中國聯(lián)通光傳送網(wǎng) WDM OTN 安全白皮書

安全白皮書2023年06月中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書版權(quán)聲明本報告版權(quán)屬于中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院，并受法究其相關(guān)法律責(zé)任。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書前言 1 (一)硬件層安全風(fēng)險 3 (二)系統(tǒng)層安全風(fēng)險 3 (三)網(wǎng)絡(luò)層安全風(fēng)險 4 (四)管理層安全風(fēng)險 4 (一)硬件安全 61.光纖安全 72.物理環(huán)境安全 73.設(shè)備硬件安全 7 (二)系統(tǒng)安全 81.操作系統(tǒng)安全 82.開源軟件安全 93.安全啟動 94.運(yùn)行態(tài)安全 9 (三)網(wǎng)絡(luò)安全 101.內(nèi)置防火墻 102.身份認(rèn)證 103.通信協(xié)議安全 114.OTN加密 11 (四)管理安全 111.管理通道安全 122.身份與訪問管理 123.日志管理與審計(jì) 124.安全升級 135.證書管理 136.密鑰管理 147.安全態(tài)勢感知 14 (一)安全啟動 15 (二)運(yùn)行態(tài)安全 161.安全隔離 162.權(quán)限控制 163.安全編譯選項(xiàng) 17 (三)OTN加密 17 (四)證書管理 181.證書生成 182.證書使用 193.證書銷毀 19 (五)安全態(tài)勢感知 201.安全配置核查 202.入侵檢測 21 (一)光物理層指紋認(rèn)證 23 (二)量子密碼學(xué)算法敏捷性 24 中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-1-前言四五規(guī)劃”中將“建立健全的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系”和“加強(qiáng)網(wǎng)絡(luò)安全中國聯(lián)通勇當(dāng)網(wǎng)絡(luò)安全(基于新型信息基礎(chǔ)設(shè)施)現(xiàn)代產(chǎn)業(yè)鏈鏈長，全面光傳送網(wǎng)作為業(yè)務(wù)傳輸管道，是國家關(guān)鍵通信基礎(chǔ)設(shè)施。同時，將光傳送網(wǎng)作為運(yùn)力網(wǎng)絡(luò)的國家重點(diǎn)項(xiàng)目“東數(shù)西算”和“東數(shù)西存”，要求其提供持當(dāng)前，在傳送領(lǐng)域發(fā)布的《傳送網(wǎng)絡(luò)安全防護(hù)要求》和《傳送網(wǎng)絡(luò)安全防中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-2-國家發(fā)布的多個法規(guī)，如《中華人民共和國網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級保提供具體可實(shí)施的指導(dǎo)。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-3-隨著光傳送網(wǎng)的建設(shè)全面推進(jìn)和快速發(fā)展，其重要性越發(fā)突出，這對光傳送網(wǎng)設(shè)備和光纖等網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全提出了更高的安全要求。通過對通信網(wǎng)絡(luò)的攻擊事件和護(hù)網(wǎng)行動的結(jié)果分析，結(jié)合光傳送網(wǎng)業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)攻擊技術(shù)的演進(jìn)，光傳送網(wǎng)設(shè)備將面臨如下層面的風(fēng)險。 全風(fēng)險 全風(fēng)險軟件，是利用開源漏洞實(shí)施攻擊的主要突破點(diǎn)。 2023StateofOpenSourceSecurityReport》研究報告指出，84%的代碼中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-4-庫含有至少一個已知的開源漏洞，89%的代碼庫使用了至少四年沒有更新過的 全風(fēng)險 風(fēng)險。 (四)管理層安全風(fēng)險 中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書5--- 存在長期遭受攻擊的風(fēng)險。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-6-基于光傳送網(wǎng)絡(luò)面臨的安全風(fēng)險，將從基礎(chǔ)設(shè)施(硬件和系統(tǒng))、網(wǎng)絡(luò)和管圖1光傳送網(wǎng)的安全架構(gòu) )、設(shè)備運(yùn)行所需的物理環(huán)境和設(shè)備節(jié)點(diǎn)。硬件安全是所有安全的物理基礎(chǔ)，包括惡意攻擊和來自外部環(huán)境的威脅。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-7-1.光纖安全光纖安全包括光纜安全和光纖信號安全，分別從物理層面和信號層面保證 應(yīng)支持光纜全生命周期的可視化管理和監(jiān)控。光纜的選擇和鋪設(shè)方式應(yīng)滿確保光傳輸鏈路的高可靠性和高可用性。 應(yīng)支持光纖入侵檢測，實(shí)現(xiàn)光纖線路的信號實(shí)時監(jiān)控，通過檢測光纖鏈路2.物理環(huán)境安全傳送網(wǎng)設(shè)備物理環(huán)境應(yīng)遵從物理環(huán)境安全相關(guān)標(biāo)準(zhǔn)，如YD/T1744-2009環(huán)境安全要求進(jìn)行設(shè)計(jì)和部署，以滿安全。3.設(shè)備硬件安全設(shè)備硬件安全包括整機(jī)安全、單板安全和芯片安全，保障設(shè)備硬件自身的中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-8-安全。 為防止惡意人員對設(shè)備進(jìn)行破壞或試圖近端非法接入設(shè)備，機(jī)柜上面應(yīng)配備安全鎖和門磁告警。只允許授權(quán)用戶打開機(jī)柜，檢測到機(jī)柜長時間被打開， 。 設(shè)備應(yīng)基于硬件可信根構(gòu)建可信系統(tǒng)，硬件可信根內(nèi)置于芯片內(nèi)部，通過 系統(tǒng)軟件的安全，還要支持系統(tǒng)啟動和運(yùn)行態(tài)安全1.操作系統(tǒng)安全設(shè)備應(yīng)選擇穩(wěn)定內(nèi)核LTS(LongTermSupport)版本，滿足設(shè)備的生命周期要求。同時應(yīng)及時修復(fù)設(shè)備安全漏洞，參照業(yè)界最佳實(shí)踐對操作系統(tǒng)加固進(jìn)行安全加固(例如默認(rèn)關(guān)閉非必要服務(wù)，禁止OS用戶登錄等)，盡可能減少安中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-9-2.開源軟件安全3.安全啟動設(shè)備應(yīng)實(shí)現(xiàn)基于硬件可信根的安全啟動，通過數(shù)字簽名技術(shù)保障設(shè)備軟件的完整性，確保設(shè)備加載軟件來源可信。4.運(yùn)行態(tài)安全 設(shè)備應(yīng)支持系統(tǒng)應(yīng)用與系統(tǒng)內(nèi)核隔離，應(yīng)用與系統(tǒng)應(yīng)運(yùn)行在不同的地址空 設(shè)備應(yīng)踐行權(quán)限最小化原則，對系統(tǒng)用戶、進(jìn)程和文件目錄按需設(shè)置合理的權(quán)限，保護(hù)關(guān)鍵資產(chǎn)不被非法訪問，避免故障蔓延。 中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-10- 光傳送設(shè)備在現(xiàn)網(wǎng)運(yùn)行時涉及多種網(wǎng)絡(luò)通信場景，如網(wǎng)管系統(tǒng)連接光傳輸設(shè)備進(jìn)行設(shè)備運(yùn)維管控操作，新設(shè)備接入已有光傳送網(wǎng)絡(luò)，光傳送設(shè)備間運(yùn)行1.內(nèi)置防火墻光傳送設(shè)備應(yīng)提供內(nèi)置防火墻，集成ACL(AccessControlList)和網(wǎng)絡(luò)DOS攻擊和泛洪攻擊等。2.身份認(rèn)證中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-11-身份認(rèn)證的場景： CPE傳送設(shè)備要認(rèn)證接入設(shè)備的身份。 3.通信協(xié)議安全全可靠地運(yùn)行對整個光傳送網(wǎng)絡(luò)至關(guān)重要。光傳輸設(shè)備應(yīng)遵循協(xié)議標(biāo)準(zhǔn)，參考4.OTN加密的OTN加密能力，為有高安全要求的行業(yè)(例如 (四)管理安全管理面提供系統(tǒng)運(yùn)維管理功能，是光傳送網(wǎng)絡(luò)的大腦和中樞。管理平面的中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-12-1.管理通道安全TLS2.身份與訪問管理n功能： 聲明的身份。 3.日志管理與審計(jì)光傳送設(shè)備應(yīng)提供完善、安全的日志管理和審計(jì)功能，便于更好地監(jiān)控系中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-13- 4.安全升級軟件屬于設(shè)備關(guān)鍵資產(chǎn)，光傳送設(shè)備應(yīng)支持安全升級能力，確保設(shè)備要升完 名；軟件加載時應(yīng)校驗(yàn)簽名的合法性，只有驗(yàn)證通過才能升級軟件。 5.證書管理數(shù)字證書已在光傳送網(wǎng)絡(luò)中普遍應(yīng)用，通常在各種安全通信協(xié)議(例如CTLSDTLS中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-14-6.密鑰管理密鑰的安全管理對于整個系統(tǒng)的安全性至關(guān)重要。光傳送設(shè)備應(yīng)提供安全7.安全態(tài)勢感知光傳送設(shè)備應(yīng)支持安全態(tài)勢感知能力，通過收集設(shè)備側(cè)安全相關(guān)的信息，中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-15-光傳送網(wǎng)絡(luò)的安全離不開光傳送設(shè)備關(guān)鍵技術(shù)的支持，本章節(jié)將介紹安全 st根應(yīng)滿足如下要求： 安全啟動過程如圖2所示。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-16-圖2安全啟動過程 運(yùn)行態(tài)安全是指通過合適的安全隔離、合理的權(quán)限控制和必要的安全編譯。1.安全隔離 。 2.權(quán)限控制 中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-17- 采用OS提供的MAC機(jī)制(如SELinux)對系統(tǒng)關(guān)鍵的文件和目錄進(jìn)行訪 3.安全編譯選項(xiàng)。設(shè)備軟件在編譯、 C 供E2E安全管道： 中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-18- OTN加密系統(tǒng)如圖3所示。圖3加密系統(tǒng) (四)證書管理運(yùn)營商應(yīng)通過證書管理系統(tǒng)對網(wǎng)絡(luò)中設(shè)備使用的證書進(jìn)行管理，并建立認(rèn)包1.證書生成 中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-19- 2.證書使用 t 3.證書銷毀數(shù)字證書生命周期管理如圖4所示。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-20-圖4數(shù)字證書生命周期管理示意圖 。1.安全配置核查安全配置不當(dāng)已成為現(xiàn)網(wǎng)安全事件的主要誘因。光傳送設(shè)備應(yīng)提供安全配置核查能力，將安全風(fēng)險盡可能地消除在工程部署階段，并且能夠在系統(tǒng)維護(hù)階段進(jìn)行安全配置項(xiàng)的及時核查和風(fēng)險提示。安全配置核查側(cè)重對設(shè)備已知風(fēng)鍵環(huán)節(jié)： 中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-21- 在新設(shè)備入網(wǎng)的工程部署階段和設(shè)備正常運(yùn)行的系統(tǒng)運(yùn)維階段，對比安全 用戶可根據(jù)系統(tǒng)給出的安全加固建議，執(zhí)行設(shè)備安全配置加固操作，快速修復(fù)2.入侵檢測包括如下功能： 中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-22-通過收集設(shè)備上記錄的用戶操作行為，并利用大數(shù)據(jù)分析技術(shù)進(jìn)行分析，進(jìn)而監(jiān)控用戶對系統(tǒng)的運(yùn)維操作是否存在異常行為。檢測范圍包括登錄口令暴 備應(yīng)該支持檢測光纖入侵行為檢測，如光纖竊聽檢測。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-23-全技術(shù)的發(fā)展趨勢，希望和行業(yè)一起探索和研究新的安全技術(shù)在光傳送設(shè)備中 )光物理層指紋認(rèn)證耦合差別等，對發(fā)射的信號產(chǎn)生獨(dú)特的影響，使得該設(shè)備發(fā)出的信號具有唯一安全性缺陷，抵御量子攻擊。學(xué)術(shù)界對于光層物理指紋技術(shù)開展了廣泛研究，多種光層特征都可以作為如圖5所示。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-24-圖5光通信物理特征 (二)量子密碼學(xué)算法敏捷性業(yè)界預(yù)計(jì)量子計(jì)算將在2030年左右突破經(jīng)典密碼學(xué)(尤其是非對稱密碼算遷移的復(fù)雜性以及工作量巨大，現(xiàn)在必須考慮遷移的準(zhǔn)備工作，確保算法遷移的平滑題，例如利用基于編碼的后量子實(shí)現(xiàn)混合密鑰協(xié)商架構(gòu)，如果在標(biāo)準(zhǔn)化之前發(fā)現(xiàn)使用的后量子算法的安全問題，則可用DH算法提供保護(hù)；如果量子威脅突基于后量子算法的混合密鑰協(xié)商架構(gòu)如圖6所示。中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書5--2-圖6基于后量子算法的混合密鑰協(xié)商架構(gòu)中國聯(lián)通光傳送網(wǎng)WDM/OTN安全白皮書-26-縮寫中文全稱ACL訪問控制列表光傳送網(wǎng)ToB面向企業(yè)ToC面向用戶ENISA歐盟網(wǎng)絡(luò)安全局CNVD國家信息安全漏洞共享平臺CNNVD國家信息安全漏洞庫CA證書授權(quán)CMPv2證書管理協(xié)議v2DOS拒絕服務(wù)TLS傳輸層安全SFTP安全文件傳輸協(xié)議SSH安全外殼協(xié)議OSPF最短路徑優(yōu)先協(xié)議SNMP簡單網(wǎng)絡(luò)管理協(xié)議TP網(wǎng)絡(luò)時間協(xié)議RADIUS撥