All IP電信網(wǎng)IT基礎(chǔ)設(shè)施安全探討

在電信網(wǎng)全I(xiàn)P化的情況下，國內(nèi)運(yùn)營商也在逐步升級和建設(shè)基于全I(xiàn)P的新一代電信網(wǎng)絡(luò)，但由此帶來的安全問題需要預(yù)先進(jìn)行安全防護(hù)方法論的研究。IT基礎(chǔ)設(shè)施是IP化電信網(wǎng)絡(luò)正常運(yùn)作的重要基礎(chǔ)，如果出現(xiàn)安全問題不僅會(huì)影響電信設(shè)備本身，而且會(huì)對電信網(wǎng)絡(luò)的上層業(yè)務(wù)形成重大威脅。完備的安全方法論通過對IT基礎(chǔ)設(shè)施進(jìn)行安全分析并構(gòu)建安全基線管理體系，對電信系統(tǒng)IT基礎(chǔ)設(shè)施的安全進(jìn)行有效地監(jiān)控和防護(hù)，從而保證全I(xiàn)P化電信網(wǎng)業(yè)務(wù)的安全。

IT基礎(chǔ)設(shè)施安全威脅

電信網(wǎng)絡(luò)所依賴的IT基礎(chǔ)設(shè)施包括操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和安全設(shè)備，這些IT基礎(chǔ)設(shè)施的引入會(huì)對電信網(wǎng)絡(luò)的安全產(chǎn)生重大影響。

大量電信設(shè)備使用通用操作系統(tǒng)把傳統(tǒng)操作系統(tǒng)面臨的安全威脅引入到電信網(wǎng)絡(luò)，主要體現(xiàn)在兩個(gè)方面，一方面是操作系統(tǒng)本身存在的安全漏洞，另一方面是操作系統(tǒng)的安全配置不足帶來的安全問題。對于操作系統(tǒng)的安全漏洞，操作系統(tǒng)廠家通常通過發(fā)布安全補(bǔ)丁的方式進(jìn)行升級，避免操作系統(tǒng)遭到針對新發(fā)現(xiàn)安全漏洞的攻擊。但是電信設(shè)備部署之后，出于可靠性考慮通常無法隨意進(jìn)行補(bǔ)丁升級。而對于帳號策略、口令策略、文件權(quán)限等操作系統(tǒng)安全配置不足，則有可能對電信設(shè)備甚至電信業(yè)務(wù)帶來安全問題。比如某運(yùn)營商的WAP網(wǎng)關(guān)系統(tǒng)就由于操作系統(tǒng)中存在弱口令的帳號，從而導(dǎo)致不法分子通過登錄該WAP網(wǎng)關(guān)，向MISC系統(tǒng)發(fā)起惡意欺詐訂購攻擊，給用戶和運(yùn)營商造成損失。

電信網(wǎng)絡(luò)全I(xiàn)P化后，大量的交換機(jī)、路由器等通用網(wǎng)絡(luò)設(shè)備被部署到電信核心網(wǎng)，利用這些設(shè)備的安全漏洞可以進(jìn)行傳統(tǒng)的安全攻擊，包括竊取網(wǎng)絡(luò)拓?fù)湫畔�，通過攻擊使交換機(jī)或路由器重啟造成電信業(yè)務(wù)的拒絕服務(wù)。某運(yùn)營商核心網(wǎng)軟交換系統(tǒng)曾因交換機(jī)遭到攻擊造成網(wǎng)絡(luò)風(fēng)暴，從而形成軟交換系統(tǒng)的拒絕服務(wù)，對語音通信造成很大的影響。

另外，終端用戶的關(guān)鍵數(shù)據(jù)被存放到通用數(shù)據(jù)庫中，也容易被滲透后造成終端用戶信息的泄露，如果移動(dòng)終端SIM/USIM卡的卡號和主密鑰信息泄露就有可能造成SIM/USIM卡的克隆攻擊。

為有效防護(hù)針對電信網(wǎng)絡(luò)的安全攻擊，大量的安全設(shè)備（防火墻、入侵檢測、防病毒系統(tǒng)）也被部署到電信網(wǎng)絡(luò)中，這些設(shè)備和電信設(shè)備通常是互相信任的，如果存在安全漏洞，將嚴(yán)重影響電信網(wǎng)絡(luò)的安全。

IT基礎(chǔ)設(shè)施安全防護(hù)方法論

針對電信網(wǎng)絡(luò)IT基礎(chǔ)設(shè)施的安全威脅，可以借鑒ITU-TX.805對IT基礎(chǔ)設(shè)施、通信服務(wù)和業(yè)務(wù)應(yīng)用層面的安全分析方法，結(jié)合工信部的電信網(wǎng)等級保護(hù)思想，并根據(jù)電信系統(tǒng)服務(wù)規(guī)模、范圍和服務(wù)重要性等因素，可做到針對不同安全需求進(jìn)行分類控制與防護(hù)。

ITU-TX.805電信安全分析與防護(hù)的方法論建議對電信系統(tǒng)的每個(gè)安全層面進(jìn)行安全分析時(shí)需要針對不同的網(wǎng)絡(luò)活動(dòng)分別進(jìn)行保護(hù)，從而形成相對獨(dú)立的安全平面，不同安全平面間的安全功能盡量相對獨(dú)立。對于每個(gè)系統(tǒng)層面都可以分成管理、控制/信令和用戶等3個(gè)安全平面，3個(gè)系統(tǒng)層面總共形成9個(gè)安全模塊分別進(jìn)行安全分析和安全防護(hù)（如表1）。

對于每個(gè)模塊可以應(yīng)用ITU-TX.805的端到端安全中的接入控制、認(rèn)證、不可否認(rèn)性、數(shù)據(jù)機(jī)密性、通信安全、數(shù)據(jù)一致性、可用性和隱私等八大安全維度進(jìn)行安全分析。

經(jīng)過采用ITU-TX.805標(biāo)準(zhǔn)安全分析方法論分析電信系統(tǒng)的IT基礎(chǔ)設(shè)施的安全需求，可以在電信系統(tǒng)的安全分級的基礎(chǔ)上，分別從信息安全、服務(wù)保障和通用安全等方面對電信系統(tǒng)的IT基礎(chǔ)設(shè)施進(jìn)行安全防護(hù)與控制。

IT基礎(chǔ)設(shè)施安全防護(hù)

對于電信網(wǎng)絡(luò)的IT基礎(chǔ)設(shè)施的安全防護(hù)需要從IT基礎(chǔ)設(shè)施本身的安全漏洞和安全配置角度，根據(jù)系統(tǒng)的安全等級進(jìn)行有針對性的安全控制與管理。通過建立系統(tǒng)的安全漏洞基線和安全配置基線，并基于安全漏洞和安全配置基線對系統(tǒng)進(jìn)行持續(xù)的安全管控，保證系統(tǒng)的安全性。根據(jù)安全基線對IT基礎(chǔ)設(shè)施進(jìn)行安全管理的流程如圖1所示，可分為安全基線建立、安全基線審計(jì)與監(jiān)控、安全加固和安全基線更新。

圖1  安全基線管理流程

1.安全基線建立

組成全I(xiàn)P化電信網(wǎng)絡(luò)電信設(shè)備的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫和安全設(shè)備等IT基礎(chǔ)設(shè)施可能存在兩方面的安全問題。一種是在設(shè)計(jì)和開發(fā)過程中存在的安全漏洞，或在功能升級過程中引入的安全漏洞，這些安全漏洞需要通過打補(bǔ)丁的方式進(jìn)行修補(bǔ)；另一種是在帳號口令、安全策略、日志審計(jì)、文件權(quán)限等方面未進(jìn)行有效安全配置，可能對電信系統(tǒng)造成致命安全威脅。因此需要根據(jù)系統(tǒng)的安全等級決定的安全需求分別建立系統(tǒng)的漏洞基線和安全配置基線。

2.安全基線審計(jì)與監(jiān)控

安全基線的管理可以通過定期進(jìn)行全面評估審計(jì)來發(fā)現(xiàn)存在的安全漏洞和安全配置方面的問題，并通過對電信系統(tǒng)的安全滲透測試來評估安全漏洞和安全配置不足對系統(tǒng)的安全影響等級。安全漏洞評估審計(jì)可以采用根據(jù)漏洞基線定制的漏洞掃描器對電信系統(tǒng)進(jìn)行主動(dòng)安全評估來發(fā)現(xiàn)安全問題。安全配置可以采用根據(jù)安全配置基線定制的設(shè)備安全配置基線審計(jì)工具對電信系統(tǒng)安全配置進(jìn)行審計(jì)來糾正安全配置方面的缺陷。

另外，還要建立安全配置的定時(shí)監(jiān)控和安全配置管理的日志審計(jì)機(jī)制來保護(hù)電信設(shè)備上的安全配置。利用部署在電信網(wǎng)絡(luò)中的監(jiān)控設(shè)備對安全配置進(jìn)行定時(shí)監(jiān)控，安全配置的修改進(jìn)行日志記錄或及時(shí)進(jìn)行告警，從而保證快速發(fā)現(xiàn)安全配置不合理或非授權(quán)的修改。

3.安全加固

對于發(fā)現(xiàn)的漏洞和安全配置不當(dāng)，根據(jù)系統(tǒng)的安全需求決定是否對相應(yīng)的漏洞和安全配置進(jìn)行修補(bǔ)和整改。由于電信系統(tǒng)在可靠性方面的要求很高，在加固前需要對相關(guān)的補(bǔ)丁進(jìn)行嚴(yán)格的測試，安全配置也需要根據(jù)業(yè)務(wù)需求進(jìn)行安全分析與安全測試，才能在不影響業(yè)務(wù)的前提下進(jìn)行安全加固。

4.安全基線更新

系統(tǒng)的安全威脅和安全技術(shù)是在不斷發(fā)展的，因此漏洞基線和安全配置基線也要根據(jù)國內(nèi)外安全組織和安全廠商以及產(chǎn)品提供商的安全通告進(jìn)行更新，更新過程也要充分考慮電信系統(tǒng)在業(yè)務(wù)方面的安全需求。

作者：國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心呂慧勤

西門子（中國）研究院郭代飛