【文章內(nèi)容簡介】 降低部署成本的基礎(chǔ)上，大力提升全網(wǎng)攻擊防御能力；主動防御，對異常流量的主要來源之一 Botnet 進行監(jiān)控，在其形成危害之前消除。目前業(yè)界主要利用 DPI 和蜜網(wǎng)技術(shù)進行 Botnet 檢測，但蜜網(wǎng)需要在全網(wǎng)分布式部署蜜罐系統(tǒng)，DPI 則需要在省網(wǎng)網(wǎng)絡(luò)出口部署，部署難度及成本均較高。據(jù)此，中國電信網(wǎng)絡(luò)安全實驗室已提出了一種基于網(wǎng)絡(luò)流量特征和 DNS 分析進行僵尸網(wǎng)絡(luò)追溯的方案，部署難度及成本均較低，只需要對現(xiàn)有 DNS 系統(tǒng)進行改造，并與現(xiàn)有的攻擊溯源系統(tǒng)對接即可。具體步驟如下：通過攻擊溯源系統(tǒng)得到僵尸主機 IP 地址；第 10 頁 共 33 頁中國電信網(wǎng)絡(luò)安全技術(shù)白皮書(2010 年版)改造現(xiàn)有的 DNS 系統(tǒng)，使之具備關(guān)聯(lián)查詢和統(tǒng)計分析功能；將僵尸主機 IP 導(dǎo)入到 DNS 分析系統(tǒng)中，分析僵尸主機 IP 地址所共同訪問的域名；找到僵尸域名后，根據(jù) DNS 訪問記錄，找出訪問僵尸域名的僵尸主機；根據(jù)僵尸主機 IP 地址進行僵尸網(wǎng)絡(luò)的清理工作。. 支撐系統(tǒng)安全支撐系統(tǒng)包括 DNS、CTGMBOSS 等，支撐著中國電信網(wǎng)絡(luò)和業(yè)務(wù)的正常運營。CTGMBOSS 處于內(nèi)部專網(wǎng)，一般采用安全域劃分、邊界防護等方式實現(xiàn)系統(tǒng)之間的隔離，控制安全風(fēng)險的影響范圍；采用嚴格的訪問控制策略，防止非授權(quán)用戶的訪問，并根據(jù)安全規(guī)范和安全策略，對設(shè)備進行安全管理和加固，實現(xiàn)設(shè)備層的安全防護。總的來看，設(shè)備層面的安全風(fēng)險較低，建議加強內(nèi)控，完善用戶權(quán)限管控和安全審計工作。DNS 為公眾提供域名解析服務(wù)，發(fā)生故障后的影響范圍較大，因此，需要重點加強安全防護。目前，DNS 面臨的安全威脅主要有兩類：一類是域名劫持、緩存中毒等 DNS 欺騙攻擊，將用戶引導(dǎo)到錯誤的站點；另一類是 DDoS 等異常流量攻擊，使 DNS 服務(wù)器無法響應(yīng)用戶域名解析請求。DNS 欺騙攻擊源于 DNS 協(xié)議自身設(shè)計存在安全缺陷，無法保障 DNS 信息的真實性。DNS 安全擴展協(xié)議（DNSSEC）解決了此問題，依靠公鑰技術(shù)對 DNS中的信息進行數(shù)字簽名，為 DNS 提供認證和信息完整性檢查，其公共密鑰來源于根域名服務(wù)器。目前，.gov 頂級域名已經(jīng)開始采用 DNSSEC 協(xié)議，瑞典、巴西等國的頂級域名也采用了 DNSSEC。但是，DNSSEC 的部署還存在很多問題：首先，DNSSEC 增加了多次驗證簽名的過程，對網(wǎng)絡(luò)及服務(wù)器性能影響較大，同時，DNSSEC 比 DNS 對時間更為敏感，系統(tǒng)時鐘必須非常準確；另外，根域名服務(wù)器信任定位點的密鑰不受我們自主控制。因此，DNSSEC 的部署條件尚不成熟，現(xiàn)階段暫不建議大網(wǎng)實施。對于異常流量的安全防護，主要有兩種思路。其一是對發(fā)往 DNS 節(jié)點的總流量進行限速，避免 DNS 系統(tǒng)因流量過載而癱瘓。由于正常用戶流量被淹沒在第 11 頁 共 33 頁中國電信網(wǎng)絡(luò)安全技術(shù)白皮書(2010 年版)異常流量中，總流量限速依然會影響正常用戶，同時，其對于非帶寬占用的 DDoS攻擊無效。因此，此方法只能作為異常流量防護的輔助手段。其二是采用 Anycast架構(gòu)，將一個 Anycast 多播地址標(biāo)識一組提供 DNS 服務(wù)的主機，訪問該地址的DNS 請求報文將被路由到這一組 DNS 服務(wù)器中路由最近的一臺主機上。當(dāng)Anycast 組中某些成員受到攻擊時，負責(zé)報文轉(zhuǎn)發(fā)的路由器根據(jù)各個組成員的響應(yīng)時間來決定報文應(yīng)該轉(zhuǎn)發(fā)到哪里，從而減輕網(wǎng)絡(luò)擁塞給用戶帶來的影響，同時，可以分散 DDoS 攻擊流量，降低 DDoS 攻擊對網(wǎng)絡(luò)和系統(tǒng)所造成的影響。目前，電信大部分 DNS 系統(tǒng)不是 Anycast 架構(gòu)，整改工作量較大，建議新建 DNS 系統(tǒng)考慮應(yīng)用 Anycast 架構(gòu)。因此，從可行性考慮，目前應(yīng)重點完善 DNS 安全監(jiān)控手段，針對異常流量以及 DNS 欺騙攻擊的特點， DNS 服務(wù)器健康情況、對DNS 負載均衡設(shè)備、DNS系統(tǒng)解析情況等進行監(jiān)控，及時發(fā)現(xiàn)并解決安全問題。建議重點進行如下安全數(shù)據(jù)分析和告警：DNS 域名穩(wěn)定性分析：是否存在查詢的次數(shù)變化幅度比較大的域名；DNS 域名劫持主動和被動監(jiān)控：緩存服務(wù)器是否收到不斷變化前綴的NXDOMAIN 域名請求；上層授權(quán)服務(wù)器返回緩存服務(wù)器中 DNS 應(yīng)答記錄中 Additional A 記錄的變化；重點域名是否存在不同的應(yīng)答，包括 A記錄和 NS 記錄；DNS 惡意請求分析：統(tǒng)計分析單 IP 大量域名請求、不存在域名請求、大量突發(fā)失效域名的查詢。. 應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)是電信業(yè)務(wù)的載體，其安全關(guān)系著電信業(yè)務(wù)的正常運營，重要性不言而喻。在 2009 年應(yīng)用系統(tǒng)抽樣安全檢查中，發(fā)現(xiàn)部分應(yīng)用系統(tǒng)存在嚴重的Web 應(yīng)用安全漏洞，攻擊者可以利用這些安全漏洞獲取系統(tǒng)數(shù)據(jù)庫的用戶名和密碼、表結(jié)構(gòu)信息以及用戶的賬號/密碼/身份證等敏感信息，還可以通過惡意構(gòu)造的鏈接欺騙用戶或管理員點擊，傳播木馬。應(yīng)用系統(tǒng)安全分為 3 個層次：主機層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全。主機層安全和網(wǎng)絡(luò)層安全主要通過傳統(tǒng)的平面隔離和邊界防護、實施嚴格的訪問控制第 12 頁 共 33 頁中國電信網(wǎng)絡(luò)安全技術(shù)白皮書(2010 年版)策略和防病毒策略、設(shè)備安全加固、規(guī)范以及設(shè)備的安全管理等技術(shù)手段，此處不再贅述，下面將主要從應(yīng)用層角度出發(fā)闡述應(yīng)用系統(tǒng)的安全防護技術(shù)及建議。應(yīng)用層安全主要分為兩個方面：業(yè)務(wù)流程安全以及應(yīng)用軟件自身的安全。目前，電信業(yè)務(wù)系統(tǒng)普遍采用賬號/口令的認證方式，安全性依賴于口令的復(fù)雜度，且傳輸過程普遍未經(jīng)加密傳輸，容易被竊取。建議對于敏感數(shù)據(jù)實行加密傳輸，并且采用口令+隨機短信、口令+接入物理信息、接入物理信息+隨機短信等雙因素認證方式，對于大客戶資料變更和業(yè)務(wù)辦理等則采用最高安全級別的USB Key 認證方式。應(yīng)用軟件自身安全問題本質(zhì)上源于軟件質(zhì)量問題。為提升應(yīng)用軟件的安全性，應(yīng)要求軟件開發(fā)商在應(yīng)用系統(tǒng)軟件開發(fā)生命周期中遵循安全編碼原則，并在系統(tǒng)上線前使用源代碼安全分析工具或者應(yīng)用安全掃描工具等進行測試，及早發(fā)現(xiàn)并消除安全漏洞。對于已經(jīng)上線的某些業(yè)務(wù)系統(tǒng)，由于其定制化特點決定了沒有通用補丁可用，而整改代碼則代價過大，較難實行。目前應(yīng)用層防火墻（WAF）可以進行協(xié)議解析和編碼還原，對請求的內(nèi)容進行安全性和合法性的檢測和驗證，相對于傳統(tǒng)防火墻來說，檢測精度更高，粒度更細。因此，對于已上線的應(yīng)用系統(tǒng)建議部署應(yīng)用層防火墻進行安全防護。網(wǎng)頁“掛馬”是目前比較泛濫的安全問題，主要有兩種解決思路。一種是事前防御，防止網(wǎng)頁被惡意篡改。通過動態(tài)學(xué)習(xí)功能，對整個網(wǎng)站的構(gòu)架進行學(xué)習(xí)和復(fù)制，將每個參數(shù)和其對應(yīng)的值進行鎖定，在此基礎(chǔ)上，對所有的 HTTP 請求進行全面掃描，識別其中包含的惡意命令、惡意腳本，阻斷一切與初始網(wǎng)頁不匹配的參數(shù)。另一種是健康體檢，及時發(fā)現(xiàn)并解決問題。利用爬蟲技術(shù)定期自動抓取網(wǎng)站的內(nèi)容，在本地檢測分析是否存在惡意代碼、木馬鏈接等。這兩種技術(shù)各有千秋，前者實時性好，但個性化強，保護范圍較小；后者具有一定的滯后性，但通用性強，可保護的范圍大。建議在電信內(nèi)部的 Web 應(yīng)用系統(tǒng)前部署 WAF 設(shè)備，實現(xiàn)防掛馬、防注入等 Web 安全防護。同時，可以考慮與專業(yè)安全公司合作，利用爬蟲掃描技術(shù)，為中國電信的客戶提供網(wǎng)站掛馬檢測服務(wù)。. 安全管理網(wǎng)絡(luò)安全專業(yè)化的趨勢使網(wǎng)絡(luò)安全管理成為電信運營商網(wǎng)絡(luò)運營工作的一第 13 頁 共 33 頁中國電信網(wǎng)絡(luò)安全技術(shù)白皮書(2010 年版)項重要課題。網(wǎng)絡(luò)安全管理平臺 SOC 作為網(wǎng)絡(luò)安全管理的重要技術(shù)支撐手段，是目前中國電信網(wǎng)絡(luò)安全工作的重點。SOC 平臺在國內(nèi)外有不同的定位。國外 SOC 平臺主要定位為安全業(yè)務(wù)運營平臺，提供安全外包服務(wù)，國外電信運營商（如 ATamp。T、NTT、MCI 等）以及安全廠商（如 IBM、Symantec 等）都已開展了基于 SOC 平臺的安全服務(wù)。國內(nèi) SOC平臺主要定位為網(wǎng)絡(luò)運維支撐平臺，面向企業(yè)網(wǎng)或電信大網(wǎng)進行統(tǒng)一安全管理，通過統(tǒng)一的安全風(fēng)險監(jiān)控、分析、報警和響應(yīng)，為統(tǒng)一的安全策略管理、安全風(fēng)險管理、安全預(yù)警管理、安全知識管理等提供技術(shù)平臺支撐。但是目前國內(nèi)廠商推出的 SOC 平臺更多的適用于企業(yè)網(wǎng)等局域網(wǎng)的安全管理，對于電信大網(wǎng)的安全管理還不夠成熟，需要廠商與電信運營商進一步溝通與磨合。國內(nèi) SOC 平臺主要有以下發(fā)展趨勢：由面向資產(chǎn)或面向風(fēng)險的安全管理向面向業(yè)務(wù)的安全管理的方向轉(zhuǎn)變。強調(diào)業(yè)務(wù)流程和業(yè)務(wù)價值，實現(xiàn)對業(yè)務(wù)連續(xù)性的監(jiān)控、業(yè)務(wù)安全性的審計和業(yè)務(wù)風(fēng)險的度量；由安全運維管理平臺向安全綜合運營管理平臺的轉(zhuǎn)變。在加強 SOC 平臺面向內(nèi)部安全運維支撐管理的基礎(chǔ)上，面向外部客戶提供可管理安全業(yè)務(wù)；關(guān)聯(lián)分析技術(shù)向基于業(yè)務(wù)價值和流程的關(guān)聯(lián)分析發(fā)展。關(guān)聯(lián)分析屬性將更多的基于業(yè)務(wù)價值和流程，但這需要 SOC 平臺的廠家結(jié)合不同網(wǎng)絡(luò)需求和業(yè)務(wù)流程進行定制，提供豐富的關(guān)聯(lián)規(guī)則模板；與云計算技術(shù)的結(jié)合。SOC 平臺可為云計算服務(wù)提供技術(shù)支撐，成為云計算、云安全的安全管理后臺；同時可利用云計算技術(shù)對 SOC 平臺架構(gòu)進行優(yōu)化，提高 SOC 平臺服務(wù)的效率和可靠性、安全性。目前中國電信 SOC 平臺定位為中國電信網(wǎng)絡(luò)安全綜合監(jiān)控、分析、告警和響應(yīng)的專業(yè)化、流程化的安全運營管理平臺，面向 IP 承載網(wǎng)、IP 網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)、IP 網(wǎng)所承載的業(yè)務(wù)網(wǎng)絡(luò)、電信內(nèi)部網(wǎng)絡(luò)以及電信內(nèi)部業(yè)務(wù)系統(tǒng)、安全業(yè)務(wù)系統(tǒng)提供統(tǒng)一的安全風(fēng)險管理、安全服務(wù)管理以及安全策略管理、安全預(yù)警管理、安全考核管理、報表管理、安全設(shè)備性能管理等安全運維管理，并將垃圾郵件處理系統(tǒng)、異常流量管理系統(tǒng)、異常流量監(jiān)控系統(tǒng)、DNS 安全分析系統(tǒng)、第 14 頁 共 33 頁中國電信網(wǎng)絡(luò)安全技術(shù)白皮書(2010 年版)DDoS 攻擊溯源系統(tǒng)、蜜罐系統(tǒng)、安全態(tài)勢分析系統(tǒng)、終端安全管理系統(tǒng)、僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)等專業(yè)安全子系統(tǒng)的告警信息作為事件源在 SOC 平臺進行集中監(jiān)控、關(guān)聯(lián)、告警和響應(yīng)。中國電信在 2003 年由集團統(tǒng)籌建設(shè)了集團、江蘇兩個試點 SOC 平臺，初步構(gòu)建了二級 SOC 平臺架構(gòu)，湖南、廣東、福建等省也開展了 SOC 平臺的建設(shè)。其中集團 SOC 平臺通過三期的擴容工程建設(shè)，目前已實現(xiàn)對 IP 承載網(wǎng)、網(wǎng)管網(wǎng)、部分 C 網(wǎng)業(yè)務(wù)系統(tǒng)等的集中安全管理，建設(shè)了部分專業(yè)安全子系統(tǒng)，初步形成了全網(wǎng)安全集中監(jiān)控、分析、處理的流程化安全管理能力。結(jié)合國內(nèi) SOC 平臺發(fā)展趨勢以及中國電信 SOC 平臺的現(xiàn)狀，對中國電信SOC 平臺的技術(shù)發(fā)展建議如下：進一步深化集團 SOC 平臺對大網(wǎng)的安全管理能力。擴充平臺管轄范圍：實現(xiàn)對 C 網(wǎng)業(yè)務(wù)系統(tǒng)、C 網(wǎng)分組域、集團 DCN網(wǎng)等的安全管理，并為向互聯(lián)網(wǎng)接入用戶開展安全服務(wù)提供技術(shù)儲備；擴展平臺功能：提高安全態(tài)勢分析能力，部署安全態(tài)勢分析系統(tǒng)、蜜罐系統(tǒng)；加強路由安全，增加對路由的安全監(jiān)測和分析功能；加強僵尸網(wǎng)絡(luò)監(jiān)控能力，部署僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)；提升關(guān)聯(lián)分析能力，以業(yè)務(wù)流程為導(dǎo)向制定關(guān)聯(lián)分析模板；同時進一步提升垃圾郵件處理、DNS 安全分析、DDoS 攻擊防御等專項安全管理能力。以中國電信 SOC 平臺定位為導(dǎo)向，推動省級 SOC 平臺發(fā)展。已建 SOC 平臺的省公司，根據(jù)集團規(guī)范要求，對本省 SOC 平臺進行改造及優(yōu)化，加強路由安全、異常流量管理、基于業(yè)務(wù)流程的關(guān)聯(lián)分析等功能，強化 SOC 平臺的運維及管理職能，加強對各種安全數(shù)據(jù)、信息的分析、處理能力，解決與集團 SOC 平臺的接口問題；未建 SOC 平臺的省公司，根據(jù)集團規(guī)范要求，構(gòu)建本省 SOC 平臺基礎(chǔ)框架，重點面向 IP 承載網(wǎng)以及 IP 網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)實現(xiàn)安全事件管理、安全脆弱性管理、安全風(fēng)險管理、安全策略管理、安全預(yù)警、安全響應(yīng)等功能，為日常安全運維及管理提供基本的監(jiān)控手段及技術(shù)支撐，并加快對異常流量管理、DNS 安全分析、垃圾郵件處理等專業(yè)安全子系統(tǒng)的部署和優(yōu)化。第 15 頁 共 33 頁中國電信網(wǎng)絡(luò)安全技術(shù)白皮書(2010 年版). IPv6 網(wǎng)絡(luò)演進目前國家已經(jīng)確定 IPv6 網(wǎng)絡(luò)作為下一代網(wǎng)絡(luò)發(fā)展的目標(biāo)，中國電信已在湖南長沙部署了 IPv6 商用網(wǎng)，實現(xiàn)了試點 IDC 的 IPv6 化及 IPv6 版互聯(lián)星空湖南站的上線，初步采用了以雙棧技術(shù)為主的過渡策略。網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)建設(shè)的一個重要方面，須與 IPv6 網(wǎng)絡(luò)進行同步規(guī)劃和構(gòu)筑。盡管 IPv6 協(xié)議在設(shè)計時考慮了安全問題，但與很多人的認識不同，在 IPv6環(huán)境下安全性相較于 IPv4 網(wǎng)絡(luò)并沒有大的提升：首先，IPv6 網(wǎng)絡(luò)在 IP 層引入了 IPv6 協(xié)議，在網(wǎng)絡(luò)架構(gòu)上采用雙棧等過渡技術(shù)以 IPv4 網(wǎng)絡(luò)為基礎(chǔ)進行逐步演進，因此在網(wǎng)絡(luò)安全架構(gòu)上沒有質(zhì)的改變。其次，IPSec 機制作為 IPv6 數(shù)據(jù)包頭的一部分內(nèi)嵌到協(xié)議本身，盡管能使IPSec 中間路由過程加快，但是在 IPSec 部署實施上與 IPv4 并沒有明顯不同，同樣需配套 PKI 等體系的建設(shè)。第三，雖然 IPv6 環(huán)境下掃描和分片攻擊類的實施將比 IPv4 環(huán)境變得困難，但溢出類和 DDoS 等資源占用類攻擊在 IPv6 環(huán)境下實施并未有難度上的變化，該類攻擊在網(wǎng)絡(luò)攻擊危害中仍占據(jù)主導(dǎo)地位，網(wǎng)絡(luò)安全威脅在 IPv6 環(huán)境仍將嚴峻。第四，IPv6 網(wǎng)絡(luò)同樣需考慮應(yīng)用層、傳輸層、物理層等的安全。因此，在目前中國電信 IPv4 網(wǎng)絡(luò)向 IPv6 網(wǎng)絡(luò)過渡的時期，仍需從多方面考慮安全體系架構(gòu)的建設(shè)和完善，在原有 IPv4 環(huán)境下安全措施改進的基礎(chǔ)上，加強對 IPv6 特定安全問題的防范以及對過渡技術(shù)安全問