電信網絡安全隱患與對策探析

李建國

（淮北師范大學計算機科學與技術學院，安徽 淮北235000）

隨著Internet網絡的普及，電信網絡技術也有了較快的發展，越來越成為人們之間溝通的重要手段，而且已滲入到社會的方方面面，為電信運營商帶來了巨大的經濟效益，為社會的發展起到了重要的推動作用。但網絡攻擊技術也隨之快速發展起來，而且日漸成熟。通過近年來國內外的重大網絡安全事件分析來看，目前的網絡攻擊手段已呈現出規?；?、協同化、自動化的特點。網絡攻擊已經對國家的安全，社會的穩定，以及包括電信運營商在內的國有企業和客戶的利益造成了較大的危害。因此，電信網絡的安全問題，已引起業內人士的廣泛關注。

1 電信網絡存在的安全隱患

1.1 病毒和惡意程序攻擊

隨著移動互聯網的快速發展，用戶群體的日益壯大，病毒和惡意程序對電信網絡和客戶端的攻擊也日漸猖獗，例如網絡釣魚軟件的肆意傳播，還有惡意扣費、垃圾短信以及利用電信網絡的進行欺詐行為等等，都給廣大用戶帶來了莫大的煩惱，甚至是巨大的經濟損失。

CNCER數據統計表明，2012年有162981種惡意程序樣本被通報，比前一年增長了25倍，其中惡意吸費類的惡意程序居多，占據了39.8%的比例，流氓行為類的占據27.7%，資費消耗類的占據11%。

1.2 分布式拒絕服務式攻擊

分布式拒絕服務式攻擊(DDoS:Distributed Denial of Service)是在拒絕服務式攻擊（Dos）的基礎上發展起來的一種新型的攻擊方式。Dos攻擊時利用TCP/IP協議的特點，通過連續發送大量的SYN請求，對服務區資源大量“非法”占用，致使服務器無法響應正常的服務請求，從而導致服務器服務功能的癱瘓，攻擊成功。然而，隨著計算機與網絡技術的發展，網絡服務器的內存增大，處理器處理能力有了增強，使得Dos攻擊難度增大。這時，就產生了分布式拒絕服務式攻擊(DDos),這種攻擊方式采用了C/S技術，聯合分布在不同地點的主機，對同一個目標共同發動Dos攻擊，這種分布式的聯合攻擊，大大超出了網路服務器的處理能力，從而達到攻擊的目的。

當前，高速的電信網絡在給客戶帶來方便的同時也為DDos攻擊提供了有利條件。當前，電信骨干網絡的連接都達到了G級，這將意味著攻擊者可以通過利用更遠距離的主機作為傀儡主機，采取更大范圍的攻擊模式，是服務器陷入癱瘓。

1.3 漏洞攻擊

眾所周知在硬件設計、軟件編程、協議規劃以及系統的安全策略方面都會存在或多或少的缺陷，這些缺陷被稱為漏洞。攻擊者往往會利用漏洞對操作系統、服務器軟件、防火墻以及路由器設備等造成致命的打擊。漏洞的分類主要有：軟件在編寫過程中產生的BUG、系統配置的不當、用戶口令失竊、Tcp/Ip協議本身的缺陷等等。

1.4 網絡管理缺陷

有的電信企業不能夠很好的對其自身的業務情況、網絡環境、管理模式等行業特性作全面的分析，沒有健全的的安全體系結構、安全保障體系以及服務保障體系。因而就無法對網絡實施科學、有效的管理。同時，在公司內部的安全管理方面，各個安全機構之間缺乏交流，對協調處理安全事件的力度不夠。另外，網絡管理人員在平時工作中安全意識淡薄，可能會造成主機口令的丟失或不能及時更新口令。這些因素都會構成對網絡安全的威脅。

2 電信網絡安全對策分析

對于電信網絡的安全問題應該從管理和技術兩個層面加以研究，要建立一套統一的防御體系，除了要有必要的技術支持，也要有科學、有效的管理措施，才能阻止非法者的入侵，降低網絡的安全風險。

2.1 技術層面的安全對策

2.1.1 采取防火墻技術

防火墻是隔離在本地網絡與外界網絡之間執行訪問控制策略的一道防御系統，目的是保護網絡不被他人侵擾。防火墻在企業內網與Internet之間或與其他外部網絡互相隔離、限制網絡互訪，從而實現內網保護。為了保護電信網絡不受外來黑客的攻擊，應該在每臺交換機的操作系統和終端設備上安裝防火墻軟件。

2.1.2 運用虛擬專用網技術

虛擬專用網絡（Virtual Private Network，簡稱VPN），就是通過專用的網絡技術，在公共網中建立一條安全、臨時的專用通道。虛擬專用網不是真的專用網絡，但卻能夠實現專用網絡的功能。這樣將電信網絡劃分為若干虛擬網絡的方法，打破了整個共享網絡中地域的束縛，同時也提高了虛擬網的管理功能。

2.1.3 建立入侵檢測系統

入侵檢測系統（Intrusion Detection System）是一種基于網絡實時監測的主動防御系統，該系統對網絡的非法攻擊，能夠提前預警。網絡防火墻雖然在某種程度上阻止了外來用戶對服務器的非法訪問，可是卻無法有效地防范內部用戶的攻擊，尤其是對數據驅動類型的攻擊手段，而入侵檢測系統可以彌補防火墻在這方面的缺陷。是電信網路的安全問題得到更好的解決。

2.1.4 建立病毒和惡意程序防御系統

由于病毒和惡意代碼攻擊給廣大客戶和運營商帶來的損失越來越大，電信部門應該在整個國內互聯網領域加大投入力度，采取更加有效的安全防護措施。包括建立一整套的全國性的病毒惡意代碼監控體系，將集中監控模塊分布到各個省中心節點，實施分布式處理，實時預警，實現整個網絡安全監測全覆蓋。近幾年，中國電信北京研究院在新疆地區分階段對當地的移動網咯進行了惡意代碼的監測表明，該監測系統對惡意程序帶寬消耗、無線網絡資源占用以及惡意代碼的下載等幾個方面的防護都起到了明顯的效果。

2.1.5 聯合系統訪問控制與審計技術

訪問控制是在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制。該技術可以對用戶需要訪問的具體資源，進行有效控制，對于規則訪問控制列表意外的訪問能被有效攔截。

審計技術作為訪問控制技術的補充，可以監控客戶使用的文件信息、訪問時間、對該文件執行的何種操作等。審計和監控的有效結合，對于今后災難發生時的責任追查以及系統的恢復起到重要的輔助作用。

2.2 管理技術層面的安全對策

2.2.1 建立健全的管理制度

電信網絡安全不是僅僅通過網絡技術與計算機技術的提高就可以保證的，由于所有的技術、規則的實現都要通過人員的執行才能奏效，因此還要有管理層面的介入，管理和技術必須同時跟進，才能保證整個電信網絡系統的安全。

作為電信部門，首先要有嚴格的安全管理制度，制度建設要全面、認真。只有通過實施嚴格的規則，才能保證技術人員和管理人員按照規定的職責辦事，從而防止責任權利重疊，和由此引發的惡意攻擊的發生。常見的信息安全管理制度主要包括：人員安全管理制度、安全操作管理制度、設備安全管理制度、運行安全管理制度、應急維護制度、安全等級保護制度；有害數據及計算機病毒防范管理制度；敏感數據保護制度、安全技術保障制度、安全計劃管理制度等。

2.2.1 加強工作人員的安全意識

電信工作人員的安全意識非常重要，事實證明，很多網絡攻擊的得逞，都與網絡安全人員的安全意識淡薄有關，作為電信運營商不僅要做到有法可依，還要做到有法必依，違法必究。作為安全人員，在技術水平不斷保持領先的同時，還要提高自己的安全保密意識，對相關的法律法規認真學習并加以宣傳。

3 結束語

隨著網絡通信技術和計算機技術的快速發展，電信網絡的安全問題，日益引起廣大用戶和運營商的重視，也直接影響著運營商的生存和發展。電信網絡安全技術人員需要持續的加強學習、認真研究網絡中可能出現的各種安全問題，同時，管理部門要強化管理意識，提高管理水平，共同保證電信網絡安全、穩定、健康的發展。

［1］李立卡,陳慶年.電信核心網絡與信息安全模型及安全提升方案研究[J].電信科學,2013(Z2):135-138.

［2］馮曉冬,宋麗,薄明霞,唐洪玉.惡意程序監控系統在移動互聯網安全防護中的應用[J].電信技術,2013(5):45-47.

［3］王迅.有關電信計算機網絡安全管理的分析與規劃[J].硅谷,2013(2):132-133.

［4］李新德.電信網絡安全問題的研究[J].電腦知識與技術,2010(12):9972-9974.

［5］張斌.電信企業計算機網絡安全構建探析[J].中國新通信,2013(9):26-26.