用信令資源的入侵防衛(wèi)信令網(wǎng)絡(luò)的網(wǎng)間接口的安全防衛(wèi)電話網(wǎng)的網(wǎng)絡(luò)安全問題 電話和短信騷擾 搭線竊聽和偵測 網(wǎng)絡(luò)的惡意破壞電話騷擾基本防御對策 電話騷擾基本防御對策 惡意破壞的基本防御對策 竊聽和偵測的基本防御對策廣播電視網(wǎng)絡(luò)的安全問題非法授權(quán)接入(Unauthorized Access) 不繳納收視費(fèi)但又要接收電視節(jié)目而采取的非法自行接入電視節(jié)目信號的行為，絕大多數(shù)為個(gè)人行為，其后果是造成運(yùn)營商大量收視費(fèi)