盡管電信運(yùn)用運(yùn)營(yíng)商暫時(shí)未將用戶數(shù)據(jù)安全列入自身責(zé)任范圍，但由此引發(fā)的僵尸網(wǎng)絡(luò)等安全問(wèn)題正在通過(guò)互聯(lián)網(wǎng)危害承載網(wǎng)。

　　隨著終端的不斷智能化，其帶來(lái)的應(yīng)用也越來(lái)越多，從最初的語(yǔ)音，到豐富的交互式應(yīng)用如社區(qū)、電子商務(wù)、支付等。在這樣的背景下，作為向用戶呈現(xiàn)最終應(yīng)用的互聯(lián)網(wǎng)，其所面對(duì)的復(fù)雜安全威脅也在向傳統(tǒng)電信網(wǎng)滲透。

　　近日，在接受《通信產(chǎn)業(yè)報(bào)》記者采訪時(shí)，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)協(xié)調(diào)處理中心副總工程師杜躍進(jìn)指出：目前，傳統(tǒng)意義上的互聯(lián)網(wǎng)安全和電信網(wǎng)安全界限已經(jīng)越來(lái)越模糊，電信網(wǎng)絡(luò)安全的挑戰(zhàn)更多地來(lái)自于用戶端。

　　運(yùn)營(yíng)商要對(duì)用戶數(shù)據(jù)安全負(fù)責(zé)？

　　杜躍進(jìn)指出，與傳統(tǒng)思路相比，電信網(wǎng)絡(luò)安全需要同時(shí)注重交換網(wǎng)絡(luò)安全和用戶數(shù)據(jù)安全。

　　交換網(wǎng)絡(luò)的安全問(wèn)題源自于電信網(wǎng)絡(luò)向NGN的演進(jìn)。他指出，網(wǎng)絡(luò)安全應(yīng)采取新的技術(shù)手段，以保證軟交換網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)、軟交換機(jī)、應(yīng)用服務(wù)器設(shè)備不會(huì)受到非法攻擊。由于軟交換技術(shù)選擇了IP網(wǎng)作為承載網(wǎng)，網(wǎng)絡(luò)安全問(wèn)題尤其突出。

　　而用戶數(shù)據(jù)安全問(wèn)題的產(chǎn)生則要?dú)w因于網(wǎng)絡(luò)功能的增強(qiáng)。杜躍進(jìn)認(rèn)為，由于基于NGN的多媒體、交互式業(yè)務(wù)不斷增長(zhǎng)，用戶的隱私保護(hù)問(wèn)題對(duì)于電信運(yùn)營(yíng)商和互聯(lián)網(wǎng)服務(wù)商來(lái)說(shuō)將是無(wú)法回避的，電信運(yùn)營(yíng)商和互聯(lián)網(wǎng)服務(wù)商有責(zé)任采取多種技術(shù)手段，保護(hù)用戶的賬戶信息和通信信息的安全。他指出，這些安全保障的實(shí)施有兩大要點(diǎn)：首先，軟交換網(wǎng)須采用必需的安全認(rèn)證策略保證用戶賬戶信息的安全；同時(shí)，無(wú)論是用戶的賬戶信息還是用戶的通信信息的安全均需要IP網(wǎng)的安全策略作為保證。

　　交換網(wǎng)絡(luò)方面的安全新挑戰(zhàn)容易理解，但用戶數(shù)據(jù)安全的提法無(wú)疑擴(kuò)大了傳統(tǒng)電信網(wǎng)安全保障的責(zé)任范圍，電信運(yùn)營(yíng)商對(duì)此持保留意見(jiàn)。中國(guó)電信網(wǎng)絡(luò)資源管理處處長(zhǎng)葉薇表示：“盡管用戶數(shù)據(jù)安全問(wèn)題較為迫切，但目前其尚不在運(yùn)營(yíng)商網(wǎng)絡(luò)安全維護(hù)的責(zé)任之內(nèi)，只有當(dāng)國(guó)家政策作出相關(guān)要求，或者大規(guī)模病毒泛濫嚴(yán)重影響承載網(wǎng)絡(luò)可用性的情況下，電信運(yùn)營(yíng)商才會(huì)在網(wǎng)絡(luò)節(jié)點(diǎn)上采用應(yīng)對(duì)手段，進(jìn)行流量清洗和凈化�！�

　　來(lái)自用戶終端的威脅

　　盡管用戶數(shù)據(jù)安全的責(zé)任歸屬難以界定，但葉薇承認(rèn)，電信運(yùn)營(yíng)商并不能超然事外。她指出，DDOS、垃圾流量、蠕蟲(chóng)，是當(dāng)前網(wǎng)絡(luò)交換和網(wǎng)絡(luò)應(yīng)用的三大殺手，而三者滋生的溫床都是用戶端的僵尸網(wǎng)絡(luò)集群。其中，DDOS攻擊能產(chǎn)生大量非法不可控流量，通過(guò)消耗網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)設(shè)備性能下降，數(shù)據(jù)包轉(zhuǎn)發(fā)異常，導(dǎo)致網(wǎng)絡(luò)可用性下降，堪稱當(dāng)前電信運(yùn)營(yíng)商核心網(wǎng)面臨的最為嚴(yán)酷的安全挑戰(zhàn)。

　　最近一份賽門鐵克發(fā)布的網(wǎng)絡(luò)安全監(jiān)測(cè)報(bào)告指出，位于中國(guó)的僵尸網(wǎng)絡(luò)計(jì)算機(jī)終端數(shù)量已經(jīng)位居全球第二，占全球僵尸網(wǎng)絡(luò)計(jì)算機(jī)總量的9%。今年11月底，在中國(guó)移動(dòng)舉辦的移動(dòng)互聯(lián)網(wǎng)研討會(huì)上，來(lái)自綠盟科技的演講者韓永剛也提到，據(jù)綠盟科技監(jiān)測(cè)統(tǒng)計(jì)，中國(guó)目前已經(jīng)有三百多萬(wàn)個(gè)IP地址被僵尸網(wǎng)絡(luò)所控制。

　　這使得交換網(wǎng)絡(luò)安全和用戶數(shù)據(jù)安全正在面對(duì)的威脅越來(lái)越趨于專業(yè)化和多元化。韓永剛舉例說(shuō)：“今年10月，中國(guó)電信某城域網(wǎng)就面對(duì)了一次僵尸集群發(fā)動(dòng)的DDOS攻擊，其網(wǎng)絡(luò)承受的攻擊量從3G增長(zhǎng)到5G、6G，電信運(yùn)營(yíng)商和安全廠商忙于應(yīng)付，在之后的調(diào)查中發(fā)現(xiàn)攻擊來(lái)源的IP都是僵尸計(jì)算機(jī)，幕后真兇也無(wú)從查起�！�

　　對(duì)此，中國(guó)電信網(wǎng)絡(luò)資源管理處高級(jí)業(yè)務(wù)主管王新峰認(rèn)為：用戶終端淪為僵尸網(wǎng)絡(luò)，其引發(fā)的蠕蟲(chóng)病毒、DDOS攻擊、垃圾流量工作機(jī)理各不相同。“目前中國(guó)電信已經(jīng)開(kāi)始著手解決，以不同的方法應(yīng)對(duì)。”他說(shuō)。

　　王新峰舉例表示：垃圾流量主要是由P2P應(yīng)用、垃圾郵件等業(yè)務(wù)帶來(lái)的，這些流量不受運(yùn)營(yíng)商控制，其主要問(wèn)題是占有大量帶寬資源，但不能為運(yùn)營(yíng)商帶來(lái)利潤(rùn)。垃圾流量可以采用DPI設(shè)備進(jìn)口控制，在核心網(wǎng)邊緣部署DPI設(shè)備，將垃圾流量進(jìn)行整型限流處理，以防對(duì)核心網(wǎng)造成不良影響。

　　而對(duì)DDOS攻擊已經(jīng)有成熟的解決方案。王新峰告訴記者：電信運(yùn)營(yíng)商應(yīng)在核心網(wǎng)部署流量清洗中心實(shí)施DDOS防御，通過(guò)在核心網(wǎng)的國(guó)際出口、互聯(lián)互通出口、省網(wǎng)出口、城域網(wǎng)出口等網(wǎng)絡(luò)數(shù)據(jù)的關(guān)鍵出入口部署流量清洗中心，檢測(cè)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，一旦發(fā)現(xiàn)可疑流量，則利用流量牽引技術(shù)將這部分流量引流到流量清洗中心，在流量清洗中心將攻擊流量過(guò)濾，最終將清潔流量回注到網(wǎng)絡(luò)中。

　　健全安全保障機(jī)制

　　此外，除了采用多種技術(shù)保障交換網(wǎng)絡(luò)和用戶數(shù)據(jù)的安全外，健全的安全策略和管理機(jī)制也將扮演越來(lái)越重要的角色。事實(shí)上，在2005年由信息產(chǎn)業(yè)部電信管理局、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)主辦，通信產(chǎn)業(yè)報(bào)社承辦的的“2005年中國(guó)電信業(yè)網(wǎng)絡(luò)與信息安全研討會(huì)”上，六大電信運(yùn)營(yíng)商就曾承諾，其不僅要在技術(shù)上不斷強(qiáng)化網(wǎng)絡(luò)安全，更要進(jìn)一步完善網(wǎng)絡(luò)信息安全責(zé)任制度，健全網(wǎng)絡(luò)信息安全保障措施，不斷提高管理水平。

　　記者了解到，在網(wǎng)絡(luò)信息安全方面，電信運(yùn)營(yíng)商都設(shè)置了相關(guān)的應(yīng)對(duì)機(jī)制，并分別采取了專門項(xiàng)目小組的形式或各部門設(shè)置技術(shù)專員的形式。以中國(guó)聯(lián)通為例，其在數(shù)據(jù)與固定通信業(yè)務(wù)部和互聯(lián)網(wǎng)與電子商務(wù)業(yè)務(wù)部均有網(wǎng)絡(luò)信息安全相關(guān)的工作人員。中國(guó)聯(lián)通集團(tuán)運(yùn)行維護(hù)部傳輸及配套維護(hù)處經(jīng)理陳忠民指出，中國(guó)聯(lián)通一直非常重視交換網(wǎng)絡(luò)與用戶數(shù)據(jù)安全，同時(shí)，聯(lián)通在信息內(nèi)容的安全性和健康性方面也嚴(yán)守國(guó)家相關(guān)規(guī)定，堅(jiān)持以應(yīng)用及其信息內(nèi)容的安全、健康為中心，構(gòu)建綠色網(wǎng)絡(luò)。而中國(guó)電信方面，王新峰表示，網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部的分支部門對(duì)網(wǎng)絡(luò)安全各個(gè)層面負(fù)責(zé)進(jìn)行監(jiān)管。

　　鏈接電信網(wǎng)絡(luò)安全新變化

　　(1)應(yīng)用安全提上議事日程

　　過(guò)去：強(qiáng)調(diào)網(wǎng)絡(luò)的可靠性和可用性，不強(qiáng)調(diào)網(wǎng)上應(yīng)用的安全；

　　現(xiàn)在：不僅要強(qiáng)調(diào)業(yè)務(wù)的可用性和可控性，還要強(qiáng)調(diào)承載網(wǎng)的可靠性和生存性，而且要保證信息傳遞的完整性、機(jī)密性和不可否認(rèn)性。

　　(2)承載網(wǎng)與信令網(wǎng)同等重要

　　過(guò)去：對(duì)信令網(wǎng)的安全要求高，一般為獨(dú)立的信令網(wǎng)，信令網(wǎng)的安全可靠保證了網(wǎng)絡(luò)的安全；

　　現(xiàn)在：強(qiáng)調(diào)網(wǎng)絡(luò)融合，信令網(wǎng)與傳輸網(wǎng)用同一張網(wǎng)進(jìn)行承載，承載網(wǎng)的安全變得非常重要。

　　(3)IP技術(shù)疏于監(jiān)控黑客行為

　　過(guò)去：傳輸采用TDM的專線，用戶之間采用面向連接的通道進(jìn)行通信，其他用戶很難插入偷聽(tīng);

　　現(xiàn)在：采用IP技術(shù)進(jìn)行通信，由于IP的無(wú)連接性，及不對(duì)源地址進(jìn)行認(rèn)證的特性，黑客容易截取通話，盜用賬號(hào)，電話騷擾。

　　(4)DDOS攻擊帶來(lái)挑戰(zhàn)

　　過(guò)去：TDM用戶線接入，使得用戶速率有，可通過(guò)物理端口進(jìn)行追溯跟蹤，黑客很難對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行DOS攻擊；

　　現(xiàn)在：由于采用IP承載，按照用戶進(jìn)行通信管理，黑客可以冒充其他賬戶，向網(wǎng)絡(luò)發(fā)送大量流量對(duì)NGN系統(tǒng)進(jìn)行DOS攻擊。