科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道沈军:剖析中国电信IP网络的安全现状

沈军:剖析中国电信IP网络的安全现状

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在4月8日举行的互联网安全应急年会上,中国电信网络安全实验室的工程师沈军为与会嘉宾介绍了电信IP网络的安全现状以及安全对策。

作者:网易科技 来源:网易科技 2008年4月17日

关键字: IDS IPS 攻击防范

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

  在4月8日举行的互联网安全应急年会上,中国电信网络安全实验室的工程师沈军为与会嘉宾介绍了电信IP网络的安全现状以及安全对策。其中主要是依据DDoS防御体系与MSSP的特点介绍防御体系,以及相应的安全保障问题。以下就是沈军的演讲实录:

  首先,电信IP网络面临的主要安全挑战有:利用僵尸网络发动的DDoS攻击对网络正常运行构成了严重的威胁。在这样的背景下,电信IP网DDoS攻击事件也愈演愈烈,规模越来越大。我们检测的数量是每天100次以上,在部分网络上曾经出现过4G以上的流量。

  第二是针对骨干网络设备、网络基础业务系统、支撑系统和管理系统的攻击数量显著增加。

  这里影响巨大,攻击一旦成功可能影响某一电信业务,甚至一系列电信业务的提供,严重时甚至导致整个网络瘫痪。

  历史上曾多次发生针对DNS系统的攻击,对网络正常运行造成了严重的影响。

  第三方面是网络中垃圾流量的比例不断上升。垃圾邮件、虚假地址流量以及广告信息大量基站网络宽带,大量垃圾邮件被国际的封锁。

  针对这些现状我们提出了相应的安全对策,安全能力缺失是引发安全问题的根本原因,需要将技术与管理进行有机结合,形成完备的网络安全体系,快速提升电信网络安全能力。

  在技术层面,需要进行电信爱网络基础防护,关键业务与支撑系统防护,要建立网络的监控平台。

  具体考虑网络的基础防护,建议技术网络平面分割,控制安全问题的影响范围。对网络设备进行安全加固。在路由器启用反向路径查找,使全网具备对客户接入的流量能力,基本控制针对真客户和网络基础设施的伪抵制攻击。QoS与路由协议加密。还有安全事后的审计。

  关键业务与支撑系统防护,建议双联路上联双防火墙,部署IDS监控内网安全事件,部署AAA服务器授权管理,远程登录系统加密通信,定期安全评估与加固,部署漏洞扫描器及时发现问题。

  在网络安全管控方面,需要通过管控平台建设。建立网络安全管控平台,具备大网监控分析能力,尤其是DDoS,僵尸网络的监控与发现能力。具备电信级网络安全的相应、恢复、应急能力。要有安全监控管理,网络日常监控管理,风险管理,安全相应管理等关键的功能模块。

  在安全管理方面,需要建立专门配套的人员组织机构使之能够适应新形势下网络安全运营管理的需要,同时逐步完善妄图安全管理策略体系,将技术和管理有机的结合,相辅相成。

  在通过上述技术和管理的建设使电信安全能力得到提升的基础上,还可以为客户提供网络安全业务,实现电信和客户的双赢。对于客户方面来说,客户往往会受制于自身的安全技术能力和技术投资无法对自己的主机和网络进行安全的保护。目前常见的DDoS的攻击流量使客户无法字形实现对DDoS攻击的防范。安全业务的提供可以有效解决客户的网络安全问题。也可以提升运营商的网络安全性。

  网络安全业务体系的建议,可以从安全介入,专享防护,专家代为等方面进行防护,安全评估加固等一系列的安全业务,全方位满足各位的需求。

  第三部分我们会介绍电信IP网DDoS的防御体系,客户的DDOS的防御业务部署,以及DDoS与业务平台的关系。电信网络的DDoS防御体系分为:网络基础设施保护,网络机场流量监测,网络异常流量控制,以及对客户网络DDoS攻击安全防护。

  首先看昂落基础设施保护,是整个DDoS防御体系的基础环节,通过对路由器等网络设备进行安全加固,增强网络系统的安全性、稳定性和抗DDoS攻击能力。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章