电信网困扰：用户端安全危害承载网

尽管电信运用运营商暂时未将用户数据安全列入自身责任范围，但由此引发的僵尸网络等安全问题正在通过互联网危害承载网。

　　随着终端的不断智能化，其带来的应用也越来越多，从最初的语音，到丰富的交互式应用如社区、电子商务、支付等。在这样的背景下，作为向用户呈现最终应用的互联网，其所面对的复杂安全威胁也在向传统电信网渗透。

　　近日，在接受《通信产业报》记者采访时，国家计算机网络应急技术协调处理中心副总工程师杜跃进指出：目前，传统意义上的互联网安全和电信网安全界限已经越来越模糊，电信网络安全的挑战更多地来自于用户端。

　　运营商要对用户数据安全负责？

　　杜跃进指出，与传统思路相比，电信网络安全需要同时注重交换网络安全和用户数据安全。

　　交换网络的安全问题源自于电信网络向NGN的演进。他指出，网络安全应采取新的技术手段，以保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了IP网作为承载网，网络安全问题尤其突出。

　　而用户数据安全问题的产生则要归因于网络功能的增强。杜跃进认为，由于基于NGN的多媒体、交互式业务不断增长，用户的隐私保护问题对于电信运营商和互联网服务商来说将是无法回避的，电信运营商和互联网服务商有责任采取多种技术手段，保护用户的账户信息和通信信息的安全。他指出，这些安全保障的实施有两大要点：首先，软交换网须采用必需的安全认证策略保证用户账户信息的安全；同时，无论是用户的账户信息还是用户的通信信息的安全均需要IP网的安全策略作为保证。

　　交换网络方面的安全新挑战容易理解，但用户数据安全的提法无疑扩大了传统电信网安全保障的责任范围，电信运营商对此持保留意见。中国电信网络资源管理处处长叶薇表示：“尽管用户数据安全问题较为迫切，但目前其尚不在运营商网络安全维护的责任之内，只有当国家政策作出相关要求，或者大规模病毒泛滥严重影响承载网络可用性的情况下，电信运营商才会在网络节点上采用应对手段，进行流量清洗和净化。”

　　来自用户终端的威胁

　　尽管用户数据安全的责任归属难以界定，但叶薇承认，电信运营商并不能超然事外。她指出，DDOS、垃圾流量、蠕虫，是当前网络交换和网络应用的三大杀手，而三者滋生的温床都是用户端的僵尸网络集群。其中，DDOS攻击能产生大量非法不可控流量，通过消耗网络资源，造成网络设备性能下降，数据包转发异常，导致网络可用性下降，堪称当前电信运营商核心网面临的最为严酷的安全挑战。

　　最近一份赛门铁克发布的网络安全监测报告指出，位于中国的僵尸网络计算机终端数量已经位居全球第二，占全球僵尸网络计算机总量的9%。今年11月底，在中国移动举办的移动互联网研讨会上，来自绿盟科技的演讲者韩永刚也提到，据绿盟科技监测统计，中国目前已经有三百多万个IP地址被僵尸网络所控制。

　　这使得交换网络安全和用户数据安全正在面对的威胁越来越趋于专业化和多元化。韩永刚举例说：“今年10月，中国电信某城域网就面对了一次僵尸集群发动的DDOS攻击，其网络承受的攻击量从3G增长到5G、6G，电信运营商和安全厂商忙于应付，在之后的调查中发现攻击来源的IP都是僵尸计算机，幕后真凶也无从查起。”

　　对此，中国电信网络资源管理处高级业务主管王新峰认为：用户终端沦为僵尸网络，其引发的蠕虫病毒、DDOS攻击、垃圾流量工作机理各不相同。“目前中国电信已经开始着手解决，以不同的方法应对。”他说。

　　王新峰举例表示：垃圾流量主要是由P2P应用、垃圾邮件等业务带来的，这些流量不受运营商控制，其主要问题是占有大量带宽资源，但不能为运营商带来利润。垃圾流量可以采用DPI设备进口控制，在核心网边缘部署DPI设备，将垃圾流量进行整型限流处理，以防对核心网造成不良影响。

　　而对DDOS攻击已经有成熟的解决方案。王新峰告诉记者：电信运营商应在核心网部署流量清洗中心实施DDOS防御，通过在核心网的国际出口、互联互通出口、省网出口、城域网出口等网络数据的关键出入口部署流量清洗中心，检测进出网络的数据，一旦发现可疑流量，则利用流量牵引技术将这部分流量引流到流量清洗中心，在流量清洗中心将攻击流量过滤，最终将清洁流量回注到网络中。

　　健全安全保障机制

　　此外，除了采用多种技术保障交换网络和用户数据的安全外，健全的安全策略和管理机制也将扮演越来越重要的角色。事实上，在2005年由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办的的“2005年中国电信业网络与信息安全研讨会”上，六大电信运营商就曾承诺，其不仅要在技术上不断强化网络安全，更要进一步完善网络信息安全责任制度，健全网络信息安全保障措施，不断提高管理水平。

　　记者了解到，在网络信息安全方面，电信运营商都设置了相关的应对机制，并分别采取了专门项目小组的形式或各部门设置技术专员的形式。以中国联通为例，其在数据与固定通信业务部和互联网与电子商务业务部均有网络信息安全相关的工作人员。中国联通集团运行维护部传输及配套维护处经理陈忠民指出，中国联通一直非常重视交换网络与用户数据安全，同时，联通在信息内容的安全性和健康性方面也严守国家相关规定，坚持以应用及其信息内容的安全、健康为中心，构建绿色网络。而中国电信方面，王新峰表示，网络运行维护事业部的分支部门对网络安全各个层面负责进行监管。

　　链接电信网络安全新变化

　　(1)应用安全提上议事日程

　　过去：强调网络的可靠性和可用性，不强调网上应用的安全；

　　现在：不仅要强调业务的可用性和可控性，还要强调承载网的可靠性和生存性，而且要保证信息传递的完整性、机密性和不可否认性。

　　(2)承载网与信令网同等重要

　　过去：对信令网的安全要求高，一般为独立的信令网，信令网的安全可靠保证了网络的安全；

　　现在：强调网络融合，信令网与传输网用同一张网进行承载，承载网的安全变得非常重要。

　　(3)IP技术疏于监控黑客行为

　　过去：传输采用TDM的专线，用户之间采用面向连接的通道进行通信，其他用户很难插入偷听;

　　现在：采用IP技术进行通信，由于IP的无连接性，及不对源地址进行认证的特性，黑客容易截取通话，盗用账号，电话骚扰。

　　(4)DDOS攻击带来挑战

　　过去：TDM用户线接入，使得用户速率有，可通过物理端口进行追溯跟踪，黑客很难对网络系统进行DOS攻击；

　　现在：由于采用IP承载，按照用户进行通信管理，黑客可以冒充其他账户，向网络发送大量流量对NGN系统进行DOS攻击。