电信网络安全技术白皮书.ppt

该【电信网络安全技术白皮书 】是由【孔乙己】上传分享，文档一共【18】页，该文档可以免费在线阅读，需要了解更多关于【电信网络安全技术白皮书 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。电信网络安全技术白皮书
IP网安全
承载网安全
1、构建带外网管,加强对设备的安全规范化管控;
2、对BGP协议采用精细化路由控制策略,包括:限制接收的ASPATH长度、设置BGPTTLSecurity值、启用邻居加密机制、发布路由时使用prefix-list的方式进行白名单的控制、接收路由时设置最大接收前缀等;
3、启用设备关键资源防护(Anti-DDoS)措施,提高骨干设备的自我防护及防瘫能力。
IP网安全
承载网安全
对于异常流量攻击安全防护的技术:
1、在接入层加强对虚假源地址流量的控制,减轻异常流量对大网的冲击;
2、进一步完善DDoS攻击防御平台的建设,采用基于骨干网平台+本地清洗系统的二级联动业务部署方案,本地平台解决小规模和本地攻击,骨干平台解决大规模跨域攻击,充分利用骨干网平台的大容量清洗能力和本地平台的灵活性部署和精细化防护策略,在降低部署成本的基础上,大力提升全网攻击防御能力;
3、主动防御,对异常流量的主要来源之一Botnet进行监控,在其形成危害之前消除。
中国电信网络安全实验室已提出了一种基于网络流量特征和DNS分析进行僵尸网络追溯的方案,部署难度及成本均较低,只需要对现有DNS系统进行改造,并与现有的攻击溯源系统对接即可。
IP网安全
支撑系统安全
CTG-MBOSS,总的来看,设备层面的安全风险较低,建议加强内控,完善用户权限管控和安全审计工作。
DNS,面临的安全威胁主要有两类:一类是域名劫持、缓存中毒等DNS欺骗攻击,将用户引导到错误的站点;另一类是DDoS等异常流量攻击,使DNS服务器无法响应用户域名解析请求。
目前应重点完善DNS安全监控手段
IP网安全
应用系统安全
业务流程安全
应用软件自身安全
IP网安全
安全管理
网络安全专业化的趋势使网络安全管理成为电信运营商网络运营工作的一项重要课题。网络安全管理平台SOC作为网络安全管理的重要技术支撑手段,是目前中国电信网络安全工作的重点。
IP网安全
IPv6演进
与很多人的认识不同,在IPv6环境下安全性相较于IPv4网络并没有大的提升
因此,在目前中国电信IPv4网络向IPv6网络过渡的时期,仍需从多方面考虑安全体系架构的建设和完善,在原有IPv4环境下安全措施改进的基础上,加强对IPv6特定安全问题的防范以及对过渡技术安全问题的防范,
网络安全热点
云安全
云计算安全
数据安全保护
业务连续性要求:确保具备高可用、可靠的持续服务能力
云计算设施安全
高可用性和容灾备份
安全云
电信运营商在网络安全运营领域应用云计算技术主要包括安全基础设施的“云化”,以及开发面向客户的云安全服务
物联网安全
存在特殊安全问题,特别是感知网络的安全,是一个全新的课题
感知节点的物理安全问题
感知网络的传输与信息安全问题
目前,物联网通信安全研究重点在节点认证、加密、密钥管理、路由安全和入侵检测等方面
物联网应用和行业紧密相关,可能有特殊的安全需求,作为运营商,技术建议如下:
构建物联网安全管理平台
积极关注并参与标准制定工作
网络安全设备
防火墙
IDS/IPS
流量监测分析设备
异常流量清洗设备
DPI
WAF