电信网络安全

《电信网络安全》由会员分享，可在线阅读，更多相关《电信网络安全（44页珍藏版）》请在金锄头文库上搜索。

1、第二章 通信网络安全体系结构国家公用通信网包括通常所说的基础电信网络（固定网络）、移动通信网、公用互联网和卫星通信网等基础电信网络2.1.1电信网络安全对抗体系结构；2.1.2电信网络典型攻击；2.1.3网络防卫。一、国家通信网络安全防护通信 communication 按照一致同意的约定传递信息电信 telecommunication 电信是利用有线、无线、光或其他电磁系统，传输、发送 或接收代表符号、书写件、影像和声音或其他任何承载情 报的媒体的信号 会议书报文娱邮政其他电信通信传递信息利用电磁系统传 输信号电信网络组成媒体网络同步网络信令网络管理网络电话业务系统数据业务系统图像业务系统。

2、一、电信网络的网络安全对抗体系结构网络层链路层物理层同 步 网信 令 网管 理 网传输复接寻址1）媒体网络：对应于计算机网络中的通信子网，是 传递信号的主体网络，涵盖了计算机网络低三层功 能。 媒体网络需要同步网络、信令网络和管理网络支 持，才能完成上述功能。2）同步网络：向媒体网络和其他网络提供定时的同 步信号。3）信令网络：对于用户终端和媒体网络进行实时控 制，支持媒体网络实现信号寻址与交换功能。 4）管理网络：对于整体电信网络实施管理与控制， 实现故障管理、配置管理、性能管理、账务管理、 安全管理。 5）在电信网络平台之上建设有各类业务系统，直接 提供用户服务的系统，包括用户终端和用户驻

3、地网 络，主要有：电话业务系统、数据业务系统和图像 业务系统。物理安全： 电信网安全最根本的保障，对应于网络基础设施和设备的可靠性以 及网络运营大环境的保护，包括了网络拓扑结构等技术因素。系统安全： 电信网络基础设施之上的运营系统，例如承载网技术、交换技术等 ，从技术上保障网络安全运营和服务提供的有效性和网络的可控 性。信息安全： 面向电信网络的服务对象，保障信息和数据在传输交换和存储过程 中的保密性、完整性和不可抵赖性等特性。内容安全： 更高层次的安全要求，由于电信网的国家基础设施地位，要求对网 络中信息的传播行为以及信息内容达到可控性，防止和控制非法、 有害的信息的传播，维护社会道德、国家

4、法规和人民利益。安全层次结构传统的电信网以传输和交换为主，强调网络的可用性和 可靠性；电信网络的优劣判据主要考虑业务质量和网络 资源利用效率。 电信网向NGN演进，软交换技术选择了IP网作为承载网信令网与传输网用同一张网进行承载承载网的安全变得非常重要。不仅要强调业务的可用性 和可控性，还要强调承载网的可靠性和生存性，而且要 保证信息传递的完整性、机密性和不可否认性。例如 传统的电话网络采用TDM专线传输，面向连接的通道 采用IP技术进行通信后，无连接性，不对源地址进行认证因此电信网络安全需要把承载网放到与信令网同等重要的地位，研究基于IP技术的电信网络安全。电信网安全内涵的演进网络边界模糊“

5、网络安全”的定义大多专注于指计算机系统例如： 防火墙技术通过安全策略的设置把电信网络与计算机局域 网或者计算机系统隔离开，保护了计算机系统的安全，但 是电信网络的安全就无能为力了。信 息 系 统信息基础设 施电信网络信息传递计算机网络信息传递 和处理计算机系统信息处理和执行应 用信息业务 系统电话 网数据网计算机网络广播电视 网信息系统的安全问题的来源安全问题非法利用和阻止非法利用电信网络的难易程度侦测和防止侦测电信网络的难易程度恶意破坏和恢复破坏电信网络的难易程度网络安全优劣概念非法利用网络资源 对于可控性的攻击；秘密侦测网络资源 对于机密性的攻击；恶意破坏网络资源 对于可用性的攻击。关于电

6、信网络对抗攻击电信网络机理防卫；电信网络实现技术防卫；工程应用防卫；运营管理防卫。关于电信网络对抗防卫电信网络的网络对抗模型一、电信网络的网络安全对抗体系结构电信网络典型攻击秘密使用网络资源敌人秘密利用我电信网络资源，占用通信容量 ，不骚扰合法用户，不破坏网络资源： 平时国内敌人之间秘密通信； 平时和战时国内外敌人之间秘密通信； 战时敌人之间秘密通信。 例如普通的有线 电视用户，通过破解机顶盒密码和节 目加密信息，不缴费却接收付费电视节目信号，造成 运营商大量收视费的流失，1、第一种网络攻击 非法利用非法骚扰和插播敌人通过合法用户接口，利用我电信网络资源 ，骚扰和欺骗合法用户，不破坏网络： 电

7、话政治骚扰； 电话和数据商业骚扰； 电话和数据欺骗犯罪； 广播电视敌对政治煽动插播； 虚伪广告、色情宣传、垃圾邮件、商业欺骗广播。1、第一种网络攻击 非法利用秘密侦听通信内容秘密侦听电信网络传递的信息内容，不骚扰正常 通信： 经济信息侦听； 政治信息侦听； 军事信息侦听； 政府高层信息侦听。2、第二种网络攻击 秘密侦测通过电信网络侦测信息系统利用电信网络作为通路，侦测信息系统，不破坏 电信网络： 通过电信网络侦测计算机系统； 通过电信网络侦测各种信息业务系统； 通过电磁波辐射接收侦测信息。2、第二种网络攻击 秘密侦测电磁干扰通常针对无线传输系统，严重时影响整个电信网络： 施放常规电磁干扰，劣化

8、或阻断电磁信号传输； 施放强电磁脉冲干扰，击毁电信网络设备的电子器件。 恶意业务量拥塞电信网络秘密制造虚伪的大话务量，拥塞电信网络；释放蠕虫病毒，拥塞电信网络。3、第三种网络攻击 恶意破坏恶意控制和破坏电信网络的支持网络支持网络是电信网络的网络安全薄弱环节。通过在支持网络中设置 木马，在必要时启动破坏作用，通过对于电信网络的支持系统的软 破坏，使得电信网络全面瘫痪： 恶意控制和破坏同步网； 恶意控制和破坏信令网； 恶意控制和破坏管理网。 破坏电信网络设施直接破坏电信网络设施，使得电信网络永久性功能失效： 破坏节点设施； 破坏链路设施； 破坏电源设施。3、第三种网络攻击 恶意破坏网络防卫第一类电

9、信网络的合法用户接口具有收发能力，通过合法用 户接口可能对网络实施攻击，但是这种接口具有由网络决定 的明确地址；在网络内部，信号传递经过受控确定的节点和 电路，容易定位。第二类电信网络的合法用户接口具有收发能力，通过合法用 户接口可能对网络实施攻击，而且这种接口的地址可以伪 造。第三类电信网络的合法用户接口只有接收能力，通过合法用 户接口不能对网络实施攻击。在网络内部，信号传递经过固 定连接，很容易定位。第四类作为核心网应用，与边缘网络具有确定的受控接口。 在网络内部，信号传递经过受控确定的节点，节点之间的电 路不确定，但是不影响信源和节点定位。有线传输具有比较好的封闭性。无线传输具有不可避免

10、的开放性。1.第一种网络防卫 技术机理防卫实现技术防卫是指：尽可能采用网络安全属性比较利于防 卫的技术方法，包括尽可能减少电信网络实现技术的安全 薄弱环节、安全漏洞和安全局限性，采取必要的对抗技术 阻止攻击。实现技术方法种类繁多，重点围绕机密性、真 实性、可靠性和可用性进行防范，例如： 1 实现基本功能的技术和实现对抗功能的技术； 2 支持媒体网络的技术和支持支持网络的技术 3 由硬件实现的技术和由软件实现的技术等等。它们的共同点是：这种技术出现各有其主要理由 保障服 务质量、追求网络资源利用效率或追求网络安全属性。因 此，现实应用的具体实现技术通常都存在种种安全属性缺 陷。这在电信网络的网络

11、安全方面大量存在。实现技术防 卫可以充分利用计算机网络对抗技术成就和思路，例如电 信防火墙、电信入侵检测、电信网络漏洞扫描等技术。2、第二种网络防卫 实现技术防卫工程应用防卫电信网络的网络安全对抗本质上是人与人之间的对抗。管理防卫方面包括如下几方面。1 要求高网络安全的工程应用，尽可能采用高网络安全的 电信网络2 要求低网络安全的工程应用，尽可能采用低网络安全 的电信网络因此可以换取其他好处。客观上各类工程应用对于电信网络具有不同的要求： ( l ）有的要求高服务质量； ( 2 ）有的要求高网络资源利用效率； ( 3 ）有的要求高网络安全性能； ( 4 ）有的要求高经济性。3、第三种网络防卫

12、工程应用防卫运营管理防卫是指：人员管理在网络对抗中的作用。电信设备：包括硬件和软件，功能和性能的选择和维护。电信系统：包括终端和媒体，功能和性能的选择和维护。电信网络：包括网络结构和节点配置，功能和性能的选择 和维护业务系统：对于所支持的业务系统，作明确限制和监视。网络环境：对于网间互通，作明确限制和监视。物理环境：包括节点机房和传输通路设施，建设和维护。供电配电：包括供电和配电系统，建设和维护。组织管理：包括人员素质、组织和管理。人员培训：工作人员的定期强化培训。规章布幢：制定明确的规章带峻，力求从源头上杜绝不安 全因素。4、第四种网络防卫 运营管理防卫二、电信网络安全防范传输网的网络安全防

13、卫技术同步网的网络安全防卫技术信令网的网络安全防卫技术电话网的网络安全防卫技术广播电视网的网络安全防卫技术网间互联的网络安全防卫技术传输网的网络安全防卫技术传输介质有线切入检测定位系统 同轴电缆和双绞线 光缆尽可能避免无线传输无线必须配置标识认证电缆电磁辐射和电磁泄露在正常的发射和传输过程中是存在的，也许，办 公室楼外的一台接收机可以完整复制办公桌上的显示器上的图像。光缆在甲乙两地之间的光纤上搭接一个3dB光分路器，将一半的传输光强 通过另一根光纤传送到第三方，传输信号被截获，而且由于系统设备 存在冗余，甲乙两地的传输设备可能均未告警。现有物理搭线攻击技 术可以做到插入损耗小于3dB，而美国联

14、邦政府的军事和情报组织使 用的物理搭线攻击技术可以降到0.5dB以下，从而实现对光网络无感 的物理搭线攻击。针对全光交换节点的光窜扰攻击，光纤宏弯窃听攻击等。对于光网络 的物理保护，可以利用光网络攻击定位算法、光网络节点参数比较、 光交换节点的优化等，从理论、机制和产品三个方面开展光网络安全 技术的研究工作。同步网的网络安全防卫技术三种威胁和攻击信号窃取 包括电信网络上传输的数据信号以及传输信号本身的属性 信息，例如信号的有无、信号流量以及高峰时间等，即流 量分析攻击，信息的机密性受到破坏。非法侵入 攻击者注入到电信网络当中，利用电信网络资源，获取网 络体系结构和技术信息。软硬件破坏 攻击者对

15、电信网络实施主动攻击，在物理层破坏网络的可 用性和可靠性。有线传输系统安全防卫技术电缆传输系统光缆传输系统 光网络物理安全理论研究 对物理安全机制的研究 安全产品的研究无线传输系统安全防卫技术扩展谱技术体制，将信号带宽进行扩展传输的通信抗干扰技术体制。非扩展谱技术体制，利用自适应滤波、功率调整、信道编码、干扰限幅、自适应天线调零、信号冗余、分集接收、高效调制、突发传输、信号交织、干扰陷波、自适应选频和快捷变频等技术，保护通信信号不被干扰信号淹没。同步网的网络安全防卫技术同步网安全问题 切断或劣化时钟源 干扰或劣化时钟分配传递设备不同步或者时钟同步质量下降表现为： 在语音信号中出现咔嚓声； 传真出现垂直图文丢失； 音频数据出现载波中断； 视频信号劣化； GSMCDMA出现通话中断同步网的安全防护 从网络安全考虑，尽量不采用外时钟方案。 大规模电信网络的高层节点宜采用原子标准独立时钟。 小规模电信网络的节点之间宜采用相互同步方案。信令网的网络安全防卫技术信令网络安全问题 用户接口攻击。 信令链路攻击。 信令配置攻击。 拒绝服务攻击。信令网安全防卫 用户接口安全保护机制 严格限制用户寻址控制授权 因为未知设备的接入，都会使线路上的电流、电压、铃流等特性发生变化。 采用信令变异或信令加固技术。 采用信令标识认证技术， 简化用户信令网络。传输系