演讲主题:电信网络安全思考
演讲内容:中国电信江苏公司互联网与增值业务部 俞国兴
俞国兴:
各位领导、各位专家、各位同事下午好,非常荣幸能够参加此次论坛的演讲。我是中国电信江苏公司的俞国兴,今天我介绍的内容主要分成三大部分,一个是当前我们运营商面临的一个网络安全的形势,以及我们在宽带互联网、企业内部网络的安全管理方面的一些做法以及思路。
首先简单介绍一下中国电信江苏公司的网络的情况,江苏是经济比较发达的一个省份,外部良好经济环境也推动了江苏电信的发展。在我们江苏省内的六个基础电信运营商中,江苏公司历史最久,在固网、数据通信,综合信息服务领域具有显著的优势。在整个电信集团公司范围内,江苏公司在业务收入用户规模、网络规模方面,在各个省级公司中位于前列,仅次于广东公司,目前我们网内的宽带用户已经超过了400万。
江苏公司宽带互联网情况是这样,省网在南京和无锡与CHINANET骨干网进行互联,每个地市为单位,都有一个宽带城域网与省骨干相连,在网络规模方面,2007年,我出省带宽已超过400G,各个城域网的出口总带宽已经超过1000G,网络的规模也比较庞大。
下面我简单介绍一下面临的网络安全的形势。首先我援引一下国家计算机网络应急技术处理协调中心上半年度报告中的内容,觉得这个是运营商感同身受的一个情况。目前网络攻击者的攻击目标比较明确,针对不同的网站和用户,采用不同的攻击手段,攻击行为,趋利化的特点比较突出。恶意代码的目的性也比较强,有后门、蠕虫、木马、间谍软件、即时通讯软件等等,传播的途径和种类也比较多。据数据统计,上半年我们大陆地区,大概有一百多万个IP地址被植入木马,大陆区外大概有7万多个主机参与了对中国整个大网内的木马的控制。“肉鸡”在国内,控制端不少在国外,这样的网络安全形势下,运营网络面临很大的威胁。
从常见的网络安全事件来看,我们处理过的有DDOS攻击,蠕虫病毒、恶意代码、网络敲诈、垃圾邮件、病毒邮件,以及针对我们运营商的运营网络设备以及用户设备的一些口令猜测、暴力破解。针对政府网站和一些知名的电子商务类网站的网页篡改,仿冒网页事件也日益增多。右边这两个图片是我们处理过的两个涉及到政府网站的典型网络安全事件。上面那个是一个县级政府网站被黑的图片,是一个来自土耳其的黑客组织对网站的篡改;下面这张图片是国外的网站,是我国财政部的网站被仿冒的网页。
从运营网络的情况看,DDOS攻击和蠕虫病毒泛滥,成为运营商面临的最主要的安全问题。大部分DDOS攻击的时间虽然不是很长,但是造成的危害很大。这个表格当中是我们通过的一个基于流量采样的分析系统检测到的最近一个季度的统计数据。我们监测到异常总数
大概有12万多起,按照攻击的时间来分析,少于30分钟的攻击大概占到了88%左右,这对运营商响应攻击的能力提出了极大的要求,现有的维护体系、运营体系可能还需要不断地进行完善。
从DDOS攻击、DOS攻击的种类看,TCP型的攻击还是占主导地位的, ICMP型的攻击其次,UDP型的攻击位居第三,总体来说各种类型的攻击都有。用互联网上还没有分配的、非法的地址为源的攻击也不断地出现,这些攻击对电信的骨干网络以及对网内的客户都造成了很大的危害。
下面是两个具体的例子:从去年的九月份开始,江苏电信陆续监测到一些大数量级的攻击。在去年的9月7号,4个城域网先后遭受到跨省的DDOS攻击,从攻击的数量级看,针对某一个市里的宽带用户的攻击,可以导致一个市上联到省骨干网的多条电路完全拥塞。针对一个县级用户的攻击,可以导致一个县级网络节点到市节点的几条千兆数量级的电路全阻。从监测情况看,千兆这个数量级的攻击日益增多。由于大部分客户还不具备以千兆为单位接入互联网的条件,千兆级的攻击随时可以导致网络局部的瘫痪。在今年的2月28号,我们监测到数量级比较大的一个攻击,针对省内一个县级IDC用户的单个地址的攻击,流量达到了28G。随着骨干带宽的进一步扩充,攻击流量还可能进一步提升。
今年一到十月份,省网络安全小组直接参与处理的1个G以上的攻击就超过了60起。这些攻击如果不是针对一些低价值的客户,而是转向来攻击政府网站,重要的电子商务网站,如网上证券、网上银行,这些网站都有全部瘫痪的可能。
下面简单介绍一下江苏电信在宽带互联网的安全管理方面的一些做法。分成四个方面,一是通过建章立制来建成网络安全管理体系,二是运用安全管理平台实现集中统一的安全管理,三是如何实施蠕虫病毒等异常流量的监控,四是双因素口令认证系统对宽带核心网设备的保护。
首先介绍一下在安全管理方面的做法。中国电信江苏公司一直认为网络安全是“三分靠技术、七分靠管理”的工作,虽然很多解决网络安全问题的做法都要靠一些技术的手段,但管理方面的工作是运营商抓网络安全的一个基本保障。我们实际工作中也发现,很多的网络安全问题是由于管理上的疏忽,一些具体的制度执行不严等原因造成的。我们认为在跟踪技术变化,采取技术手段的同时,更要注重健全各项管理的制度,并检查执行情况。
江苏公司目前在省公司以及市级公司的明确了网络安全的管理机构,明确职责,在省公司配置了两名专职的网络安全管理员,在各个分公司配置了一到两名的兼职的网络安全管理员,就是建立起我们省市沟通的一个网络安全管理的一个渠道。网络安全管理员负责所辖区内的网络安全的整体管理工作,督促具体部门、人员,按照既定的网络安全的规则、制度落实网络安全技术措施。同时通过定期地组织网络安全管理员的培训,跟踪技术发展的趋势,沟通网络安全防范以及网络安全工作实施的心得、体会。随着近年来突发性的网络安全事件日益增多,我们也针对性地组织进行网络安全演练,通过制订网络安全预案,强化紧急情况下的应急处理方法。
第二部分,我介绍一下运用安全管理平台实施集中统一的安全管理。江苏电信作为中国电信集团公司安全管理平台的唯一试点省份,参与实施了SOC(安全管理平台)项目,在实施项目之前,电信各级网络中的网络安全设备种类比较多,数量也比较多,通过这些设备采集到的大量的网络安全事件,分散在各个独立的设备上,有的是在路由器上,日志服务器上,防火墙上,设备之间无法共享信息,只能反映局部的情况。通过实施安全管理平台,将分散在各个设备上的安全事件进行集中地收集汇总。
SOC是一个管理安全事件的平台,是网络安全数据的处理中心和指挥中心,它具备统一的安全事件的一个收集分析的功能、统一的安全设备的管理的功能,实施一个全面的告警和响应的管理,与电信的OSS系统进行有效地衔接,调度我们整个维护的体系。同时我们也通过门户网站以及案例,分享安全管理方面的心得。
安全管理平台体系结构分成三个层面,采集层、核心层和展现层,在采集层主要是通过各种SOC或者是数据库各类一些接口,收集我们设备的安全事件,脆弱性、系统配置的一些项目,并进行一些标准化的处理,给后期的分析提供格式化标准的一些信息。
在核心层主要是利用各种的引擎,对于标准化后的事件、漏洞、配置项,结合资产的信息展开分类的分析。将分析结果保存到专用的数据库中,用于日常的监控和问题的排查。在展现层主要是通过监控并处理高风险的告警,结合配置数据库实现各种安全服务的管理,包括故障、预警、变更、考核、支持管理等。
SOC平台在实施的时候,是以资产管理为核心,强化的主要是风险的管理。目前已经将绝大部分符合条件的设备纳入安全管理平台统一管理,这样所有城域网的核心路由器,所有的网络安全设备防火墙还有入侵监测设备,主流的应用系统主机,比如说我们像用户提供的DNS服务,邮件服务,宽带用户上网进行认证和费用的认证计费系统等都已经纳入其中。通过SOC平台内置的扫描引擎,定期扫描设备的漏洞以及配置的脆弱性,并根据扫描结果组织各级分公司进行漏洞的修补。
在SOC平台使用中也取得了不少的效果。一是通过主动的漏洞扫描能够发现问题,因为漏洞扫描是通过一些厂商的技术手段,替代人为的检测,相对来说比较标准化。二是大量减少了重复的告警,分散在各个设备上的告警数量很多,如果说每一个告警都需要逐一来判断、分析的话,目前的人力是远远不够的,通过进行归整以后,我们大量地重复告警、大量的相同的,级别比较高的就归整到高风险的告警上,在我们现有的人力范围内,得到了配置的最优化。SOC平台提供统计分析功能,可以提供各种报表。
下面介绍一下对于异常流量的监测。异常流量是网络中不得不面对的一个问题,江苏电信认为对于流量的监测与管理,是涉及到运营网络发展动力的问题、核心的问题。
前面的同事和专家都介绍过分布式的拒绝服务攻击的一些特点,这里我再简单地回顾一下,DDOS攻击,主要是借助于客户机/服务器的技术,将多个甚至几十万台的计算机联合起来形成一个攻击平台,对一个或多个目标发动攻击,成倍地提高拒绝服务的威力,在几秒钟内就有可能激活成千上万个代理程序运行攻击流量。通过监测,我们发现当前的攻击流量有这样的一些特点:首先就是攻击流量比较大,有的超过6G,大流量攻击很多是UDP协议流量。今年以来我们也发现TCP类型的协议攻击流量不断地增多,尤其是针对知名端口TCP80/TCP7000的攻击流量.
UDP的协议是面向无连接的,它并不需要建立连接,所以它能够线速地发送这样的流量;TCP型的攻击,主要是通过伪造数据包,消耗主机的资源。这些攻击流量不少采用了伪造源地址的技术,不少伪造源地址流量伪造得比较巧妙,很多绕开了运营商现有的网络安全的一些规则。伪造源地址的类型包括了:伪造国际上约定的一些保留地址和特殊用途的地址;伪造是尚未分配的合法的IP地址,根据IANA的统计,不到三分之一的A类地址尚未分配给任何一个运营网络和企业;来自本网一些攻击,有一些伪造了其他网络的,其他运营商、其他省的一些合法地址。在同一个城域网内,存在同一城域网内的用户伪造另外一个用户的地址进行攻击的情况。伪造源地址可以隐藏攻击者的身份,增加了溯源的难度。从大网的情况来看,全网的即时溯源能力尚待加强,很多攻击没办法溯源。在省内网络中,尽管我们实施了大量的伪造源地址控制策略,不少的网络节点可能还暂不具备对伪造源地址流量的控制能力。
根据行业主管部门向我们通报的数据,今年第三季度,累计监测到的国内大概有138万个地址被僵尸网络所控制,其中属于江苏的大概5.3万个,按照江苏电信在江苏宽带网络的市场份额,在江苏电信网内的被控主机数量可能要到三到四万个。如果说这些主机被同时调动起来,对网络的干扰一定非常可观。
我们发现当前攻击趋利化的特点非常明显,可以形象地把它称为“网络黑社会”,它对现实生活中的灰色网站进行了敲诈,主要是网吧、游戏的私服,IDC主机。这些被攻击的用户大多是可以利用互联网进行自身的赢利的。同时我们也发现有少量的具备独立盈利能力的电子商务类网站也遭受到敲诈。网络黑社会为现实社会提供了以网络为渠道的一些不正当的竞争手段,比如说网吧同业间的竞争引发的对于网吧的攻击和敲诈,一个网吧在最繁忙的时候经常断,那这个网吧就没人去了,不正当竞争就达到目标。
如何来控制这些异常流量?目前中国电信江苏公司是这么做的。首先我们觉得还是要从网络的基础着手,要持续加强网络内对于伪造源地址流量的控制,增强网络的溯源能力。只有保证溯源能力,我们才能保证找到参与攻击的主机的真实的分布。如果攻击者知道他每次发动的攻击别人都查不到,甚至他控制的“肉鸡”都查不到的话,攻击就会更肆无忌惮。
具体的做法是这样的,在全省的思科的设备上,启用反向路径转发uRPF的功能,确保这个端口流入的流量,都是这个端口以下的正常用户的地址所发出的流量。同时我们还在不具备uRPF功能的设备上,部署了伪造源地址的ACL过滤措施。同时针对一些常见的、影响面比较大的蠕虫病毒,我们在网络边缘,部署了大量的ACL过滤措施。
另外我们也在不断地探索,通过技术手段增强对DDOS攻击的流控和阻断的能力。假定攻击流量来源比较固定的话,我们可以在网络的更高层面进行丢弃。近期我们也在考虑针对性地部署流量清洗的系统,保障我们重要结点,重要用户在遭受攻击时,服务能够正常。
在异常流量监测方面,我们通过流量的采样技术,对于全网的流量进行分析,检测蠕虫和攻击。目前在省网、一些比较大的城域网,我们都通过对于流量的采样,由系统进行分析,对流量比较大、连接数比较大、特定端口的流量波动比较异常的网段、地址、客户进行监测,有针对性地采取措施。我们也注重利用异常流量监控系统提供的一些原始的数据和报表,不定期地对我们下属的各级机构进行通报,加强对我们市级分公司的考核和督促。
我们也利用技术手段对突发的异常流量进行监测。去年七月份,我们发现一个城域网内,发送出的一些流量非常异常,一个城域网发出大量UDP1026和1027的一些流量,占用了出口带宽大概1.5个G左右。进一步分析发现,这些流量都是来自于某一个托管主机用户分布在各个机房的托管主机发出的,这些流量是利用Windows操作系统信使服务发送大量的广告等垃圾信息,我们通过及时地处理,与用户协商,有效制止了这种异常流量。
接下来介绍一下利用双因素口令认证系统对于宽带网络核心设备保护的一些思路和方法。网络设备登录和口令的安全性是运营网络安全的一个基础。宽带城域网设备的安全性直接关系到江苏电信数百万宽带用户的正常业务。传统的口令管理方式,复杂的口令难以记忆,静态的口令越简单越容易受到来自互联网用户的猜测。传统的口令、帐号只区分普通用户或特权用户,无法对权限进行细分和授权。随着维护人员高度集中,设备类型增多,如果没有一套系统来支撑,原来管理制度上要求定期更改口令的工作就很难做到。
我们借鉴了内部网络部署的策略,在宽带城域网上部署了双因素口令认证系统,动态的口令每60秒可以更新一次。省骨干网,各市城域骨干网的设备和口令的管理已经全部纳入到这个系统。这个系统设置了两个认证服务器群,每个认证服务器群都分成主从的服务器,城域网的设备都指向两个不同的认证服务器群的不同的主机,达到一个冗余。
带来的好处就是我们所有的设备帐号由管理员统一管理,管理员通过中心管理平台,可以完成所有用户的开户、授权、审计和销户,设备维护人员在设备上的操作受我们中心服务器的统一的管控,一切越权的行为都无法操作执行。设备维护人员的所有操作在服务器中我们都有纪录,作为原始的审计信息。
最后一部分我介绍一下江苏电信企业内部网络的安全管理的思路,大概分成三个小部分,一个是内部网络到互联网的统一出口的建设和部署,二是以分公司为单位,建成内部网络的集中服务器区重点防护的策略,以及全省集中的补丁管理系统和防病毒系统的一个思路。
下面介绍一下内部网络和互联网的统一出口集中防控的情况。电信内部的各类营业机构、设备局点都是通过一个庞大的企业内部网络连接,目前单主机就有数万个。按照企业原先的规定,内部网络严禁与互联网相连接,但是随着企业应用的深入,企业内部网络产生了大量的与互联网的互访的需求。位于互联网的企业生产系统与企业内部网络的生产系统一定要进行互联。还有一些企业内部系统,因为客户服务的需要,需要向互联网的用户提供服务,;随着营业代理、维护代维的需要,有很多第三方的合作伙伴需要访问我们企业内部网络。原来不加管控的互联网访问通道,使企业内部网络与互联网存在大量的访问通道,这些通道任何一个管理不善就有可能影响内部网络的安全。
我们的做法是通过全省集中的建成一个内部网络与互联网的访问通道,由两组不同的厂家的防火墙分层防护,由省公司集中地进行配置、集中地部署安全的策略,建成这个通道以后,我们通过管理制度,严格控制内部网络的主机与互联网的非授权的互联,通过一个官方的通道满足了企业生产引发的互联需求,继续禁止员工个人非授权访问互联网。
另外我介绍一下我们内部网络安全区域的划分和集中防护的思路。电信企业和任何一个生产型的企业一样,都是以利润为目标的,尽管安全方面日益得到了领导层的关注,但投资也总是有限的。我们内部网络有几万个网元,我们怎么利用有限的投资来保持我们企业内部的各类生产系统业务的连续性呢?通过对比资产的价值,我们认为,承担企业主要业务、支撑的系统,价值比较高,不能停止服务。近年来我们做的一项重要的工作,就是我们评估资产的价值,在内部网络划分不同的区域,把承担企业重要生产和业务方面的系统相对集中,纳入服务器区实施集中的防护。通过划分一个网络的边界,配置路由器、防火墙进行集中的访问控制,按不同的区域和业务形态的需要,在一个区域里面还可以划分不同的子区域,分别定制访问控制等安全策略。通过网络的合理规划,划分VLAN,隔离不同的业务系统和终端,把单个终端对于内部网络的影响控制到最小。
最后介绍一下在部署安全补丁更新系统和企业防病毒系统方面的一些思路。随着内部网络里Windows主机日益增多,一些蠕虫病毒通过文件拷贝或者移动办公的形式进入内网,造成了蠕虫病毒的扩散,影响内部网络的正常运行。针对这样的情况,我们集中部署了省市两级的补丁更新系统和企业防病毒系统,由补丁系统服务器通过内外网互联的通道,及时获取微软等官方网站的最新的补丁,由防病毒企业级的服务器,集中地获取最新的病毒定义。内部主机,不需要访问互联网,通过连接内网的补丁更新系统和防病毒系统就可及时地下载和更新补丁、病毒定义,使Windows主机自身的缺陷能达到最小化。
通过这样的一个规划,避免了内网终端直接连互联网带来的安全问题,避免了内网主机同时联内网和互联网引起的安全问题。
感谢大家,我的介绍就到这里,谢谢大家。
|
