摘要：通信業(yè)支撐網(wǎng)安全是現(xiàn)代信息技術(shù)發(fā)展的必然趨勢(shì)。隨著移動(dòng)通信技術(shù)的飛速發(fā)展，電信產(chǎn)業(yè)的客戶(hù)群日益龐大，業(yè)務(wù)種類(lèi)日益多樣化，業(yè)務(wù)范圍也日益廣泛，這為通信產(chǎn)業(yè)的發(fā)展提供了機(jī)遇，同時(shí)也帶來(lái)了新的挑戰(zhàn)。為了滿(mǎn)足發(fā)展的需求，電信企業(yè)將不斷完善自己的業(yè)務(wù)支撐系統(tǒng)。通信行業(yè)的發(fā)展是離不開(kāi)互聯(lián)網(wǎng)技術(shù)的支撐。為了促進(jìn)通信行業(yè)的安全穩(wěn)定發(fā)展，必須加強(qiáng)對(duì)支撐網(wǎng)絡(luò)的安全防護(hù)。本文從目前通信產(chǎn)業(yè)支撐網(wǎng)的安全現(xiàn)狀出發(fā)，對(duì)存在的問(wèn)題進(jìn)行了分析，并給出了解決方案。

關(guān)鍵詞：通信業(yè)；支撐網(wǎng)；現(xiàn)狀；安全策略

一、引言

根據(jù)工業(yè)和信息化部頒布的電信和互聯(lián)網(wǎng)安全保護(hù)標(biāo)準(zhǔn)，支撐網(wǎng)主要是由一個(gè)獨(dú)立于業(yè)務(wù)網(wǎng)的、用來(lái)維護(hù)、經(jīng)營(yíng)和會(huì)計(jì)的綜合性信息系統(tǒng)構(gòu)成的網(wǎng)絡(luò)。

相對(duì)于其它類(lèi)型的網(wǎng)管，支撐網(wǎng)具有很大的規(guī)模和大量的界面，包括了計(jì)費(fèi)、帳篷、網(wǎng)管等重要的業(yè)務(wù)，所以，其安全問(wèn)題應(yīng)該是運(yùn)營(yíng)商的重點(diǎn)。同時(shí)，支撐網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)的數(shù)量和類(lèi)型以及服務(wù)的種類(lèi)都要比其他網(wǎng)絡(luò)設(shè)備多得多，支撐網(wǎng)絡(luò)的安全性問(wèn)題涉及了幾乎所有其他網(wǎng)絡(luò)設(shè)備的安全問(wèn)題。

二、通信業(yè)務(wù)支撐網(wǎng)的安全現(xiàn)狀

近幾年，我國(guó)通信技術(shù)發(fā)展迅速，但是目前通信服務(wù)支撐網(wǎng)絡(luò)的安全狀況不容樂(lè)觀，許多問(wèn)題仍未得到解決。

①拓?fù)浒踩詥?wèn)題，諸如某些網(wǎng)絡(luò)平臺(tái)安全、遠(yuǎn)程服務(wù)安全、終端安全等，支持網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)必須符合有關(guān)的工業(yè)和冗余容災(zāi)標(biāo)準(zhǔn)。而通信服務(wù)支持網(wǎng)絡(luò)的終端安全，則是指工作人員在維護(hù)終端設(shè)備的時(shí)候，或者是設(shè)備本身的問(wèn)題。通過(guò)這些服務(wù)，可以保證用戶(hù)、網(wǎng)絡(luò)、系統(tǒng)等多個(gè)方面的數(shù)據(jù)都能夠準(zhǔn)確的收集到，所以在網(wǎng)絡(luò)中，最容易出現(xiàn)問(wèn)題的就是遠(yuǎn)程服務(wù)，它的主要目的就是為了更好地管理通信服務(wù)，通過(guò)高質(zhì)量的管理來(lái)實(shí)現(xiàn)對(duì)服務(wù)器和設(shè)備的訪問(wèn)。網(wǎng)絡(luò)平臺(tái)的安全，是網(wǎng)絡(luò)服務(wù)支持網(wǎng)絡(luò)安全的一個(gè)重要內(nèi)容，它的核心是網(wǎng)絡(luò)安全，它可以直接地影響到網(wǎng)絡(luò)的安全。

②通過(guò)對(duì)相關(guān)調(diào)查的分析，發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)涫蔷W(wǎng)絡(luò)中使用頻率最低的問(wèn)題，其次是遠(yuǎn)程服務(wù)，其次是網(wǎng)絡(luò)平臺(tái)。

③在管理通信服務(wù)支撐網(wǎng)絡(luò)期間，通信業(yè)各運(yùn)營(yíng)商尤其缺少用于監(jiān)測(cè)通信服務(wù)支撐網(wǎng)絡(luò)的運(yùn)行狀況的監(jiān)測(cè)設(shè)施，以及對(duì)通信業(yè)務(wù)支撐網(wǎng)安全管理的規(guī)章制度亟待完善，通信業(yè)務(wù)支撐網(wǎng)安全防護(hù)工作的順利開(kāi)展受到了嚴(yán)重的影響，難以保障通信業(yè)務(wù)支撐網(wǎng)維護(hù)工作的質(zhì)量。

④關(guān)于通信服務(wù)支撐網(wǎng)絡(luò)的安全設(shè)計(jì)，目前國(guó)內(nèi)一些通信業(yè)運(yùn)營(yíng)商存在著一定程度的安全審計(jì)問(wèn)題，這使得網(wǎng)絡(luò)安全審計(jì)工作出現(xiàn)了很大的漏洞，特別是當(dāng)多個(gè)網(wǎng)絡(luò)管理員同時(shí)管理一個(gè)賬戶(hù)時(shí)，很容易出現(xiàn)保存、收集和整理等問(wèn)題，嚴(yán)重地影響了通信服務(wù)支持網(wǎng)絡(luò)的安全。

三、通信業(yè)務(wù)支撐網(wǎng)安全策略

（一）應(yīng)用網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻是實(shí)現(xiàn)通信服務(wù)支撐網(wǎng)安全的重要手段。網(wǎng)絡(luò)防火墻主要是安裝在通信服務(wù)支撐網(wǎng)的入口處，它能有效地保護(hù)中心的數(shù)據(jù)庫(kù)信息，通過(guò)嚴(yán)格的安全測(cè)試，才能保證數(shù)據(jù)的流通，避免數(shù)據(jù)丟失和感染。絕對(duì)準(zhǔn)則是防火墻的基本原理，它可以保證通過(guò)防火墻的所有信息和數(shù)據(jù)都得到了系統(tǒng)的許可，而不能進(jìn)行任何系統(tǒng)禁止的數(shù)據(jù)和操作。

針對(duì)目前我國(guó)通信服務(wù)支撐網(wǎng)的安全保護(hù)現(xiàn)狀，提出了一種新的防范措施。殺毒軟件可以從各個(gè)角度保護(hù)信息的流通，同時(shí)可以及時(shí)地檢測(cè)到隱藏在信息中的病毒，并對(duì)其進(jìn)行技術(shù)處理。通信服務(wù)支持網(wǎng)絡(luò)依靠的是電腦技術(shù)，而病毒對(duì)電腦的威脅是眾所周知的，它會(huì)導(dǎo)致電腦的癱瘓、系統(tǒng)的崩潰，從而導(dǎo)致電信網(wǎng)絡(luò)的網(wǎng)絡(luò)癱瘓，從而影響到網(wǎng)絡(luò)的安全。而反病毒軟件的設(shè)置，則是在大數(shù)據(jù)環(huán)境下，通信服務(wù)支撐網(wǎng)絡(luò)的第二道防線[1]。

（二）新型密碼相關(guān)技術(shù)的應(yīng)用

利用密碼的方式進(jìn)行數(shù)據(jù)加密，既可以為計(jì)算機(jī)系統(tǒng)提供密碼保護(hù)，又可以為數(shù)據(jù)的安全提供最直接的保護(hù)。和防火墻一樣，都是封鎖了所有的數(shù)據(jù)，不同的是，防火墻會(huì)將所有的數(shù)據(jù)進(jìn)行歸類(lèi)，讓系統(tǒng)認(rèn)可的數(shù)據(jù)通過(guò)，而數(shù)據(jù)加密技術(shù)，則需要輸入相應(yīng)的密碼，而非加密的數(shù)據(jù)，則是無(wú)法進(jìn)行加密的。在進(jìn)行通信服務(wù)支持網(wǎng)絡(luò)的安全保護(hù)時(shí)，如果不對(duì)數(shù)據(jù)進(jìn)行加密，就不能獲取相關(guān)的信息，而且還會(huì)給用戶(hù)帶來(lái)一些人為的安全隱患，比如黑客入侵之類(lèi)的，但如果采用防火墻之類(lèi)的保護(hù)措施來(lái)保護(hù)數(shù)據(jù)，將會(huì)極大地降低信息保護(hù)的工作效率。所以，為了保護(hù)這種數(shù)據(jù)，必須建立一個(gè)身份驗(yàn)證系統(tǒng)，并對(duì)其進(jìn)行權(quán)限設(shè)定，比如身份驗(yàn)證等，這是目前使用最多的一種認(rèn)證。在通信公司對(duì)員工進(jìn)行了身份驗(yàn)證后，該信息可以由經(jīng)過(guò)認(rèn)證的員工任意使用。作為支撐網(wǎng)絡(luò)安全的基礎(chǔ)，深入開(kāi)展新的加密技術(shù)具有十分重要的現(xiàn)實(shí)意義，電信運(yùn)營(yíng)商應(yīng)該主動(dòng)提高客戶(hù)的安全意識(shí)，以保證網(wǎng)絡(luò)的安全。

同時(shí)，電信運(yùn)營(yíng)商要加大對(duì)其經(jīng)費(fèi)的投資，為其提供有利的科研環(huán)境，促進(jìn)其發(fā)展，不斷優(yōu)化和創(chuàng)新已有的加密技術(shù)，提高其安全性，保證通信服務(wù)支撐網(wǎng)絡(luò)的安全性；同時(shí)，也應(yīng)該加強(qiáng)對(duì)通信服務(wù)支撐網(wǎng)絡(luò)的使用者的安全意識(shí)，引導(dǎo)他們積極地進(jìn)行相關(guān)的安全設(shè)置，積極地為他們的賬戶(hù)設(shè)定一些登錄權(quán)限，增加密碼的難度，從而有效地提高了通信服務(wù)支撐網(wǎng)絡(luò)設(shè)備的安全保護(hù)能力[2]。

（三）Web平臺(tái)安全

目前，許多應(yīng)用于不同的系統(tǒng)，都采用了基于網(wǎng)絡(luò)的管理平臺(tái)，但是這樣做帶來(lái)了便利，也造成了相應(yīng)的安全性問(wèn)題。在整個(gè)問(wèn)題中， Web平臺(tái)的安全問(wèn)題被發(fā)現(xiàn)的數(shù)量約占1/5。從更高的層次來(lái)看，網(wǎng)絡(luò)平臺(tái)的安全問(wèn)題可以分為認(rèn)證和參數(shù)修正兩大類(lèi)。驗(yàn)證缺陷主要有缺省或可推測(cè)的使用者賬號(hào)密碼、HTTP窗體暴力破解、會(huì)話管理漏洞等。參數(shù)修正的漏洞主要有指令注入、存取檔案、跨站程式碼攻擊等。

其中26.9%的平臺(tái)在檢查過(guò)程中出現(xiàn)了安全問(wèn)題，其中有26.9%的平臺(tái)是登錄模塊的設(shè)計(jì)，該系統(tǒng)只對(duì)用戶(hù)名和密碼進(jìn)行了兩次驗(yàn)證，不需要輸入任何特殊信息（如身份證號(hào)、工號(hào)）、不能進(jìn)行動(dòng)態(tài)認(rèn)證，最重要的是，不能在短時(shí)間內(nèi)多次登錄。

如果輸入的使用者名稱(chēng)不存在，那么暴力地破解賬號(hào)密碼就會(huì)變得相對(duì)簡(jiǎn)單。更有甚者，一些公司覺(jué)得自己的權(quán)限控制策略很?chē)?yán)格，索性就不設(shè)置登錄權(quán)限，讓訪問(wèn)者可以直接登錄該平臺(tái)進(jìn)行維護(hù)和管理。但他們并不知道，在所有的安全事故中，內(nèi)網(wǎng)的安全事故占據(jù)了70%，這種平臺(tái)會(huì)給公司的安全造成很大的威脅，而且這種平臺(tái)很難進(jìn)行安全審核[3]。最好的辦法就是在登錄頁(yè)面上設(shè)置登錄次數(shù)，當(dāng)?shù)卿洿螖?shù)達(dá)到一定數(shù)量后，這個(gè)賬號(hào)就會(huì)被暫時(shí)凍結(jié)。但這種方式會(huì)對(duì)合法使用者的正常使用造成一定的干擾，使干擾到的行為具有一定的時(shí)效性，所以在設(shè)置登錄次數(shù)的時(shí)候要根據(jù)實(shí)際情況進(jìn)行詳細(xì)的分析，并根據(jù)使用者的不同，設(shè)置一個(gè)合理的下載量。因?yàn)閺?qiáng)行破解需要花費(fèi)大量的時(shí)間去登錄網(wǎng)站，管理員還可以利用防火墻、IDS等安全檢測(cè)手段，在短時(shí)間內(nèi)連續(xù)嘗試登錄失敗的IP，并采取相應(yīng)的措施來(lái)阻止。當(dāng)然，對(duì)于用戶(hù)來(lái)說(shuō)，密碼的復(fù)雜程度要達(dá)到一定的標(biāo)準(zhǔn)，并且要定期地進(jìn)行更新。

支撐網(wǎng)絡(luò)管理平臺(tái)也存在著大量的敏感信息泄露，如目錄列表、源代碼泄露等，為黑客的后續(xù)攻擊提供了重要依據(jù)。所以，為了防止攻擊者獲得敏感的資料，應(yīng)該禁止訪問(wèn)這些網(wǎng)頁(yè)。

（四）遠(yuǎn)程服務(wù)安全

支撐網(wǎng)絡(luò)要處理大量的數(shù)據(jù)請(qǐng)求、數(shù)據(jù)采集和傳輸，因此需要大量的遠(yuǎn)程業(yè)務(wù)，這就給網(wǎng)絡(luò)的安全性提出了新的要求。遠(yuǎn)程服務(wù)分為三大類(lèi)：遠(yuǎn)程信息服務(wù)、遠(yuǎn)程維護(hù)服務(wù)、數(shù)據(jù)庫(kù)服務(wù)[4]。

1. Television Service的安全性

網(wǎng)絡(luò)服務(wù)包括 FINGER、 NTP、 SNMP、 rwho、 DNS等，這些業(yè)務(wù)都是提供系統(tǒng)、用戶(hù)和網(wǎng)絡(luò)的具體數(shù)據(jù)。在網(wǎng)絡(luò)信息服務(wù)的安全性上， SNMP的問(wèn)題最為突出，62.1%的運(yùn)營(yíng)商存在 SNMP的弱密碼，2個(gè)版本的 SNMP太老。SNMP的弱密碼對(duì)攻擊者來(lái)說(shuō)是非常重要的，它可以讓攻擊者利用Pub-lic的組字字符串來(lái)獲取主機(jī)名，用戶(hù)名，運(yùn)行的服務(wù)。

利用Private群體字符串，攻擊者可以入侵設(shè)備操作系統(tǒng)，獲取設(shè)備的簡(jiǎn)要表，其中有一個(gè)直接存取密碼。圖3是使用 SNMP寫(xiě)入許可群體字來(lái)修改目標(biāo)裝置信息。SNMP服務(wù)需要具備強(qiáng)大的讀寫(xiě)團(tuán)隊(duì)字字符串。此外，若要使用 SNMP，推薦使用SNMPv3，此版本采用 DES和MD5、 SHA技術(shù)，能更好地保障通訊的保密及合法使用者的身份認(rèn)證[5]。

2.遠(yuǎn)程維護(hù)服務(wù)安全

遠(yuǎn)程維護(hù)服務(wù)是為了管理目的，能夠直接對(duì)服務(wù)器和設(shè)備進(jìn)行遠(yuǎn)程訪問(wèn)，在安全檢查中發(fā)現(xiàn)故障的遠(yuǎn)程維護(hù)服務(wù)有 FTP、 SSH、 Telnet、 VNC、 rsh、遠(yuǎn)程臺(tái)式機(jī)等。

在遠(yuǎn)程維護(hù)服務(wù)的安全性問(wèn)題中，弱密碼問(wèn)題日益突出。弱密碼的危險(xiǎn)性很大，據(jù)我們的數(shù)據(jù)顯示，在70%的入侵中，弱密碼起到了至關(guān)重要的作用。弱密碼問(wèn)題并不是針對(duì)遠(yuǎn)程維護(hù)服務(wù)安全的，而是存在于各種類(lèi)型的安全問(wèn)題中。通過(guò)對(duì)支撐網(wǎng)絡(luò)的安全數(shù)據(jù)分析，發(fā)現(xiàn)所有設(shè)備和服務(wù)器的安全問(wèn)題中，有88.4%的設(shè)備和服務(wù)器存在著安全問(wèn)題。問(wèn)題之所以會(huì)這么嚴(yán)重，不僅僅是技術(shù)上的落后，還有一個(gè)重要的原因就是管理上的問(wèn)題。

弱密碼的產(chǎn)生有以下3個(gè)原因：一小部分是由于管理員的安全意識(shí)不強(qiáng)，為了方便而采用較弱的密碼；有些是廠商在開(kāi)發(fā)過(guò)程中，內(nèi)部的弱密碼，以適應(yīng)系統(tǒng)之間的通信需求；另外，管理員們也會(huì)用弱密碼來(lái)提高工作效率，例如，不同的服務(wù)器都要在同一個(gè)平臺(tái)上運(yùn)行，所以管理員才會(huì)設(shè)置一個(gè)容易記憶的弱密碼。解決弱密碼問(wèn)題，必須從多個(gè)方面入手：運(yùn)營(yíng)商必須調(diào)查相關(guān)系統(tǒng)與組織結(jié)構(gòu)的設(shè)定是否不恰當(dāng)；強(qiáng)化安全教育，增強(qiáng)員工的安全意識(shí)；與廠商溝通，在源碼開(kāi)發(fā)過(guò)程中，過(guò)程中所用的口令復(fù)雜程度要達(dá)到所需的口令，并且口令也要能隨時(shí)進(jìn)行更改；要轉(zhuǎn)變員工的評(píng)價(jià)方法和激勵(lì)機(jī)制，不僅要從生產(chǎn)效益出發(fā)，還要從安全角度出發(fā)，把安全工作也納入到工作量中[6]。

由于技術(shù)的發(fā)展，目前的遠(yuǎn)程維護(hù)服務(wù)已經(jīng)不再適合于使用，例如 Telnet Service、 rsh、 rexec、 rlogin等業(yè)務(wù)都是以明文方式進(jìn)行傳送的，它們很容易被入侵，因此應(yīng)該由 SSH業(yè)務(wù)取代。VNC的認(rèn)證機(jī)制很弱，所以也不能用。

由于運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)模越來(lái)越大，設(shè)備越來(lái)越多，出現(xiàn)了一種情況：一是運(yùn)營(yíng)商的日常維護(hù)工作經(jīng)常是由廠商來(lái)做，二是多個(gè)用戶(hù)同時(shí)使用同一個(gè)賬戶(hù)。另外，由于對(duì)審計(jì)工作的需求，運(yùn)營(yíng)商迫切需要采用“堡壘式”或“4 A”級(jí)的審計(jì)體系來(lái)進(jìn)行安全審核。這種安全審核體系既要滿(mǎn)足集中和精細(xì)兩個(gè)方面的需求，又要保證其安全性，并且要有足夠的備份，以防止由堡壘主機(jī)造成的單一故障[7]。

3.數(shù)據(jù)庫(kù)服務(wù)安全

在數(shù)據(jù)庫(kù)服務(wù)的安全性上，主要是由于使用的軟件版本太少而導(dǎo)致的弱密碼問(wèn)題，這些問(wèn)題之前已經(jīng)討論了，這里就不多說(shuō)了。

（五）信息安全

通信行業(yè)的支撐網(wǎng)絡(luò)，要做海量的數(shù)據(jù)統(tǒng)計(jì)，收集各種任務(wù)，這就導(dǎo)致了遠(yuǎn)程業(yè)務(wù)的出現(xiàn)。遠(yuǎn)程維護(hù)服務(wù)是為了管理目的，能夠直接對(duì)服務(wù)器和設(shè)備進(jìn)行遠(yuǎn)程訪問(wèn)，在安全檢查中發(fā)現(xiàn)故障的遠(yuǎn)程維護(hù)服務(wù)有 FTP、 SSH、 Telnet、 VNC、 rsh、遠(yuǎn)程臺(tái)式機(jī)等。為此，應(yīng)加強(qiáng)對(duì)審計(jì)工作和管理的改進(jìn)，注重技術(shù)的創(chuàng)新利用，確保審計(jì)系統(tǒng)的安全和建立相應(yīng)的備份機(jī)制，以避免由“堡壘”造成的單一故障。

四、結(jié)束語(yǔ)

要做好支撐網(wǎng)的安全保護(hù)工作，就需要樹(shù)立全局觀念。在現(xiàn)實(shí)工作中，運(yùn)營(yíng)商往往忽略了網(wǎng)絡(luò)的互聯(lián)特性，忽略了一些關(guān)鍵環(huán)節(jié)：例如，對(duì)于某個(gè)系統(tǒng)的安全保護(hù)可以做得很好，但是對(duì)相應(yīng)的輔助系統(tǒng)的關(guān)注不夠；網(wǎng)絡(luò)的邊界是嚴(yán)格的，但內(nèi)部的網(wǎng)絡(luò)是沒(méi)有任何防護(hù)的；經(jīng)檢查，約40%的電信公司辦公終端存在嚴(yán)重的安全問(wèn)題。要做好支撐網(wǎng)的安全保護(hù)，除以上所述的安全問(wèn)題之外，還應(yīng)對(duì)網(wǎng)絡(luò)的安全性進(jìn)行分區(qū)，通過(guò)防火墻策略、路由器 ACL配置等手段對(duì)網(wǎng)絡(luò)中的惡意 IP進(jìn)行監(jiān)測(cè)和篩選。針對(duì)某些長(zhǎng)期無(wú)法解決的問(wèn)題，必須從深層次剖析，綜合提升制度、組織、人員、技術(shù)等各個(gè)層面的適應(yīng)性。

作者單位：余發(fā)科 廣東南方電信規(guī)劃咨詢(xún)?cè)O(shè)計(jì)院有限公司

參? 考? 文? 獻(xiàn)

[1]朱延敏. 我國(guó)通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對(duì)策探討[J].數(shù)字通信世界，2021（02）：126-127.

[2]黃煒瑋. 我國(guó)通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對(duì)策探討[J].中國(guó)新通信，2016，18（20）：10，11.

[3]李藝成. 關(guān)于通信業(yè)支撐網(wǎng)安全策略探討[J].信息通信，2020（08）：256-257.

[4]江瑞宇，胥小偉，張英孔. 通信業(yè)支撐網(wǎng)安全策略研究[J].數(shù)字通信世界，2019（05）：100.

[5]杜躍進(jìn)，王偉哲. 我國(guó)通信業(yè)支撐網(wǎng)安全現(xiàn)狀分析及對(duì)策探討[J]. 電信網(wǎng)技術(shù)，2011（03）：43-47.

[6]江瑞宇，胥小偉，張英孔. 通信業(yè)支撐網(wǎng)安全策略研究[J]. 數(shù)字通信世界，2019（05）：100.

[7]殷小紅，程紅波. IT支撐網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀及其發(fā)展建議[J]. 通信管理與技術(shù)，2011（02）：19-21.

余發(fā)科（1977.06-），男，漢族，廣東深圳，本科，高級(jí)工程師，研究方向：5G網(wǎng)絡(luò)、IP承載網(wǎng)、支撐網(wǎng)的網(wǎng)絡(luò)規(guī)劃和技術(shù)演進(jìn)。