通信業支撐網安全現狀及對策探討

摘要：通信業支撐網安全是現代信息技術發展的必然趨勢。隨著移動通信技術的飛速發展，電信產業的客戶群日益龐大，業務種類日益多樣化，業務范圍也日益廣泛，這為通信產業的發展提供了機遇，同時也帶來了新的挑戰。為了滿足發展的需求，電信企業將不斷完善自己的業務支撐系統。通信行業的發展是離不開互聯網技術的支撐。為了促進通信行業的安全穩定發展，必須加強對支撐網絡的安全防護。本文從目前通信產業支撐網的安全現狀出發，對存在的問題進行了分析，并給出了解決方案。

關鍵詞：通信業；支撐網；現狀；安全策略

一、引言

根據工業和信息化部頒布的電信和互聯網安全保護標準，支撐網主要是由一個獨立于業務網的、用來維護、經營和會計的綜合性信息系統構成的網絡。

相對于其它類型的網管，支撐網具有很大的規模和大量的界面，包括了計費、帳篷、網管等重要的業務，所以，其安全問題應該是運營商的重點。同時，支撐網絡中的網絡設備、服務器、主機的數量和類型以及服務的種類都要比其他網絡設備多得多，支撐網絡的安全性問題涉及了幾乎所有其他網絡設備的安全問題。

二、通信業務支撐網的安全現狀

近幾年，我國通信技術發展迅速，但是目前通信服務支撐網絡的安全狀況不容樂觀，許多問題仍未得到解決。

①拓撲安全性問題，諸如某些網絡平臺安全、遠程服務安全、終端安全等，支持網絡的拓撲結構必須符合有關的工業和冗余容災標準。而通信服務支持網絡的終端安全，則是指工作人員在維護終端設備的時候，或者是設備本身的問題。通過這些服務，可以保證用戶、網絡、系統等多個方面的數據都能夠準確的收集到，所以在網絡中，最容易出現問題的就是遠程服務，它的主要目的就是為了更好地管理通信服務，通過高質量的管理來實現對服務器和設備的訪問。網絡平臺的安全，是網絡服務支持網絡安全的一個重要內容，它的核心是網絡安全，它可以直接地影響到網絡的安全。

②通過對相關調查的分析，發現網絡拓撲是網絡中使用頻率最低的問題，其次是遠程服務，其次是網絡平臺。

③在管理通信服務支撐網絡期間，通信業各運營商尤其缺少用于監測通信服務支撐網絡的運行狀況的監測設施，以及對通信業務支撐網安全管理的規章制度亟待完善，通信業務支撐網安全防護工作的順利開展受到了嚴重的影響，難以保障通信業務支撐網維護工作的質量。

④關于通信服務支撐網絡的安全設計，目前國內一些通信業運營商存在著一定程度的安全審計問題，這使得網絡安全審計工作出現了很大的漏洞，特別是當多個網絡管理員同時管理一個賬戶時，很容易出現保存、收集和整理等問題，嚴重地影響了通信服務支持網絡的安全。

三、通信業務支撐網安全策略

（一）應用網絡防火墻

網絡防火墻是實現通信服務支撐網安全的重要手段。網絡防火墻主要是安裝在通信服務支撐網的入口處，它能有效地保護中心的數據庫信息，通過嚴格的安全測試，才能保證數據的流通，避免數據丟失和感染。絕對準則是防火墻的基本原理，它可以保證通過防火墻的所有信息和數據都得到了系統的許可，而不能進行任何系統禁止的數據和操作。

針對目前我國通信服務支撐網的安全保護現狀，提出了一種新的防范措施。殺毒軟件可以從各個角度保護信息的流通，同時可以及時地檢測到隱藏在信息中的病毒，并對其進行技術處理。通信服務支持網絡依靠的是電腦技術，而病毒對電腦的威脅是眾所周知的，它會導致電腦的癱瘓、系統的崩潰，從而導致電信網絡的網絡癱瘓，從而影響到網絡的安全。而反病毒軟件的設置，則是在大數據環境下，通信服務支撐網絡的第二道防線[1]。

（二）新型密碼相關技術的應用

利用密碼的方式進行數據加密，既可以為計算機系統提供密碼保護，又可以為數據的安全提供最直接的保護。和防火墻一樣，都是封鎖了所有的數據，不同的是，防火墻會將所有的數據進行歸類，讓系統認可的數據通過，而數據加密技術，則需要輸入相應的密碼，而非加密的數據，則是無法進行加密的。在進行通信服務支持網絡的安全保護時，如果不對數據進行加密，就不能獲取相關的信息，而且還會給用戶帶來一些人為的安全隱患，比如黑客入侵之類的，但如果采用防火墻之類的保護措施來保護數據，將會極大地降低信息保護的工作效率。所以，為了保護這種數據，必須建立一個身份驗證系統，并對其進行權限設定，比如身份驗證等，這是目前使用最多的一種認證。在通信公司對員工進行了身份驗證后，該信息可以由經過認證的員工任意使用。作為支撐網絡安全的基礎，深入開展新的加密技術具有十分重要的現實意義，電信運營商應該主動提高客戶的安全意識，以保證網絡的安全。

同時，電信運營商要加大對其經費的投資，為其提供有利的科研環境，促進其發展，不斷優化和創新已有的加密技術，提高其安全性，保證通信服務支撐網絡的安全性；同時，也應該加強對通信服務支撐網絡的使用者的安全意識，引導他們積極地進行相關的安全設置，積極地為他們的賬戶設定一些登錄權限，增加密碼的難度，從而有效地提高了通信服務支撐網絡設備的安全保護能力[2]。

（三）Web平臺安全

目前，許多應用于不同的系統，都采用了基于網絡的管理平臺，但是這樣做帶來了便利，也造成了相應的安全性問題。在整個問題中， Web平臺的安全問題被發現的數量約占1/5。從更高的層次來看，網絡平臺的安全問題可以分為認證和參數修正兩大類。驗證缺陷主要有缺省或可推測的使用者賬號密碼、HTTP窗體暴力破解、會話管理漏洞等。參數修正的漏洞主要有指令注入、存取檔案、跨站程式碼攻擊等。

其中26.9%的平臺在檢查過程中出現了安全問題，其中有26.9%的平臺是登錄模塊的設計，該系統只對用戶名和密碼進行了兩次驗證，不需要輸入任何特殊信息（如身份證號、工號）、不能進行動態認證，最重要的是，不能在短時間內多次登錄。

如果輸入的使用者名稱不存在，那么暴力地破解賬號密碼就會變得相對簡單。更有甚者，一些公司覺得自己的權限控制策略很嚴格，索性就不設置登錄權限，讓訪問者可以直接登錄該平臺進行維護和管理。但他們并不知道，在所有的安全事故中，內網的安全事故占據了70%，這種平臺會給公司的安全造成很大的威脅，而且這種平臺很難進行安全審核[3]。最好的辦法就是在登錄頁面上設置登錄次數，當登錄次數達到一定數量后，這個賬號就會被暫時凍結。但這種方式會對合法使用者的正常使用造成一定的干擾，使干擾到的行為具有一定的時效性，所以在設置登錄次數的時候要根據實際情況進行詳細的分析，并根據使用者的不同，設置一個合理的下載量。因為強行破解需要花費大量的時間去登錄網站，管理員還可以利用防火墻、IDS等安全檢測手段，在短時間內連續嘗試登錄失敗的IP，并采取相應的措施來阻止。當然，對于用戶來說，密碼的復雜程度要達到一定的標準，并且要定期地進行更新。

支撐網絡管理平臺也存在著大量的敏感信息泄露，如目錄列表、源代碼泄露等，為黑客的后續攻擊提供了重要依據。所以，為了防止攻擊者獲得敏感的資料，應該禁止訪問這些網頁。

（四）遠程服務安全

支撐網絡要處理大量的數據請求、數據采集和傳輸，因此需要大量的遠程業務，這就給網絡的安全性提出了新的要求。遠程服務分為三大類：遠程信息服務、遠程維護服務、數據庫服務[4]。

1. Television Service的安全性

網絡服務包括 FINGER、 NTP、 SNMP、 rwho、 DNS等，這些業務都是提供系統、用戶和網絡的具體數據。在網絡信息服務的安全性上， SNMP的問題最為突出，62.1%的運營商存在 SNMP的弱密碼，2個版本的 SNMP太老。SNMP的弱密碼對攻擊者來說是非常重要的，它可以讓攻擊者利用Pub-lic的組字字符串來獲取主機名，用戶名，運行的服務。

利用Private群體字符串，攻擊者可以入侵設備操作系統，獲取設備的簡要表，其中有一個直接存取密碼。圖3是使用 SNMP寫入許可群體字來修改目標裝置信息。SNMP服務需要具備強大的讀寫團隊字字符串。此外，若要使用 SNMP，推薦使用SNMPv3，此版本采用 DES和MD5、 SHA技術，能更好地保障通訊的保密及合法使用者的身份認證[5]。

2.遠程維護服務安全

遠程維護服務是為了管理目的，能夠直接對服務器和設備進行遠程訪問，在安全檢查中發現故障的遠程維護服務有 FTP、 SSH、 Telnet、 VNC、 rsh、遠程臺式機等。

在遠程維護服務的安全性問題中，弱密碼問題日益突出。弱密碼的危險性很大，據我們的數據顯示，在70%的入侵中，弱密碼起到了至關重要的作用。弱密碼問題并不是針對遠程維護服務安全的，而是存在于各種類型的安全問題中。通過對支撐網絡的安全數據分析，發現所有設備和服務器的安全問題中，有88.4%的設備和服務器存在著安全問題。問題之所以會這么嚴重，不僅僅是技術上的落后，還有一個重要的原因就是管理上的問題。

弱密碼的產生有以下3個原因：一小部分是由于管理員的安全意識不強，為了方便而采用較弱的密碼；有些是廠商在開發過程中，內部的弱密碼，以適應系統之間的通信需求；另外，管理員們也會用弱密碼來提高工作效率，例如，不同的服務器都要在同一個平臺上運行，所以管理員才會設置一個容易記憶的弱密碼。解決弱密碼問題，必須從多個方面入手：運營商必須調查相關系統與組織結構的設定是否不恰當；強化安全教育，增強員工的安全意識；與廠商溝通，在源碼開發過程中，過程中所用的口令復雜程度要達到所需的口令，并且口令也要能隨時進行更改；要轉變員工的評價方法和激勵機制，不僅要從生產效益出發，還要從安全角度出發，把安全工作也納入到工作量中[6]。

由于技術的發展，目前的遠程維護服務已經不再適合于使用，例如 Telnet Service、 rsh、 rexec、 rlogin等業務都是以明文方式進行傳送的，它們很容易被入侵，因此應該由 SSH業務取代。VNC的認證機制很弱，所以也不能用。

由于運營商的網絡規模越來越大，設備越來越多，出現了一種情況：一是運營商的日常維護工作經常是由廠商來做，二是多個用戶同時使用同一個賬戶。另外，由于對審計工作的需求，運營商迫切需要采用“堡壘式”或“4 A”級的審計體系來進行安全審核。這種安全審核體系既要滿足集中和精細兩個方面的需求，又要保證其安全性，并且要有足夠的備份，以防止由堡壘主機造成的單一故障[7]。

3.數據庫服務安全

在數據庫服務的安全性上，主要是由于使用的軟件版本太少而導致的弱密碼問題，這些問題之前已經討論了，這里就不多說了。

（五）信息安全

通信行業的支撐網絡，要做海量的數據統計，收集各種任務，這就導致了遠程業務的出現。遠程維護服務是為了管理目的，能夠直接對服務器和設備進行遠程訪問，在安全檢查中發現故障的遠程維護服務有 FTP、 SSH、 Telnet、 VNC、 rsh、遠程臺式機等。為此，應加強對審計工作和管理的改進，注重技術的創新利用，確保審計系統的安全和建立相應的備份機制，以避免由“堡壘”造成的單一故障。

四、結束語

要做好支撐網的安全保護工作，就需要樹立全局觀念。在現實工作中，運營商往往忽略了網絡的互聯特性，忽略了一些關鍵環節：例如，對于某個系統的安全保護可以做得很好，但是對相應的輔助系統的關注不夠；網絡的邊界是嚴格的，但內部的網絡是沒有任何防護的；經檢查，約40%的電信公司辦公終端存在嚴重的安全問題。要做好支撐網的安全保護，除以上所述的安全問題之外，還應對網絡的安全性進行分區，通過防火墻策略、路由器 ACL配置等手段對網絡中的惡意 IP進行監測和篩選。針對某些長期無法解決的問題，必須從深層次剖析，綜合提升制度、組織、人員、技術等各個層面的適應性。

作者單位：余發科 廣東南方電信規劃咨詢設計院有限公司

參? 考? 文? 獻

[1]朱延敏. 我國通信業支撐網安全現狀分析及對策探討[J].數字通信世界，2021（02）：126-127.

[2]黃煒瑋. 我國通信業支撐網安全現狀分析及對策探討[J].中國新通信，2016，18（20）：10，11.

[3]李藝成. 關于通信業支撐網安全策略探討[J].信息通信，2020（08）：256-257.

[4]江瑞宇，胥小偉，張英孔. 通信業支撐網安全策略研究[J].數字通信世界，2019（05）：100.

[5]杜躍進，王偉哲. 我國通信業支撐網安全現狀分析及對策探討[J]. 電信網技術，2011（03）：43-47.

[6]江瑞宇，胥小偉，張英孔. 通信業支撐網安全策略研究[J]. 數字通信世界，2019（05）：100.

[7]殷小紅，程紅波. IT支撐網網絡安全現狀及其發展建議[J]. 通信管理與技術，2011（02）：19-21.

余發科（1977.06-），男，漢族，廣東深圳，本科，高級工程師，研究方向：5G網絡、IP承載網、支撐網的網絡規劃和技術演進。