網絡安全：下一代網絡(NGN)安全縱橫

信息產業的迅猛發展，已經使信息技術逐漸成為主導國民經濟和社會發展的重要因素。當今世界各國都在積極應對信息化的挑戰和機遇。信息化、網絡化、數字化正在全球范圍內形成一場新的技術、產業和社會革命。要發展信息化，就必須高度重視信息安全問題，它絕不僅僅是IT行業問題，更多的是一個社會問題以及包括多學科系統安全工程的問題，它直接關系到國家安全。因此，有人呼吁我國要像重視兩彈一星那樣去重視信息安全問題。

Internet的高速發展推動了整個社會進入信息時代的進程，掀起了一場網絡熱潮，人們的生活方式也因此而改變。但是，作為第一代互聯網，Internet在設計之初沒能充分考慮信息安全問題，從而導致現在全世界不得不成天忙於“打補丁”來應對與日俱增的安全問題。

肆虐網絡的病毒、無孔不入的間諜軟件、居心叵測的木馬、以及囂張猖獗的黑客攻擊，已經成為困擾第一代互聯網用戶的嚴重問題。由於安全問題給用戶帶來的不可靠感，基於第一代互聯網的電子商務的發展也受到了阻礙。

如今，由於IP地址資源的緊張和信息安全問題等，人們終於下決心開始研制並推廣下一代網絡（NGN），並以NGN作為未來信息傳遞的主要載體。從信息安全角度看，NGN既是機會又是挑戰，我們絕不能再犯忽視安全問題的錯誤了，必須將信息安全作為NGN的一個有機整體，而不是一個附屬品來對待。信息安全必須作為NGN研究中最重要的課題之一。

下一代網絡是什麼？

下一代網絡（Next Generation Network，簡稱NGN），是在當今電信網絡基礎上演變、融合而來的。理想中的NGN可以實現各種網絡的互通，用戶可以在任何時間、任何地點、以多種方式，享受網絡提供的各種服務。NGN是一個集數據、語音、視頻等各種多媒體功能於一體的網絡。試想一下，在不久的將來，用戶可以在電話機上和朋友“面對面”地視頻聊天；可以在手機上與遠方的好友分享好聽的音樂；可以和異國他鄉的親友盡情交談，卻只需不多的話費。這無疑是令人憧憬的生活方式。但事務總是具有兩面性，NGN為我們帶來便利的同時，也帶來了更加嚴峻的安全隱患。

NGN的安全隱患在哪裡？

網絡是一個復雜的系統，無論是網絡硬件開發、協議設計、還是網絡應用軟件開發，都是復雜的工程。這就不可避免地會有設計不完善的地方，人們無法在設計階段就考慮到所有情況，打造一個十全十美的網絡。隱患是必然存在的，NGN也不會例外，它的主要安全隱患表現在以下幾個方面。

1、 物理設備的隱患

■設備故障

網絡上的設備一般都是常年不間斷地運行，難免會出現硬件故障，這些故障可以造成數據的丟失，通信的中斷，從而對用戶服務造成損害。如果是某些核心的設備出現故障，則有可能導致整個網絡的癱瘓。

■電磁輻射

電子設備都具有電磁輻射，一方面電磁的洩露讓竊聽者在一定距離內使用先進的接收設備，可以盜取到正在傳送的信息和數據，從而嚴重威脅用戶的隱私；另一方面電磁輻射可以破壞另外一些設備中的通信數據。

■線路竊聽

在無線通訊中，信號是在空中傳播，無法采用物理的方式保護，這就使得有些攻擊者可以使用一些設備對通訊數據進行竊聽，甚至更改。在有線通訊中，攻擊者甚至可以通過物理直接搭線的方式竊聽相關信息。

■火災、水災與盜竊

這些問題是由於人為的不注意或者其他原因造成的，一旦發生，一般都是毀滅性的。

2、軟件系統的隱患

如果說物理設備是網絡的“軀體”的話，那麼軟件系統就是網絡的“靈魂”。但是軟件系統不可避免地會有許多設計缺陷，而這些缺陷在設計階段是難以發現的。一旦攻擊者掌握了這些缺陷，就可以利用它們進行非法的攻擊行為。

■操作系統的隱患

操作系統是網絡應用的軟件基礎，它是網絡設備的“神經中樞”，負責掌控硬件的運行與應用軟件的調度，其重要程度不言而喻。目前網絡上應用比較普遍的有linux、Unix、Windows、以及嵌入式Vxworks等。沒有任何一種操作系統敢宣稱自己是完全安全的，正如Windows操作系統大量安全漏洞的存在造成了目前互聯網嚴峻的安全形式，操作系統的隱患也將使得網絡系統本身存在很大的安全隱患。

操作系統隱患的產生大致有三個原因，具體如下所述：

編程人員的人為因素，在程序編寫過程，為實現不可告人的目的，在程序代碼的隱蔽處保留後門。

受編程人員的能力、經驗和當時安全技術所限，在程序中難免會有不足之處，輕則影響程序效率，重則導致非授權用戶的權限提升。

由於硬件原因，使編程人員無法彌補硬件的缺陷，從而使硬件的問題通過軟件表現。

許多攻擊就是利用操作系統存在的漏洞。現在受攻擊最多的是Windows操作系統，因為它是現在個人用得最多的一種操作系統。其次是Linux， Solaris， OS/2等操作系統。黑客的攻擊手法主要是使用一些現有的黑客工具或自己編制一些程序進行攻擊，比如：

口令攻擊

主要由於用戶設置密碼過於簡單或者容易破解。如FTP服務器密碼、數據庫管理密碼、系統超級用戶密碼等。利用一些智能軟件可以通過簡單的猜測就能破解這些口令，從而使用戶失去安全保障。

操作系統本身的漏洞

這是操作系統在開發過程中形成的缺陷。雖然可以通過廠家的不斷升級來彌補，但是很多時候用戶並沒有及時為自己的電腦操作系統去下載這些補丁，有時是在廠家還沒有發現漏洞時，黑客已經開始利用這些漏洞來發起攻擊了。

■應用軟件的安全隱患

軟件的完整性

應用軟件在使用過程中，往往被用戶有意或無意地刪除，造成不完整。此外，不同應用軟件之間也可能出現相互沖突。有些應用軟件，在安裝時存在文件互相覆蓋或改寫，從而引起一些不安全的因素。

軟件本身漏洞

比如現在的IE浏覽器，攻擊者可以利用其設計缺陷通過它進入系統；IE可以將用戶的密碼記錄在一個特定的文件夾中，一旦攻擊者訪問到這個文件夾，用戶的信息就會暴露。

■數據庫的安全隱患

數據庫是存放數據的軟件系統，在信息社會中扮演著十分重要的角色，它的安全隱患主要有：

數據的安全

數據庫中存放著大量的數據，這些數據可供擁有一定職責和權利的用戶共享，但是，很難嚴格限制用戶只得到一些他們必需的和他們權利相當的數據，通常用戶可能獲得更多的權限和數據。由於數據庫被多人或多個系統共享，如何保證數據庫的正確性和完整性也是問題。

數據庫系統被非法用戶侵入

數據庫本身存在著潛在的各種漏洞，致使一些非法用戶利用這些漏洞侵入數據庫系統，造成用戶數據洩漏。比如SQL Server數據庫系統加密的口令一直都非常脆弱。

數據加密不安全性

由於現在不存在絕對不可破解的加密技術，各種加密手段均有一定的不安全性。

■協議的安全隱患

協議，簡單的理解，是在網絡上進行通信的規則。比如，如何表達要傳遞的信息，如何傳遞等等，這些動作都是要靠協議來實現。協議可看成是網絡的精髓。

協議的安全隱患體現在網絡中互相通信的協議本身存在的安全方面的不健全，以及協議實現中存在的漏洞問題。協議在本質上也是一種軟件系統，因此在設計上不可避免地會存在一些失誤。比如：Internet的基礎協議TCP/IP的設計就是僅僅建立在研究和試驗的基礎上，沒有考慮安全性。黑客可以通過專用軟件工具對網絡掃描，掌握有用的信息，探測出網絡的缺口，從而進行攻擊。另外，如IP地址可以人為地用軟件設置，這就形成了IP地址假冒和欺騙，無法保證來源的真實性。

在NGN中，包含多種多樣的協議，主要的協議包括H.248、SIP、MGCP、H.323、BICC、SIGtran等，，正是這些協議促成了各種網絡的互通。每種協議都存在大量使網絡服務中斷的隱患。

協議的安全隱患是網絡安全問題最重要因素之一。

NGN面對的安全威脅是什麼？

1.從Internet上繼承下來的威脅

在NGN中，負責傳輸數據這部分系統稱為“核心傳輸網”。核心傳輸網沿用了在Internet上使用的IP技術。IP即Internet Protocol（因特網協議），是Internet技術體系的主要組成部分。而IP技術本身具有較多的安全缺陷，NGN采用這種技術，自然也繼承了這些安全缺陷。在Internet中適用的攻擊手法，理論上在NGN中都適用。采用IP技術帶來的靈活性、開放性是顯著的，但繼承下來的安全缺陷對NGN來說也是嚴峻的。因此，病毒、木馬、黑客攻擊等這些威脅仍會困擾NGN.

2.網絡融合互通帶來的新問題

除了Internet繼承下來的威脅外，NGN中還存在一些由於網絡融合互通帶來的新的問題。

傳統的電信網絡，如固定電話網或GSM移動電話網，是一個封閉的環境。外部的攻擊者很難進入系統進行攻擊。因此在封閉性不被打破的條件下，傳統電信網是安全的網絡，是可信任的網絡。用戶在使用時有很好的安全感，不會有隨時隨地受到安全威脅的感覺。在長期的使用實踐中，除了內部人員作案之外，傳統電信網的確也幾乎沒有出現安全上的問題，用戶可以放心使用。但隨著網絡向NGN的過渡和演進，這些封閉的環境將慢慢變得開放了。一方面，這種開放性使得外部的攻擊者有了可乘之機；另一方面，由於傳統電信網的封閉性，一些設計上的缺陷被封閉的環境掩蓋起來，而這些缺陷在相對開放的環境下就極有可能顯現出來。目前，經過研究已經證實了傳統的固定電話網采用的七號信令系統確實存在安全缺陷，難以在完全開放的環境中承受黑客的各種攻擊。可以預見，隨著網絡的融合，傳統電信網絡的安全缺陷會逐步顯現出來。

3.可能遭受的攻擊方式

■用戶的賬戶被盜

在傳統的電信網中，用戶不用考慮賬戶被盜的問題，除非用戶的電話被人盜用或者手機失竊。在NGN中，由於網絡支持用戶的普遍移動性和接入多樣性，也就是說，用戶可以在不同的地方，不同的設備上使用