电信网络安全技术白皮书
续服务能力
云计算设施安全 高可用性和容灾备份
安全云
○ 电信运营商在网络安全运营领域应用云计算技 术主要包括安全基础设施的“云化”,以及开 发面向客户的云安全服务
物联网安全
存在特殊安全问题,特别是感知网络的安全,是 一个全新的课题
○ 感知节点的物理安全问题 ○ 感知网络的传输与信息安全问题
网络安全综述
纵观2009年国内网络安全总体态势,主 要特征如下:
木马病毒数量爆发式增加,变种更新速度加 快
病毒传播形式途径多样化 僵尸网络发展迅速,威胁日益严重 网络犯罪的产业化趋势明显
电信网络安全技术及应用发展动态
移动互联网安全
○ 移动终端安全,热点主要为硬件安全架构、智能手机安 全防护和终端安全管理等技术
○ 因此,在目前中国电信 IPv4 网络向IPv6 网络 过渡的时期,仍需从多方面考虑安全体系架构 的建设和完善,在原有IPv4 环境下安全措施改 进的基础上,加强对IPv6 特定安全问题的防范 以及对过渡技术安全问题的防范,
网络安全热点
云安全
云计算安全
○ 数据安全保护 ○ 业务连续性要求:确保具备高可用、可靠的持
•
2、阅读一切好书如同和过去最杰出的 人谈话 。04:4 0:3804: 40:3804 :4010/ 7/2020 4:40:38 AM
安全监控技术 ○ 应用系统安全,主要关注 Web 应用安全 ○ 安全管理技术,侧重于 SOC 技术
IPv6安全 云安全概念 物联网安全
电信网络安全技术发展与应用
移动互联网安全
移动终端安全
○ 硬件安全架构:以 UIM 卡为可信根,构筑应用 安全基础
○ 系统安全防护:加固与防御并重,打造终端防 护体系
○ 3、启用设备关键资源防护(Anti-DDoS)措施, 提高骨干设备的自我防护及防瘫能力。
IP网安全
承载网安全
○ 对于异常流量攻击安全防护的技术:
1、在接入层加强对虚假源地址流量的控制,减轻异常流量对大 网的冲击;
2、进一步完善 DDoS 攻击防御平台的建设,采用基于骨干网平 台+本地清洗系统的二级联动业务部署方案,本地平台解决小规 模和本地攻击,骨干平台解决大规模跨域攻击,充分利用骨干 网平台的大容量清洗能力和本地平台的灵活性部署和精细化防 护策略,在降低部署成本的基础上,大力提升全网攻击防御能 力;
3、主动防御,对异常流量的主要来源之一Botnet 进行监控,在 其形成危害之前消除。
○ 中国电信网络安全实验室已提出了一种基于网络流量特 征和DNS 分析进行僵尸网络追溯的方案,部署难度及成 本均较低,只需要对现有DNS 系统进行改造,并与现有 的攻击溯源系统对接即可。
IP网安全
支撑系统安全
○ CTG-MBOSS,总的来看,设备层面的安全风 险较低,建议加强内控,完善用户权限管控和 安全审计工作。
○ DNS,面临的安全威胁主要有两类:一类是域 名劫持、缓存中毒等DNS 欺骗攻击,将用户引 导到错误的站点;另一类是DDoS 等异常流量 攻击,使DNS 服务器无法响应用户域名解析请 求。
目前应重点完善 DNS 安全监控手段
目前,物联网通信安全研究重点在节点认证、加 密、密钥管理、路由安全和入侵检测等方面
○ 物联网应用和行业紧密相关,可能有特殊的安全需 求,作为运营商,技术建议如下:
构建物联网安全管理平台 积极关注并参与标准制定工作
网络安全设备
防火墙 IDS/IPS 流量监测分析设备 异常流量清洗设备 DPI WAF
○ 终端安全管理:构筑终端管理体系,掌控安全 态势
移动互联网安全
网络安全
○ 提高网络各层面安全防护能力,加强网络资源 可用性
○ 结合现网试点情况部署 DPI 设备,增强对网络 流量、业务的识别和管控能力,防范流量攻击、 屏蔽对不良站点的访问
○ 在网络演进中,积极稳妥地引入 AKA 等新型安 全机制,增强移动互联网的安全性;在网络融 合中,统一规划接入认证平台,加强统一安全 管控,简化认证流程
IP网安全
应用系统安全
○ 业务流程安全 ○ 应用软件自身安全
IP网安全
安全管理
网络安全专业化的趋势使网络安全管理成为 电信运营商网络运营工作的一项重要课题。 网络安全管理平台 SOC 作为网络安全管理的 重要技术支撑手段,是目前中国电信网络安 全工作的重点。
IP网安全
IPv6演进
○ 与很多人的认识不同,在IPv6环境下安全性相 较于IPv4 网络并没有大的提升
移动互联网安全
应用与内容安全
○ 应用安全:利用接入层安全机制,构筑移动互 联网应用安全基础设施
○ 内容安全:技术检测与管理手段结合,防治垃 圾信息和不良站点
IP网安全
承载网安全
○ 1、构建带外网管,加强对设备的安全规范化管 控;
○ 2、对 BGP 协议采用精细化路由控制策略,包 括:限制接收的AS PATH长度、设置BGP TTL Security 值、启用邻居加密机制、发布路由时 使用prefix-list 的方式进行白名单的控制、接收 路由时设置最大接收前缀等;
○ 网络部分安全,主要在于接入网部分,主要关注接入鉴 权和密钥协商、非法流量管控等技术
○ 应用安全领域,重点关注应用层通用认证架构,以及垃 圾短信、不良站点防治等内容安全技术
传统IP网安全
○ 承载网安全,最核心的问题是如何保障网络的可用性 ○ DNS系统安全,包括DNS 攻击防护、DNSSEC、DNS
从目前技术和应用的发展来看,网络安全 设备主要有以下发展趋势
安全功能集成化 安全设备云化 硬件多然十分严峻, 这将主要体现在
随着移动互联网及业务应用的不断丰富,智能手 机终端等移动设备将成为新的安全事件多发源地
社交网络与电子商务平台将成为被攻击的重点 云计算将在 2010 年得到进一步应用,同时也将
成为黑客重点渗透入侵的新目标 大型网络安全事件很有可能再次发生
中国电信作为特大型国有通信企业,维护网 络安全不仅是实现电信业务可持续稳定发展 的健康基石,也是担负的社会责任与义务之 所在。
•
1、有时候读书是一种巧妙地避开思考 的方法 。20.1 0.720.1 0.7Wed nesday, October 07, 2020
