中国电信网络安全技术白皮书中国电信集团技术部拟文.docx

1、中国电信网络安全技术白皮书中国电信集团技术部拟文中国电信集团公司技术标准中国电信网络安全技术白皮书（2010 年版）2010-3-30 发布2010-4-10 实施中国电信集团公司发布目1.录 网络安全综述.1 1.1. 2009 年网络安全态势总体状况.1 1.2. 电信网络安全技术及应用发展动态.22. 电信网络安全技术发展与应用.4 2.1. 移动互联网安全.4 2.1.1.移动终端安全.4 2.1.2.网络安全.6 2.1.3.应用与内容安全.7 2.2. IP 网安全 .9 2.2.1.承载网安全.9 2.2.2.支撑系统安全.11 2.2.3.应用系统安全.12 2.2.4.安全管

2、理.13 2.2.5.IPv6 网络演进 .163. 网络安全热点.18 3.1. 云安全.18 3.1.1.云计算安全.18 3.1.2.安全云.20 3.2. 物联网安全.214. 网络安全设备.225. 结语.27关于中国电信网络安全实验室.28术语和缩略语.29中国电信网络安全技术白皮书(2010 年版)1. 网络安全综述1.1. 2009 年网络安全态势总体状况2009 年以来，国内互联网用户及应用继续保持着高速发展，据统计，2009年底我国互联网网民数量达到 3.84 亿，手机上网用户达 2.33 亿。随着互联网应用的广泛普及，其在国家政治、经济、文化以及社会生活的各个方面发挥着越

3、来越重要的作用，已经成为国家、社会、民众交互的重要平台。与此同时，互联网面临的安全威胁也随着互联网及应用的发展而不断演化，呈现日益复杂的局面，网络安全形势不容乐观。纵观 2009 年国内网络安全总体态势，主要特征如下：1、 木马病毒数量爆发式增加，变种更新速度加快据国家计算机病毒应急处理中心统计，2009 年新增病毒样本 299 万个，其中新增木马 246 万多个，是 08 年新增木马的 5.5 倍。其主要特征是本土化趋势加剧，变种速度更快、变化更多，隐蔽性增强，攻击目标明确，趋利目的明显。2、 病毒传播形式途径多样化2009 年病毒传播形式不断翻新，主要包括工具捆绑病毒、恶意广告、垃圾邮件、

4、钓鱼欺诈、网址导航、热点挂马等多种传播类型。其中较显著的变化是黑客开始利用当前社会重大、流行事件的关键词进行指向性、针对性挂马， “XX如门”“阿凡达”等流行热词都是黑客重点利用挂马的对象。、3、 僵尸网络发展迅速，威胁日益严重僵尸网络发展迅速，已成为网络安全的最大隐患之一，并逐渐成为攻击的主要手段。目前僵尸网络规模总体上趋于小型化、局部化和专业化；但也存在规模巨大的僵尸网络，一旦被利用发起 DDoS 攻击，后果不堪设想。4、 网络犯罪的产业化趋势明显网络犯罪正成为一种新型犯罪职业，组织化、集团化、产业化进程加速，挂马集团和攻击组织拥有了完整的病毒开发、下毒盗号、销赃转卖、攻击等一条龙运作模式

5、，窃取虚拟账号、恶意推广、欺骗下载或网络钓鱼等非法牟利行为呈现出愈演愈烈之势。第 1 页 共 33 页中国电信网络安全技术白皮书(2010 年版)面对不断增长的安全威胁，国家有关部门加大了对互联网安全的管理力度，2009 年 5 月，工信部颁布了互联网网络安全信息通报实施办法和木马和僵尸网络监测和处置机制，对 CNCERT、运营商、域名服务机构以及网络安全企业共同开展网络安全信息共享和打击黑客产业提出了具体工作要求，并组织了多次木马和僵尸网络专项治理行动，有效地净化了网络安全环境。2009 年以来，中国电信继续在网络安全建设与运营方面开展了大量卓有成效的工作，其中在集团层面组织开展了 SOC

6、体系建设、网络安全检查、DNS 安全专项整治、DDoS 攻击防御体系完善、C 网承载网安全评估等工作，有力地保障了电信网的平稳运行。但由于主要受到外部因素影响，网络安全整体形势仍不容乐观。全网安全漏洞仍然频发，影响对象包括众多 DNS 服务器、核心网络设备等；网络病毒、僵尸木马等引发的安全事件大量增加；针对网络设备、重要支撑系统、在网客户的 DDoS 攻击不断出现。据统计，2009 年中国电信全网发生DDoS 攻击 3.7 万余次，全年垃圾邮件投诉量超过 51 万次，各类安全事件均呈现快速上涨势头。总体来说，随着移动互联网的兴起，传统宽带应用日益丰富，移动网络IP化、终端智能化和应用丰富化给病

7、毒传播、恶意攻击提供了有利的条件，给电信运营商安全运营带来了极大的挑战。因此，电信运营商需不断提升电信基础网络和重要业务系统的安全防护能力，同时也应加强终端及信息服务安全，以满足全业务安全运营的迫切需求。另外，云计算、物联网应用的兴起，将极大拓展电信运营商的业务领域，如何保障云计算、物联网应用的运营安全也是电信运营商必须面对的问题。1.2. 电信网络安全技术及应用发展动态2009 年 3G 商用开启了国内移动互联网新时代，移动互联网安全可划分为终端、网络、应用与内容等几个安全域。移动终端安全热点主要为硬件安全架构、智能手机安全防护和终端安全管理等技术；网络部分包括接入网与核心及承载网，与传统互联网相比，主要区别在于接入网部分，主要关注接入鉴权和密钥协商、非法流量管控等技术；第 2 页 共 33 页中国电信网络安全技术白皮书(2010 年版)应用安全领域重点关注应用层通用认证架构，以及垃圾短信、不良站点防治等内容安全技术。在传统 IP 网领域，随着网络规模日益扩大，接入带宽不断增长，网络应用日益丰富，电信运营商 IP 网络运营面临的安全威胁更为突出。IP 网安全按网络层次架构可划分为承载网安全、支撑系统安全、应用系统安全和安全管理技术。承载网安全最核心的问题是如何保障网络的可用性，主要技术手段包括网络设备安全加固、异常流量