安全問題困擾NGN發(fā)展
2004/12/15
網(wǎng)絡(luò)多業(yè)務(wù)影響網(wǎng)絡(luò)安全
網(wǎng)絡(luò)提供多業(yè)務(wù)以及隨之而來的終端智能化為網(wǎng)絡(luò)帶來安全隱患。
在傳統(tǒng)電信網(wǎng)絡(luò)上���,大多數(shù)網(wǎng)絡(luò)捆綁單一業(yè)務(wù):電話網(wǎng)提供電話業(yè)務(wù)以及部分補(bǔ)充業(yè)務(wù)����;DDN網(wǎng)絡(luò)提供點(diǎn)到點(diǎn)數(shù)據(jù)專線業(yè)務(wù)�����;幀中繼網(wǎng)絡(luò)提供數(shù)據(jù)專線以及虛擬專用網(wǎng)業(yè)務(wù)��;同步網(wǎng)提供網(wǎng)絡(luò)同步服務(wù)��;信令網(wǎng)為電話網(wǎng)提供信令服務(wù);即使是號(hào)稱多媒體網(wǎng)絡(luò)的ATM也基本用作數(shù)據(jù)專線以及虛擬專用網(wǎng)�����。大多數(shù)用戶終端智能性較低并且與網(wǎng)絡(luò)信令隔離���,因此一般不會(huì)影響網(wǎng)絡(luò)安全�。
隨著新業(yè)務(wù)的出現(xiàn)��,新興運(yùn)營(yíng)商不滿足于每個(gè)業(yè)務(wù)建一張網(wǎng)的思路����。網(wǎng)絡(luò)不但要承載多種業(yè)務(wù),還必須在用戶使用同一個(gè)接入線路的條件下提供多種業(yè)務(wù)�����。網(wǎng)絡(luò)為識(shí)別統(tǒng)一接入線路上的多種業(yè)務(wù)�,不可避免地將部分智能轉(zhuǎn)移到終端。IP網(wǎng)絡(luò)成為承載多業(yè)務(wù)的重要手段�����。IP網(wǎng)絡(luò)是典型的“智能終端傻網(wǎng)絡(luò)”:網(wǎng)絡(luò)只負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)���,不參與具體業(yè)務(wù)流程�����。IP網(wǎng)絡(luò)的終端主要是計(jì)算機(jī)系統(tǒng)�����,因此用戶設(shè)備要參與業(yè)務(wù)流程�。惡意用戶可以使用計(jì)算機(jī)系統(tǒng)干擾業(yè)務(wù)流程��,甚至發(fā)起黑客攻擊使網(wǎng)絡(luò)癱瘓���。這樣的模式嚴(yán)重影響IP網(wǎng)絡(luò)的安全���。由于當(dāng)前分組語(yǔ)音的大量使用,IP網(wǎng)絡(luò)要與傳統(tǒng)電話網(wǎng)絡(luò)互通���,IP網(wǎng)絡(luò)的安全隱患會(huì)進(jìn)而影響傳統(tǒng)電話網(wǎng)絡(luò)的安全����。
多運(yùn)營(yíng)商競(jìng)爭(zhēng)影響網(wǎng)絡(luò)安全
多運(yùn)營(yíng)商競(jìng)爭(zhēng)在開拓通信市場(chǎng)以及增加網(wǎng)絡(luò)備份的同時(shí)也帶來新的安全隱患�。
我國(guó)通信網(wǎng)絡(luò)從單運(yùn)營(yíng)商走向多運(yùn)營(yíng)商的環(huán)境。在原郵電部領(lǐng)導(dǎo)中國(guó)電信部門建立通信網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)承載單一業(yè)務(wù)��,支撐網(wǎng)統(tǒng)一設(shè)計(jì)����,業(yè)務(wù)普遍開展,纜線敷設(shè)統(tǒng)一規(guī)劃�����,服務(wù)全程全網(wǎng)統(tǒng)一設(shè)計(jì)�����,電信業(yè)務(wù)與網(wǎng)絡(luò)安全性基本滿足當(dāng)時(shí)的需求��。在當(dāng)前多運(yùn)營(yíng)商競(jìng)爭(zhēng)的環(huán)境下�,我國(guó)網(wǎng)絡(luò)規(guī)模有了極大增長(zhǎng),適應(yīng)了國(guó)民經(jīng)濟(jì)對(duì)通信網(wǎng)絡(luò)的需求����,但是也引入了一些對(duì)安全不利的因素。
出于對(duì)快速建設(shè)的壓力����、網(wǎng)絡(luò)建設(shè)運(yùn)維經(jīng)驗(yàn)以及成本的考慮���,部分運(yùn)營(yíng)商網(wǎng)絡(luò)建設(shè)缺乏技術(shù)體制的總體指導(dǎo)。沒有技術(shù)體制指導(dǎo)的網(wǎng)絡(luò)缺乏全程全網(wǎng)統(tǒng)一設(shè)計(jì)��,不利于網(wǎng)絡(luò)安全��。
在多運(yùn)營(yíng)商競(jìng)爭(zhēng)環(huán)境下��,出于對(duì)投入成本與利潤(rùn)產(chǎn)出率的考慮�,部分運(yùn)營(yíng)商在降價(jià)吸引客戶以及快速大規(guī)模網(wǎng)絡(luò)建設(shè)中忽略對(duì)網(wǎng)絡(luò)安全設(shè)施的投入�����。新興運(yùn)營(yíng)商運(yùn)營(yíng)與發(fā)展初期缺乏長(zhǎng)期電信運(yùn)營(yíng)的經(jīng)驗(yàn)與理念�����,在網(wǎng)絡(luò)安全方面不夠重視�����。
雖然六大運(yùn)營(yíng)商網(wǎng)絡(luò)資源總量大于原中國(guó)電信的��,在一定程度上相互備份��,但是當(dāng)前任何一個(gè)運(yùn)營(yíng)商都不可能像原中國(guó)電信那樣擁有豐富的資源,不能綜合考慮安全問題�����。
六大運(yùn)營(yíng)商網(wǎng)絡(luò)互聯(lián)互通����,但是安全策略、安全管理力度以及安全設(shè)施各不相同�����,容易出現(xiàn)安全隱患����。
由于惡性競(jìng)爭(zhēng),運(yùn)營(yíng)商互聯(lián)互通時(shí)可能人為造成安全事故����。
網(wǎng)絡(luò)規(guī)模和設(shè)備容量的擴(kuò)大影響網(wǎng)絡(luò)安全
網(wǎng)絡(luò)規(guī)模和容量的不斷增加在帶來效益的同時(shí),引起設(shè)備的復(fù)雜化以及管理的復(fù)雜化����,為網(wǎng)絡(luò)帶來安全隱患。
隨著國(guó)民經(jīng)濟(jì)的增長(zhǎng)�����,通信需求不斷增加。我國(guó)電信網(wǎng)絡(luò)已發(fā)展成全球最大的固網(wǎng)和移動(dòng)網(wǎng)絡(luò)�����。在一個(gè)規(guī)�����?涨暗拇缶W(wǎng)上很可能出現(xiàn)一些意想不到的問題���。
隨著技術(shù)的進(jìn)步,設(shè)備容量越來越大�����。原來一根同軸電纜只承載上千個(gè)話路���,而當(dāng)前一對(duì)光纖上可以承載幾十萬甚至上百萬個(gè)話路�。此外為降低成本以及簡(jiǎn)化管理�����,同樣要求設(shè)備容量越來越大。一個(gè)設(shè)備發(fā)生故障�,可能影響的用戶會(huì)越來越多。
設(shè)計(jì)范圍內(nèi)的故障率和可控范圍內(nèi)的部件����、設(shè)備維修更新并不屬于安全問題,僅僅是服務(wù)質(zhì)量問題�。但是隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及設(shè)備容量的增加,設(shè)備越來越復(fù)雜�,不可控因素隨之增加。在一個(gè)規(guī)�����?涨暗木W(wǎng)絡(luò)上因網(wǎng)管操作失誤���、用戶惡意攻擊��、故障的不恰當(dāng)處理等原因使大量用戶無法正常使用業(yè)務(wù)�����,這就成為安全事故��。
新型�����、大容量的新設(shè)備大多是引進(jìn)的�����,至少使用的大多數(shù)芯片是國(guó)外的�����。引進(jìn)產(chǎn)品����、芯片的安全性無法評(píng)估,因此也使通信網(wǎng)絡(luò)安全隱患難以預(yù)測(cè)�。
管理比技術(shù)更影響網(wǎng)絡(luò)安全
先進(jìn)的安全技術(shù)和設(shè)備會(huì)因管理不善而崩潰,完善的管理可以在一定程度上消除技術(shù)落后帶來的不利因素�。因此就網(wǎng)絡(luò)安全而言����,管理比技術(shù)更重要。
對(duì)網(wǎng)絡(luò)安全的研究包括管理和技術(shù)兩方面���。從某種程度上說���,對(duì)網(wǎng)絡(luò)安全方面的管理比技術(shù)上的更重要�����。這里所說的管理并不局限于一般所說的TNM電信網(wǎng)管或者互聯(lián)網(wǎng)的簡(jiǎn)單網(wǎng)管��,還包括管理制度����、應(yīng)急體系����、運(yùn)維規(guī)章、人員培訓(xùn)�����、密鑰分發(fā)��、保密制度等方方面面����。
在很多情況下通過管理可以輕易解決的問題如果使用純技術(shù)方案,可能要付出十倍甚至百倍的努力和成本。例如電話網(wǎng)絡(luò)碼號(hào)資源統(tǒng)一分配后���,規(guī)模再大的程控交換機(jī)只需近百個(gè)局向就可以進(jìn)行電話選路�;而IP地址隨意分配的互聯(lián)網(wǎng)絡(luò)上�,骨干路由器要保留十萬個(gè)以上的路由表?xiàng)l目才能保證IP包的正常選路,完善的管理機(jī)制可以有效地保障網(wǎng)絡(luò)安全�����。
據(jù)統(tǒng)計(jì)��,成功的網(wǎng)絡(luò)攻擊超過一半來自內(nèi)部人員�����。因此對(duì)網(wǎng)絡(luò)內(nèi)部的安全審計(jì)與對(duì)網(wǎng)絡(luò)外內(nèi)容的過濾一樣重要����。內(nèi)部人員的安全意識(shí)和安全管理的重要性一點(diǎn)也不亞于使用復(fù)雜昂貴的防火墻設(shè)備。此外任何安全技術(shù)最終都會(huì)落實(shí)到人��。再安全的操作系統(tǒng)也會(huì)假設(shè)管理人員安全可靠��;再?gòu)?fù)雜的安全設(shè)備也要人來維護(hù)�;再?gòu)?fù)雜的加密算法和加密機(jī)制也不能防范密鑰泄漏或設(shè)置簡(jiǎn)單密碼。因此就網(wǎng)絡(luò)安全而言���,管理比技術(shù)更重要��。
新技術(shù)�����、新業(yè)務(wù)運(yùn)營(yíng)模式影響網(wǎng)絡(luò)安全
新技術(shù)����、新業(yè)務(wù)帶來新的運(yùn)營(yíng)模式��,在建立新的價(jià)值鏈的同時(shí)也帶來新的安全隱患���。
隨著技術(shù)的發(fā)展��,新業(yè)務(wù)不斷涌現(xiàn)���。隨之而來的是新的運(yùn)營(yíng)模式。電信網(wǎng)絡(luò)原有的話音業(yè)務(wù)����、專線數(shù)據(jù)業(yè)務(wù)相對(duì)成熟穩(wěn)定。新技術(shù)、新業(yè)務(wù)和新業(yè)務(wù)模式需要一段時(shí)間才能成熟����、規(guī)范,因此可能會(huì)帶來新的安全隱患���。
隨著IP網(wǎng)絡(luò)的普遍應(yīng)用��,信息機(jī)密性�、完整性����、不可否認(rèn)性成為網(wǎng)絡(luò)安全的重要內(nèi)容;隨著分組語(yǔ)音業(yè)務(wù)的開展����,電信運(yùn)營(yíng)商必須關(guān)注對(duì)IP網(wǎng)絡(luò)的來源追查;隨著軟終端的出現(xiàn)����,運(yùn)營(yíng)商必須從基于端口認(rèn)證與計(jì)費(fèi)擴(kuò)展到基于用戶標(biāo)志認(rèn)證和計(jì)費(fèi);隨著短信業(yè)務(wù)的爆炸性發(fā)展���,移動(dòng)運(yùn)營(yíng)商必須關(guān)注惡意發(fā)送以及短信詐騙����;隨著電子郵件業(yè)務(wù)的開展��,運(yùn)營(yíng)商必須關(guān)注垃圾郵件����;隨著BBS的廣泛使用以及形成了巨大的影響力,BBS的監(jiān)管已迫在眉睫��。因此新技術(shù)���、新業(yè)務(wù)和新運(yùn)營(yíng)模式在為運(yùn)營(yíng)商帶來業(yè)務(wù)增長(zhǎng)點(diǎn)的同時(shí)�,也為網(wǎng)絡(luò)帶來新的安全隱患以及安全上的不確定因素��。
IP技術(shù)的使用影響網(wǎng)絡(luò)安全
IP技術(shù)的使用一方面為產(chǎn)業(yè)帶來新業(yè)務(wù)��、新活力�,另一方面為網(wǎng)絡(luò)帶來新的安全隱患。
當(dāng)前IP技術(shù)應(yīng)用廣泛��,但并不是說IP是一個(gè)完美的網(wǎng)絡(luò)層技術(shù)����。當(dāng)前IP網(wǎng)絡(luò)存在服務(wù)質(zhì)量�、安全���、運(yùn)營(yíng)模式等方面的問題��,其中安全問題一直是最受關(guān)注的問題之一��。IP網(wǎng)絡(luò)安全問題部分是因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)理念與電信網(wǎng)絡(luò)設(shè)計(jì)理念有差異造成的:計(jì)算機(jī)網(wǎng)絡(luò)中不是問題的問題在電信網(wǎng)絡(luò)中成為嚴(yán)重問題���;另一方面是因?yàn)镮P網(wǎng)絡(luò)在電信業(yè)務(wù)中使用缺乏運(yùn)維管理的經(jīng)驗(yàn)和手段。
由于IP網(wǎng)絡(luò)缺乏源地址檢驗(yàn)�,用戶終端可以偽造源地址對(duì)網(wǎng)絡(luò)發(fā)起流量沖擊甚至影響控制層面。
由于IP網(wǎng)絡(luò)用戶數(shù)據(jù)與網(wǎng)絡(luò)信令不隔離����,存在用戶影響網(wǎng)絡(luò)正常運(yùn)行的可能性。
由于IP網(wǎng)絡(luò)缺乏豐富的管理運(yùn)維手段與經(jīng)驗(yàn)�����,因此在管理�����、運(yùn)維����、故障處理����、日常維護(hù)等方面都難以與電信網(wǎng)相比�。
由于IP網(wǎng)絡(luò)沒有分離的管理網(wǎng)���,設(shè)備可能被用戶從業(yè)務(wù)網(wǎng)中干擾��。
當(dāng)前IP設(shè)備的穩(wěn)定性無法與傳統(tǒng)電信設(shè)備相比�,影響網(wǎng)絡(luò)安全���。
IP網(wǎng)絡(luò)基于分組傳輸�,容易出現(xiàn)身份仿冒���,信息被篡改�����、被截獲等問題����。
中國(guó)信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)