浅谈运营商互联网信息安全的分析与防范

白 冰

（中移铁通福建分公司云数据支撑中心，福州 350000）

1 引言

近年来，互联网业务飞速发现，网络流量呈现爆发式增长。而斯诺登曝光美国的“棱镜”计划，使得人们发现互联网带来巨大便利的的同时，也存在严重的信息安全隐患，意识到提升信息安全的紧迫性与重要性。

2 互联网信息安全概述

信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。对基础电信运营商而言，建立健全信息安全管理制度，通过制度严控每个管理及生产环节，并对重点环节进行重点整治，不留信息安全隐患。

3 网络信息安全面临的威胁

目前网络信息安全面临的威胁主要来自于以下几个方面：

3.1 网络渗透、病毒攻击威胁

网络攻击可能极大浪费运营商骨干网络宝贵的带宽资源，严重增加核心设备的工作负荷，造成关键业务的中断或网络服务质量的大幅降低。在公司信誉也会蒙受损失的同时，造成利润下降、生产效率降低。常见的网络攻击有DDOS攻击，木马蠕虫攻击等。

3.1.1 DDoS攻击

拒绝服务（Denial of Service，DoS）攻击是一种通过占用计算机系统和网络，包括 CPU、内存、带宽、数据库服务器等在内的各种资源，以达到耗尽资源、拒绝其它正常用户服务访问、破坏网络应用服务系统正常运行的攻击方式。

3.1.2 木马蠕虫攻击

不法分子使用渗透扫描工具，通过特定端口传播蠕虫恶意代码，已NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件为代表，危害巨大。

3.2 网络劫持威胁

网络劫持是在用户不知情的情况下，通过多种方式改变用户请求目的，常见的网络劫持包括DNS劫持、HTTP劫持，劫持可发生在任何网络层面，劫持行为隐蔽性高，监管难度大。

3.2.1 DNS劫持

该类劫持通过篡改用户DNS，或在特定网络范围内拦截指定的域名解析的请求，将用户正常DNS请求，引导向钓鱼等网站，达到欺骗用户，骗取用户信息、获取不良收益的目的。

3.2.2 HTTP劫持

该类劫持可通过镜像或分光等方式，劫持用户HTTP GET请求，修改HTTP响应数据，模仿源站进行伪造应答，应答包里嵌套恶意代码，优先源站响应用户，已达到欺骗用户的目的，导致用户在访问源站内容的同时访问了部分非源站提供内容。而非源站提供的内容可能为广告推送、涉黄、诈骗等信息，在增加用户投诉的同时，也增加信息安全隐患。

3.3 不良信息威胁

目前国内新增ICP入网采用实名制及备案审查，没有实名制及备案一律不得提供互联网内容服务，但是针对境外资源，无法进行严格审查，一些不法分子利用境外互联网资源架设服务器，提供虚假、涉黄、暴力、反动的不良信息，通过域名变换和翻墙不断调整域名，给内容监管带来巨大困难，对人们正常的生活造成影响，严重污染了互联网环境，给社会带来了极大的危害。

4 互联网信息安全防范措施

针对运营商面临的三方面信息安全威胁，在保障自身网内各类系统、主机、网络设备安全的基础上，为接入用户提供安全可靠的互联网体验环境，需要采取必要的措施加以管控，对相关威胁进行防范。

4.1 网络渗透、病毒攻击防护措施

4.1.1 基础网络防护

网络设备配置严格ACL，VTY接口仅允许AAAA系统授权的用户登录，除AAAA登录权限外，删除原有设备所有登录权限，AAAA登录权限需具备较高强度，使用超时时间机制将管理会话缩短，定期更新口令，并采用加密传输（SSH）替代明文传输（Telnet）远程登录；同时对本地CONSOLE接口进行安全防护，消除本地管理隐患；对设备SNMP也需要进行严格限制，禁止使用默认读写团体属性，需配置严格ACL，仅允许授权网管进行数据采集，对于没有SNMP监控需求的设备一律关闭服务。

原则上禁止外部请求对内网资源的直接访问，对于确实存在的外部用户的正常请求，可通过SSL VPN，L2TP VPN等VPN技术进行穿透，VPN需具备口令+短信，口令+UKEY等强认证方式，已确认登录用户的合法性；对于必须通过映射才能实现的特殊应用，不能直接做公网IP做内网IP的映射，这样会将内网资源直接暴露在公网，应使用公网IP+公网端口+内网IP+内网端口的映射，并通过包过滤策略严格限制公网IP的范围，仅允许授权的IP访问，这样才能保障在存在映射的环境下，内网资源不被非法IP访问。

4.1.2 DDOS攻击防护

对于运营商或者大型网络，使用流量清洗系统，在骨干网或内容网络，利用旁路集群部署，在不改变原有运营商网络结构的前提下，提供抵御海量DDoS攻击的能力。

4.2 网络劫持防护措施

4.2.1 DNS劫持防护

针对需要向虚假DNS请求的劫持情况，在核心层将DNS请求UDP53端口进行管控，通过策略路由将本省DNS请求放行，将其他请求该端口数据指向安全防火墙，将DNS请求通过源NAT为防火墙内部地址，然后在防火墙通过策略路由将该请求进行回指，在防火墙接口出方向做目的NAT为本省DNS，使得异常DNS请求转换为本省DNS请求，即使用户侧DNS被劫持，其DNS请求的结果仍然与本省DNS解析结果相同。

4.2.2 HTTP劫持防护

HTTP劫持，可通过管理手段和技术手段加以事前预防，二者相辅相成，缺一不可，同时对于已经发生的劫持行为，通过劫持定位等相关措施最终消除现网隐患。

4.2.2.1 管理手段

正常情况下，运营商通过省干各平面的DPI或专用分光平台将分光流量直接接入缓存、推送等业务系统，但是利用管理漏洞，可以将分光流量接入二层或三层交换机，在该交换机下存在正常使用分光流量业务，同时通过交换机对分光流量进行复制，然后将分光流量输入同一交换机下未授权的劫持服务器，导致异常劫持的发生，这种分光接入方式操作隐蔽，监管困难，危害巨大。为避免此种情况的发生，通过管理手段需禁止将分光流量直接接入现网交换机，同时对DPI或分光平台进行定期检查，对已经停止使用的分光接口及未授权的分光端口进行关闭。

4.2.2.2 技术手段

HTTP劫持行为通过伪造用户源地址，对用户进行欺骗，使用URPF协议可以从技术层面进行管控。

4.2.2.2.1 URPF协议原理

URPF（Unicast Reverse Path Forwarding）是一种单播反向路由查找技术，用于防止基于源地址欺骗的网络攻击行为。通常情况下，网络中的路由器接收到报文后，获取报文的目的地址，针对目的地址查找路由，如果查找到则进行正常的转发，否则丢弃该报文。URPF通过检查数据包中源IP地址，并根据接收到数据包的接口和路由表中是否存在源地址路由信息条目，来确定流量是否真实有效，并选择数据包是转发或丢弃。

4.2.2.2.2 具体操作步骤

已华为S9300系列交换机为例

进入接口配置模式

4.2.2.3 劫持定位

根据劫持优先响应的原则，劫持点比源站距离用户更近，劫持伪造报文的TTL值会明显高于源站响应的报文，通过wireshark抓包进行跟踪劫持报文情况，并根据报文的TTL值，对比tracert数据直观定位劫持点。

4.3 不良信息防护措施

4.3.1 不良敏感信息扫描

使用不良信息审计系统，通过基于域名、关键字、正则表达式等多种组合，以及内容审计策略扫描指定TOP网站，对被检测站点网页页面进行深度内容扫描检测，快速、准确的分析判断网页页面是否含有非法敏感信息、木马信息等，实时告警响应，从而有效防止不良信息扩散，为追查取证提供有力支持。

4.3.2 不良敏感信息封堵

使用DPI等系统对用户投诉、主动探测等多种渠道发现的涉黄、暴力、反动等不良信息进行阻断，采取丢弃策略，限制用户访问不良敏感信息，对已接入省内内容网络的CP，发现不良信息需立刻采取封堵处理，同时要求CP处理，并限期要求CP提供整改报告，核实问题已解决后，方可恢复服务。

5 结束语

运营商通过加强自身监管，并附以科学的技术手段支撑，做好信息安全保障，同时对接入内容网络的客户进行信息安全审核和管理，对接入的用户行为进行有效的管控，预防信息安全事件的发生，为用户打造提供绿色、健康的网络生态环境。