wenrensaoke

　　信息产业的迅猛发展，已经使信息技术逐渐成为主导国民经济和社会发展的重要因素。当今世界各国都在积极应对信息化的挑战和机遇。信息化、网络化、数字化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化，就必须高度重视信息安全问题，它绝不仅仅是IT行业问题，更多的是一个社会问题以及包括多学科系统安全工程的问题，它直接关系到国家安全。因此，有人呼吁我国要像重视两弹一星那样去重视信息安全问题。

　　Internet的高速发展推动了整个社会进入信息时代的进程，掀起了一场网络热潮，人们的生活方式也因此而改变。但是，作为第一代互联网，Internet在设计之初没能充分考虑信息安全问题，从而导致现在全世界不得不成天忙于“打补丁”来应对与日俱增的安全问题。

　　肆虐网络的病毒、无孔不入的间谍软件、居心叵测的木马、以及嚣张猖獗的黑客攻击，已经成为困扰第一代互联网用户的严重问题。由于安全问题给用户带来的不可靠感，基于第一代互联网的电子商务的发展也受到了阻碍。

　　如今，由于IP地址资源的紧张和信息安全问题等，人们终于下决心开始研制并推广下一代网络（NGN），并以NGN作为未来信息传递的主要载体。从信息安全角度看，NGN既是机会又是挑战，我们绝不能再犯忽视安全问题的错误了，必须将信息安全作为NGN的一个有机整体，而不是一个附属品来对待。信息安全必须作为NGN研究中最重要的课题之一。

wenrensaoke

下一代网络是什么？

　　下一代网络（Next Generation Network，简称NGN），是在当今电信网络基础上演变、融合而来的。理想中的NGN可以实现各种网络的互通，用户可以在任何时间、任何地点、以多种方式，享受网络提供的各种服务。NGN是一个集数据、语音、视频等各种多媒体功能于一体的网络。试想一下，在不久的将来，用户可以在电话机上和朋友“面对面”地视频聊天；可以在手机上与远方的好友分享好听的音乐；可以和异国他乡的亲友尽情交谈，却只需不多的话费。这无疑是令人憧憬的生活方式。但事务总是具有两面性，NGN为我们带来便利的同时，也带来了更加严峻的安全隐患。

　　NGN的安全隐患在哪里？

　　网络是一个复杂的系统，无论是网络硬件开发、协议设计、还是网络应用软件开发，都是复杂的工程。这就不可避免地会有设计不完善的地方，人们无法在设计阶段就考虑到所有情况，打造一个十全十美的网络。隐患是必然存在的，NGN也不会例外，它的主要安全隐患表现在以下几个方面。

　　1、 物理设备的隐患

　　■设备故障

wenrensaoke

网络上的设备一般都是常年不间断地运行，难免会出现硬件故障，这些故障可以造成数据的丢失，通信的中断，从而对用户服务造成损害。如果是某些核心的设备出现故障，则有可能导致整个网络的瘫痪。

　　■电磁辐射

　　电子设备都具有电磁辐射，一方面电磁的泄露让窃听者在一定距离内使用先进的接收设备，可以盗取到正在传送的信息和数据，从而严重威胁用户的隐私；另一方面电磁辐射可以破坏另外一些设备中的通信数据。

　　■线路窃听

　　在无线通讯中，信号是在空中传播，无法采用物理的方式保护，这就使得有些攻击者可以使用一些设备对通讯数据进行窃听，甚至更改。在有线通讯中，攻击者甚至可以通过物理直接搭线的方式窃听相关信息。

　　■火灾、水灾与盗窃

　　这些问题是由于人为的不注意或者其他原因造成的，一旦发生，一般都是毁灭性的。

　　2、软件系统的隐患

wenrensaoke

如果说物理设备是网络的“躯体”的话，那么软件系统就是网络的“灵魂”。但是软件系统不可避免地会有许多设计缺陷，而这些缺陷在设计阶段是难以发现的。一旦攻击者掌握了这些缺陷，就可以利用它们进行非法的攻击行为。

　　■操作系统的隐患

　　操作系统是网络应用的软件基础，它是网络设备的“神经中枢”，负责掌控硬件的运行与应用软件的调度，其重要程度不言而喻。目前网络上应用比较普遍的有linux、Unix、Windows、以及嵌入式Vxworks等。没有任何一种操作系统敢宣称自己是完全安全的，正如Windows操作系统大量安全漏洞的存在造成了目前互联网严峻的安全形式，操作系统的隐患也将使得网络系统本身存在很大的安全隐患。
　
　　操作系统隐患的产生大致有三个原因，具体如下所述：

　　编程人员的人为因素，在程序编写过程，为实现不可告人的目的，在程序代码的隐蔽处保留后门。

　　受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

　　由于硬件原因，使编程人员无法弥补硬件的缺陷，从而使硬件的问题通过软件表现。

wenrensaoke

许多攻击就是利用操作系统存在的漏洞。现在受攻击最多的是Windows操作系统，因为它是现在个人用得最多的一种操作系统。其次是Linux, Solaris, OS/2等操作系统。黑客的攻击手法主要是使用一些现有的黑客工具或自己编制一些程序进行攻击，比如：

　　口令攻击

　　主要由于用户设置密码过于简单或者容易破解。如FTP服务器密码、数据库管理密码、系统超级用户密码等。利用一些智能软件可以通过简单的猜测就能破解这些口令，从而使用户失去安全保障。

　　操作系统本身的漏洞
　
　　这是操作系统在开发过程中形成的缺陷。虽然可以通过厂家的不断升级来弥补，但是很多时候用户并没有及时为自己的电脑操作系统去下载这些补丁，有时是在厂家还没有发现漏洞时，黑客已经开始利用这些漏洞来发起攻击了。

　　■应用软件的安全隐患

　　软件的完整性

　　应用软件在使用过程中，往往被用户有意或无意地删除，造成不完整。此外，不同应用软件之间也可能出现相互冲突。有些应用软件，在安装时存在文件互相覆盖或改写，从而引起一些不安全的因素。

wenrensaoke

软件本身漏洞

　　比如现在的IE浏览器，攻击者可以利用其设计缺陷通过它进入系统；IE可以将用户的密码记录在一个特定的文件夹中，一旦攻击者访问到这个文件夹，用户的信息就会暴露。

　　■数据库的安全隐患

　　数据库是存放数据的软件系统，在信息社会中扮演着十分重要的角色，它的安全隐患主要有：

　　数据的安全

　　数据库中存放着大量的数据，这些数据可供拥有一定职责和权利的用户共享，但是，很难严格限制用户只得到一些他们必需的和他们权利相当的数据，通常用户可能获得更多的权限和数据。由于数据库被多人或多个系统共享，如何保证数据库的正确性和完整性也是问题。

　　数据库系统被非法用户侵入
　
　　数据库本身存在着潜在的各种漏洞，致使一些非法用户利用这些漏洞侵入数据库系统，造成用户数据泄漏。比如SQL Server数据库系统加密的口令一直都非常脆弱。

wenrensaoke

数据加密不安全性

　　由于现在不存在绝对不可破解的加密技术，各种加密手段均有一定的不安全性。

　　■协议的安全隐患
　
　　协议，简单的理解，是在网络上进行通信的规则。比如，如何表达要传递的信息，如何传递等等，这些动作都是要靠协议来实现。协议可看成是网络的精髓。

　　协议的安全隐患体现在网络中互相通信的协议本身存在的安全方面的不健全，以及协议实现中存在的漏洞问题。协议在本质上也是一种软件系统，因此在设计上不可避免地会存在一些失误。比如：Internet的基础协议TCP/IP的设计就是仅仅建立在研究和试验的基础上，没有考虑安全性。黑客可以通过专用软件工具对网络扫描，掌握有用的信息，探测出网络的缺口，从而进行攻击。另外，如IP地址可以人为地用软件设置，这就形成了IP地址假冒和欺骗，无法保证来源的真实性。

　　在NGN中，包含多种多样的协议，主要的协议包括H.248、SIP、MGCP、H.323、BICC、SIGtran等，正是这些协议促成了各种网络的互通。每种协议都存在大量使网络服务中断的隐患。

　　协议的安全隐患是网络安全问题最重要因素之一。

　　NGN面对的安全威胁是什么？

wenrensaoke

1.从Internet上继承下来的威胁

　　在NGN中，负责传输数据这部分系统称为“核心传输网”。核心传输网沿用了在Internet上使用的IP技术。IP即Internet Protocol（因特网协议），是Internet技术体系的主要组成部分。而IP技术本身具有较多的安全缺陷，NGN采用这种技术，自然也继承了这些安全缺陷。在Internet中适用的攻击手法，理论上在NGN中都适用。采用IP技术带来的灵活性、开放性是显著的，但继承下来的安全缺陷对NGN来说也是严峻的。因此，病毒、木马、黑客攻击等这些威胁仍会困扰NGN。

　　2.网络融合互通带来的新问题
　
　　除了Internet继承下来的威胁外，NGN中还存在一些由于网络融合互通带来的新的问题。

　　传统的电信网络，如固定电话网或GSM移动电话网，是一个封闭的环境。外部的攻击者很难进入系统进行攻击。因此在封闭性不被打破的条件下，传统电信网是安全的网络，是可信任的网络。用户在使用时有很好的安全感，不会有随时随地受到安全威胁的感觉。在长期的使用实践中，除了内部人员作案之外，传统电信网的确也几乎没有出现安全上的问题，用户可以放心使用。但随着网络向NGN的过渡和演进，这些封闭的环境将慢慢变得开放了。一方面，这种开放性使得外部的攻击者有了可乘之机；另一方面，由于传统电信网的封闭性，一些设计上的缺陷被封闭的环境掩盖起来，而这些缺陷在相对开放的环境下就极有可能显现出来。目前，经过研究已经证实了传统的固定电话网采用的七号信令系统确实存在安全缺陷，难以在完全开放的环境中承受黑客的各种攻击。可以预见，随着网络的融合，传统电信网络的安全缺陷会逐步显现出来。

wenrensaoke

3.可能遭受的攻击方式

　　■用户的账户被盗

　　在传统的电信网中，用户不用考虑账户被盗的问题，除非用户的电话被人盗用或者手机失窃。在NGN中，由于网络支持用户的普遍移动性和接入多样性，也就是说，用户可以在不同的地方，不同的设备上使用自己的账户享受服务。这种机制类似于登陆电子邮箱的“账户名”和“密码”。这些账户信息需要在网络终端和网络上传递，如果黑客利用某种手段得到这些信息，将带给用户巨大的损失。黑客可以利用偷窃的账户进行“免费通话”，而受害用户将承担话费。

　　■伪装欺骗

　　黑客可以冒充成合法的用户进入网络进行攻击，甚至可以冒充成网络中的设备来欺骗用户，为用户提供“网络服务”从而得到用户的账户信息或者其他的隐私信息。这些攻击在传统的电信网中都是无法实现的，但在NGN中，由于IP技术的采用，都具有实现的可能性。

　　■业务扰乱

　　黑客有可能直接利用智能的NGN终端就对网络发出攻击，一旦攻击成功，就会使得某一区域的用户受到影响。黑客还有可能发动大规模的骚扰电话，严重影响用户的日常生活。

wenrensaoke

以上仅列举几种NGN中可能存在的典型的攻击方式。随着网络的发展，技术的进步，黑客的手段也必定会层出不穷。NGN的互通性、开放性在为用户带来前所未有的使用体验的同时，也为黑客提供了一个很好的“舞台”。

　　保护NGN安全有哪些措施？

　　面临着诸多的安全问题，需要未雨绸缪，防患于未然。在NGN发展演进的过程中就要积极地制定安全措施和相关标准，研究可行的有效的安全机制。

　　建立一套安全防御系统，必须考虑以下三个问题：

　　需要哪些保护，防止哪些威胁；

　　需要保护的网络设备的类型；

　　需要保护的网络活动的类型。

　　这三个问题可以归结为安全尺度、安全层面、安全平台。在具体制定安全策略时，应综合考虑这三个方面。

　　1.NGN中安全机制的基本要求

　　■NGN安全应该支持协同性，特别是在不同NGN安全机制之间。这就是说，安全机制不能是孤立的，应该是一个相互协同的有机统一的系统。

wenrensaoke

■主要管理功能必须可用。
　
　　■NGN应该提供与其他网络和用户建立信任关系的可能。也就是说NGN应该能够鉴别一个单独用户或者另外一个网络的合法身份，从而可以进行正常的通信。

　　■鉴权和授权应该在服务层和传输层同时使用。即，用户到网络、网络到用户和网络到网络都应该可以完成相互的鉴别，以防止非法的欺骗行为。

　　■网络运营商出于安全考虑，会尽量限制用户了解到网络的结构和资源，因为这些信息对于攻击者来说非常重要。NGN的结构设计应该考虑到这些因素。

　　■NGN应该可以不同的网络区域有着不同的安全要求级别，而不会相互影响。比如，政府机要部门对网络安全的要求要比普通民用高，但它们之间不会相互影响和牵制。

　　■NGN应该提供安全方法来阻碍不必要的信息在网络上传送，节省网络资源。

　　■NGN网络管理资源（OSS-Operation Support System、数据库）的安全应该得到保障。

　　■NGN应该有能力支持确保通信完整性的服务，即确保通信的内容在传送过程中不被攻击者修改。

　　■NGN应该有能力提供通信保密性的服务，避免用户通信内容泄漏，侵害用户隐私。

wenrensaoke

■NGN应该有能力支持确保来源鉴定的服务，即认清信息来源者的真正身份，防止攻击者欺骗。

　　■安全功能应该安装在网络之间的交界处，并且可以控制网络之间的通信。这样可以实现一些功能，例如根据一定的规则对流通于网络之间的信息进行过滤。

　　2.NGN安全防御框架

　　■端用户平台安全

　　用户终端安全平台着重于考虑与用户访问和使用网络服务提供者相关的安全问题。这个平台也代表实际的用户的使用。

　　■控制平台安全
　
　　用于保护网络中信息的有效传递，服务和应用等行为的安全。包括机器间信息的传递，从而使得这些设备（路由器、交换机）可以决定在传输网络中最佳的路由或交换信息。

　　■管理平台安全
　
　　该平台保护网元、传输设备、办公备份系统和数据中心的操作、管理、维护和配置（OAM&P）功能。管理平台支持容错、性能、管理、供应和安全功能（FCAPS）。

wenrensaoke

信息安全十大原则

　　虽然任何人都不可能设计出绝对安全的网络系统，但是，如果在设计之初就遵从一些合理的原则，那么相应网络系统的安全性就更加有保障。第一代互联网的教训已经告诉我们：设计时不全面考虑，消极地将安全措施寄托在事后“打补丁”的思路是相当危险的！从工程技术角度出发，在设计网络系统时，至少应该遵守以下安全设计原则：
　
　　原则1：“木桶原则”，即，对信息均衡、全面地进行保护。

　　“木桶的最大容积取决于最短的一块木板”，攻击者必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测（包括模拟攻击），是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段；根本目标是提高整个系统的“安全最低点”的安全性能。

　　原则2：“整体性原则”，即，安全防护、监测和应急恢复。

　　没有百分之百的信息安全，因此要求在网络被攻击、破坏事件的情况下，必须尽可能快地恢复网络的服务，减少损失。所以信息安全系统应该包括三种机制：安全防护机制；安全监测机制；安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度。

wenrensaoke

原则3：“有效性与实用性”，即，不能影响系统的正常运行和合法操作。

　　如何在确保安全性的基础上，把安全处理的运算量减小或分摊，减少用户记忆、存储工作和安全服务器的存储量、计算量，应该是一个信息安全设计者主要解决的问题。

　　原则4：“安全性评价”原则，即，实用安全性与用户需求和应用环境紧密相关。

　　评价系统是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，比如，1）系统的规模和范围（比如，局部性的中小型网络和全国范围的大型网络对信息安全的需求肯定是不同的）；2）系统的性质和信息的重要程度（比如，商业性的信息网络、电子金融性质的通信网络、行政公文性质的管理系统等对安全的需求也各不相同）。另外，具体的用户会根据实际应用提出一定的需求，比如，强调运算实时性或注重信息完整性和真实性等等。

　　原则5：“等级性”，即，安全层次和安全级别。
　
　　良好的信息安全系统必然是分为不同级别的，包括：对信息保密程度分级（绝密、机密、秘密、普密）；对用户操作权限分级（面向个人及面向群组），对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面的、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

wenrensaoke

原则6：“动态化”原则，即，整个系统内尽可能引入更多的可变因素，并具有良好的扩展性。

　　被保护的信息的生存期越短、可变因素越多，系统的安全性能就越高。安全系统要针对网络升级保留一定的冗余度，整个系统内尽可能引入更多的可变因素。

　　原则7：设计为本原则，即，安全系统的设计应与网络设计相结合。

　　在网络进行总体设计时考虑安全系统的设计，二者合二为一。避免因考虑不周，出了问题之后拆东墙补西墙，不仅造成经济上的巨大损失，而且也会对国家、集体和个人造成无法挽回的损失。由于安全问题是一个相当复杂的问题，因此必须群策群力搞好设计，才能保证安全性。

　　原则8：自主和可控性原则。

　　安全问题关系着一个国家的主权和安全，所以网络安全不可能依赖于国外，必须解决网络安全的自主权和自控权问题。

　　原则9：权限分割、互相制约、最小化原则。

wenrensaoke

在很多系统中都有一个系统超级用户或系统管理员，拥有对系统全部资源的存取和分配权，所以它的安全至关重要，如果不加以限制，有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此有必要对系统超级用户的权限加以限制，实现权限最小化原则。管理权限交叉，有几个管理用户来动态地控制系统的管理，实现互相制约。而对于非管理用户，即普通用户，则实现权限最小原则，不允许其进行非授权以外的操作。

　　原则10：有的放矢、各取所需原则。
　
　　在考虑安全问题解决方案时必须考虑性能价格的平衡，而且不同的网络系统所要求的安全侧重点各不相同。必须有的放矢，具体问题具体分析，把有限的经费花在刀刃上。

　　总结

　　社会要进步，技术要发展。纵然NGN面临诸多的安全问题，但我们不能因噎废食，畏缩不前；也绝不能掉以轻心，一劳永逸。
　
　　信息安全是一门高智商的对抗性学科，作为矛盾主体的“攻”与“守”双方，始终处于“成功”和“失败”的轮回变化之中，没有永远的胜利者，也不会有永远的失败者。“攻”与“守”双方当前斗争的暂时动态平衡体系了网络安全的现状，而“攻”与“守”双方的“后劲”则决定了网络安全今后的走向。“攻”与“守”双方既相互矛盾又相互统一。他们始终都处于互相促进、循环往复的状态之中。更具体地说，安全是相对的，不安全才是绝对的。

wenrensaoke

信息安全是一门高智商的对抗性学科，作为矛盾主体的“攻”与“守”双方，始终处于“成功”和“失败”的轮回变化之中，没有永远的胜利者，也不会有永远的失败者。“攻”与“守”双方当前斗争的暂时动态平衡体系了网络安全的现状，而“攻”与“守”双方的“后劲”则决定了网络安全今后的走向。“攻”与“守”双方既相互矛盾又相互统一。他们始终都处于互相促进、循环往复的状态之中。更具体地说，安全是相对的，不安全才是绝对的。
　
　　信息安全是一个涉及面很广的问题，要想确保安全，必须同时从法规政策、管理、技术这三个层次上采取有效措施。高层的安全功能为低层的安全功能提供保护。任何单一层次上的安全措施都不可能提供真正的全方位安全。

　　先进的技术是信息安全的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统。

　　严格的安全管理至关重要。各用户单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，建立安全审计和跟踪体系，提高整体网络安全意识。

　　明确的法律和法规是安全的“靠山”。国家和行业部门制订严格的法律、法规，使非法分子慑于法律，不敢轻举妄动。

wenrensaoke

作者简介：杨义先，1988年获北京邮电大学信号与信息处理专业博士学位。现任北京邮电大学信息安全中心主任、国家重点实验室副主任、教授、博士生导师，全国政协委员，《通信学报》主编。出版学术专著近20部，在国内外学术刊物上发表论文400余篇。1991年获首届国务院颁发的政府特殊津贴，1999年被聘为首届长江学者特聘教授，1998年当选“北京市十大杰出青年”，2001年获“有可能影响中国21世纪的IT青年人物”称号。

　　辛阳，男，博士，讲师。单位：北京邮电大学信息安全中心，长期从事信息安全领域研究工作，主要涉及电信现网安全、下一代网络安全、移动通信安全等。多次参与国家通信相关规范和标准的编写和制定工作，出版过安全方面的书籍3本，论文10余篇。