光傳輸網安全風險分析及防御技術研究*

吳流麗，廖建華，汪文曉，張永星，顏培杰，朱 笛

（中國人民解放軍61660 部隊，北京 100089）

0 引 言

光纖通信是目前實現高速率、大帶寬、低時延、遠距離信息傳輸的重要通信手段。據統計，全球90%以上的互聯網數據通過光纖傳輸，99%以上的洲際通信業務由海底光纜承載[1]。

相比互聯網等TCP/IP 網絡，光傳輸網相對封閉，攻擊面相對較少。但隨著量子計算、人工智能的廣泛應用，自動交換光網絡（Automatically Switched Optical Network，ASON）、全光網絡的逐步推廣及網絡攻防技術的快速發展，使得光傳輸網面臨的安全威脅不斷涌現。過去普遍被認為具有優良安全保密性能的光纖通信，現在也面臨著信息“被攔截、被復制、被篡改”的風險。據悉，斯諾登揭露的“棱鏡”計劃平行項目“上游”（Upstream）通過美國本土電信公司和網絡企業等服務商簽署相應的《網絡安全協議》，利用海底光纜對外國政府進行數據搜集和監控[2-5]。

安全風險分析是制訂安全解決方案、提供安全服務以及實施安全機制的前提和基礎。本文從提高光傳輸網絡安全性和可靠性出發，分析光傳輸網絡不同組成部分面臨的安全威脅，在此基礎上總結相應的防御技術，提出科學有效的安全防護體系建議，從而為光傳輸網絡安全防護基礎設施構建和安全機制制定提供支撐。

1 光傳輸網安全風險分析

光傳輸網按照不同的功能可劃分為傳輸介質層和運維管理層。傳輸介質層是指光纖傳輸的物理介質，主要包括傳輸網元設備和光纖傳輸線路，是數據傳輸的主體。運維管理層主要指光網管系統，負責數據維護、配置管理及業務控制，保證光傳輸網的正常運行。

1.1 光傳輸網元設備安全風險

光通信產業鏈主要包括光芯片、光器件、光模塊、光設備等，代表產品與相應制造廠商如表1 所示。受產業基礎配套能力和知識產權限制，國內廠商大多處于產業鏈下游，核心光芯片和光器件的自主研發和技術實力較弱，大部分仍依靠進口。其中，光芯片屬于技術密集型行業，工藝流程極為復雜，處于產業鏈的核心位置，具有極高的技術壁壘。美日廠商憑借核心技術占據了全球高端光芯片市場，而國內廠商則聚集于中低端市場，10 Gbit/s 以下的光芯片國產化替代已經完成，但高速光電芯片（25 Gbit/s 及以上）差距明顯。光器件、模塊產業也是我國競爭力較為欠缺的光通信子產業，國內廠商占據全球約25%的市場份額，整體上表現較為分散，無源器件競爭力相對較高，有源器件國產水平不足。

因此，在光產業鏈的自主可控風險方面，一是可能面臨光器件/芯片供應不穩定甚至斷供風險；二是非國產芯片/器件邏輯在設計、生產、制造流程中可能被人為設置后門缺陷或漏洞，加上目前的安全風險評估缺少供應鏈風險評估，導致傳輸設備易被對手控制，出現設備癱瘓、信息被竊取或無法恢復等問題，給光傳輸網帶來較大的風險隱患[2]。

1.2 光纖傳輸線路安全風險

光纖傳輸線路覆蓋范圍大，為攻擊發起提供了天然的機動余地。同時，在傳輸線路上存在無人值守的傳輸基站和無人看管的人井，導致非法人員可接觸到光纜或傳輸設備，實施服務破壞或非法竊聽[4-11]。

1.2.1 服務破壞

服務破壞主要指通過干擾攻擊、物理損毀[6-10]等方式破壞光傳輸網絡的正常通信或OPM 降低光通信服務質量。

干擾攻擊將干擾光注入原通信光纖中進行攻擊，使正常通信信號失真或損壞。根據干擾方式不同可進一步分為帶內干擾攻擊、帶外干擾攻擊、延遲干擾攻擊、強光干擾攻擊等。

物理損毀通過直接損壞傳輸光纜、設備、基站等硬件設施導致通信中斷。物理損毀的方式包括危險性誤操作和人為假冒攻擊等。危險性誤操作包括板卡、電源替換或線纜擴容、施工等諸多無意誤操作。人為假冒攻擊是指對手有意偽裝成合法用戶獲得訪問權，直接以物理方式盜竊或破壞設備、光纜，直接導致傳輸設備宕機、傳輸節點毀壞，造成通信業務中斷。

1.2.2 非法竊聽

非法竊聽主要指未經發送端授權的第三方通過非法手段截獲光通信信息[4-11]，竊聽方式可進一步分為隱蔽竊聽和非隱蔽竊聽。

隱蔽竊聽通過旁路光信號實現信息竊取，不會造成信息傳輸中斷或缺失，通常難以發現，常見手段主要有光纖彎曲法、光束分離法、信道光耦合法、V 型槽法、侵入式光柵法等。

非隱蔽竊聽通過將光纜斷開攔截光信息或接入非法設備等方式竊取數據、篡改信息或植入指令，易發現但難以與意外斷裂事故辨別。

1.3 光網管系統安全風險

光網管系統負責傳輸網的性能監測、故障定位、系統安全維護、信道調度和業務開放等操作控制，是傳輸網的中樞，光傳輸網安全極大依賴于網管系統[12-17]。隨著ASON 等新型光網絡技術的誕生及應用，光網絡智能化程度越來越高，其對網管系統服務質量的依賴性日益凸顯。

1.3.1 可靠性風險

一般而言，光網管系統設備節點配置信息采用集中存儲方式，各設備節點只保留自身的配置信息。一旦網管數據庫和部分設備節點同時發生損毀，整個光傳輸網絡業務的恢復只能通過相應運維人員進行手工配置，不僅業務恢復時間較長且容易出錯，可能嚴重影響光傳輸網絡的安全運行。

1.3.2 可管可控性風險

由于光網管系統的非開放性，不同廠商的網管系統一般不兼容，因此光傳輸網絡中的光傳輸設備通常需要采用不同的網管系統進行管理，無法通過同一網管系統實現業務的端到端指配，跨網絡業務的調度需要通過兩套以上的網管系統來完成，業務調度煩瑣復雜，增加了一線運維人員的誤操作風險，導致光網管系統在可管可控性方面存在一定的隱患。

1.3.3 攻擊滲透風險

光網管系統大量使用通用操作系統以及基于Web 技術的應用程序，與互聯網一樣受到漏洞、病毒、網絡攻擊等威脅。同時，當前光傳輸網網管系統信息部分接口采用明文傳送，沒有采用任何加密等保護措施，導致網管信息存在被非法竊取或任意篡改的風險。由于傳輸光纜跨越地理空間廣闊，其網絡管理系統需采用分布式遠程管理，大多數的網絡管理數據需要經過多個節點的轉發才能到達目的地，這進一步加劇了網管數據被竊取篡改的風險。

2 光傳輸網安全防御技術

國內外研究者針對上述安全問題進行深入研究，提出了諸多安全防御技術。

2.1 供應鏈安全自動檢測技術

針對核心傳輸設備不可控風險，可利用供應鏈安全自動檢測技術，基于快速準確的組件功能自動分析能力，對光傳輸系統中通過供應鏈輸入的軟件與固件進行快速檢測，快速發現其中隱藏的惡意功能，并且不斷監測、測試、驗證供應鏈安全性，在一定程度上減輕核心傳輸器件不可控的風險[18-19]。

2.2 光纖傳輸線路安全防御技術

2.2.1 干擾抵御

針對可能出現的帶內干擾、帶外干擾、延遲干擾、強光干擾等攻擊方式，采用安全性能更強的光傳輸網組件和設備，增強自身抵御攻擊的能力。

例如，在解復用器后使用濾波器，濾除一定帶寬之外的信號，防止利用光放大器帶外增益競爭發起干擾攻擊。在波長進行選擇交換前，采用均衡技術對摻鉺光纖放大器（Erbium Doped Fiber Amplifier，EDFA）增益競爭進行保護，利用光限幅放大器限制最大輸出光功率，防止信號功率過強對光組件的破壞，同時降低利用串音影響正常通信的可能。

2.2.2 網絡拓撲自愈保護

針對光纖斷裂、物理損毀等攻擊方式，采用網絡拓撲自愈保護技術保證光傳輸網傳輸的可靠性，主要有保護策略和恢復策略兩種。

保護策略是指為光網絡的承載業務提供預留的保護通道/鏈路，當網絡發生故障時，利用預留的保護通道/鏈路傳送業務，可進一步分為線形保護、環網保護。由于保護通道/鏈路都是預先建立的，在故障發生時不需要通過光網絡的信令進行倒換，因此業務恢復的速度快，適用于較高等級的業務。但是保護策略的資源利用率較低。

恢復策略是指通過重路由等機制，為光網絡的承載業務動態尋找網絡中的剩余資源，從而恢復被中斷的業務。該機制能夠高效利用光網絡資源，但對光通信設備的軟硬件要求較高，實現成本高，同時恢復響應不確定，業務恢復時間較長。

2.2.3 攻擊監測

通過實時監測光功率或特定光信號，及時檢測攻擊行為，防范非法竊光及分光問題。主要技術包括：光脈沖時域反射技術（Optical Time-Domain Reflectometer，OTDR）、光脈沖頻域反射技術（Optical Frequency-Domain Reflectometer，OFDR）、光功率檢測儀、光譜分析儀、特殊光纜等。

2.2.4 光域加密

光域加密通過在物理光層對數據進行安全加密，以增強信息抗截獲能力。當前，國內外有噪聲加密光通信、混沌光通信、擴頻光通信、隱蔽光通信、跳頻光通信等幾個主流的研究方向[20]。

2.3 光網管系統安全防御技術

針對光網管系統的安全風險，重點加強對網管系統的管理和控制，以提升光傳輸網絡的安全性能。例如，按照GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》等標準規范建立完善的安全體系；進一步細化完善相關的技術標準，規范網管接口、網管通信協議和網管信息模型，確保網管系統的兼容性，全面提高網管系統的開放性和可管可控性；改善數據備份方式，提升設備配置數據庫可靠性；對網管管理控制信息進行一定的加密處理，防范網管信息篡改。同時，采用帶外管理策略建立傳輸網管信息的專用數據通信網絡（Data Communication Network，DCN），使網絡管理通信流與用戶數據流分離，進一步降低攻擊面[12-13]。

3 光傳輸網絡安全防護體系

網絡安全防護體系是保證光網絡安全的前提和基礎。按照預警、保護、檢測、響應、恢復和反擊（Warning, Protection, Detection, Recovery,Response, Counterattack，WPDRRC），保護、檢測、響應和恢復（Protection, Detection, Recovery,Response，PDRR）等信息安全模型，以光傳輸網安全需求分析為出發點，針對光傳輸網在傳輸網元設備、傳輸線路、網管系統等方面的安全風險，以密碼算法、安全協議、管控策略、安全機制等安全基礎支撐功能為依托，塑造形成“監、固、控、評”的動態防御體系，全面保障光傳輸網的安全。

3.1 加強光產業研發，建立安全供應鏈體系

關注光核心芯片、軟件的自主研發，解決深層次供應依賴等安全問題，實現真正的自主可控。

建立覆蓋整個生命周期的風險評估機制，引入端到端的供應鏈安全評估流程和方法，確保產品滿足安全要求，符合法律法規和標準規范，防范光傳輸網中各類設備和系統帶病入網。

3.2 強化光域加密，防范光信號信道竊聽

面向網絡協議棧各層級進行加密防護，使安全能力貫通傳輸、網絡、應用和業務邏輯等不同層面，形成全方位數據安全防護體系，防范流量劫持和信道竊聽，解決數據傳輸存在的安全問題。目前來看，光物理層加密能夠提供高效、低延遲的大帶寬安全承載解決方案，將密鑰交給不同用戶自行管理，可滿足多租戶環境中密鑰管理需求，在服務類型、速率和網絡體系結構等方面靈活度較高。國內華為、中興等廠商已申請與光物理層加密相關的專利，為下一步大容量、高速率物理層數據加密設備的規?；瘧玫於嘶A。

3.3 全面安全加固，減少光傳輸網脆弱性

安全加固是針對光傳輸網絡中可能存在安全隱患的環節或器件進行安全加固，從而提升光傳輸網絡的抗入侵、抗損毀和抗竊聽等能力，主要包括線路加固、節點加固、網管加固等。

線路加固主要針對傳輸線路上的安全風險進行加固，例如針對彎曲光纖進行竊聽的安全風險，可采用彎曲易斷的光纖或具有高強度防護層的光纖實現線路的安全加固。

節點加固主要針對光纜傳輸網節點的安全風險進行加固。例如，在值守力量薄弱或者無人值守站點進行周界防護，保證節點設備安全。采用可調光帶阻濾波器、增益鎖定摻鉺光纖（Erbium-Doped Fiber，EDF）、設置強光保護裝置等策略來應對針對EDFA 發起的帶寬外攻擊、強光攻擊和增益競爭攻擊。采用高隔離度的波分復用（Wavelength Division Multiplexing，WDM）、設置功率檢測裝置和隔離開關等策略來應對光交叉連接（Optical Cross-Connect，OXC）竄擾竊聽風險?；诳尚艈拥劝踩珯C制，從底層硬件打造安全光傳輸設備。

網管加固主要針對光纜傳輸網節點網管進行加固，包括終端加固、系統加固、冗余備份等。例如，采用終端防護軟件對網管系統的終端進行防護，定期進行漏洞掃描及補丁修復。除此之外，還應該實施權限最小原則，減少對外暴露面等。

3.4 構建監測預警體系，實現威脅快速感知

一是光纖入侵檢測。通過對光纖線路信號進行實時監測，采用入侵行為檢測、入侵行為分析、入侵行為定位等技術進行多維度的檢測和分析，從而實現對分光、干擾攻擊等入侵行為的實時監測、精確定位和快速預警。

二是設備及系統層面入侵檢測。提供主機和網絡層面的入侵檢測能力，實時感知設備及系統的安全狀態。

三是安全態勢感知。通過采集光纖層、設備層、系統層、網絡層的流量及日志等各類數據，綜合利用大數據分析、異常檢測等技術識別光網絡中的潛在風險，實時感知光網絡安全態勢。

3.5 采取彈性網絡機制，增強光傳輸網恢復能力

采用彈性網絡機制，通過鏈路級、設備級、網絡級、管理級的多維度冗余保護，構建自動響應、協同聯動閉環，使得網絡受損后能夠快速隔離被損部分，迅速修復被損數據并啟動網絡重建，全面提升光傳輸可用性。

4 結 語

隨著光通信網絡開放能力逐步增強，光傳輸網的網絡安全問題逐步引起越來越多人的關注。目前，國內外的專家學者和工程技術人員在這方面做了許多工作，提出了一系列的安全解決方案。我們應該將這些安全技術與產業發展、網絡組織、運行維護等相結合，增強相關軟硬件防護措施，確保光網絡的端到端、全生命周期安全可靠，從而滿足信息時代光傳輸網的安全需求。