中国电信集团公司技术标准
中国电信网络安全技术白皮书
(2010 年版)
2010-3-30 发布2010-4-10 实施
中国电信集团公司发布
网络安全综述....................................................... . (1)
1.1. 2009 年网络安全态势总体状目录况 (1)
1. 1.2. 电信网络安全技术及应用发展动态 (2)
2. 电信网络安全技术发展与应用.......................................................
...4
2.1.移动互联网安
全....
...4
2.1.1.移动终端安
全....
(4)
2.1.2.网络安
全....
...6
2.1.
3.应用与内容安
全....
...7
2.2. IP 网安全 (9)
2.2.1. 承载网安全.......................................................
(9)
2.2.2.支撑系统安
全....
(11)
2.2.
3.应用系统安
全....
(12)
2.2.4.安全管理.......................................................
(13)
2.2.5.IPv6 网络演进 (16)
3. 网络安全热点....................................................... 八、、................................................... . (18)
3.1. 云安全....................................................... . (18)
3.1.1. 云计算安全.......................................................
(18)
3.1.2. 安全云....................................................... . (20)
3.2. 物联网安全....................................................... .. (21)
4. 网络安全设备....................................................... . (22)
5. 结语....................................................... . (27)
关于中国电信网络安全实验室.......................................................
(28)
术语和缩略语....................................................... (29)
1.网络安全综述
1.1.2009年网络安全态势总体状况
2009年以来,国内互联网用户及应用继续保持着高速发展,据统计,2009
年底我国互联网网民数量达到 3.84亿,手机上网用户达 2.33亿。随着互联网应
用的广泛普及,其在国家政治、经济、文化以及社会生活的各个方面发挥着越来越重要的作用,已经成为国家、社会、民众交互的重要平台。与此同时,互联网面临的安全威胁也随着互联网及应用的发展而不断演化,呈现日益复杂的局面,网络安全形势不容乐观。纵观2009年国内网络安全总体态势,主要特征如下:
1、木马病毒数量爆发式增加,变种更新速度加快
据国家计算机病毒应急处理中心统计,2009年新增病毒样本299万个,其
中新增木马246万多个,是08年新增木马的5.5倍。其主要特征是本土化趋势加剧,变种速度更快、变化更多,隐蔽性增强,攻击目标明确,趋利目的明显。
2、病毒传播形式途径多样化
2009年病毒传播形式不断翻新,主要包括工具捆绑病毒、恶意广告、垃圾邮件、钓鱼欺诈、网址导航、热点挂马等多种传播类型。其中较显著的变化是黑客开始利用当前社会重大、流行事件的关键词进行指向性、针对性挂马,“ XX如门”“阿凡达”等流行热词都是黑客重点利用挂马的对象。、
3、僵尸网络发展迅速,威胁日益严重
僵尸网络发展迅速,已成为网络安全的最大隐患之一,并逐渐成为攻击的主
要手段。目前僵尸网络规模总体上趋于小型化、局部化和专业化;但也存在规模
巨大的僵尸网络,一旦被利用发起DDoS攻击,后果不堪设想。
4、网络犯罪的产业化趋势明显
网络犯罪正成为一种新型犯罪职业,组织化、集团化、产业化进程加速,挂
马集团和攻击组织拥有了完整的病毒开发、下毒盗号、销赃转卖、攻击等一条龙运作模式,窃取虚拟账号、恶意推广、欺骗下载或网络钓鱼等非法牟利行为呈现出愈演愈烈之势。
面对不断增长的安全威胁,国家有关部门加大了对互联网安全的管理力度,
2009年5月,工信部颁布了《互联网网络安全信息通报实施办法》和《木马和僵尸网络监测和处置机制》,对CNCERT、运营商、域名服务机构以及网络安
全企业共同开展网络安全信息共享和打击黑客产业提出了具体工作要求,并组织了多次木马和僵尸网络专项治理行动,有效地净化了网络安全环境。
2009年以来,中国电信继续在网络安全建设与运营方面开展了大量卓有成
效的工作,其中在集团层面组织开展了SOC体系建设、网络安全检查、DNS安
全专项整治、DDoS攻击防御体系完善、C网承载网安全评估等工作,有力地保障了电信网的平稳运行。但由于主要受到外部因素影响,网络安全整体形势仍不容乐观。全网安全漏洞仍然频发,影响对象包括众多DNS服务器、核心网络设
备等;网络病毒、僵尸木马等引发的安全事件大量增加;针对网络设备、重要支撑系统、在网客户的DDoS攻击不断出现。据统计,2009年中国电信全网发生
DDoS攻击3.7万余次,全年垃圾邮件投诉量超过51万次,各类安全事件均呈现
快速上涨势头。
总体来说,随着移动互联网的兴起,传统宽带应用日益丰富,移动网络IP
化、终端智能化和应用丰富化给病毒传播、恶意攻击提供了有利的条件,给电信运营商安全运营带来了极大的挑战。因此,电信运营商需不断提升电信基础网络和重要业务系统的安全防护能力,同时也应加强终端及信息服务安全,以满足全业务安全运营的迫切需求。另外,云计算、物联网应用的兴起,将极大拓展电信运营商的业务领域,如何保障云计算、物联网应用的运营安全也是电信运营商必须面对的问题。
1.2. 电信网络安全技术及应用发展动态
2009年3G商用开启了国内移动互联网新时代,移动互联网安全可划分为终端、网络、应用与内容等几个安全域。
移动终端安全热点主要为硬件安全架构、智能手机安全防护和终端安全管理等技
术;
网络部分包括接入网与核心及承载网,与传统互联网相比,主要区别在于接入网部
分,主要关注接入鉴权和密钥协商、非法流量管控等技术;应用安全领域重点关注
应用层通用认证架构,以及垃圾短信、不良站点防治等内容安全技术。
在传统IP网领域,随着网络规模日益扩大,接入带宽不断增长,网络应用
日益丰富,电信运营商IP网络运营面临的安全威胁更为突出。IP网安全按网络
层次架构可划分为承载网安全、支撑系统安全、应用系统安全和安全管理技术。
承载网安全最核心的问题是如何保障网络的可用性,主要技术手段包括网络设备安
全加固、异常流量攻击防御、Bot net监测和控制技术等;
DNS系统是当前支撑系统中最薄弱的环节,主要研究领域包括DNS攻
击防护、DNSSE C DNS安全监控技术等;
应用系统安全主要关注Web应用安全,主要研究领域包括安全认证、防
网页挂马、源代码安全分析等技术;
安全管理技术则侧重于SOC技术,技术热点主要集中在SOC平台的理
念和定位、安全关联分析技术,以及SOC平台与云计算技术的结合等。
另外,随着IPv6的演进提速,IPv6网络安全也成为业界关注的重点,主要研究领域包括IPv6自身安全机制研究、IPv6过渡技术安全研究、IPv6应用安全研究等。
在新兴技术及应用领域,随着云计算与物联网技术及应用的快速发展,云安全、物联网安全成为网络安全研究热点。其中云安全主要包括云计算应用自身安全,以及云计算技术及理念在网络安全领域的具体应用,包括安全设备、安全基础设施的“云化”、云安全业务等。物联网安全研究重点则包括节点认证、加密、密钥管理、路由安全和入侵检测等方面。
在网络安全设备领域,随着安全需求从单一安全产品发展到综合防御体系,网络安全产品也从过去简单的功能堆砌转向系统化设计,网络安全设备也顺应由过去单一的网络安全产品,向多种安全产品及多种安全技术的融合应用转变。同时,随着云计算技术及理念在安全设备领域的应用,网络安全产品的“云化”趋势明显,为网络安全设备的功能、性能的提升注入了新的活力,为实现全程全网的安全防护提供了可能。
为满足互联网应用发展及自身业务运营的安全需求,电信运营商需继续强化网络安全基础设施建设,为社会及公众提供安全、高可用、可信的网络基础设施
和综合信息服务。可管、可控的可信网络将是电信网络安全技术及应用的发展目标。
2.电信网络安全技术发展与应用
2.1. 移动互联网安全
3G开启了移动互联网新时代,提供了比2G/2.5G网络更为智能化、多样化的业务,为人们生产、生活提供了便利。然而,随着移动网络IP化、终端智能
化和应用丰富化,木马、病毒、恶意攻击、垃圾信息等传统互联网的安全问题也威胁着移动互联网。移动安全问题已经引起了用户较大的关注,甚至影响了安全敏感型业务的推广。根据移动互联网的特点,其安全保障应采取“分层分域”的策略,从终端、网络、应用与内容等层面保障其安全性。
2.1.1. 移动终端安全
移动终端向智能化方向发展,手机正由传统的通信工具逐渐发展成为个人信息助理。然而智能手机带给用户便利的同时,安全问题也日益突显。一方面,手机中存储的个人信息越来越丰富,另一方面手机计算、存储及数据交换能力显著增强、智能手机操作系统的开放性,为信息泄露和病毒传播提供了可能。因此如何提高移动终端特别是智能手机的安全性,已成为业界及用户非常关注的问题。
移动终端面临的安全威胁主要有病毒、木马等恶意代码、信息骚扰,以及终端遗失或被窃。据统计,目前已发现手机恶意代码近千种,可导致用户隐私泄露、设备损坏、经济损失,甚至危及运营商网络。随着3G智能手机的广泛使用,手
机恶意代码呈现出加速增长的趋势。垃圾短信、骚扰电话为商业广告、违法诈骗等信息传播提供了方便,不仅骚扰手机用户,还可能对用户造成经济损失。
根据移动终端面临的威胁,综合考虑移动终端架构和网络环境,其安全防护应按分层防御的思路,采用多层次安全加固、立体式安全防护的策略,分别从终端硬件、软件系统和网络侧安全管理实施安全防护,全面保障终端应用和数据的安全性。
硬件安全架构:以UIM卡为可信根,构筑应用安全基础
基于硬件架构的改进来提高移动终端系统安全性,典型的有可信计算组织
TCG的可信移动平台和ARM公司的TrustZone技术。TCG将可信计算的概念引入到移动领
域,提出了TCG移动参考体系结构并发表了MTM 规范。ARM则依
靠增强的体系结构和扩展指令集,开发研究TrustZone技术,将安全相关特性和
功能直接加入到处理器内核和内存系统。虽然业界在硬件安全架构方面进行了探索,但由于标准化、产业支持等原因,尚未整合成完整的产业链。
UIM卡是带微处理器芯片的智能卡,具备较好的安全机制,且是用户必备、
由运营商控制的硬件,建议以其作为可信根,现阶段从应用安全入手,针对安全要求高的用户,增强UIM 卡的安全功能,作为业务认证、密钥管理的基础,同时,积极跟踪TCG等标准化组织在硬件安全研究中的进展和产业应用情况。
系统安全防护:加固与防御并重,打造终端防护体系
智能手机由于具有开放的操作系统,可安装第三方软件,面临更多威胁。相
比之下,非智能手机环境封闭、安全性较高。
智能手机操作系统与PC操作系统类似,但针对移动终端的特点,功能有所
简化,在安全机制方面也存在较大差异,通常采用代码签名机制来控制安装软件的权限、采用安全沙箱机制隔离程序访问权限。智能手机操作系统种类较多,目前Windows Mobile是天翼
智能手机中应用最普遍的系统,提供了一系列安全策略定制不同安全级别,但其权限隔离机制较弱,只要程序被允许运行,就拥有可访问甚至修改系统资源的权限,而同时由于Win dows Mobile开发门槛比较低,
黑客很容易开发针对其的恶意代码,因此该系统易受恶意代码攻击。
针对系统安全防护,主要有客户端软件、网络侧流量过滤两种思路,提供服
务的既有传统的杀毒厂商,也有专门从事手机安全服务的厂商。中国电信网络安全实验室在调研用户需求并充分考虑移动终端特点的基础上,已经设计开发了天翼安全伴侣原型系统,提供了安全检查、防病毒、防骚扰、防盗用和数据保护等安全功能,可以为用户提供全面的安全服务。
智能手机系统的防护,应从加固与防御两方面着手,在充分利用系统提供的
安全策略进行加固的基础上,为用户提供必要的安全防护手段。建议通过定制终
端预装、网站下载等途径分发安全防护软件,为天翼智能手机用户免费提供系统
安全检查等基础服务,在此基础上,有偿提供杀毒、防盗用等安全防护增值服务。
终端安全管理:构筑终端管理体系,掌控安全态势
国际标准化组织OMA制订了用于实现终端设备管理的标准OMA DM,可