电信运营商在安全领域的挑战及应对

让客户尽情享受信息新生活中国电信上海公司王毅电信运营商在安全领域的挑战以及应对陈磊中国电信上海公司信息网络部资深网络工程师让客户尽情享受信息新生活中国电信上海公司概要安全领域面临挑战网络发展迅捷，网络安全事件日益增多让客户尽情享受信息新生活中国电信上海公司互联网发展国内的互联网发展迅速3.38亿2.2亿1.37亿中国2.17亿1.53亿美国2009年6月2008年2月2007年1月国家\时间2007年至2009年美中两国互联网用户的增长情况根据最近工信部的统计数据，现在应该是已经到了3.6亿，互联网的普及率达到25.5％相比日美韩等国家还有很大差距，但发展的潜力比较大。让客户尽情享受信息新生活中国电信上海公司互联网发展我们的生活方式和工作方式正在不知不觉的随着网络发展而变化数据来源：中国互联网络发展状况统计报告让客户尽情享受信息新生活中国电信上海公司网络安全威胁发展网络安全问题也在同步发展钓鱼式攻击分布式拒绝服务缓存溢出攻击、蠕虫木马计算机病毒攻击类型2004年2000年1988年1986年1983年攻击\时间据中国互联网信息中心的统计，虽然82.4%的网民已经安装安全软件，09年上半年有1.95亿网民在上网过程中遇到过病毒和木马的攻击，1.1亿网民遇到过账号或密码被盗的问题让客户尽情享受信息新生活中国电信上海公司网络安全威胁发展病毒密码攻击分组窃听IP地址欺骗服务拒绝中间人攻击应用层攻击网络侦查端口重定向木马•攻击手段组合化•网络攻击规模化•幕后产业化让客户尽情享受信息新生活中国电信上海公司网络安全威胁发展•攻击手段组合化•网络攻击规模化•幕后产业化2.5244005101520253035402006年2007年2009年网络攻击流量（Gps）在上海电信实际网络运维中，就曾监测处理过几次攻击流量达到20G以上的DDOS攻击让客户尽情享受信息新生活中国电信上海公司网络安全威胁发展•攻击手段组合化•网络攻击规模化•幕后产业化洗钱编写病毒挂马盗窃用户信息肉鸡租赁黑色产业链我们该怎么办？我们该怎么办？让客户尽情享受信息新生活中国电信上海公司电信运营商的措施电信运营商应该如何去应对？•运营网络、系统的安全保障•推动安全产业链的建立•形成网络安全防护体系，实现技术与管理的相互结合让客户尽情享受信息新生活中国电信上海公司概要网络安全防护措施从细微入手，为用户网络安全保驾护航让客户尽情享受信息新生活中国电信上海公司•网络的设备、线路和管道的冗余•市电的引入等级•油机、UPS的配备•重要机房的进出控制•视频监控体系网络规划的安全考虑在网络规划、机房设计之初，充分考虑安全性问题让客户尽情享受信息新生活中国电信上海公司承载网络安全加固网络规划的安全考虑路由协议认证路由控制平面保护网络服务最小化关键系统加固设备访问控制……源地址控制U-RPF功能源地址过滤集中式鉴权认证系统•整体框架设计时考虑了安全性，在具体实施时，还需要进行一些安全加固的工作让客户尽情享受信息新生活中国电信上海公司承载网络安全处理异常流量的监测攻击流量的处理承载网络的处理机制网络监测体系设备异常的监测黑洞路由•碰到攻击事件时，还需要在承载网络层面有些处理机制CAR攻击端口控制攻击追查让客户尽情享受信息新生活中国电信上海公司DDOS的防护•2008年建成运营能力，整体系统引流能力达到120G防火墙自动判别攻击类型，并非进行屏蔽操作，攻击包被丢弃。正常流量攻击流量让客户尽情享受信息新生活中国电信上海公司DDOS的防护侦测模块•对于DDOS防护的侦测模块，主要是通过光旁路机制进行流量采集，同时结合了一部分XFLow的分析侦测模块异常流量的侦测、告警异常事件报告在线侦错服务流量分析报表服务定期报表派送服务让客户尽情享受信息新生活中国电信上海公司DDOS的防护•清洗模块进行流量处理-通过多条10G链路和城域网的核心设备相连-利用BGP发布路由，进行引流-集中式FIREWALLPOOL实现流量过滤-采用PBR及VPN技术实现流量导回•业务前景-在推出的1年时间内，已经有了数十家用户，同时有意向的用户有数百家，从用户类型来看，金融类的用户对这块的需求特别强烈让客户尽情享受信息新生活中国电信上海公司安全专区•对于IDC内的用户还提供一些安全加固的服务，防火墙＋防毒墙的综合防护服务让客户尽情享受信息新生活中国电信上海公司概要信息安全防护措施防微杜渐，全面筑起安全的铜墙铁壁让客户尽情享受信息新生活中国电信上海公司垃圾邮件•泛滥情况严重，影响正常运作•产生原因–利益驱使–技术缺陷让客户尽情享受信息新生活中国电信上海公司垃圾邮件-内堵外防、协作联动-以行业规则为处理原则-集成反垃圾邮件产品厂商技术、加强与国际反垃圾邮件组织合作、与邮件服务商联动、动员用户积极参与•垃圾邮件管控应对让客户尽情享受信息新生活中国电信上海公司垃圾邮件的防护收集汇总的投诉信息过滤无效投诉，获取垃圾邮件信息定义处理策略；分析嫌疑服务器；提供主动防御对象信息进行嫌疑网段的监测警告、终止服务，提交政府机关更新黑名单，公布RBL让客户尽情享受信息新生活中国电信上海公司垃圾邮件的防护•平台成效-在1年时间内，整个系统处理国内外反垃圾邮件组织的投诉8.4万次、定位宽带上网帐号1.4万户-投诉处理率由以前的20%提高到60%-被国际反垃圾邮件组织封堵的IP地址段全部解封•违规账号分析-严重违规宽带上网帐号200个，这些帐号共被投诉5.1万次，平均被投诉70次以上，最严重多达1500次，占总投诉的60%。-对此200个帐号所属用户进行深入分析，定位出75位“专职用户”让客户尽情享受信息新生活中国电信上海公司信息安全系统•防止非法网站的滋生•加强对网站的净化和控制•发生问题时，可与相关联系人及时联系域名备案系统内容监控系统•主动发现非法网站•实现非法信息的回溯让客户尽情享受信息新生活中国电信上海公司域名备案系统数据采集预处理数据分析处理应用管理外部系统对接让客户尽情享受信息新生活中国电信上海公司信息内容监控系统流量预处理流量预处理查询展现查询展现流量分光流量分光数据分析数据分析让客户尽情享受信息新生活中国电信上海公司概要结语SUMMARY让客户尽情享受信息新生活中国电信上海公司结语•安全体系的建构保证业务的正常开展•为安全告警和安全控制提供手段•提升用户体验，挖掘网络价值让客户尽情享受信息新生活中国电信上海公司