电信网络安全隐患与对策探析

李建国

（淮北师范大学计算机科学与技术学院，安徽 淮北235000）

随着Internet网络的普及，电信网络技术也有了较快的发展，越来越成为人们之间沟通的重要手段，而且已渗入到社会的方方面面，为电信运营商带来了巨大的经济效益，为社会的发展起到了重要的推动作用。但网络攻击技术也随之快速发展起来，而且日渐成熟。通过近年来国内外的重大网络安全事件分析来看，目前的网络攻击手段已呈现出规模化、协同化、自动化的特点。网络攻击已经对国家的安全，社会的稳定，以及包括电信运营商在内的国有企业和客户的利益造成了较大的危害。因此，电信网络的安全问题，已引起业内人士的广泛关注。

1 电信网络存在的安全隐患

1.1 病毒和恶意程序攻击

随着移动互联网的快速发展，用户群体的日益壮大，病毒和恶意程序对电信网络和客户端的攻击也日渐猖獗，例如网络钓鱼软件的肆意传播，还有恶意扣费、垃圾短信以及利用电信网络的进行欺诈行为等等，都给广大用户带来了莫大的烦恼，甚至是巨大的经济损失。

CNCER数据统计表明，2012年有162981种恶意程序样本被通报，比前一年增长了25倍，其中恶意吸费类的恶意程序居多，占据了39.8%的比例，流氓行为类的占据27.7%，资费消耗类的占据11%。

1.2 分布式拒绝服务式攻击

分布式拒绝服务式攻击(DDoS:Distributed Denial of Service)是在拒绝服务式攻击（Dos）的基础上发展起来的一种新型的攻击方式。Dos攻击时利用TCP/IP协议的特点，通过连续发送大量的SYN请求，对服务区资源大量“非法”占用，致使服务器无法响应正常的服务请求，从而导致服务器服务功能的瘫痪，攻击成功。然而，随着计算机与网络技术的发展，网络服务器的内存增大，处理器处理能力有了增强，使得Dos攻击难度增大。这时，就产生了分布式拒绝服务式攻击(DDos),这种攻击方式采用了C/S技术，联合分布在不同地点的主机，对同一个目标共同发动Dos攻击，这种分布式的联合攻击，大大超出了网路服务器的处理能力，从而达到攻击的目的。

当前，高速的电信网络在给客户带来方便的同时也为DDos攻击提供了有利条件。当前，电信骨干网络的连接都达到了G级，这将意味着攻击者可以通过利用更远距离的主机作为傀儡主机，采取更大范围的攻击模式，是服务器陷入瘫痪。

1.3 漏洞攻击

众所周知在硬件设计、软件编程、协议规划以及系统的安全策略方面都会存在或多或少的缺陷，这些缺陷被称为漏洞。攻击者往往会利用漏洞对操作系统、服务器软件、防火墙以及路由器设备等造成致命的打击。漏洞的分类主要有：软件在编写过程中产生的BUG、系统配置的不当、用户口令失窃、Tcp/Ip协议本身的缺陷等等。

1.4 网络管理缺陷

有的电信企业不能够很好的对其自身的业务情况、网络环境、管理模式等行业特性作全面的分析，没有健全的的安全体系结构、安全保障体系以及服务保障体系。因而就无法对网络实施科学、有效的管理。同时，在公司内部的安全管理方面，各个安全机构之间缺乏交流，对协调处理安全事件的力度不够。另外，网络管理人员在平时工作中安全意识淡薄，可能会造成主机口令的丢失或不能及时更新口令。这些因素都会构成对网络安全的威胁。

2 电信网络安全对策分析

对于电信网络的安全问题应该从管理和技术两个层面加以研究，要建立一套统一的防御体系，除了要有必要的技术支持，也要有科学、有效的管理措施，才能阻止非法者的入侵，降低网络的安全风险。

2.1 技术层面的安全对策

2.1.1 采取防火墙技术

防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统，目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访，从而实现内网保护。为了保护电信网络不受外来黑客的攻击，应该在每台交换机的操作系统和终端设备上安装防火墙软件。

2.1.2 运用虚拟专用网技术

虚拟专用网络（Virtual Private Network，简称VPN），就是通过专用的网络技术，在公共网中建立一条安全、临时的专用通道。虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。这样将电信网络划分为若干虚拟网络的方法，打破了整个共享网络中地域的束缚，同时也提高了虚拟网的管理功能。

2.1.3 建立入侵检测系统

入侵检测系统（Intrusion Detection System）是一种基于网络实时监测的主动防御系统，该系统对网络的非法攻击，能够提前预警。网络防火墙虽然在某种程度上阻止了外来用户对服务器的非法访问，可是却无法有效地防范内部用户的攻击，尤其是对数据驱动类型的攻击手段，而入侵检测系统可以弥补防火墙在这方面的缺陷。是电信网路的安全问题得到更好的解决。

2.1.4 建立病毒和恶意程序防御系统

由于病毒和恶意代码攻击给广大客户和运营商带来的损失越来越大，电信部门应该在整个国内互联网领域加大投入力度，采取更加有效的安全防护措施。包括建立一整套的全国性的病毒恶意代码监控体系，将集中监控模块分布到各个省中心节点，实施分布式处理，实时预警，实现整个网络安全监测全覆盖。近几年，中国电信北京研究院在新疆地区分阶段对当地的移动网咯进行了恶意代码的监测表明，该监测系统对恶意程序带宽消耗、无线网络资源占用以及恶意代码的下载等几个方面的防护都起到了明显的效果。

2.1.5 联合系统访问控制与审计技术

访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。该技术可以对用户需要访问的具体资源，进行有效控制，对于规则访问控制列表意外的访问能被有效拦截。

审计技术作为访问控制技术的补充，可以监控客户使用的文件信息、访问时间、对该文件执行的何种操作等。审计和监控的有效结合，对于今后灾难发生时的责任追查以及系统的恢复起到重要的辅助作用。

2.2 管理技术层面的安全对策

2.2.1 建立健全的管理制度

电信网络安全不是仅仅通过网络技术与计算机技术的提高就可以保证的，由于所有的技术、规则的实现都要通过人员的执行才能奏效，因此还要有管理层面的介入，管理和技术必须同时跟进，才能保证整个电信网络系统的安全。

作为电信部门，首先要有严格的安全管理制度，制度建设要全面、认真。只有通过实施严格的规则，才能保证技术人员和管理人员按照规定的职责办事，从而防止责任权利重叠，和由此引发的恶意攻击的发生。常见的信息安全管理制度主要包括：人员安全管理制度、安全操作管理制度、设备安全管理制度、运行安全管理制度、应急维护制度、安全等级保护制度；有害数据及计算机病毒防范管理制度；敏感数据保护制度、安全技术保障制度、安全计划管理制度等。

2.2.1 加强工作人员的安全意识

电信工作人员的安全意识非常重要，事实证明，很多网络攻击的得逞，都与网络安全人员的安全意识淡薄有关，作为电信运营商不仅要做到有法可依，还要做到有法必依，违法必究。作为安全人员，在技术水平不断保持领先的同时，还要提高自己的安全保密意识，对相关的法律法规认真学习并加以宣传。

3 结束语

随着网络通信技术和计算机技术的快速发展，电信网络的安全问题，日益引起广大用户和运营商的重视，也直接影响着运营商的生存和发展。电信网络安全技术人员需要持续的加强学习、认真研究网络中可能出现的各种安全问题，同时，管理部门要强化管理意识，提高管理水平，共同保证电信网络安全、稳定、健康的发展。

［1］李立卡,陈庆年.电信核心网络与信息安全模型及安全提升方案研究[J].电信科学,2013(Z2):135-138.

［2］冯晓冬,宋丽,薄明霞,唐洪玉.恶意程序监控系统在移动互联网安全防护中的应用[J].电信技术,2013(5):45-47.

［3］王迅.有关电信计算机网络安全管理的分析与规划[J].硅谷,2013(2):132-133.

［4］李新德.电信网络安全问题的研究[J].电脑知识与技术,2010(12):9972-9974.

［5］张斌.电信企业计算机网络安全构建探析[J].中国新通信,2013(9):26-26.