电信运营商应该如何去应对？
• 运营网络、系统的安全保障 • 推动安全产业链的建立 • 形成网络安全防护体系，实现技术与管理的相互结合
让客户尽情享受信息新生活
中国电信上海公司
概要
网络安全防护措施
从细微入手，为用户网络安全保驾护航
让客户尽情享受信息新生活
中国电信上海公司
网络规划的安全考虑
在网络规划、机房设计之初，充分考虑安全性问题
应用层 攻击
病毒
密码 攻击
分组 窃听
端口重 定向
木马
中间人 攻击
IP地址 欺骗
服务 拒绝
让客户尽情享受信息新生活
中国电信上海公司
网络安全威胁发展
• 攻击手段组合化 • 网络攻击规模化 • 幕后产业化
网络攻击流量（Gps）
40
40
35
30
24
25
20
15
10
5
2.5
0 2006年 2007年 2009年
• 网络的设备、线路和管道的冗余 • 市电的引入等级 • 油机、UPS的配备 • 重要机房的进出控制 • 视频监控体系
让客户尽情享受信息新生活
中国电信上海公司
网络规划的安全考虑
• 整体框架设计时考虑了安全性，在具体实施时，还需要进行一些安全加固的工作
承载网络安全加固
源地址 控制
路由 协议 认证
源地址 …
在上海电信实际网络运维中，就曾监测处理过几次攻击流量达到20G以上的
DDOS攻击
让客户尽情享受信息新生活
中国电信上海公司
网络安全威胁发展
• 攻击手段组合化 • 网络攻击规模化 • 幕后产业化
洗钱
肉鸡租赁 黑
我盗们窃用该户信怎息 么办色产？
业
挂马
链中国电信上海公司
电信运营商的措施
电信运营商在安全领域的 挑战以及应对
陈磊 中国电信上海公司信息网络部
资深网络工程师
王毅
让客户尽情享受信息新生活
中国电信上海公司
概要
安全领域面临挑战
网络发展迅捷，网络安全事件日益增多
让客户尽情享受信息新生活
中国电信上海公司
互联网发展
国内的互联网发展迅速
2007年至2009年美中两国互联网用户的增长情况
过滤
URPF
功能
路由 控制 平面 保护
网络服 务最小
化
关键 系统 加固
集中式
设备
鉴权认 … 访问
证系统
控制
让客户尽情享受信息新生活
中国电信上海公司
承载网络安全处理
• 碰到攻击事件时，还需要在承载网络层面有些处理机制
承载网络的处理机制
网络监测体系
异常流量的监测 设备异常的监测 黑洞路由
攻击流量的处理 攻击追查
国家\时间 美国
中国
2007年1月
1.53亿 1.37亿
2008年2月
2.17亿 2.2亿
2009年6月
3.38亿
根据最近工信部的统计数据，现在应该是已经到了3.6亿，互联网的普及 率达到25.5％
相比日美韩等国家还有很大差距，但发展的潜力比较大。
让客户尽情享受信息新生活
中国电信上海公司
互联网发展
钓鱼式攻 击
据中国互联网信息中心的统计，虽然82.4%的网民已经安装安全软件， 09年上半年有1.95亿网民在上网过程中遇到过病毒和木马的攻击， 1.1亿网民遇到过账号或密码被盗的问题
让客户尽情享受信息新生活
中国电信上海公司
网络安全威胁发展
• 攻击手段组合化 • 网络攻击规模化 • 幕后产业化
网络 侦查
侦测模块
侦测模块
异常
异常
在线
流量
事件
侦错
的侦
报告
服务
测、
告警
流量 分析 报表 服务
定期 报表 派送 服务
让客户尽情享受信息新生活
中国电信上海公司
DDOS的防护
• 清洗模块进行流量处理 - 通过多条10G链路和城域网的核心设备相连 - 利用BGP发布路由，进行引流 - 集中式FIREWALL POOL 实现流量过滤 - 采用PBR及VPN技术实现流量导回
• 平台成效
- 在1年时间内，整个系统处理国内外反垃圾邮件组织的投诉8.4万次、定位 宽带上网帐号1.4万户 - 投诉处理率由以前的20%提高到60%
- 被国际反垃圾邮件组织封堵的IP地址段全部解封
• 违规账号分析
- 严重违规宽带上网帐号200个，这些帐号共被投诉5.1万次，平均被投诉70 次以上，最严重多达1500次，占总投诉的60%。 - 对此200个帐号所属用户进行深入分析，定位出75位“专职用户”
让客户尽情享受信息新生活
中国电信上海公司
信息安全系统
域名备案系统
• 防止非法网站的滋生 • 加强对网站的净化和控制 • 发生问题时，可与相关联系人及时联系
概要
信息安全防护措施
防微杜渐，全面筑起安全的铜墙铁壁
让客户尽情享受信息新生活
中国电信上海公司
垃圾邮件
• 泛滥情况严重，影响正常运作 • 产生原因
–利益驱使 –技术缺陷
让客户尽情享受信息新生活
中国电信上海公司
垃圾邮件
• 垃圾邮件管控应对
- 内堵外防、协作联动 - 以行业规则为处理原则 - 集成反垃圾邮件产品厂商技术、加强与国际反垃圾邮件组织合作、与邮件服务
• 业务前景 - 在推出的1年时间内，已经有了数十家用户，同时有意向的用户有 数百家，从用户类型来看，金融类的用户对这块的需求特别强烈
让客户尽情享受信息新生活
中国电信上海公司
安全专区
• 对于IDC内的用户还提供一些安全加固的服务，防火墙＋防毒墙的综合防护 服务
让客户尽情享受信息新生活
中国电信上海公司
CAR 攻击端口控制
让客户尽情享受信息新生活
中国电信上海公司
DDOS的防护
• 2008年建成运营能力，整体系统引流能力达到120G
正常流量
攻击流量
防火墙自动判别攻击 类型，并非进行屏蔽 操作，攻击包被丢弃。
让客户尽情享受信息新生活
中国电信上海公司
DDOS的防护
• 对于DDOS防护的侦测模块，主要是通过光旁路机制进行流量采集， 同时结合了一部分XFLow的分析
我们的生活方式和工作方式正在不知不觉的随着网络发展而变化
数据来源：中国互联网络发展状况统计报告
让客户尽情享受信息新生活
中国电信上海公司
网络安全威胁发展
网络安全问题也在同步发展
攻击\时间 1983年
攻击类型 计算机病 毒
1986年 木马
1988年
缓存溢出攻 击、蠕虫
2000年
分布式拒 绝服务
2004年
商联动、动员用户积极参与
让客户尽情享受信息新生活
中国电信上海公司
垃圾邮件的防护
收集汇总的投 诉信息
警告、终止服 务，提交政府
机关
让客户尽情享受信息新生活
过滤无效投诉，获 取垃圾邮件信息
定义处理策略；分析嫌 疑服务器；提供主动防
御对象信息
进行嫌疑网段 的监测
更新黑名单，公布RBL
中国电信上海公司
垃圾邮件的防护