NGN面临的安全威胁与应对原则

一、NGN安全问题的引出

  随着信息产业的发展,信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化,就必须重视信息网络安全,它绝不仅是IT行 业问题,而是一个社会问题以及包括多学科系统安全工程问题,它直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全 问题。NGN作为下一代通信网络,是未来信息传递的主要载体。网络安全事关国家经济、政治、文化、国防,因此在NGN研究中安全将是最重要的课题之一。

  1.NGN安全相关经济领:随着我国网上银行的建设、电子商务的发展,无数财富将以比特的形式在网络上传输。

  2.NGN安全相关文化领域:当前网上聊天已成为一种重要沟通手段,生存在网络中的虚拟社会已成为人们的第二生活方式,网络已成为继报刊杂志、广播和电影电视后的重要媒体。

  3.NGN安全相关政府职能:当前我国正在大量建设电子政务网,也就是政府职能上网,在网上建立一个虚拟的政府,实现政府的部分职能性工作。

  4.NGN安全相关国防:随着军事国防信息化的进展,信息对抗已成为战争的一部分。大量的信息都可能在网络上传输。除泄密可能外,网络安全问题还可能导致指挥系统的瘫痪。

  5.NGN安全相关国家重要基础设施:大多数国家重要基础设施都依赖网络。网络瘫痪可能造成电网故障、机场封闭、铁路停运等问题,进而引发更多更严重的问题。

  二、NGN面临的安全威胁

  就目前通信网络现状而言,NGN可能面临如下安全威胁。

  1.电磁安全:随着侦听技术的发展以及计算机处理能力的增强,电磁辐射可能引发安全问题。

  2.设备安全:当前设备容量越来越大,技术越来越复杂,复杂的技术和设备更容易发生安全问题。

  3.链路安全:通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时,基本都敷设并集中在铁路桥(或公路桥)上,可能出现“桥毁缆断”通信中断的严重局面。

  4.通信基础设施过于集中:国内几个主要运营商在省会城市的长途通信局(站)采用综合楼方式,在发生地震火灾等突发事件时,极易产生通信大规模中断的局面。

  5.信令网安全:传统电话网络的信令网曾经是一个封闭的网络,相对安全。然而随着软交换等技术的引入,信令网逐渐走向开放,增加了安全隐患。

  6.同步外安全:同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。

  7.网络遭受战争、自然灾害:在网络遭受战争或自然灾害时,网络节点可能会遭受毁灭性打击,导致链路大量中断。

  8.网络被流量冲击:当网络受到流量冲击时,可能产生雪崩效应,网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起,也可能是受到恶意攻击

 9.终端安全:典型的多业务终端是一个计算机,与传统的专用傻终端例如电话相比,智能终端故障率以及配置难度都大大提高。

  10.网络业务安全:多业务网络很少基于物理端口或者线路区分用户,因此业务被窃取时容易产生纠纷。

  11.网络资源安全:多业务网络中,用户恶意或无意(感染病毒)滥用资源(例如带宽资源)会严重威胁网络正常运行。

  12.通信内容安全:网络传输的内容可能被非法窃取或被非法使用。

  13.有害信息扩散:传统电信网不负责信息内容是否违法。随着新业务的开展,对于有害信息通过网络扩散传播的问题应引起NGN的高度重视。

  三、NGN安全问题分析

  1.网络多业务影响网络安全

  网络提供的多业务以及随之而来的终端智能化为网络带来了更多安全隐患。

  在传统电信网络上,大多数网络捆绑单一业务:电话网提供电话业务以及部分补充业务;DDN网络提供点到点数据专线业务;帧中继网络提供数据专线以及虚拟专用网业务;同步网提供网络同步服务;信令网为电话网提供信令服务;即使是号称多媒体网络的ATM也基本用作数据专线以及虚拟专用网。大多数用户终端智能性较低并且与网络信令隔离,因此一般不会影响网络安全。

  随着新业务的出现,新兴运营商已不满足于每个业务建一张网的思路:网络不但需要承载多种业务,还必须在用户使用同一个接入线路的条件下提供多种业务。为此,网络为识别统一接入线路上的多种业务,不可避免地将部分智能性转移到终端,IP网络成为承载多业务网络的重要选择。IP网络是典型的“智能终端傻网络”:网络只负责转发数据,不参与具体业务流程。IP网络的终端主要是计算机系统,因此用户设备需要参与到业务流程中。恶意用户可以使用计算机系统干扰业务流程,甚至发起黑客攻击使网络瘫痪,这样的模式严重影响了IP网络安全。由于当前分组语音的大量使用,IP网络需要与传统电话网络互通,IP网络的安全隐患进而会影响传统电话网络的安全。

  2.多运营商竞争影响网络安全

  多运营商竞争在开拓通信市场以及增加网络备份的同时也带来新的安全隐患。我国通信网络历经了一个从单运营商走向多运营商的过程。在原有邮电部领 导中国电信建立通信网络时,网络承载单一业务,支撑网统一设计,业务普遍开展,缆线敷设统一规划,服务质量全程全网统一设计,电信业务与网络安全性基本满 足当时需求。在当前多运营商竞争环境下,我国网络规模有了极大增长,适应了国民经济对通信网络的需求,但是也引入了一些对安全不利的因素:由于快速建设的 压力以及缺少网络建设经验,部分运营商网络建设缺乏技术体制的总体指导,而没有技术体制指导的网络缺乏全程全网统一考虑,不利于网络安全;出于对投入成本 与利润产出率的考虑,部分运营商在降价吸引客户以及快速大规模网络建设中忽略网络安全设施与投入;新兴运营商运营在建设初期缺乏长期电信运营的经验与理 念,在网络安全方面缺乏重视。虽然六大运营商网络资源总量大于原中国电信,但是当前任何一个运营商都不能像原中国电信那样拥有如此丰富的资源;六大运营商 网络互连互通,但是安全策略、安全管理力度以及安全设施各不相同,容易出现安全隐患;由于恶性竞争的存在,运营商互连互通时还可能造成人为的安全事故。

  3.网络规模和设备容量的扩大影响网络安全

  网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及管理的复杂化,随之而来的便是为网络带来更多安全隐患。

  随着国民经济的增长,通信需求不断扩大。我国电信网络已发展成全球最大固网和移动网络之一,运维如此一个巨大网络没有先例也没有参照对象,极有 可能出现一些意想不到的安全问题。随着网络规模的扩大以及设备容量的扩大,设备越来越复杂,不可控因素随之增加。在一个规模空前的网络上因网管操作失误、 用户恶意攻击、故障的不恰当处理等原因引起大量用户无法正常使用业务则会导致安全事故的发生。而且最新型、大容量的新设备大多是引进产品,至少使用的芯片 大多数是国外产品,引进产品、芯片的安全性无法评估,因此也使通信网络安全隐患难以预测。

  4.管理比技术更影响网络安全

  先进的安全技术和设备会因管理不善而崩溃,完善的管理可以在一定程度上消除技术落后带来的不利因素。因此就网络安全而言,管理比技术更重要。这 里所说的管理并不局限于一般所说的TNM电信网管或者互联网的简单网管,还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。

  在很多情况下通过管理可以轻易解决的问题如果使用纯技术方案解决,可能需要付出十倍甚至百倍的努力和成本。例如电话网络号码资源统一分配,再大规模的程控交换机也只需要近百个局向就可以解决电话选路;而在IP地址随意分配的互联网络上,骨干路由器需要保留十万个以上的路由表条目才能保证IP包的正常选路,由此带来的协议和设备的复杂性为网络带来了极大的安全隐患。而网络完善的管理机制便可以更有效地保障网络安全。

  网络内部的安全审计与对网络外部内容的过滤一样重要。内部人员的安全意识和安全管理的重要性一点也不亚于使用复杂昂贵的防火墙设备。此外任何安全技术最终都会落实到人,再安全的操作系统也会需要管理人员来实现;再复杂的安全设备也需要人来维护;[WL2]再精密的加密算法和加密机制也不能防范密钥泄漏或设置简单密码。

  5.新技术新业务新运营模式影响网络安全

  新技术、新业务带来新的运营模式,在建立新的价值链的同时也带来新的安全隐患。

  随着IP网络的普遍应用,信息机密性、完整性和不可否认性成为网络安全的重要内容;随着分组语音业务的开展,电信运营商必须关注来自IP网络的 来源追查;随着软终端的出现,运营商必须从基于端口认证与计费扩展到基于用户标识认证和计费;随着短信业务的爆炸性发展,移动运营商必须关注恶意发送以及 短信诈骗;随着电子邮件业务的开展,运营商必须关注垃圾邮件;随着BBS的广泛使用以及巨大的影响力,BBS的管理与监管已迫在眉睫。因此新技术新业务和新运营模式在为运营商带来增长点的同时,也为网络带来了安全上的不确定性。

  6.IP技术的使用影响网络安全

  IP技术的使用一方面为产业带来新业务、新活力,另一方面为网络带来新的安全隐患。当前IP技术应用广泛,但IP并不是一个完美的网络层技术, 也存在服务质量、安全、运营模式等问题,其中安全问题一直是最受关注的问题之一。IP网络的安全问题部分是因为计算机网络设计理念与电信网络设计理念有差 异:计算机网络中不是问题的问题在电信网络中却成为严重问题;另一方面是因为IP网络在电信中使用缺乏运维管理的经验和手段。由于IP网络不能有效地对源 地址进行检验,用户终端可以伪造源地址对网络发起流量冲击进而影响控制层面。

  四、NGN安全威胁应对原则

  面对上述以及未来可能出现的未知的安全威胁,首先应明确如下应对原则:

  1.安全不是绝对的,安全威胁永远存在

  安全不是一种稳定的状态,永远不能认为采用了怎样的安全措施就能到达安全状态。首先,付出资源、管理代价可以增加安全性,但是无论多少代价也不 能达到永远、绝对的安全。其次,安全是一个不稳定的状态,随着新技术的出现以及时间的推移,原本相对安全的措施和技术也会变得相对不安全。第三,安全技术 和管理措施是有针对性、有范围的,通常只对已知或所假想的安全威胁有效。安全技术和安全管理措施不确保对未知或未预想的安全威胁生效。

  2.安全应作为基础研究,需要长期努力

  NGN安全研究范围广泛,包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领。因此安全研究不是一蹴而就,需要长期努力。安全投入本身不能产生直接效益,只能防止和减少因不安全因素而造成的损失。安全研究应当作为一项基础研究,由国家、运营商和相关企业长期投入,共同努力。

3.安全需要付出代价,安全要求应当适度

  NGN安全是所有人都希望的,但不是所有人都能意识到为达到一定的安全标准所需要付出的代价。为安全付出的代价可能是人力、物力、财力,也可能 是降低效率。因此安全要求应当适度,为机密性付出的代价大于因泄密可能受到的损失时该安全要求便意义不大。在日常通话中能保证机密性当然理想,但是如需要 增加几倍的通话费用来增加机密性(机密性通常只能增加,无法绝对确保),相信大多数用户都无法接受。

  4.安全隐患有大有小,应分轻重缓急

  当前NGN上存在大量已知和未知的安全隐患。对于众多的安全隐患,应当视可能造成的危害以及需要付出的成本,分轻重缓急分别解决。一般来说可能 大面积影响网络业务提供的安全隐患应当优先解决,例如影响同步网安全、网络路由协议正常运行的安全隐患等。对于不影响业务正常开展,或者只以较小可能影响 少量用户同时需要资金人员较多的安全隐患例如无线接口用户数据未加密等可以稍稍延后解决。

  5.安全不仅是技术问题,更重要的是管理

  绝大多数安全隐患可以通过技术手段解决,但是安全更重要的是管理。当前技术条件下任何安全技术都是需要人来参与。完善的管理机制能最大程度上防 止管理人员有意或无意的增加安全隐患的行为。通常这样的管理机制是以日志和审计作后盾,以降低效率作代价。因此没有完善管理机制的网络不可能是安全的网 络。此外一些通过管理可以轻易解决的问题可能需要极其复杂的技术手段才能解决。

  6.安全问题有范围,不是包罗万象的

  NGN安全有自身的范围界定,并不是所有的问题都会影响NGN和信息安全。随意扩展安全研究范围,将大量与安全无关的课题归结到NGN与信息安全研究中,可能会失去重点,不利于安全研究与安全隐患的解决。例如传输网络设计指标范围内的误码与安全问题无关;同样IP网络上设计范围内的丢包率、电话网上掉线率范围内的掉线等都与NGN安全无关,用户丢失密码造成的损失也与网络安全无关。

  7.网络安全不仅仅是定性的,还应当定量评估

  当前计算机系统有安全登机评估标准,可以定量评估。长期以来,通信网络主要提供话音服务,对话音自身的信息安全以及内容是否合法并不关心。因此 主要采用业务可用性以及设备可靠性来体现网络安全。但是当前通信网络支撑着国家重要安全设施的正常运行,因此网络安全有必要定量评估并划分等级。不同的网 络应用应当有最低安全等级要求。对所有通信都提供最高安全等级固然很好,但是为此付出几倍甚至几十倍的成本显然不是公众和运营商所期望的。

  8.不同网络上关注的安全问题应当各有侧重

  传统电信网络主要提供专线型的数据传输以及点到点的话音业务。因此传统电信网主要关注的是网络自身的安全以及网络服务的安全。而互联网是为教育科研网络设计,服务可控性较差,并缺乏有效的商业模式,且其所具有的可大量传递数据信息并开展BBS以及点到多点、匿名发送等业务的特性也决定了互联网应更关注服务可控性以及网络上的信息安全。