摘 要：光纖傳輸網(wǎng)具有獨(dú)特的優(yōu)勢(shì)，但也有特殊的脆弱性。隨著光纖通信技術(shù)的快速發(fā)展和廣泛應(yīng)用，光纖傳輸網(wǎng)的安全性顯得越來(lái)越重要。文章按照分層的觀點(diǎn)，介紹了光纖傳輸網(wǎng)的安全分層結(jié)構(gòu)，分析了光纖傳輸網(wǎng)不同層面的脆弱性和所受攻擊的類(lèi)型及方法，并針對(duì)各層可能受到的安全威脅，研究了相關(guān)的安全對(duì)策。

關(guān)鍵詞：光纖傳輸網(wǎng)；脆弱性；安全策略

隨著IY數(shù)據(jù)、圖像業(yè)務(wù)對(duì)傳輸帶寬需求的快速增長(zhǎng)和光纖通信技術(shù)的發(fā)展，光纖傳輸網(wǎng)的容量越來(lái)越大，智能化程度越來(lái)越高，應(yīng)用領(lǐng)域也越來(lái)越廣，為用戶提供一個(gè)高安全性、高可靠性的傳輸平臺(tái)成為最基本的要求。

一、光纖傳輸網(wǎng)的安全分層結(jié)構(gòu)

依據(jù)ITU-T G. 872建議，光纖傳輸網(wǎng)在垂直方向由上至下可分為電路層、通道層和傳輸媒質(zhì)層3個(gè)層網(wǎng)絡(luò)。

物理層主要指?jìng)鬏斁W(wǎng)元設(shè)備和光纖線路，這些設(shè)備作為光纖傳輸?shù)奈锢斫橘|(zhì)，是數(shù)據(jù)傳輸?shù)闹黧w；邏輯層負(fù)責(zé)管理和維持光纖傳輸網(wǎng)的正常運(yùn)行，主要指光纖傳輸網(wǎng)的數(shù)據(jù)維護(hù)和光纖傳輸網(wǎng)的管理；業(yè)務(wù)層承載了數(shù)據(jù)、語(yǔ)音、圖像和視頻等業(yè)務(wù)數(shù)據(jù)的傳輸。

二、光纖傳輸網(wǎng)的脆弱性分析

1.物理層的安全威脅

（1）弱光攻擊

根據(jù)攻擊方式的不同，弱光攻擊主要包括帶內(nèi)干擾攻擊和帶外干擾攻擊。帶內(nèi)干擾攻擊是通過(guò)注入干擾光信號(hào)來(lái)降低接收端正確解譯數(shù)據(jù)的能力，會(huì)使該鏈路和與該鏈路節(jié)點(diǎn)相連的其他鏈路上的信號(hào)衰減。

（2）強(qiáng)光攻擊

強(qiáng)光攻擊不僅會(huì)造成光纖的永久性損傷，還可能使光網(wǎng)絡(luò)中的其他器件永久失效。強(qiáng)光人侵不僅會(huì)破壞光放大器，還可能造成光接收模塊、光發(fā)送模塊、解復(fù)用器和復(fù)用器等設(shè)備的損壞。

（3）信號(hào)竊聽(tīng)

竊聽(tīng)是指攻擊者監(jiān)聽(tīng)從鄰近信道泄漏的串?dāng)_來(lái)獲得有關(guān)鄰近信號(hào)的信息。光纖彎曲時(shí)，光纖中的高階導(dǎo)模會(huì)轉(zhuǎn)換為泄漏模，可利用它來(lái)實(shí)施“竊聽(tīng)”攻擊；在光放大器中，由于增益競(jìng)爭(zhēng)會(huì)引起信號(hào)交叉調(diào)制，竊聽(tīng)者通過(guò)交叉調(diào)制信號(hào)也能竊取信號(hào)；波長(zhǎng)選擇開(kāi)關(guān)由于存在串音，也很容易被竊聽(tīng)。

2.邏輯層的安全威脅

邏輯層的主要功能是支撐和管理光纖傳輸網(wǎng)的運(yùn)行，其核心是由網(wǎng)元、數(shù)據(jù)通信網(wǎng)（DCN）和管理軟件構(gòu)成的網(wǎng)管系統(tǒng)。

3.業(yè)務(wù)層的安全威脅

業(yè)務(wù)層負(fù)責(zé)承載業(yè)務(wù)數(shù)據(jù)的傳輸。對(duì)光纖傳輸網(wǎng)物理層和邏輯層的“服務(wù)破壞”或“竊聽(tīng)”攻擊，直接威脅著業(yè)務(wù)層信息的安全準(zhǔn)確傳送。

三、光纖傳輸網(wǎng)的安全對(duì)策

1.物理層的安全對(duì)策

物理層的安全防護(hù)措施主要是改善硬件特性，物理上進(jìn)行加固，關(guān)鍵部件采用隔離控制保護(hù)裝置，完善監(jiān)測(cè)手段。

（1）抵御弱光攻擊

在網(wǎng)絡(luò)組件的關(guān)鍵業(yè)務(wù)和其信道之間安放隔離開(kāi)關(guān)，并在解復(fù)用器后使用濾波器，濾除一定帶寬之外的信號(hào)，預(yù)防利用光放大器（OA）帶外增益競(jìng)爭(zhēng)而進(jìn)行的攻擊，在波長(zhǎng)進(jìn)行選擇交換前采用均衡技術(shù)對(duì)摻餌光纖放大器增益競(jìng)爭(zhēng)進(jìn)行保護(hù)。

（2）抵御強(qiáng)光攻擊

利用光限幅放大器（OLA）對(duì)光進(jìn)行放大，并限制最大輸出光功率，防止信號(hào)功率過(guò)強(qiáng)對(duì)網(wǎng)絡(luò)中的光組件的破壞。同時(shí)，這樣也限定了串音的功率，降低了利用串音影響正常通信的可能。

（3）采用分布式光纖監(jiān)測(cè)手段

分布式光纖傳感器從最初提出的基于瑞利散射的OTDR系統(tǒng)開(kāi)始，經(jīng)歷了基于Raman散射的OTDR和基于布里淵散射的OTDR系統(tǒng)，監(jiān)控系統(tǒng)對(duì)環(huán)境的敏感度有了大幅提高。

2.邏輯層的安全對(duì)策

邏輯層安全防護(hù)措施的重點(diǎn)是加強(qiáng)對(duì)網(wǎng)管系統(tǒng)的管理和控制，以提升整個(gè)網(wǎng)絡(luò)的安全性能。

（1）訪問(wèn)控制

不管是用戶對(duì)傳輸數(shù)據(jù)的訪問(wèn)還是管理員對(duì)網(wǎng)絡(luò)管理和控制信息的訪問(wèn)，一定要實(shí)施訪問(wèn)控制，并通過(guò)訪問(wèn)矩陣來(lái)限制不同用戶的訪問(wèn)權(quán)限。對(duì)文件和數(shù)據(jù)庫(kù)設(shè)置安全屬性，嚴(yán)格區(qū)分共享類(lèi)別。

（2）安全認(rèn)證

通過(guò)建立合法用戶數(shù)據(jù)庫(kù)，進(jìn)行用戶身份認(rèn)證，并視情況采用數(shù)字簽名技術(shù)。這樣一方面可拒絕非法用戶進(jìn)入網(wǎng)絡(luò)，另一方面如果用戶進(jìn)行非法操作，可以及時(shí)發(fā)現(xiàn)，并立即中斷本次傳輸。

（3）科學(xué)配置

光纖傳輸主干網(wǎng)的可用性不是依賴于對(duì)用戶數(shù)據(jù)的保護(hù)，而是依賴于對(duì)網(wǎng)絡(luò)管理通信流的保護(hù)，因此，應(yīng)建立傳輸網(wǎng)管信息的專(zhuān)用DCN，使網(wǎng)絡(luò)管理通信流與用戶數(shù)據(jù)流分離。

3.業(yè)務(wù)層的安全對(duì)策

（1）用加密方法抵御數(shù)據(jù)泄漏

在光纖傳輸網(wǎng)安全防護(hù)策略上，對(duì)所有的系統(tǒng)都采取保護(hù)將使得成本太高，既不可能，也沒(méi)有必要。因此，應(yīng)采用網(wǎng)絡(luò)加密、信道加密和信息加密等多種加密技術(shù)，保證信息安全。

（2）明確界定傳送信息的密級(jí)和責(zé)任

按照“誰(shuí)擁有設(shè)施誰(shuí)負(fù)責(zé)安全”和“誰(shuí)傳送信息誰(shuí)負(fù)責(zé)界定”的原則，完善信息密級(jí)認(rèn)定和管理機(jī)制，確保不同密級(jí)的信息能夠用不同級(jí)別的保密措施保證其傳送。

（3）建立完善的安全保密機(jī)制

信息安全是一個(gè)世界性難題，攻防技術(shù)層出不窮，防不勝防。尤其是在當(dāng)前我國(guó)信息安全技術(shù)發(fā)展整體落后的情況下，必須堅(jiān)持“三分技術(shù)，七分管理”的原則，對(duì)不同層的網(wǎng)絡(luò)采用不同的技術(shù)措施和管理策略，通過(guò)機(jī)制創(chuàng)新、制度創(chuàng)新和管理手段創(chuàng)新，努力構(gòu)建光纖傳輸網(wǎng)的安全體系，確保光纖傳輸網(wǎng)穩(wěn)定可靠和承載的各類(lèi)信息能安全傳送。

參考文獻(xiàn)

[1]陳龍，黃進(jìn).光網(wǎng)絡(luò)安全及其拓?fù)浣Y(jié)構(gòu)隱藏方法[J].半導(dǎo)體光電，2006（6）:756-759.

[2]黨利宏，鄧大鵬，李衛(wèi)等.光網(wǎng)絡(luò)中強(qiáng)光攻擊與防護(hù)研究[J].光通信技術(shù)，2006（4）:37-39.

[3]趙文玉，紀(jì)越峰，徐大雄.全光網(wǎng)絡(luò)的安全管理研究[J].電信科學(xué)，2001（5）:11-14.