通信业支撑网安全现状及对策探讨

摘要：通信业支撑网安全是现代信息技术发展的必然趋势。随着移动通信技术的飞速发展，电信产业的客户群日益庞大，业务种类日益多样化，业务范围也日益广泛，这为通信产业的发展提供了机遇，同时也带来了新的挑战。为了满足发展的需求，电信企业将不断完善自己的业务支撑系统。通信行业的发展是离不开互联网技术的支撑。为了促进通信行业的安全稳定发展，必须加强对支撑网络的安全防护。本文从目前通信产业支撑网的安全现状出发，对存在的问题进行了分析，并给出了解决方案。

关键词：通信业；支撑网；现状；安全策略

一、引言

根据工业和信息化部颁布的电信和互联网安全保护标准，支撑网主要是由一个独立于业务网的、用来维护、经营和会计的综合性信息系统构成的网络。

相对于其它类型的网管，支撑网具有很大的规模和大量的界面，包括了计费、帐篷、网管等重要的业务，所以，其安全问题应该是运营商的重点。同时，支撑网络中的网络设备、服务器、主机的数量和类型以及服务的种类都要比其他网络设备多得多，支撑网络的安全性问题涉及了几乎所有其他网络设备的安全问题。

二、通信业务支撑网的安全现状

近几年，我国通信技术发展迅速，但是目前通信服务支撑网络的安全状况不容乐观，许多问题仍未得到解决。

①拓扑安全性问题，诸如某些网络平台安全、远程服务安全、终端安全等，支持网络的拓扑结构必须符合有关的工业和冗余容灾标准。而通信服务支持网络的终端安全，则是指工作人员在维护终端设备的时候，或者是设备本身的问题。通过这些服务，可以保证用户、网络、系统等多个方面的数据都能够准确的收集到，所以在网络中，最容易出现问题的就是远程服务，它的主要目的就是为了更好地管理通信服务，通过高质量的管理来实现对服务器和设备的访问。网络平台的安全，是网络服务支持网络安全的一个重要内容，它的核心是网络安全，它可以直接地影响到网络的安全。

②通过对相关调查的分析，发现网络拓扑是网络中使用频率最低的问题，其次是远程服务，其次是网络平台。

③在管理通信服务支撑網络期间，通信业各运营商尤其缺少用于监测通信服务支撑网络的运行状况的监测设施，以及对通信业务支撑网安全管理的规章制度亟待完善，通信业务支撑网安全防护工作的顺利开展受到了严重的影响，难以保障通信业务支撑网维护工作的质量。

④关于通信服务支撑网络的安全设计，目前国内一些通信业运营商存在着一定程度的安全审计问题，这使得网络安全审计工作出现了很大的漏洞，特别是当多个网络管理员同时管理一个账户时，很容易出现保存、收集和整理等问题，严重地影响了通信服务支持网络的安全。

三、通信业务支撑网安全策略

（一）应用网络防火墙

网络防火墙是实现通信服务支撑网安全的重要手段。网络防火墙主要是安装在通信服务支撑网的入口处，它能有效地保护中心的数据库信息，通过严格的安全测试，才能保证数据的流通，避免数据丢失和感染。绝对准则是防火墙的基本原理，它可以保证通过防火墙的所有信息和数据都得到了系统的许可，而不能进行任何系统禁止的数据和操作。

针对目前我国通信服务支撑网的安全保护现状，提出了一种新的防范措施。杀毒软件可以从各个角度保护信息的流通，同时可以及时地检测到隐藏在信息中的病毒，并对其进行技术处理。通信服务支持网络依靠的是电脑技术，而病毒对电脑的威胁是众所周知的，它会导致电脑的瘫痪、系统的崩溃，从而导致电信网络的网络瘫痪，从而影响到网络的安全。而反病毒软件的设置，则是在大数据环境下，通信服务支撑网络的第二道防线[1]。

（二）新型密码相关技术的应用

利用密码的方式进行数据加密，既可以为计算机系统提供密码保护，又可以为数据的安全提供最直接的保护。和防火墙一样，都是封锁了所有的数据，不同的是，防火墙会将所有的数据进行归类，让系统认可的数据通过，而数据加密技术，则需要输入相应的密码，而非加密的数据，则是无法进行加密的。在进行通信服务支持网络的安全保护时，如果不对数据进行加密，就不能获取相关的信息，而且还会给用户带来一些人为的安全隐患，比如黑客入侵之类的，但如果采用防火墙之类的保护措施来保护数据，将会极大地降低信息保护的工作效率。所以，为了保护这种数据，必须建立一个身份验证系统，并对其进行权限设定，比如身份验证等，这是目前使用最多的一种认证。在通信公司对员工进行了身份验证后，该信息可以由经过认证的员工任意使用。作为支撑网络安全的基础，深入开展新的加密技术具有十分重要的现实意义，电信运营商应该主动提高客户的安全意识，以保证网络的安全。

同时，电信运营商要加大对其经费的投资，为其提供有利的科研环境，促进其发展，不断优化和创新已有的加密技术，提高其安全性，保证通信服务支撑网络的安全性；同时，也应该加强对通信服务支撑网络的使用者的安全意识，引导他们积极地进行相关的安全设置，积极地为他们的账户设定一些登录权限，增加密码的难度，从而有效地提高了通信服务支撑网络设备的安全保护能力[2]。

（三）Web平台安全

目前，许多应用于不同的系统，都采用了基于网络的管理平台，但是这样做带来了便利，也造成了相应的安全性问题。在整个问题中， Web平台的安全问题被发现的数量约占1/5。从更高的层次来看，网络平台的安全问题可以分为认证和参数修正两大类。验证缺陷主要有缺省或可推测的使用者账号密码、HTTP窗体暴力破解、会话管理漏洞等。参数修正的漏洞主要有指令注入、存取档案、跨站程式码攻击等。

其中26.9%的平台在检查过程中出现了安全问题，其中有26.9%的平台是登录模块的设计，该系统只对用户名和密码进行了两次验证，不需要输入任何特殊信息（如身份证号、工号）、不能进行动态认证，最重要的是，不能在短时间内多次登录。

如果输入的使用者名称不存在，那么暴力地破解賬号密码就会变得相对简单。更有甚者，一些公司觉得自己的权限控制策略很严格，索性就不设置登录权限，让访问者可以直接登录该平台进行维护和管理。但他们并不知道，在所有的安全事故中，内网的安全事故占据了70%，这种平台会给公司的安全造成很大的威胁，而且这种平台很难进行安全审核[3]。最好的办法就是在登录页面上设置登录次数，当登录次数达到一定数量后，这个账号就会被暂时冻结。但这种方式会对合法使用者的正常使用造成一定的干扰，使干扰到的行为具有一定的时效性，所以在设置登录次数的时候要根据实际情况进行详细的分析，并根据使用者的不同，设置一个合理的下载量。因为强行破解需要花费大量的时间去登录网站，管理员还可以利用防火墙、IDS等安全检测手段，在短时间内连续尝试登录失败的IP，并采取相应的措施来阻止。当然，对于用户来说，密码的复杂程度要达到一定的标准，并且要定期地进行更新。

支撑网络管理平台也存在着大量的敏感信息泄露，如目录列表、源代码泄露等，为黑客的后续攻击提供了重要依据。所以，为了防止攻击者获得敏感的资料，应该禁止访问这些网页。

（四）远程服务安全

支撑网络要处理大量的数据请求、数据采集和传输，因此需要大量的远程业务，这就给网络的安全性提出了新的要求。远程服务分为三大类：远程信息服务、远程维护服务、数据库服务[4]。

1. Television Service的安全性

网络服务包括 FINGER、 NTP、 SNMP、 rwho、 DNS等，这些业务都是提供系统、用户和网络的具体数据。在网络信息服务的安全性上， SNMP的问题最为突出，62.1%的运营商存在 SNMP的弱密码，2个版本的 SNMP太老。SNMP的弱密码对攻击者来说是非常重要的，它可以让攻击者利用Pub-lic的组字字符串来获取主机名，用户名，运行的服务。

利用Private群体字符串，攻击者可以入侵设备操作系统，获取设备的简要表，其中有一个直接存取密码。图3是使用 SNMP写入许可群体字来修改目标装置信息。SNMP服务需要具备强大的读写团队字字符串。此外，若要使用 SNMP，推荐使用SNMPv3，此版本采用 DES和MD5、 SHA技术，能更好地保障通讯的保密及合法使用者的身份认证[5]。

2.远程维护服务安全

远程维护服务是为了管理目的，能够直接对服务器和设备进行远程访问，在安全检查中发现故障的远程维护服务有 FTP、 SSH、 Telnet、 VNC、 rsh、远程台式机等。

在远程维护服务的安全性问题中，弱密码问题日益突出。弱密码的危险性很大，据我们的数据显示，在70%的入侵中，弱密码起到了至关重要的作用。弱密码问题并不是针对远程维护服务安全的，而是存在于各种类型的安全问题中。通过对支撑网络的安全数据分析，发现所有设备和服务器的安全问题中，有88.4%的设备和服务器存在着安全问题。问题之所以会这么严重，不仅仅是技术上的落后，还有一个重要的原因就是管理上的问题。

弱密码的产生有以下3个原因：一小部分是由于管理员的安全意识不强，为了方便而采用较弱的密码；有些是厂商在开发过程中，内部的弱密码，以适应系统之间的通信需求；另外，管理员们也会用弱密码来提高工作效率，例如，不同的服务器都要在同一个平台上运行，所以管理员才会设置一个容易记忆的弱密码。解决弱密码问题，必须从多个方面入手：运营商必须调查相关系统与组织结构的设定是否不恰当；强化安全教育，增强员工的安全意识；与厂商沟通，在源码开发过程中，过程中所用的口令复杂程度要达到所需的口令，并且口令也要能随时进行更改；要转变员工的评价方法和激励机制，不仅要从生产效益出发，还要从安全角度出发，把安全工作也纳入到工作量中[6]。

由于技术的发展，目前的远程维护服务已经不再适合于使用，例如 Telnet Service、 rsh、 rexec、 rlogin等业务都是以明文方式进行传送的，它们很容易被入侵，因此应该由 SSH业务取代。VNC的认证机制很弱，所以也不能用。

由于运营商的网络规模越来越大，设备越来越多，出现了一种情况：一是运营商的日常维护工作经常是由厂商来做，二是多个用户同时使用同一个账户。另外，由于对审计工作的需求，运营商迫切需要采用“堡垒式”或“4 A”级的审计体系来进行安全审核。这种安全审核体系既要满足集中和精细两个方面的需求，又要保证其安全性，并且要有足够的备份，以防止由堡垒主机造成的单一故障[7]。

3.数据库服务安全

在数据库服务的安全性上，主要是由于使用的软件版本太少而导致的弱密码问题，这些问题之前已经讨论了，这里就不多说了。

（五）信息安全

通信行业的支撑网络，要做海量的数据统计，收集各种任务，这就导致了远程业务的出现。远程维护服务是为了管理目的，能够直接对服务器和设备进行远程访问，在安全检查中发现故障的远程维护服务有 FTP、 SSH、 Telnet、 VNC、 rsh、远程台式机等。为此，应加强对审计工作和管理的改进，注重技术的创新利用，确保审计系统的安全和建立相应的备份机制，以避免由“堡垒”造成的单一故障。

四、结束语

要做好支撑网的安全保护工作，就需要树立全局观念。在现实工作中，运营商往往忽略了网络的互联特性，忽略了一些关键环节：例如，对于某个系统的安全保护可以做得很好，但是对相应的辅助系统的关注不够；网络的边界是严格的，但内部的网络是没有任何防护的；经检查，约40%的电信公司办公终端存在严重的安全问题。要做好支撑网的安全保护，除以上所述的安全问题之外，还应对网络的安全性进行分区，通过防火墙策略、路由器 ACL配置等手段对网络中的恶意 IP进行监测和筛选。针对某些长期无法解决的问题，必须从深层次剖析，综合提升制度、组织、人员、技术等各个层面的适应性。

作者单位：余发科 广东南方电信规划咨询设计院有限公司

参  考  文  献

[1]朱延敏. 我国通信业支撑网安全现状分析及对策探讨[J].数字通信世界，2021（02）：126-127.

[2]黄炜玮. 我国通信业支撑网安全现状分析及对策探讨[J].中国新通信，2016，18（20）：10，11.

[3]李艺成. 关于通信业支撑网安全策略探讨[J].信息通信，2020（08）：256-257.

[4]江瑞宇，胥小伟，张英孔. 通信业支撑网安全策略研究[J].数字通信世界，2019（05）：100.

[5]杜跃进，王伟哲. 我国通信业支撑网安全现状分析及对策探讨[J]. 电信网技术，2011（03）：43-47.

[6]江瑞宇，胥小伟，张英孔. 通信业支撑网安全策略研究[J]. 数字通信世界，2019（05）：100.

[7]殷小红，程红波. IT支撑网网络安全现状及其发展建议[J]. 通信管理与技术，2011（02）：19-21.

余发科（1977.06-），男，汉族，广东深圳，本科，高级工程师，研究方向：5G网络、IP承载网、支撑网的网络规划和技术演进。