有線網(wǎng)絡(luò)信息安全標準進展

1、引言

　　當前信息化已成為經(jīng)濟全球化過程中各國增強綜合國力競爭的戰(zhàn)略制高點。隨著我國經(jīng)濟的持續(xù)增長和社會的不斷進步，信息化對網(wǎng)絡(luò)與信息安全提出更高的要求。網(wǎng)絡(luò)與信息的安全性已成為維護國家安全社會穩(wěn)定的焦點，成為影響國家大局和長遠利益的重大關(guān)鍵問題。

　　在中國通信標準化協(xié)會（CCSA）中，對通信網(wǎng)絡(luò)中網(wǎng)絡(luò)與信息安全分有線網(wǎng)絡(luò)與信息安全、無線網(wǎng)絡(luò)與信息安全兩部分進行研究，對網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的研究也是為以上兩方面研究服務(wù)的。雖然無線通信越來越重要，但是就當前而言，有線通信仍占很大比例，而且無線通信除空中接口以外核心網(wǎng)絡(luò)的信息安全技術(shù)要求與有線網(wǎng)絡(luò)的信息安全要求一致。因此有線網(wǎng)絡(luò)信息安全研究非常重要。

2、有線網(wǎng)絡(luò)面臨安全威脅

　　有線網(wǎng)絡(luò)面臨的安全威脅包括：

　　√電磁安全：隨著偵聽技術(shù)的發(fā)展以及計算機處理能力的增強，電磁輻射可能引發(fā)安全問題。

　　√設(shè)備安全：當前設(shè)備容量越來越大，技術(shù)越來越復雜。復雜的技術(shù)和設(shè)備更容易發(fā)生安全問題。

　　√鏈路安全：通信光纜電纜敷設(shè)規(guī)范性有所下降。在長江、黃河、淮河等幾條大江大河上布放光纜時，基本都敷設(shè)并集中在鐵路橋（或公路橋）上，可能出現(xiàn)“橋毀纜斷”通信中斷的嚴重局面。

　　√信令網(wǎng)安全：傳統(tǒng)電話網(wǎng)絡(luò)的信令網(wǎng)曾經(jīng)是一個封閉的網(wǎng)絡(luò)，相對安全。然而隨著軟交換等技術(shù)的引入，信令網(wǎng)逐漸走向開放，無疑增加安全隱患。

　　√同步外安全：同步網(wǎng)絡(luò)是當前SDH傳輸網(wǎng)絡(luò)以及CDMA網(wǎng)絡(luò)正常運行的重要保障。當前大量網(wǎng)絡(luò)包括CDMA等主要依賴GPS系統(tǒng)。如GPS系統(tǒng)出現(xiàn)問題將對現(xiàn)有網(wǎng)絡(luò)造成不可估量的損失。

　　√網(wǎng)絡(luò)遭受戰(zhàn)爭、自然災害：在網(wǎng)絡(luò)遭受戰(zhàn)爭或自然災害時，網(wǎng)絡(luò)節(jié)點可能經(jīng)受毀滅性打擊，鏈路可能大量中斷。

　　√網(wǎng)絡(luò)被流量沖擊：當網(wǎng)絡(luò)收到流量沖擊時，可能產(chǎn)生雪崩效應(yīng)：網(wǎng)絡(luò)性能急劇下降甚至停止服務(wù)。網(wǎng)絡(luò)流量沖擊可能因突發(fā)事件引起，也可能是受到惡意攻擊。

　　√終端安全：典型的多業(yè)務(wù)終端是一個計算機，與傳統(tǒng)的專用傻終端例如電話相比，智能終端故障率以及配置難度都大大提高。

　　√網(wǎng)絡(luò)業(yè)務(wù)安全：多業(yè)務(wù)網(wǎng)絡(luò)很少基于物理端口或者線路區(qū)分用戶，因此業(yè)務(wù)被竊取時容易產(chǎn)生糾紛。

　　√網(wǎng)絡(luò)資源安全：多業(yè)務(wù)網(wǎng)絡(luò)中，用戶惡意或無意（感染病毒）濫用資源（例如帶寬資源）會嚴重威脅網(wǎng)絡(luò)正常運行。垃圾郵件幾乎摧毀了互聯(lián)網(wǎng)電子郵件的信譽。

　　√通信內(nèi)容安全：網(wǎng)絡(luò)傳輸?shù)膬?nèi)容可能被非法竊取或被非法使用。

　　√有害信息擴散：傳統(tǒng)電信網(wǎng)不負責信息內(nèi)容是否違法。隨著新業(yè)務(wù)的開展，NGN必須關(guān)注有害信息通過網(wǎng)絡(luò)擴散傳播。

3、網(wǎng)絡(luò)與信息安全分層

　　通信網(wǎng)絡(luò)安全應(yīng)當分層研究。根據(jù)通信系統(tǒng)特點，通信網(wǎng)絡(luò)和信息安全研究可以分成網(wǎng)絡(luò)自身安全、業(yè)務(wù)提供安全、信息傳遞安全以及有害信息控制四個層面研究。


圖1

　　√網(wǎng)絡(luò)自身安全

　　網(wǎng)絡(luò)自身安全包括網(wǎng)絡(luò)可靠性與生存性。網(wǎng)絡(luò)可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點安全、鏈路安全、拓撲安全、系統(tǒng)安全等方面來保障。這里承載與業(yè)務(wù)網(wǎng)是擁有自己節(jié)點、鏈路、拓撲和控制的網(wǎng)絡(luò)，例如傳輸網(wǎng)、互聯(lián)網(wǎng)、ATM網(wǎng)、幀中繼網(wǎng)、DDN網(wǎng)、x.25網(wǎng)、電話網(wǎng)、移動通信網(wǎng)、支撐網(wǎng)等電信網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)自身安全應(yīng)在控制、管理和數(shù)據(jù)層面保障。在控制層面，應(yīng)在控制信息訪問控制、控制信息驗證、控制信息保密、控制信息通信安全和控制信息完整性方面保障安全。在管理層面，應(yīng)在管理訪問控制、管理信息驗證、管理信息不可抵賴、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。在數(shù)據(jù)平面，應(yīng)在資源可用性方面保障安全。

　　√業(yè)務(wù)提供安全

　　網(wǎng)絡(luò)服務(wù)安全包括服務(wù)可用性與服務(wù)可控性。服務(wù)可控性依靠服務(wù)接入安全、服務(wù)防否認、服務(wù)防攻擊等方面來保障。服務(wù)可用性與承載、業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護能力等相關(guān)。服務(wù)可以是網(wǎng)絡(luò)提供的DDN專線、ATM專線、話音業(yè)務(wù)、VPN業(yè)務(wù)、Internet業(yè)務(wù)等。

　　業(yè)務(wù)提供安全應(yīng)在控制層面和管理層面保障。在控制層面，應(yīng)在控制信息訪問控制、控制信息驗證、控制信息不可抵賴、控制信息保密、控制信息通信安全、控制信息完整性和控制信息隱私性方面保障安全。在管理層面應(yīng)在管理訪問控制、管理信息驗證、管理信息不可抵賴、管理信息保密性、管理信息通信安全、管理信息完整性方面保障安全。

　　√信息傳遞安全

　　信息傳遞安全包括信息完整性、機密性和不可否認性。信息完整性可以依靠報文鑒別機制例如哈希算法等來保障；信息機密性可以依靠加密機制以及密鑰分發(fā)等來保障；信息不可否認性可以依靠數(shù)字簽名等技術(shù)保障。

　　√有害信息控制

　　有害信息控制主要是指傳遞的信息不包含中華人民共和國電信條例第五十七條所規(guī)定內(nèi)容。第五十七條規(guī)定不得利用電信網(wǎng)制作、復制、發(fā)布、傳播含有違反國家憲法、危害國家安全，泄露國家機密，顛覆國家政權(quán)，破壞國家統(tǒng)一、損害國家榮譽和利益、煽動民族仇恨，民族歧視，破壞滿足團結(jié)等內(nèi)容。

　　有害信息還包括當前突出的一些問題例如垃圾郵件、垃圾短信、BBS不良信息、病毒等。有害信息控制是指網(wǎng)絡(luò)應(yīng)采用一定技術(shù)和管理手段防止有害信息在網(wǎng)絡(luò)上泛濫和擴散。

4、網(wǎng)絡(luò)中與安全相關(guān)的技術(shù)發(fā)展趨勢

　　√終端趨向智能化：當前技術(shù)條件下，網(wǎng)絡(luò)已經(jīng)能承載多種業(yè)務(wù)。每個業(yè)務(wù)建設(shè)一張新網(wǎng)的模式已不再適合。為在一張網(wǎng)絡(luò)上開展多種業(yè)務(wù)，必須將部分網(wǎng)絡(luò)的智能轉(zhuǎn)移到終端上。隨著智能向終端的轉(zhuǎn)移，可以預期會出現(xiàn)很多過去公共電信基礎(chǔ)設(shè)施上沒有出現(xiàn)過的安全問題。因此未來終端智能化是不可避免的，必須將智能在網(wǎng)絡(luò)和終端合理分配才能有效保障公共電信基礎(chǔ)設(shè)施安全。

　　√業(yè)務(wù)趨向多樣化：當前公共電信基礎(chǔ)設(shè)施提供的業(yè)務(wù)比較單一，除了點到點的傳輸外就是電話業(yè)務(wù)。隨著技術(shù)和市場的進一步發(fā)展，增值業(yè)務(wù)已成為運營中重要的內(nèi)容。公共電信基礎(chǔ)設(shè)施將不可避免地提供多種業(yè)務(wù)，滿足各種個性化的需求。當然增值業(yè)務(wù)可以由公共電信基礎(chǔ)設(shè)施運用商直接提供，也可以由內(nèi)容提供商、應(yīng)用提供商單獨提供。

　　√網(wǎng)絡(luò)有能力多業(yè)務(wù)：在傳統(tǒng)電信網(wǎng)上，每個網(wǎng)絡(luò)承載一種業(yè)務(wù)。電話網(wǎng)提供電話業(yè)務(wù)、DDN網(wǎng)提供數(shù)據(jù)業(yè)務(wù)、X.25網(wǎng)提供X.25數(shù)據(jù)業(yè)務(wù)。即使是ATM網(wǎng)也基本只提供專線和虛擬專用網(wǎng)業(yè)務(wù)。隨著IP網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)承載多業(yè)務(wù)已成為可能。單一網(wǎng)絡(luò)承載多業(yè)務(wù)能顯著降低運維成本。部分新型電信運營商在此作了有益的嘗試。因此未來網(wǎng)絡(luò)承載多業(yè)務(wù)將是一個重要的選擇。

　　√接入趨向無線：移動通信的出現(xiàn)已經(jīng)極大地改變的生活。隨著802.11的廣泛使用，桌面局域網(wǎng)技術(shù)有了新的重要選擇。未來能進行短距離（10米內(nèi)）特別連接的無線個人域網(wǎng)（WPAN）設(shè)備會有很大的發(fā)展。速率更高、安全、漫游和網(wǎng)管性能更好、能與移動網(wǎng)融合的無線局域網(wǎng)設(shè)備與能把接入點覆蓋范圍延伸到十幾公里的無線網(wǎng)狀網(wǎng)（Wireless mesh）設(shè)備也會出現(xiàn)。3G技術(shù)可以預期。農(nóng)村和偏僻地區(qū)會有低成本無線接入設(shè)備。

　　√計算能力不斷增強：個人計算機系統(tǒng)的計算能力不斷增強。原有安全的加密算法逐漸變得不安全。隨著終端計算能力的不斷增加，為終端智能化提供了技術(shù)可能性。按照莫爾定律，可以預見計算能力還會不斷增加。計算能力不斷增加，伴隨體積進一步減小仍然是不可避免的趨勢。

　　√設(shè)備端口速度不斷增加，容量不斷增大：以數(shù)據(jù)網(wǎng)絡(luò)設(shè)備為例，最初路由器廣域網(wǎng)接口9600kbps-2Mbps，隨即出現(xiàn)了155Mbps、2.5Gbps接口，當前10G接口已商用。未來接口會到達40G甚至更高。設(shè)備容量也有類似規(guī)律。光網(wǎng)絡(luò)設(shè)備、電話交換機設(shè)備都有類似發(fā)展歷程。因此在“十一五”期間，可以預期端口速度仍會不斷增長，設(shè)備容量也會不斷增長。

　　√網(wǎng)絡(luò)規(guī)模繼續(xù)擴張：隨著技術(shù)的發(fā)展，電信網(wǎng)絡(luò)規(guī)模越來越大。隨著社會的進步，通信需求也會進一步增長，可以預期的是網(wǎng)絡(luò)規(guī)模會進一步增長。在一個規(guī)�？涨暗拇缶W(wǎng)上可能會出現(xiàn)各種意想不到的問題。網(wǎng)絡(luò)復雜性也會隨著網(wǎng)絡(luò)規(guī)模的增長而增加。在當前網(wǎng)絡(luò)上的運營經(jīng)驗并不能完全照搬到未來網(wǎng)絡(luò)上。因此在“十一五”期間網(wǎng)絡(luò)規(guī)模的增長會影響公共電信基礎(chǔ)設(shè)施的安全。

　　√新的通信技術(shù)不斷出現(xiàn)：技術(shù)的發(fā)展決定隨著技術(shù)的進步，新的通信技術(shù)和手段會不斷涌現(xiàn)。

　　√新的網(wǎng)絡(luò)安全威脅不斷出現(xiàn)：隨著新技術(shù)、新業(yè)務(wù)、新運營方式的不斷涌現(xiàn)，新的網(wǎng)絡(luò)威脅會不斷出現(xiàn)。公共電信基礎(chǔ)設(shè)施會受到越來越多，各種各樣新的安全威脅。隨著互聯(lián)網(wǎng)成為電信網(wǎng)絡(luò)，互聯(lián)網(wǎng)上的安全威脅越來越影響通信。垃圾郵件當前已成為全世界關(guān)注的問題。因此在“十一五”期間安全威脅的不斷涌現(xiàn)將不可避免。

　　√公共電信基礎(chǔ)設(shè)施逐漸重視服務(wù)提供安全和內(nèi)容安全：最初公共電信基礎(chǔ)設(shè)施主要提供專線業(yè)務(wù)以及話音業(yè)務(wù)，上述網(wǎng)絡(luò)與業(yè)務(wù)完全不能分離。在業(yè)務(wù)與網(wǎng)絡(luò)合一情況下，只要網(wǎng)絡(luò)自身是安全的就能正常提供服務(wù)。此外最初公共電信基礎(chǔ)設(shè)施不關(guān)注傳輸?shù)膬?nèi)容，只作一定的服務(wù)質(zhì)量保障。因此最初公共電信基礎(chǔ)設(shè)施主要關(guān)注網(wǎng)絡(luò)自身安全。隨著網(wǎng)絡(luò)提供多業(yè)務(wù)情況的出現(xiàn)以及互聯(lián)網(wǎng)的出現(xiàn)，網(wǎng)絡(luò)安全必須關(guān)注業(yè)務(wù)提供安全；在互聯(lián)網(wǎng)上必須關(guān)注內(nèi)容安全；在越來越注重隱私的現(xiàn)實環(huán)境中必須關(guān)注內(nèi)容傳輸?shù)乃矫苄浴Ｒ虼斯�共電信基礎(chǔ)設(shè)施安全將從只關(guān)注網(wǎng)絡(luò)自身安全轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)自身安全、服務(wù)提供安全與內(nèi)容安全、傳輸安全并重。

5、有線網(wǎng)絡(luò)安全標準進展

　　中國通信標準化協(xié)會（CCSA）于2002年12月18日成立，是國內(nèi)企、事業(yè)單位自愿聯(lián)合組織起來經(jīng)業(yè)務(wù)主管部門批準的、在通信技術(shù)領(lǐng)域開展標準化活動的組織。當前通信領(lǐng)域相關(guān)行業(yè)標準由中國通信標準化協(xié)會負責組織制定。

　　中國通信標準化協(xié)會下設(shè)IP與多媒體、移動互聯(lián)網(wǎng)應(yīng)用協(xié)議、網(wǎng)絡(luò)與交換、通信電源、無線通信、傳送網(wǎng)與接入網(wǎng)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)與信息安全和電磁環(huán)境與安全防護九個技術(shù)工作委員會。

　　網(wǎng)絡(luò)與信息安全技術(shù)工作委員會根據(jù)《中國通信標準化協(xié)會章程》第四章第十六條第五款和第四章第二十二條的規(guī)定成立于2003年12月12日，同日召開第一次全會。網(wǎng)絡(luò)與信息安全技術(shù)工作委員會下設(shè)4個工作組，即有線網(wǎng)絡(luò)信息安全工作組、無線網(wǎng)絡(luò)信息安全工作組、安全管理工作組、安全基礎(chǔ)設(shè)施工作組。

　　我國通信行業(yè)安全相關(guān)標準在由CCSA網(wǎng)絡(luò)與信息安全技術(shù)工作委員會負責制定。除無線網(wǎng)絡(luò)安全、網(wǎng)管安全以及安全基礎(chǔ)設(shè)施外，包括電話網(wǎng)、互聯(lián)網(wǎng)、傳輸網(wǎng)、接入網(wǎng)等在內(nèi)所有電信網(wǎng)絡(luò)相關(guān)的安全標準都由有線網(wǎng)絡(luò)與信息安全工作組負責制定。

　　自2002年成立以來，當前網(wǎng)絡(luò)與信息安全技術(shù)工作委員會有線網(wǎng)絡(luò)信息安全工作組已召開了9次會議。

　　截止到有線網(wǎng)絡(luò)信息安全工作組第9次會議以前，討論的標準以及研究項目狀態(tài)如下表所述：

表1
[table]

標準項目	目前狀態(tài)
增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求	已發(fā)布
數(shù)字程控交換機安全技術(shù)要求	報批稿階段
公眾IP網(wǎng)絡(luò)安全框架	報批稿階段
IPv6網(wǎng)絡(luò)安全技術(shù)要求	報批稿階段
低端路由器測試規(guī)范	報批稿階段
高端路由器測試規(guī)范	報批稿階段
基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的技術(shù)要求	報批稿階段
軟交換網(wǎng)絡(luò)安全框架	送審稿階段
電信網(wǎng)絡(luò)級網(wǎng)管安全技術(shù)	報批稿階段
電信級IP承載網(wǎng)安全框架	報批稿階段
H323網(wǎng)絡(luò)安全技術(shù)要求	送審稿階段
軟交換網(wǎng)絡(luò)通信安全	征求意見稿階段
軟交換網(wǎng)絡(luò)管理和運維安全	征求意見稿階段
軟交換網(wǎng)絡(luò)設(shè)備安全	送審稿階段
遠程視頻監(jiān)控系統(tǒng)的安全技術(shù)要求	送審稿階段
以太網(wǎng)交換機設(shè)備安全技術(shù)要求	征求意見稿階段
以太網(wǎng)交換機設(shè)備安全測試規(guī)范	征求意見稿階段
具有路由功能的以太網(wǎng)交換機設(shè)備安全技術(shù)要求	征求意見稿階段
具有路由功能的以太網(wǎng)交換機設(shè)備安全測試規(guī)范	征求意見稿階段
短信網(wǎng)絡(luò)安全技術(shù)要求	起草階段
信令網(wǎng)關(guān)設(shè)備安全技術(shù)要求和測試方法	起草階段
基于軟交換的媒體服務(wù)器設(shè)備安全技術(shù)要求和測試方法	起草階段
基于軟交換的應(yīng)用服務(wù)器設(shè)備安全技術(shù)要求和測試方法	起草階段
媒體網(wǎng)關(guān)設(shè)備安全技術(shù)要求和測試方法	起草階段
IP智能終端設(shè)備安全技術(shù)要求和測試方法	起草階段
電信網(wǎng)絡(luò)開放第三方業(yè)務(wù)的安全要求	起草階段
綜合接入設(shè)備（IAD）安全技術(shù)要求和測試方法	起草階段
軟交換業(yè)務(wù)接入控制設(shè)備安全技術(shù)要求和測試方法	起草階段
軟交換設(shè)備安全技術(shù)要求和測試方法	起草階段
IMS（固定網(wǎng)中）的安全技術(shù)研究（預研）	起草階段
NGN網(wǎng)絡(luò)安全技術(shù)研究	起草階段
寬帶遠程接入服務(wù)器安全技術(shù)要求	起草階段
寬帶遠程接入服務(wù)器安全測試方法	起草階段
寬帶接入服務(wù)器（IPv6）安全技術(shù)要求	起草階段
寬帶接入服務(wù)器（IPv6）安全低測試方法	起草階段
具有路由功能的交換機（IPv6）安全技術(shù)要求	起草階段
具有路由功能的交換機（IPv6）安全測試方法	起草階段
邊緣路由器（IPv6）安全技術(shù)要求	起草階段
核心路由器（IPv6）安全測試方法	起草階段
核心路由器（IPv6）安全技術(shù)要求	起草階段
核心路由器（IPv6）安全測試方法	起草階段
xDSL用戶端設(shè)備安全技術(shù)要求	起草階段
xDSL用戶端設(shè)備安全測試方法	起草階段
DSLAM設(shè)備安全技術(shù)要求	起草階段
DSLAM設(shè)備安全測試方法	起草階段
PON設(shè)備安全技術(shù)要求	起草階段
PON設(shè)備安全測試方法	起草階段
綜合接入系統(tǒng)安全技術(shù)要求	起草階段
綜合接入系統(tǒng)安全測試方法	起草階段

[/table]

　　從上面標準項目和研究項目的立項以及當前狀態(tài)可以看出：

　　√有線網(wǎng)絡(luò)信息安全工作組是一個年輕的標準化組織，目前只有一個標準達到發(fā)布階段，2個標準達到報批稿階段，絕大部分文稿處于起草階段。

　　√當前網(wǎng)絡(luò)安全比較關(guān)注設(shè)備安全，大部分項目都是設(shè)備安全技術(shù)要求以及設(shè)備安全測試方法。這些設(shè)備方面的技術(shù)要求和測試方法都將與入網(wǎng)管制配套。

　　√當前網(wǎng)絡(luò)層安全研究較少，主要是框架研究，包括感知IP網(wǎng)絡(luò)安全框架與電信級IP承載網(wǎng)安全框架。

　　√當前業(yè)務(wù)網(wǎng)安全主要集中在VoIP業(yè)務(wù)方面，主要是軟交換和H.323方面的安全。包括安全框架、管理運維等。其他業(yè)務(wù)相關(guān)的安全還主要在各個業(yè)務(wù)的總體技術(shù)要求中考慮。

　　√信息傳遞安全方面基本沒有研究。

　　√有害信息控制方面有一些研究，制定了增值業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求。未來可能會有大量工作有待完成。

　　√傳統(tǒng)網(wǎng)絡(luò)方面安全研究較少，只有程控交換機安全技術(shù)要求，這種現(xiàn)狀與我國傳統(tǒng)電信網(wǎng)安全基本滿足需求相適應(yīng)。

6、小結(jié)

　　當前安全標準制定還處在“初級階段”，有線網(wǎng)絡(luò)信息安全工作組工作重點還集中在設(shè)備安全技術(shù)要求以及測試方法上，只有少數(shù)標準關(guān)注有害信息控制，網(wǎng)絡(luò)層安全技術(shù)也剛剛開始。

　　隨著通信網(wǎng)絡(luò)安全方面的研究進一步開展，安全方面標準進一步深入。可以預見未來有線網(wǎng)絡(luò)信息安全方面的標準將越來越重視網(wǎng)絡(luò)層面的安全以及與業(yè)務(wù)相關(guān)的業(yè)務(wù)層面安全；有害信息控制也將成為電信網(wǎng)絡(luò)安全中重要組成部分；信息傳遞安全則有可能部分成為服務(wù)質(zhì)量內(nèi)容，部分由端到端提供。