电信网络安全技术白皮书课件.ppt

网络安全综述
纵观2009年国内网络安全总体态势，主要特征如下：
木马病毒数量爆发式增加，变种更新速度加快
病毒传播形式途径多样化
僵尸网络发展迅速，威胁日益严重
网络犯罪的产业化趋势明显
*
电信网络安全技术白皮书
*
电信网络安全技术及应用发展动态
移动互联网安全
移动终端安全，热点主要为硬件安全架构、智能手机安全防护和终端安全管理等技术
网络部分安全，主要在于接入网部分，主要关注接入鉴权和密钥协商、非法流量管控等技术
应用安全领域，重点关注应用层通用认证架构，以及垃圾短信、不良站点防治等内容安全技术
传统IP网安全
承载网安全，最核心的问题是如何保障网络的可用性
DNS系统安全，包括DNS 攻击防护、DNSSEC、DNS 安全监控技术
应用系统安全，主要关注 Web 应用安全
安全管理技术，侧重于 SOC 技术
*
电信网络安全技术白皮书
*
IPv6安全
云安全概念
物联网安全
*
电信网络安全技术白皮书
*
电信网络安全技术发展与应用
移动互联网安全
移动终端安全
硬件安全架构：以 UIM 卡为可信根，构筑应用安全基础
系统安全防护：加固与防御并重，打造终端防护体系
终端安全管理：构筑终端管理体系，掌控安全态势
*
电信网络安全技术白皮书
*
移动互联网安全
网络安全
提高网络各层面安全防护能力，加强网络资源可用性
结合现网试点情况部署 DPI 设备，增强对网络流量、业务的识别和管控能力，防范流量攻击、屏蔽对不良站点的访问
在网络演进中，积极稳妥地引入 AKA 等新型安全机制，增强移动互联网的安全性；在网络融合中，统一规划接入认证平台，加强统一安全管控，简化认证流程
*
电信网络安全技术白皮书
*
移动互联网安全
应用与内容安全
应用安全：利用接入层安全机制，构筑移动互联网应用安全基础设施
内容安全：技术检测与管理手段结合，防治垃圾信息和不良站点
*
电信网络安全技术白皮书
*
IP网安全
承载网安全
1、构建带外网管，加强对设备的安全规范化管控；
2、对 BGP 协议采用精细化路由控制策略，包括：限制接收的AS PATH长度、设置BGP TTL Security 值、启用邻居加密机制、发布路由时使用prefix-list 的方式进行白名单的控制、接收路由时设置最大接收前缀等；
3、启用设备关键资源防护（Anti-DDoS）措施，提高骨干设备的自我防护及防瘫能力。
*
电信网络安全技术白皮书
*
IP网安全
承载网安全
对于异常流量攻击安全防护的技术：
1、在接入层加强对虚假源地址流量的控制，减轻异常流量对大网的冲击；
2、进一步完善 DDoS 攻击防御平台的建设，采用基于骨干网平台+本地清洗系统的二级联动业务部署方案，本地平台解决小规模和本地攻击，骨干平台解决大规模跨域攻击，充分利用骨干网平台的大容量清洗能力和本地平台的灵活性部署和精细化防护策略，在降低部署成本的基础上，大力提升全网攻击防御能力；
3、主动防御，对异常流量的主要来源之一Botnet 进行监控，在其形成危害之前消除。
中国电信网络安全实验室已提出了一种基于网络流量特征和DNS 分析进行僵尸网络追溯的方案，部署难度及成本均较低，只需要对现有DNS 系统进行改造，并与现有的攻击溯源系统对接即可。
*
电信网络安全技术白皮书
*
IP网安全
支撑系统安全
CTG-MBOSS，总的来看，设备层面的安全风险较低，建议加强内控，完善用户权限管控和安全审计工作。
DNS，面临的安全威胁主要有两类：一类是域名劫持、缓存中毒等DNS 欺骗攻击，将用户引导到错误的站点；另一类是DDoS 等异常流量攻击，使DNS 服务器无法响应用户域名解析请求。
目前应重点完善 DNS 安全监控手段
*
电信网络安全技术白皮书
*
IP网安全
应用系统安全
业务流程安全
应用软件自身安全
*
电信网络安全技术白皮书
*