文档介绍:关于电信网络安全问题分析
------- 郑洪伟
随着电信运营商网络的不断扩大、用户量不断增加。网络安全和用户管控问题越来越受大家关注。网络IP化的成熟程度直接决定了互联网和移动宽带的性能和稳定性。
一、目前,网络安全问题主要体现:
网络设备受到各种DDOS(分布式拒绝服务攻击)攻击、试图非法登陆等情况。
网络设备管理和防止数据外泄及篡改方面。
各种僵尸网络、木马成为新的技术威胁手段。
无法对用户端不合法的上网行为进行管控。用户端存在“一拖N”情况,无法进行控制,浪费了大量的城域网带宽资源。
缺少网络集中的日志存放和分析审计系统。
二、全省城域网安全问题可以分几个层面做安全防护:
1、是网络本身,我们可以通过安全域的划分使网络的结构趋于合理,安全域趋于合理;
2、设备本身,
(1)核心交换设备对安全性能的要求包括:
①采用无阻塞交换设备;
②采用逐包转发、分布处理、Wred(拥塞控制)等QoS(服务质量)技术,避免流Cache(缓冲存储器)模型造成系统崩溃;
③节点关键设备冗余备份,系统出现软硬件故障时,可迅速切换到备用模块;
④网络设备采用多极安全密码体系,限制非法设备和用户登录;
⑤实现路由认证,保证路由协议安全;
⑥支持SNMP V3(简单网络协议),安全网管;
⑦流量监控。
(2)城域网汇聚层设备安全
汇聚层负责汇集分散的接入点进行数据交换,提供流量控制和用户管理(用户识别、授权、认证、计费)功能,作为城域网的业务提供层面,是可运营、可管理城域网最重要的组成部分。汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。
汇聚层设备的安全特性主要体现在以下几点:
①用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;
②保证接入侧用户相互隔离,保证接入的安全性,防止IP地址被盗用或仿冒,防止用户间的相互攻击;
③ IP地址与MAC地址、卡号绑定,能够准确定位用户,包括端口或MAC地址,并可提供追查恶意用户的手段;
④支持限制用户端口最大接入IP地址数、PPP(点对点通讯协定)会话数、TCP(传输控制协议)/UDP(用户数据报协议)连接数,有效防止DDOS类的攻击;
⑤支持访问控制列表(ACL),包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护,以及禁止部分用户访问或有选择地屏蔽网络服务;
⑥可实现对用户带宽的控制CAR(承诺访问速率);
⑦安全日志管理。
从长远看,BRAS(宽带远程接入服务器)产品也必须考虑用户的安全防护措施。如何提供病毒防治、集中安全管理和升级等手段,将成为提高通信网络安全的关键。
(3)城域网接入层设备安全
通过各种接入技术和线路资源实现用户覆盖,提供多业务用户的接入,并配合完成用户流量的控制功能,包