網(wǎng)絡(luò)安全攻防技術(shù)在運(yùn)營(yíng)商中的應(yīng)用

劉暢 虞以恒 袁峰

（江蘇鋒刃信息科技有限公司 江蘇省南京市 210000）

近幾年來(lái)，國(guó)內(nèi)發(fā)生眾多網(wǎng)絡(luò)安全與電信詐騙等嚴(yán)重犯罪事件，隨著我國(guó)生活條件逐步提高，科技水平日益發(fā)達(dá)，網(wǎng)絡(luò)安全意識(shí)尚未完善的情況下，這讓很多不法技術(shù)人員看到了其中的漏洞與利益所在。隨著眾多嚴(yán)重的犯罪行為出現(xiàn)，國(guó)家與相關(guān)企業(yè)重點(diǎn)關(guān)注了網(wǎng)絡(luò)安全的建設(shè)，也將網(wǎng)絡(luò)犯罪事件的政治與預(yù)防作為主要的日常工作。隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全已經(jīng)不只是社會(huì)問(wèn)題，還是國(guó)家安全問(wèn)題，“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)”這是習(xí)近平主席在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上關(guān)于第四個(gè)問(wèn)題的講話，也是點(diǎn)出網(wǎng)絡(luò)發(fā)展核心內(nèi)容，保障了網(wǎng)絡(luò)安全就是促進(jìn)了網(wǎng)絡(luò)發(fā)展。

1 網(wǎng)絡(luò)環(huán)境與應(yīng)用場(chǎng)景

5G 是第五代移動(dòng)通信技術(shù)的簡(jiǎn)稱，早在2019年6月6日，工信部正式國(guó)內(nèi)四家運(yùn)營(yíng)商頒布了5G 的商用牌照，中國(guó)將進(jìn)入了5G元年，開(kāi)始逐步將5G 網(wǎng)絡(luò)鋪設(shè)并應(yīng)用，一點(diǎn)一點(diǎn)取代4G 網(wǎng)絡(luò)（LTE網(wǎng)絡(luò)）在不遠(yuǎn)的將來(lái)成為主要的移動(dòng)網(wǎng)絡(luò)環(huán)境。5G 網(wǎng)絡(luò)主要有三個(gè)應(yīng)用場(chǎng)景，首先是強(qiáng)化了寬帶，5G 的理論峰值可達(dá)5Gbps 至10Gbps 根據(jù)最大信號(hào)帶寬是載波頻率的5%上下，載波頻率越高，能實(shí)現(xiàn)的帶寬越大，是4G 網(wǎng)絡(luò)10 倍上下。其次應(yīng)用在大量設(shè)備通信，實(shí)現(xiàn)應(yīng)用到生產(chǎn)，人到物的全面覆蓋，即打造萬(wàn)物互聯(lián)。最后是超高可靠與低時(shí)延的通信環(huán)境，將網(wǎng)絡(luò)通信相應(yīng)控制在毫秒級(jí)，進(jìn)而推動(dòng)高精尖科技遠(yuǎn)程應(yīng)用[3]。

2 關(guān)于移動(dòng)互聯(lián)網(wǎng)絡(luò)的安全問(wèn)題

2.1 免流量漏洞

形成漏洞的主要原因是運(yùn)營(yíng)商代理服務(wù)器與計(jì)費(fèi)系統(tǒng)的分離，各自運(yùn)行不同的檢測(cè)機(jī)制造成的。計(jì)費(fèi)檢測(cè)系統(tǒng)是將所有瀏覽的網(wǎng)站就進(jìn)行記錄，這部分記錄是無(wú)法隱藏或者欺騙計(jì)費(fèi)系統(tǒng)，而代理服務(wù)器為了優(yōu)化管理功能，將服務(wù)器中功能進(jìn)行模塊化，降低了代理服務(wù)器的整體結(jié)構(gòu)，還保全了相應(yīng)的功能，卻造成了漏洞。計(jì)費(fèi)系統(tǒng)不重做，免流量漏洞是無(wú)法徹底抹除的，只能通過(guò)一套加密模式掩蓋住免流量漏洞的途徑達(dá)到修補(bǔ)漏洞的效果[1]。

2.2 偽基站

正常基站與手機(jī)終端建立聯(lián)系是通過(guò)基站側(cè)定期發(fā)送信令，激發(fā)手機(jī)終端將詳細(xì)信息上報(bào)到基站，便于基站識(shí)別終端對(duì)其監(jiān)控的作用與建立鏈接。偽基站便是利用基站監(jiān)測(cè)機(jī)制，偽裝成正常基站，在覆蓋范圍內(nèi)不間斷下發(fā)監(jiān)測(cè)信令，識(shí)別有效覆蓋下所有手機(jī)終端，建立聯(lián)系發(fā)送垃圾短信，搜集手機(jī)卡詳細(xì)信息，也可以發(fā)送木馬病毒信息借此監(jiān)控手機(jī)操作內(nèi)容。

偽基站的危害極大，早期的電信資源盜用，近期的電信詐騙大部分都是通過(guò)偽基站獲取機(jī)主信息，從而展開(kāi)犯罪行為。近幾年我國(guó)因?yàn)閭位驹p騙金額均以億為單位，也是國(guó)家與運(yùn)營(yíng)商整治的主要目標(biāo)[2]。如圖1所示。

2.3 改號(hào)軟件

電信詐騙在近幾年越來(lái)越猖獗，很多犯罪分子利用了改號(hào)軟件，偽裝成受害者手機(jī)內(nèi)關(guān)系親密的人，對(duì)受害者進(jìn)行詐騙。改號(hào)軟件的危害性大，欺騙性強(qiáng)，受害者上當(dāng)受騙的幾率極高。在通信系統(tǒng)中，主被叫信令通過(guò)基站傳遞到交換機(jī)產(chǎn)生的聯(lián)系，而主被叫的實(shí)際識(shí)別方式為IMSI，這是無(wú)法篡改的，運(yùn)營(yíng)商在信令傳輸機(jī)制上不存在漏洞。改號(hào)軟件則是通過(guò)控制VoIP 進(jìn)行號(hào)碼偽裝，由于運(yùn)營(yíng)商對(duì)VoIP 管理不到位，造成VoIP 可以隨意操控，達(dá)到手機(jī)號(hào)碼修改的目的。如圖2所示。

2.4 幽靈接線員

作為L(zhǎng)TE 網(wǎng)絡(luò)中首個(gè)網(wǎng)絡(luò)協(xié)議漏洞，是值得關(guān)注的所在，通過(guò)手機(jī)號(hào)碼對(duì)手機(jī)卡進(jìn)行攻擊，60 秒內(nèi)可以完全掌控該手機(jī)卡的網(wǎng)絡(luò)管理。在獲得受害者的通訊網(wǎng)絡(luò)，在受害者毫不知情的情況下可以掌握受害者所有的電話，信息，網(wǎng)絡(luò)功能，這也是近幾年主要的犯罪手段之一，通過(guò)幽靈接線員的方式，獲得受害者所有動(dòng)態(tài)驗(yàn)證信息，進(jìn)行轉(zhuǎn)移受害者財(cái)產(chǎn)的犯罪行為。

3 網(wǎng)絡(luò)安全攻防技術(shù)

3.1 常見(jiàn)的網(wǎng)絡(luò)攻擊方式

（1）CC 攻擊：是指“挑戰(zhàn)黑洞”，是通過(guò)不間斷的向網(wǎng)站發(fā)送請(qǐng)求導(dǎo)致拒絕服務(wù)的結(jié)果。CC 攻擊是分布式拒絕服務(wù)的一種，攻擊真實(shí)源IP，見(jiàn)不到較大的異常流量，卻可以造成服務(wù)器無(wú)法連接。

（2）DDOS 攻擊：是分布式拒絕服務(wù)攻擊，對(duì)目標(biāo)系統(tǒng)進(jìn)行惡意網(wǎng)絡(luò)攻擊，常常導(dǎo)致目標(biāo)無(wú)法進(jìn)行業(yè)務(wù)訪問(wèn)。通過(guò)聯(lián)合多個(gè)計(jì)算機(jī)共同攻擊一個(gè)或多個(gè)目標(biāo)，提高拒絕服務(wù)的攻擊威力。

（3）惡意軟件：俗稱的病毒攻擊，惡意軟件本身為編寫(xiě)現(xiàn)成的攻擊腳本，在攻擊過(guò)程中運(yùn)行在目標(biāo)計(jì)算機(jī)或服務(wù)器內(nèi)，依靠動(dòng)態(tài)改變攻擊代碼，進(jìn)而躲避系統(tǒng)檢測(cè)，在計(jì)算機(jī)內(nèi)造成破壞。

（4）瀏覽器攻擊：是通過(guò)網(wǎng)絡(luò)瀏覽器破壞計(jì)算機(jī)的攻擊方式，選擇合法易攻擊的網(wǎng)站，利用軟件破壞網(wǎng)站，新用戶瀏覽網(wǎng)站就會(huì)感染病毒，通過(guò)瀏覽器中的漏洞植入到新用戶計(jì)算機(jī)內(nèi)展開(kāi)破壞[5]。

3.2 常見(jiàn)的網(wǎng)絡(luò)防護(hù)技術(shù)

網(wǎng)絡(luò)安全的防御思想是通過(guò)設(shè)置安全系統(tǒng)展開(kāi)的多重保護(hù)，彼此互相補(bǔ)充，即便某一環(huán)節(jié)出現(xiàn)問(wèn)題，也會(huì)有其他保護(hù)機(jī)制進(jìn)行彌補(bǔ)。通過(guò)增加系統(tǒng)的防御機(jī)制，避免存在單一的安全保護(hù)，這還能有效避開(kāi)防御系統(tǒng)的漏洞，提高保護(hù)強(qiáng)度。

（1）防火墻技術(shù)：是早期非常有效的網(wǎng)絡(luò)安全防護(hù)技術(shù)。主要應(yīng)用在邏輯隔離被懷疑的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的保護(hù)，或者隔絕一切不安全的因素。

（2）入侵檢測(cè)與防護(hù)技術(shù)：主要分為兩種：①入侵檢測(cè)系統(tǒng)注重網(wǎng)絡(luò)安全的監(jiān)察，通過(guò)監(jiān)控網(wǎng)絡(luò)與系統(tǒng)環(huán)境，查找違反安全策略的一切行為，發(fā)出警報(bào)。②入侵防護(hù)系統(tǒng)注重主動(dòng)保護(hù)，針對(duì)入侵的管控。設(shè)計(jì)目的為預(yù)先攔截入侵活動(dòng)與流量攻擊，避免造成損失。

（3）網(wǎng)絡(luò)蜜罐技術(shù)：是一種主動(dòng)防護(hù)技術(shù)，主要為誘捕攻擊行為的陷阱技術(shù)。蜜罐技術(shù)是一個(gè)包含漏洞的陷阱系統(tǒng)，模擬出易受攻擊的主機(jī)與服務(wù)器，給予攻擊者一個(gè)目標(biāo)。攻擊者在虛擬系統(tǒng)上消耗時(shí)間，拖延真實(shí)目標(biāo)被攻擊的時(shí)間，為網(wǎng)絡(luò)安全員提供創(chuàng)造機(jī)會(huì)，尋找有效的防御方法[6]。

4 網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

運(yùn)營(yíng)商在網(wǎng)絡(luò)安全實(shí)戰(zhàn)演戲與重大保障活動(dòng)中，有效開(kāi)展網(wǎng)絡(luò)安全攻防技術(shù)的應(yīng)用，是檢驗(yàn)與尋找自身存在的漏洞，避免造成運(yùn)營(yíng)過(guò)程中嚴(yán)重的損失，促使有效完成日常安全檢測(cè)或緊急威脅安全的事件發(fā)生。

4.1 內(nèi)網(wǎng)安全管理

擁有廣大用戶的運(yùn)營(yíng)商，將服務(wù)器、傳輸、運(yùn)維平臺(tái)、監(jiān)管平臺(tái)以及用戶信息通過(guò)內(nèi)部網(wǎng)絡(luò)管理，并實(shí)行嚴(yán)格的內(nèi)網(wǎng)安全管理制度。制度要注重設(shè)備的管理，外網(wǎng)的管制，人員管理，以及數(shù)據(jù)的管理。設(shè)備要關(guān)注各環(huán)節(jié)的安全性與狀態(tài)，做好私自連接的防治與設(shè)備故障的及時(shí)處理；外網(wǎng)管制要嚴(yán)格監(jiān)督互聯(lián)網(wǎng)與內(nèi)網(wǎng)的連接，避免資料泄露與病毒感染等情況發(fā)生；人員操作要規(guī)范，嚴(yán)格按照內(nèi)網(wǎng)管理制度執(zhí)行，不允許出現(xiàn)違規(guī)操作；數(shù)據(jù)管理注重?cái)?shù)據(jù)的保密性與安全性。

4.2 互聯(lián)網(wǎng)管理

互聯(lián)網(wǎng)對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)也是外網(wǎng)，互聯(lián)網(wǎng)管理的核心重點(diǎn)是通訊網(wǎng)絡(luò)與互聯(lián)網(wǎng)接口的安全防御工作，建立好外網(wǎng)防火墻與安全防御技術(shù)的應(yīng)用是有效保障運(yùn)用商內(nèi)部信息的安全與系統(tǒng)的運(yùn)營(yíng)[7]。

4.3 滲透測(cè)試

一般是針對(duì)策略設(shè)置漏洞、Web 漏洞利用、網(wǎng)頁(yè)漏洞、溢出漏洞攻擊、APP 運(yùn)行漏洞，訪問(wèn)控制驗(yàn)證突破、用戶身份驗(yàn)證突破、系統(tǒng)用戶提權(quán)、內(nèi)外網(wǎng)聯(lián)合檢測(cè)等方法進(jìn)行測(cè)試。Web 系統(tǒng)的測(cè)試是對(duì)操作平臺(tái)、服務(wù)漏洞、系統(tǒng)漏洞、安全設(shè)置漏洞、應(yīng)用邏輯漏洞等展開(kāi)的檢測(cè)。

4.4 源代碼檢測(cè)

源代碼檢測(cè)主要以挖掘現(xiàn)有源代碼中安全隱患與常規(guī)缺陷，讓設(shè)計(jì)者可以預(yù)測(cè)到研發(fā)過(guò)程中可能存在的問(wèn)題，并幫助設(shè)計(jì)者修復(fù)程序漏洞。源代碼檢測(cè)對(duì)系統(tǒng)整體框架、客戶端以及接口、應(yīng)用功能和外部組件等方面深入分析，查詢?cè)创a中存在的問(wèn)題。

4.5 新系統(tǒng)應(yīng)用前的安全評(píng)估

系統(tǒng)更新全面評(píng)估是有效保障了新系統(tǒng)應(yīng)用的安全性，依據(jù)檢測(cè)與評(píng)估兩個(gè)方面尋找存在的風(fēng)險(xiǎn)，避免上線應(yīng)用后造成損失。

4.6 第三方軟件的安全加固

APP 軟件市場(chǎng)的發(fā)展迅猛，第三方軟件的研發(fā)質(zhì)量良莠不齊，有效加固APP 軟件也是保護(hù)在應(yīng)聲軟件過(guò)程中產(chǎn)生的風(fēng)險(xiǎn)與危害，嚴(yán)防通過(guò)APP 軟件的破譯造成的危害行為。

4.7 漏洞數(shù)據(jù)庫(kù)建設(shè)

整理歸納過(guò)往所有出現(xiàn)的漏洞、缺陷、以及相關(guān)的安全問(wèn)題，建設(shè)一個(gè)網(wǎng)絡(luò)安全問(wèn)題數(shù)據(jù)庫(kù)，搜集方式不光要從運(yùn)營(yíng)商內(nèi)部整理，也要關(guān)注社會(huì)上提供的詳細(xì)信息。數(shù)據(jù)庫(kù)內(nèi)容越豐富越利于對(duì)解決安全隱患，也對(duì)新出現(xiàn)的漏洞提供參考資料，促進(jìn)解決方案的設(shè)計(jì)。

5 5G網(wǎng)絡(luò)的安全性

5G 時(shí)代的帶來(lái)，標(biāo)志著5G 網(wǎng)絡(luò)的優(yōu)越性，不久的未來(lái)5G 網(wǎng)絡(luò)技術(shù)主導(dǎo)國(guó)內(nèi)整個(gè)網(wǎng)絡(luò)建設(shè)，5G 得到的應(yīng)用場(chǎng)景也是極其廣泛，高精尖的科研應(yīng)用，日常的生活應(yīng)用，智能化工作應(yīng)用等等，這也需要5G 網(wǎng)絡(luò)具有極強(qiáng)的安全性。5G 網(wǎng)絡(luò)安全包含終端與網(wǎng)絡(luò)通信安全，傳承LTE 網(wǎng)絡(luò)安全架構(gòu)，主要體現(xiàn)了服務(wù)域安全、用戶隱私的保護(hù)、網(wǎng)間漫游安全、統(tǒng)一認(rèn)證框架等。5G 網(wǎng)絡(luò)采用的相關(guān)技術(shù)有網(wǎng)絡(luò)功能虛擬化、網(wǎng)絡(luò)切片、邊緣計(jì)算、網(wǎng)絡(luò)能力開(kāi)放等，統(tǒng)統(tǒng)研究了技術(shù)的安全性。場(chǎng)景安全研究也深入了解了移動(dòng)寬帶場(chǎng)景、超高可靠低時(shí)延場(chǎng)景、海量機(jī)器類通信場(chǎng)景。關(guān)于網(wǎng)絡(luò)部署運(yùn)營(yíng)安全、垂直行業(yè)應(yīng)用與產(chǎn)業(yè)鏈供應(yīng)等安全展開(kāi)詳細(xì)的分析。運(yùn)營(yíng)商多方面，多角度考慮了5G 網(wǎng)絡(luò)的安全性，是為了打造優(yōu)越的網(wǎng)絡(luò)環(huán)境，促進(jìn)社會(huì)健康發(fā)展。

6 結(jié)束語(yǔ)

我國(guó)通訊事業(yè)的發(fā)展，積極促進(jìn)了社會(huì)進(jìn)步，科技水平的提高，改善了人民生活水平，提供了更便捷的生活方式，各行各業(yè)的借此改變了工作方式，提升了工作效率。所有的變化都基于網(wǎng)絡(luò)安全的基礎(chǔ)上，擁有一個(gè)安全的網(wǎng)絡(luò)環(huán)境，社會(huì)發(fā)展與進(jìn)步才會(huì)得到保障，否則一切都會(huì)化為泡影。網(wǎng)絡(luò)安全攻防技術(shù)在運(yùn)營(yíng)商內(nèi)部有效應(yīng)用，促進(jìn)了通訊網(wǎng)絡(luò)安全工作的開(kāi)展，進(jìn)而帶動(dòng)整個(gè)社會(huì)環(huán)境關(guān)于安全思想的形成。運(yùn)營(yíng)商是我國(guó)通信網(wǎng)絡(luò)的建設(shè)主體，身負(fù)國(guó)家通信安全與保護(hù)民眾財(cái)產(chǎn)安全的責(zé)任，因此深入研究網(wǎng)絡(luò)安全的相關(guān)技術(shù)對(duì)發(fā)展國(guó)家通信網(wǎng)絡(luò)給予極大的促進(jìn)作用。運(yùn)營(yíng)商不光要強(qiáng)化內(nèi)部安全防護(hù)能力，還要普及社會(huì)大眾對(duì)網(wǎng)絡(luò)安全意識(shí)的建立，共同促進(jìn)國(guó)內(nèi)網(wǎng)絡(luò)安全的和諧發(fā)展，構(gòu)建一個(gè)完善的網(wǎng)絡(luò)環(huán)境，保障了國(guó)家通信事業(yè)的進(jìn)步，也帶動(dòng)其他行業(yè)的優(yōu)化改革。