沈军：剖析中国电信IP网络的安全现状

　　在4月8日举行的互联网安全应急年会上，中国电信网络安全实验室的工程师沈军为与会嘉宾介绍了电信IP网络的安全现状以及安全对策。其中主要是依据DDoS防御体系与MSSP的特点介绍防御体系，以及相应的安全保障问题。以下就是沈军的演讲实录：

　　首先，电信IP网络面临的主要安全挑战有：利用僵尸网络发动的DDoS攻击对网络正常运行构成了严重的威胁。在这样的背景下，电信IP网DDoS攻击事件也愈演愈烈，规模越来越大。我们检测的数量是每天100次以上，在部分网络上曾经出现过4G以上的流量。

　　第二是针对骨干网络设备、网络基础业务系统、支撑系统和管理系统的攻击数量显著增加。

　　这里影响巨大，攻击一旦成功可能影响某一电信业务，甚至一系列电信业务的提供，严重时甚至导致整个网络瘫痪。

　　历史上曾多次发生针对DNS系统的攻击，对网络正常运行造成了严重的影响。

　　第三方面是网络中垃圾流量的比例不断上升。垃圾邮件、虚假地址流量以及广告信息大量基站网络宽带，大量垃圾邮件被国际的封锁。

　　针对这些现状我们提出了相应的安全对策，安全能力缺失是引发安全问题的根本原因，需要将技术与管理进行有机结合，形成完备的网络安全体系，快速提升电信网络安全能力。

　　在技术层面，需要进行电信爱网络基础防护，关键业务与支撑系统防护，要建立网络的监控平台。

　　具体考虑网络的基础防护，建议技术网络平面分割，控制安全问题的影响范围。对网络设备进行安全加固。在路由器启用反向路径查找，使全网具备对客户接入的流量能力，基本控制针对真客户和网络基础设施的伪抵制攻击。QoS与路由协议加密。还有安全事后的审计。

　　关键业务与支撑系统防护，建议双联路上联双防火墙，部署IDS监控内网安全事件，部署AAA服务器授权管理，远程登录系统加密通信，定期安全评估与加固，部署漏洞扫描器及时发现问题。

　　在网络安全管控方面，需要通过管控平台建设。建立网络安全管控平台，具备大网监控分析能力，尤其是DDoS，僵尸网络的监控与发现能力。具备电信级网络安全的相应、恢复、应急能力。要有安全监控管理，网络日常监控管理，风险管理，安全相应管理等关键的功能模块。

　　在安全管理方面，需要建立专门配套的人员组织机构使之能够适应新形势下网络安全运营管理的需要，同时逐步完善妄图安全管理策略体系，将技术和管理有机的结合，相辅相成。

　　在通过上述技术和管理的建设使电信安全能力得到提升的基础上，还可以为客户提供网络安全业务，实现电信和客户的双赢。对于客户方面来说，客户往往会受制于自身的安全技术能力和技术投资无法对自己的主机和网络进行安全的保护。目前常见的DDoS的攻击流量使客户无法字形实现对DDoS攻击的防范。安全业务的提供可以有效解决客户的网络安全问题。也可以提升运营商的网络安全性。

　　网络安全业务体系的建议，可以从安全介入，专享防护，专家代为等方面进行防护，安全评估加固等一系列的安全业务，全方位满足各位的需求。

　　第三部分我们会介绍电信IP网DDoS的防御体系，客户的DDOS的防御业务部署，以及DDoS与业务平台的关系。电信网络的DDoS防御体系分为：网络基础设施保护，网络机场流量监测，网络异常流量控制，以及对客户网络DDoS攻击安全防护。

　　首先看昂落基础设施保护，是整个DDoS防御体系的基础环节，通过对路由器等网络设备进行安全加固，增强网络系统的安全性、稳定性和抗DDoS攻击能力。

　　在控制平面，保护路由引擎CPU等关键资源，起用路由认证、路由信息过滤登记制保护路由安全。

　　在管理平面，最小化网络服务，安全远程访问，设备安全网络管理等一系列安全措施。

　　在异常流量监测方面，需要建立全网网络安全异常流量监控体系，及时发现并预警DDoS共计二指，提高网络的安全应急相应能力，同时提高网络运营商的安全防护水平。

　　异常流量控制措施，非法源要抵制过滤，断口访问控制ACL，流量控制CAR，和黑洞路由等等。

　　介绍客户网络DDoS安全防护，目前在大网上采用的DDOS流量控制策略不适用于客户网站或网络的DDoS攻击防护，异常流量控制手段无法识别和过滤针对应用层的DDoS攻击流量，我们对客户网络DDoS安全防护有相应的业务防护。

　　在防护的方式有串联部署和旁路部署。旁路部署分为就目的清洗和就源清洗。

　　串联部署方式是将安全网管串联在介入口处，可以对客户的双向网络流量进行实时监测和控制，只能串联部署在被保护客户的共同网络出库，为部分比较固定的用户提供攻击防护，不能实现安全设备的复用，投资成本较高。

　　这种适合部署在用户端或城于网介入层，可以保护本身是网络请求发出的要求。

　　旁路部署方案分析：把干净的流量进行回复。特点是可以提供应用级的DDOS保护，对机遇连接的协议TCP及其上层应用，如Web、Ftp等具有良好的防范效果，对客户实施防护策略时，必须根据客户提供的网络服务，配置合理的反向探测识别过滤机制。

　　这种旁路部署方案已经在现网上获得了广泛的应用，但由于当前设备的防御机制及功能限制等因素，使得这种方案在实际应用中仍一定的局限性，是我们要考虑到的。第一这种方式只能针对具体的应用或协议进行保护，对于私有协议、多数机遇UDP的应用，该类产品不能提供有效的保护。

　　第二无法保护本身是网络请求发起端的客户网络。只能贪色单方面的流量，即远程用户发起灵丘的网络流量，如果被保护对象是网吧或者本身是网络请求发起端的客户网络，该方案无法有效满足保护的需求。部分防范机制会对放恩有一定的影响，比如几秒的时延要刷新等。

　　旁路式就目的清洗方案分析：是指清洗设备靠近被保护目标部署，是目前常见的部署方案，主要适用于小规模的DDoS攻击防护。当发生DDoS攻击的时候，要到靠近的地方才能清洗。这时候一套清洗设备只能服务于本地，它的利用率是比较低。同时由于在单点的清洗流量不能太高，不能满足业务的需求，也不能承诺SLA。在有大流量的时候，出口链率可能已经被堵塞了，影响效果。

　　另一种是就源清洗是采用全网集中调度方式，适用于大规模的DDoS攻击防护。在发生DDoS攻击的时候，分布式处理能力达到几百G，有效满足客户需求。就源清洗，设备将服务于任何攻击，利用率大大提高，不会造成目标前的局部的链路堵塞。

　　DDoS攻击防御业务网络构想：庆捷流量通过骨干网2/VPN送回城域网中。

　　DDoS防御业务的可管理性。为了实现对DDoS防御业务的有效运营和管理，提高客户对业务的感知度和满意度，应建设相应的业务管理平台，使DDoS防御业务具备以下的业务特性。

　　业务可感知，通过业务管理平台实现业务状态的实时战线和个性化业务报表的定期推送，提升客户对DDoS防御业务的感知度。

　　业务可运营，通过业务管理平台与机制计费等运营支撑系统接口互联，实现业务受里等流程的无缝流转。方便客户支配管理。

　　在市场需求的驱动下，运营商已经或即将开展包括DDoS防御业务在内的一系列网络安全增值业务，若为各安全业务分别建设业务管理平台，将造成投资和运营成本的增加，因此有必要建设一个统一的面向客户的可管理安全业务平台MSSP。

　　最后我们介绍MSSP对SOC的引进要求。这个系统具备了风险管理、工单管理、报表系统等功能，主要定位于对运营商自营网络和内部企业网络的管理。MSSP可以SOC平台为基础进行建设，但需要根据业务管理要求进行功能的扩充。为适应电信逐步引进MSSP。

　　MSSP演进策略：1.实现业务能力从电信内部向外部客户的扩展。也就是从内部安全管理逐步扩展为业务功能和业务管理功能并重的业务系统。从支撑内部运维流程向前后端封流转的一体化的业务运营流程转化，向客户的安全转变。2.通过业务平台功能扩展实现对不同安全业务品牌的全方位、差异化的业务提供能力。在完善已有的代维业务功能基础上，逐步根据外部客户的多样化安全需求扩充其他安全业务功能。在MMSP平台中实现多客户，多业务的支持。3.形成从客户业务定植、业务展示到业务管理、平台维护的贯穿前后端的业务管理能力。包括扩充平台的用户管理功能，建设客户自服务平台提升业务感知度，提高运营效率。4.通过平台的分权设计，使显多安全服务提供商的业务合作运营能力。可以采取合作运营、利益分成的模式，在平台中通过用户权限划分，为合作方提供业务运营能力，由合作方提供业务运维支撑队伍进行业务的运维支持。

　　可以委托代维，统一考核。统一考核运维方的工作。

　　我介绍到这里，谢谢。