中國(guó)電信股份有限公司江蘇分公司操作維護(hù)中心 楊飛

電信網(wǎng)絡(luò)面臨的安全形勢(shì)分析

中國(guó)電信股份有限公司江蘇分公司操作維護(hù)中心 楊飛

摘要：分析了電信網(wǎng)絡(luò)新出現(xiàn)的安全問(wèn)題，NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）新型攻擊的特點(diǎn)是攻擊流量龐大，用戶(hù)比較容易忽視，蠕蟲(chóng)和木馬危害影響范圍較廣，手機(jī)病毒和木馬頻繁出現(xiàn)。提出了應(yīng)對(duì)措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；應(yīng)對(duì)措施

2014年，隨著互聯(lián)網(wǎng)各類(lèi)終端的多樣性增加，上網(wǎng)用戶(hù)除了傳統(tǒng)的PC（個(gè)人計(jì)算機(jī)），增加了OTT（over the top，網(wǎng)絡(luò)業(yè)務(wù)）盒子、智能手機(jī)、Pad等多種上網(wǎng)方式。用戶(hù)上網(wǎng)方式豐富的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題出現(xiàn)了新的變化，目前用戶(hù)選擇寬帶、手機(jī)上網(wǎng)時(shí)，更多考慮價(jià)格和速度因素，其實(shí)安全因素也應(yīng)該成為一個(gè)重要的考量指標(biāo)，只有在安全的網(wǎng)絡(luò)環(huán)境下，用戶(hù)使用和速度才是有意義的?，F(xiàn)對(duì)電信網(wǎng)絡(luò)新出現(xiàn)的安全問(wèn)題進(jìn)行分析。

1　網(wǎng)絡(luò)攻擊出現(xiàn)NTP新型UDP攻擊

2014年1月以來(lái)，出現(xiàn)以NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）攻擊為代表的新型UDP（用戶(hù)數(shù)據(jù)包協(xié)議）放大攻擊。NTP攻擊的特點(diǎn)是攻擊流量龐大，用戶(hù)比較容易忽視。NTP的作用是通過(guò)網(wǎng)絡(luò)使計(jì)算機(jī)之間的時(shí)間同步。目前觀察到NTP的攻擊放大比能夠達(dá)到600倍，即1 Mb/s的請(qǐng)求，可以產(chǎn)生600 Mb/s的攻擊流量。

省內(nèi)存在NTP漏洞的用戶(hù)有大學(xué)、企業(yè)、云計(jì)算虛擬化較多的單位。根據(jù)目前CERT（計(jì)算機(jī)安全應(yīng)急響應(yīng)小組）的數(shù)據(jù)，互聯(lián)網(wǎng)上開(kāi)放UDP 123端口（NTP服務(wù)）的服務(wù)器約有80萬(wàn)臺(tái)。其中，頻繁被請(qǐng)求的服務(wù)器約為1 800臺(tái)，在監(jiān)測(cè)發(fā)現(xiàn)的被請(qǐng)求次數(shù)最多的前50個(gè)NTP服務(wù)器中，IP地址主要位于美國(guó)（56%）和中國(guó)（26%）。

2　蠕蟲(chóng)和木馬危害影響范圍較廣

互聯(lián)網(wǎng)上的自動(dòng)化掃描和攻擊呈現(xiàn)普遍、頻繁的態(tài)勢(shì)，主要目的是建立僵尸網(wǎng)絡(luò)和盜取特定用戶(hù)信息，受害的大部分是個(gè)人用戶(hù)和管理松懈的企業(yè)主機(jī)。

從處理情況看，大部分用戶(hù)對(duì)自己的主機(jī)被種植木馬一無(wú)所知，用戶(hù)范圍覆蓋了政府、銀行、企業(yè)等各類(lèi)機(jī)構(gòu)。

與此同時(shí)，全省連續(xù)查獲了仿冒著名銀行的釣魚(yú)網(wǎng)站事件，處理了仿冒卡塔爾銀行、美國(guó)大通銀行、法國(guó)Visa組織等事件。

在處理過(guò)程中，發(fā)現(xiàn)是黑客入侵了正常的網(wǎng)頁(yè)，主要由于正常經(jīng)營(yíng)的企業(yè)Web頁(yè)面存在漏洞，包括文件類(lèi)型和寫(xiě)入權(quán)限異常。導(dǎo)致黑客將釣魚(yú)網(wǎng)站的鏈接嵌入正常的Web頁(yè)面中。

連續(xù)出現(xiàn)多起偽造國(guó)外金融類(lèi)機(jī)構(gòu)的事件，也說(shuō)明黑客組織盯上了江蘇網(wǎng)內(nèi)的主機(jī)，頻繁利用有漏洞的Web頁(yè)面放置釣魚(yú)網(wǎng)站。

3　手機(jī)病毒和木馬頻繁出現(xiàn)

從最近2個(gè)月（2014年2～3月）監(jiān)控的情況分析，已有較大量的手機(jī)在上網(wǎng)訪問(wèn)時(shí)被監(jiān)測(cè)出存在被掛馬的情況。

相對(duì)于普通PC機(jī)，用戶(hù)對(duì)手機(jī)的應(yīng)用更加頻繁，但安全意識(shí)會(huì)更薄弱。因?yàn)楹芏嗍謾C(jī)用戶(hù)還意識(shí)不到安卓、蘋(píng)果系統(tǒng)的手機(jī)其實(shí)就是一個(gè)小電腦，而手機(jī)的安全控制和電腦相比更薄弱。比如電腦上的個(gè)人銀行賬戶(hù)可以使用U盾等第三方工具加密，而手機(jī)主要依靠軟件、短信等方式進(jìn)行驗(yàn)證。手機(jī)上各類(lèi)自動(dòng)推送、獲取的信息更加頻繁，用戶(hù)中招的幾率大于電腦。

4　其他風(fēng)險(xiǎn)

微軟宣布Windows XP的支持將在2014年4月8日結(jié)束，不再提供更新和補(bǔ)丁文件。由于大量的XP用戶(hù)不會(huì)升級(jí)到Windows 7等系統(tǒng)，這些XP用戶(hù)未來(lái)可能會(huì)成為黑客爭(zhēng)相利用的對(duì)象。

用戶(hù)家用路由器成為攻擊的熱點(diǎn)，如X-link多個(gè)型號(hào)的路由器被曝存在后門(mén)漏洞，黑客可以完全控制路由器，監(jiān)控所有接入該無(wú)線網(wǎng)絡(luò)的電腦、智能手機(jī)、Pad等設(shè)備的上網(wǎng)流量，從而竊取用戶(hù)的重要賬號(hào)密碼、植入木馬病毒等。

5　應(yīng)對(duì)

1）積極響應(yīng)、加強(qiáng)溝通。

加強(qiáng)和省通信管理局、各類(lèi)安全組織、安全公司的溝通和響應(yīng)，因?yàn)楝F(xiàn)有大部分安全預(yù)警、漏洞發(fā)布的信息來(lái)源于以上機(jī)構(gòu)和組織，而省內(nèi)的有效發(fā)現(xiàn)和處理，提供完整的反饋，可以加強(qiáng)這樣的正循環(huán)。

2）針對(duì)重點(diǎn)問(wèn)題延伸排查。

舉一反三，安全問(wèn)題一般是共性問(wèn)題，與傳染性疾病類(lèi)似，在控制好的地方，發(fā)生率就低，危害就小，恢復(fù)就快速。所以運(yùn)營(yíng)商之間加強(qiáng)溝通和交互，是推動(dòng)問(wèn)題解決的有效途徑。

3）加強(qiáng)針對(duì)用戶(hù)的宣傳和安全知識(shí)普及。

安全問(wèn)題不只是運(yùn)營(yíng)商和相關(guān)管理部門(mén)的工作，需要用戶(hù)積極參與和配合，平時(shí)需要加強(qiáng)宣傳和普及，對(duì)涉及用戶(hù)最重要的網(wǎng)銀、網(wǎng)上購(gòu)物、個(gè)人隱私等安全問(wèn)題進(jìn)行宣傳和普及，提高用戶(hù)對(duì)安全問(wèn)題的關(guān)注、知曉和重視程度?！?/p>