白 冰

（中移鐵通福建分公司云數(shù)據(jù)支撐中心，福州 350000）

1 引言

近年來，互聯(lián)網(wǎng)業(yè)務(wù)飛速發(fā)現(xiàn)，網(wǎng)絡(luò)流量呈現(xiàn)爆發(fā)式增長(zhǎng)。而斯諾登曝光美國(guó)的“棱鏡”計(jì)劃，使得人們發(fā)現(xiàn)互聯(lián)網(wǎng)帶來巨大便利的的同時(shí)，也存在嚴(yán)重的信息安全隱患，意識(shí)到提升信息安全的緊迫性與重要性。

2 互聯(lián)網(wǎng)信息安全概述

信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。對(duì)基礎(chǔ)電信運(yùn)營(yíng)商而言，建立健全信息安全管理制度，通過制度嚴(yán)控每個(gè)管理及生產(chǎn)環(huán)節(jié)，并對(duì)重點(diǎn)環(huán)節(jié)進(jìn)行重點(diǎn)整治，不留信息安全隱患。

3 網(wǎng)絡(luò)信息安全面臨的威脅

目前網(wǎng)絡(luò)信息安全面臨的威脅主要來自于以下幾個(gè)方面：

3.1 網(wǎng)絡(luò)滲透、病毒攻擊威脅

網(wǎng)絡(luò)攻擊可能極大浪費(fèi)運(yùn)營(yíng)商骨干網(wǎng)絡(luò)寶貴的帶寬資源，嚴(yán)重增加核心設(shè)備的工作負(fù)荷，造成關(guān)鍵業(yè)務(wù)的中斷或網(wǎng)絡(luò)服務(wù)質(zhì)量的大幅降低。在公司信譽(yù)也會(huì)蒙受損失的同時(shí)，造成利潤(rùn)下降、生產(chǎn)效率降低。常見的網(wǎng)絡(luò)攻擊有DDOS攻擊，木馬蠕蟲攻擊等。

3.1.1 DDoS攻擊

拒絕服務(wù)（Denial of Service，DoS）攻擊是一種通過占用計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)，包括 CPU、內(nèi)存、帶寬、數(shù)據(jù)庫(kù)服務(wù)器等在內(nèi)的各種資源，以達(dá)到耗盡資源、拒絕其它正常用戶服務(wù)訪問、破壞網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)正常運(yùn)行的攻擊方式。

3.1.2 木馬蠕蟲攻擊

不法分子使用滲透掃描工具，通過特定端口傳播蠕蟲惡意代碼，已NSA黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件為代表，危害巨大。

3.2 網(wǎng)絡(luò)劫持威脅

網(wǎng)絡(luò)劫持是在用戶不知情的情況下，通過多種方式改變用戶請(qǐng)求目的，常見的網(wǎng)絡(luò)劫持包括DNS劫持、HTTP劫持，劫持可發(fā)生在任何網(wǎng)絡(luò)層面，劫持行為隱蔽性高，監(jiān)管難度大。

3.2.1 DNS劫持

該類劫持通過篡改用戶DNS，或在特定網(wǎng)絡(luò)范圍內(nèi)攔截指定的域名解析的請(qǐng)求，將用戶正常DNS請(qǐng)求，引導(dǎo)向釣魚等網(wǎng)站，達(dá)到欺騙用戶，騙取用戶信息、獲取不良收益的目的。

3.2.2 HTTP劫持

該類劫持可通過鏡像或分光等方式，劫持用戶HTTP GET請(qǐng)求，修改HTTP響應(yīng)數(shù)據(jù)，模仿源站進(jìn)行偽造應(yīng)答，應(yīng)答包里嵌套惡意代碼，優(yōu)先源站響應(yīng)用戶，已達(dá)到欺騙用戶的目的，導(dǎo)致用戶在訪問源站內(nèi)容的同時(shí)訪問了部分非源站提供內(nèi)容。而非源站提供的內(nèi)容可能為廣告推送、涉黃、詐騙等信息，在增加用戶投訴的同時(shí)，也增加信息安全隱患。

3.3 不良信息威脅

目前國(guó)內(nèi)新增ICP入網(wǎng)采用實(shí)名制及備案審查，沒有實(shí)名制及備案一律不得提供互聯(lián)網(wǎng)內(nèi)容服務(wù)，但是針對(duì)境外資源，無法進(jìn)行嚴(yán)格審查，一些不法分子利用境外互聯(lián)網(wǎng)資源架設(shè)服務(wù)器，提供虛假、涉黃、暴力、反動(dòng)的不良信息，通過域名變換和翻墻不斷調(diào)整域名，給內(nèi)容監(jiān)管帶來巨大困難，對(duì)人們正常的生活造成影響，嚴(yán)重污染了互聯(lián)網(wǎng)環(huán)境，給社會(huì)帶來了極大的危害。

4 互聯(lián)網(wǎng)信息安全防范措施

針對(duì)運(yùn)營(yíng)商面臨的三方面信息安全威脅，在保障自身網(wǎng)內(nèi)各類系統(tǒng)、主機(jī)、網(wǎng)絡(luò)設(shè)備安全的基礎(chǔ)上，為接入用戶提供安全可靠的互聯(lián)網(wǎng)體驗(yàn)環(huán)境，需要采取必要的措施加以管控，對(duì)相關(guān)威脅進(jìn)行防范。

4.1 網(wǎng)絡(luò)滲透、病毒攻擊防護(hù)措施

4.1.1 基礎(chǔ)網(wǎng)絡(luò)防護(hù)

網(wǎng)絡(luò)設(shè)備配置嚴(yán)格ACL，VTY接口僅允許AAAA系統(tǒng)授權(quán)的用戶登錄，除AAAA登錄權(quán)限外，刪除原有設(shè)備所有登錄權(quán)限，AAAA登錄權(quán)限需具備較高強(qiáng)度，使用超時(shí)時(shí)間機(jī)制將管理會(huì)話縮短，定期更新口令，并采用加密傳輸（SSH）替代明文傳輸（Telnet）遠(yuǎn)程登錄；同時(shí)對(duì)本地CONSOLE接口進(jìn)行安全防護(hù)，消除本地管理隱患；對(duì)設(shè)備SNMP也需要進(jìn)行嚴(yán)格限制，禁止使用默認(rèn)讀寫團(tuán)體屬性，需配置嚴(yán)格ACL，僅允許授權(quán)網(wǎng)管進(jìn)行數(shù)據(jù)采集，對(duì)于沒有SNMP監(jiān)控需求的設(shè)備一律關(guān)閉服務(wù)。

原則上禁止外部請(qǐng)求對(duì)內(nèi)網(wǎng)資源的直接訪問，對(duì)于確實(shí)存在的外部用戶的正常請(qǐng)求，可通過SSL VPN，L2TP VPN等VPN技術(shù)進(jìn)行穿透，VPN需具備口令+短信，口令+UKEY等強(qiáng)認(rèn)證方式，已確認(rèn)登錄用戶的合法性；對(duì)于必須通過映射才能實(shí)現(xiàn)的特殊應(yīng)用，不能直接做公網(wǎng)IP做內(nèi)網(wǎng)IP的映射，這樣會(huì)將內(nèi)網(wǎng)資源直接暴露在公網(wǎng)，應(yīng)使用公網(wǎng)IP+公網(wǎng)端口+內(nèi)網(wǎng)IP+內(nèi)網(wǎng)端口的映射，并通過包過濾策略嚴(yán)格限制公網(wǎng)IP的范圍，僅允許授權(quán)的IP訪問，這樣才能保障在存在映射的環(huán)境下，內(nèi)網(wǎng)資源不被非法IP訪問。

4.1.2 DDOS攻擊防護(hù)

對(duì)于運(yùn)營(yíng)商或者大型網(wǎng)絡(luò)，使用流量清洗系統(tǒng)，在骨干網(wǎng)或內(nèi)容網(wǎng)絡(luò)，利用旁路集群部署，在不改變?cè)羞\(yùn)營(yíng)商網(wǎng)絡(luò)結(jié)構(gòu)的前提下，提供抵御海量DDoS攻擊的能力。

4.2 網(wǎng)絡(luò)劫持防護(hù)措施

4.2.1 DNS劫持防護(hù)

針對(duì)需要向虛假DNS請(qǐng)求的劫持情況，在核心層將DNS請(qǐng)求UDP53端口進(jìn)行管控，通過策略路由將本省DNS請(qǐng)求放行，將其他請(qǐng)求該端口數(shù)據(jù)指向安全防火墻，將DNS請(qǐng)求通過源NAT為防火墻內(nèi)部地址，然后在防火墻通過策略路由將該請(qǐng)求進(jìn)行回指，在防火墻接口出方向做目的NAT為本省DNS，使得異常DNS請(qǐng)求轉(zhuǎn)換為本省DNS請(qǐng)求，即使用戶側(cè)DNS被劫持，其DNS請(qǐng)求的結(jié)果仍然與本省DNS解析結(jié)果相同。

4.2.2 HTTP劫持防護(hù)

HTTP劫持，可通過管理手段和技術(shù)手段加以事前預(yù)防，二者相輔相成，缺一不可，同時(shí)對(duì)于已經(jīng)發(fā)生的劫持行為，通過劫持定位等相關(guān)措施最終消除現(xiàn)網(wǎng)隱患。

4.2.2.1 管理手段

正常情況下，運(yùn)營(yíng)商通過省干各平面的DPI或?qū)Ｓ梅止馄脚_(tái)將分光流量直接接入緩存、推送等業(yè)務(wù)系統(tǒng)，但是利用管理漏洞，可以將分光流量接入二層或三層交換機(jī)，在該交換機(jī)下存在正常使用分光流量業(yè)務(wù)，同時(shí)通過交換機(jī)對(duì)分光流量進(jìn)行復(fù)制，然后將分光流量輸入同一交換機(jī)下未授權(quán)的劫持服務(wù)器，導(dǎo)致異常劫持的發(fā)生，這種分光接入方式操作隱蔽，監(jiān)管困難，危害巨大。為避免此種情況的發(fā)生，通過管理手段需禁止將分光流量直接接入現(xiàn)網(wǎng)交換機(jī)，同時(shí)對(duì)DPI或分光平臺(tái)進(jìn)行定期檢查，對(duì)已經(jīng)停止使用的分光接口及未授權(quán)的分光端口進(jìn)行關(guān)閉。

4.2.2.2 技術(shù)手段

HTTP劫持行為通過偽造用戶源地址，對(duì)用戶進(jìn)行欺騙，使用URPF協(xié)議可以從技術(shù)層面進(jìn)行管控。

4.2.2.2.1 URPF協(xié)議原理

URPF（Unicast Reverse Path Forwarding）是一種單播反向路由查找技術(shù)，用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。通常情況下，網(wǎng)絡(luò)中的路由器接收到報(bào)文后，獲取報(bào)文的目的地址，針對(duì)目的地址查找路由，如果查找到則進(jìn)行正常的轉(zhuǎn)發(fā)，否則丟棄該報(bào)文。URPF通過檢查數(shù)據(jù)包中源IP地址，并根據(jù)接收到數(shù)據(jù)包的接口和路由表中是否存在源地址路由信息條目，來確定流量是否真實(shí)有效，并選擇數(shù)據(jù)包是轉(zhuǎn)發(fā)或丟棄。

4.2.2.2.2 具體操作步驟

已華為S9300系列交換機(jī)為例

進(jìn)入接口配置模式

4.2.2.3 劫持定位

根據(jù)劫持優(yōu)先響應(yīng)的原則，劫持點(diǎn)比源站距離用戶更近，劫持偽造報(bào)文的TTL值會(huì)明顯高于源站響應(yīng)的報(bào)文，通過wireshark抓包進(jìn)行跟蹤劫持報(bào)文情況，并根據(jù)報(bào)文的TTL值，對(duì)比tracert數(shù)據(jù)直觀定位劫持點(diǎn)。

4.3 不良信息防護(hù)措施

4.3.1 不良敏感信息掃描

使用不良信息審計(jì)系統(tǒng)，通過基于域名、關(guān)鍵字、正則表達(dá)式等多種組合，以及內(nèi)容審計(jì)策略掃描指定TOP網(wǎng)站，對(duì)被檢測(cè)站點(diǎn)網(wǎng)頁(yè)頁(yè)面進(jìn)行深度內(nèi)容掃描檢測(cè)，快速、準(zhǔn)確的分析判斷網(wǎng)頁(yè)頁(yè)面是否含有非法敏感信息、木馬信息等，實(shí)時(shí)告警響應(yīng)，從而有效防止不良信息擴(kuò)散，為追查取證提供有力支持。

4.3.2 不良敏感信息封堵

使用DPI等系統(tǒng)對(duì)用戶投訴、主動(dòng)探測(cè)等多種渠道發(fā)現(xiàn)的涉黃、暴力、反動(dòng)等不良信息進(jìn)行阻斷，采取丟棄策略，限制用戶訪問不良敏感信息，對(duì)已接入省內(nèi)內(nèi)容網(wǎng)絡(luò)的CP，發(fā)現(xiàn)不良信息需立刻采取封堵處理，同時(shí)要求CP處理，并限期要求CP提供整改報(bào)告，核實(shí)問題已解決后，方可恢復(fù)服務(wù)。

5 結(jié)束語

運(yùn)營(yíng)商通過加強(qiáng)自身監(jiān)管，并附以科學(xué)的技術(shù)手段支撐，做好信息安全保障，同時(shí)對(duì)接入內(nèi)容網(wǎng)絡(luò)的客戶進(jìn)行信息安全審核和管理，對(duì)接入的用戶行為進(jìn)行有效的管控，預(yù)防信息安全事件的發(fā)生，為用戶打造提供綠色、健康的網(wǎng)絡(luò)生態(tài)環(huán)境。