1、引言
電信網從原來電話交換為主的話音業務正全面向語音、數據、多媒體等綜合業務的平台轉變。IP技術成為下一代電信網絡的關鍵技術,傳統電信網由於其自身的封閉性,安全問題並不是很突出,但是以IP為基礎協議的下一代網絡已經開始必須面對以往只是在IP網上才會出現的網絡安全問題。在威脅我國電信IP網的眾多因素中,黑客攻擊是其中最為重要的一種,在我國電信IP網中曾出現過遭黑客攻擊的案例,如近日某企業員工通過參與某移動公司項目得到了系統的密碼,繼而侵入移動公司充值中心數據庫,盜取充值卡密碼,給移動公司帶來了370余萬元的損失。
近年來,黑客對電信網絡的攻擊給社會帶來了極大的損害,隨著黑客攻擊技術的不斷發展,網絡和系統漏洞的不斷出現,黑客群體的變化,社會對網絡的依賴性提高,未來黑客攻擊手段越來越隱蔽,破壞力將越來越大,攻擊行為也將變得越來越復雜和難於防范。2006年世界電信日的主題是:讓世界網絡更安全。我國信息產業部也根據這個主題開展了一系列的主題活動,從而可以看出網絡安全已經成為電信發展中的一個重要問題。本文就黑客攻擊的手段和防范的策略給出簡單的分析。
2、黑客攻擊對電信IP網的安全威脅分析
在《中華人民共和國電信條例》中,對電信網絡安全方面,針對現實中危害較大的計算機病毒、黑客等情況,做了禁止性的規定。其中在第五十八條規定了任何組織或者個人不得有四類危害電信網絡安全和信息安全的行為,其中第三類中就是故意制作、復制、傳播計算機病毒或者以其他方式攻擊他人電信網絡等電信設施。這個其他行為目前主要是指黑客攻擊。黑客通過遍及全球的IP網侵入通信系統,截取通信安全方面的信息資料,他們篡改信息、替換網頁、下載或盜取敏感信息、攻擊主機和網絡、發送郵件炸彈或使網絡癱瘓。黑客攻擊一旦得逞,小則癱瘓網絡的某項服務,大則造成短時間內無法恢復的整個網絡的癱瘓,造成巨大的損失。黑客之所以能夠對電信IP網造成威脅,主要有以下幾點原因:
(1)技術方面:IP協議設計中的錯誤和疏忽使得網絡先天不足,為黑客攻擊提供了條件。例如,IEEE802.11b 中出現的WEP漏洞,還有由於TCP/IP協議缺乏相應的安全機制,且IP網最初設計基本沒有考慮安全問題等等都使得電信網絡存在先天不足。隨著軟件系統規模的不斷增大,各種系統軟件、應用軟件變得越來越復雜,電信設備廠商、集成商和運營商的軟件中心在開發和實現過程中不可避免的會出現各種缺陷和漏洞,這使得黑客可以利用這些漏洞對電信IP網進行攻擊。
(2)管理方面:缺乏完整統一的安全策略,缺乏完善的、切實可行的管理和技術規范,為黑客“鑽空子”提供了便利。很多網絡在建設初期,發展的方向都傾向於網絡的便利性和實用性,忽略了至關重要的網絡安全性,為以後的發展埋下了隱患。有些地方缺乏合理安全的網絡設計規劃和配置,防火牆的配置也不夠嚴密,這些都為黑客攻擊提供了方便。
(3)人力方面:缺少網絡安全方面的專職人員,並且各運維人員安全意識、安全水平上也存在著很大的差別,有些黑客居然可以冒充管理人員通過打電話而問到網絡的密碼,這些都成為黑客攻擊電信IP網的手段,所以提高運維人員的安全水平和安全意識對各個運營商來說是刻不容緩的事情。
3、黑客攻擊電信IP網手段和防范措施
黑客攻擊手段按照結果分可分為二類:本地攻擊和遠程攻擊;按照侵入的深度可大致分為:表層攻擊、讀訪問、非根式的寫與執行訪問、根式的寫和執行訪問;按照系統遭受攻擊的程度又可分為六個層次:第一層是郵件炸彈攻擊和服務拒絕攻擊、第二層是本地用戶獲得非授權讀訪問、第三層為本地用戶獲得非授權文件的寫權限、第四層是遠程用戶獲得非授權的帳號和遠程用戶獲得文件的讀權限、第五層是遠程用戶獲得特許文件的寫權限、第六層是遠程用戶獲得根權限。幾種分類的關系如圖1所示。
圖1 黑客攻擊電信IP網手段的幾種分類的關系
常見的黑客攻擊電信IP網的手段主要有:口令破解等解碼類攻擊、惡意代碼攻擊、後門程序的攻擊、拒絕服務類攻擊、郵件炸彈、郵件列表類炸彈攻擊、通過 IP包進行攻擊、通過操作系統漏洞對電信網進行攻擊、緩沖區溢出和遠程緩沖區溢出攻擊、網絡服務漏洞攻擊等等。這裡對幾種常見黑客攻擊手段進行分析。
3.1 口令破解等解碼類攻擊
口令攻擊是黑客最常用的攻擊方法之一。黑客通過口令破解軟件破解服務器賬號口令,由於管理員事安全意識不強,使得該方法簡單而且行之有效。對於口令破解的攻擊,在設置口令時應注意不要使用過於簡單的密碼;不要在不同的賬號裡使用相同的密碼;應保守密碼口令並經常有規律的更換;每隔一段時間要把所有的密碼都更換一次;及時的取消調離或者停止工作職員的賬號以及無用的密碼;在驗證過程中,口令不能以明文方式傳輸,也不能以明文方式存放在系統中。
3.2 惡意代碼和後門程序的攻擊
惡意代碼包括病毒、蠕蟲、特洛伊木馬等,後門程序是系統調試後預留的或黑客攻擊系統之後為方便再次進入而開啟的守候進程或隱蔽通道,是攻擊者繞過安全性控制而獲取對程序或系統訪問權的方法。對於特洛伊木馬這種黑客程序,可以采用專門的查找軟件,檢測和清除系統中隱藏的木馬程序。
3.3 拒絕服務類攻擊
該類型攻擊是目前電信網中最常遭受的攻擊之一,就是讓服務器的CPU過載、磁盤飽和、內存不足等等,包括拒絕服務攻擊和分布式拒絕服務。攻擊目的有兩種:占用大量的帶寬和攻擊脆弱服務器。前者的攻擊手段有:SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等,甚至利用路由協議的漏洞制造網絡風暴等,通過短時間內向目標系統發送大量的數據包而導致網絡流量堵塞,從而達到阻止目標主機大部分服務的功能。對Land攻擊和WinNuke攻擊,適當配置防火牆設備或過濾路由器的過濾規則就可以防止這種攻擊行為(一般是丟棄該數據包),並對這種攻擊進行審計。對Ping Of Death攻擊和Teardrop攻擊,要添加系統補丁程序,丟棄收到的病態分片數據包並對這種攻擊進行審計。對於某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法,還需要利用狀態轉移、網絡拓撲結構等方法來進行入侵檢測。
3.4 通過操作系統漏洞對電信網進行攻擊
現在電信網中主機設備大部分使用UNIX系統,這也使得黑客可以通過機器操作系統的一些漏洞對電信網進行攻擊。包括操作系統本身的體系結構的不安全、進程管理機制中的缺陷,還有操作系統提供的遠程調用服務和特意安排的系統漏洞也是不安全因素之一。黑客通過黑客軟件針對操作系統的薄弱環節,對網絡設備進行非正常或越權使用,使系統的安全機制收到威脅,或者利用各種假冒和欺騙的手段,如IP地址欺騙等,非法獲得合法用戶的使用權,致使操作系統對資源分級分權管理的失效。對於操作系統出現漏洞,系統需要及時添加補丁程序和進行安全性能優化配置工作。
3.5 緩沖區溢出和遠程緩沖區溢出
是一種系統攻擊的手段,通過往程序的緩沖區寫超出其長度的內容,造成緩沖區溢出,黑客可以獲得其他用戶或組的非授權讀、寫的訪問。緩沖區溢出攻擊占了遠程網絡攻擊的絕大多數。目前有四種基本的方法保護緩沖區免受緩沖區溢出的攻擊和影響。首先,要編寫正確的代碼;其次,數組邊界檢查能防止所有的緩沖區溢出的產生和攻擊;再次,要對程序指針進行完整性的檢查;最後,通過操作系統使被攻擊程序的數據地址空間不執行,從而使得攻擊者不能執行被植入被攻擊程序輸入緩沖區的代碼。
4、電信IP網防范黑客攻擊的安全體系
網絡安全威脅和防范一直是電信運營商十分關注的問題。要做好電信IP網防范黑客攻擊的安全防護,需要從人力、技術、管理、和安全立法幾方面采取措施,以建立有效的安全防護體系。
有效的防范黑客攻擊安全體系的實現需要三方面的努力:
(1)技術上:黑客攻擊的多樣性決定了防范技術也必須采取多層次、全方位的防御體系。包括先進的、不斷更新和完善的安全工具、各種軟硬件設備、管理平台和監控系統。主要包括防火牆、安全掃描、評估分析、入侵檢測、入侵取證、陷阱網絡、備份恢復和病毒防治等。
(2)管理上:黑客攻擊的技術手段越來越高明,但是不可否認,有些黑客攻擊之所以可以成功在於網絡管理上的疏忽和漏洞。所以要建立有效的防范黑客攻擊的安全體系需要嚴密完善的安全技術規范、管理制度、高水平的安全技術人才和高度的工作責任心。其中包括建立定期檢查制度、建立包機或網絡安全專人負責制、建立安全事故及時上報制度、建立定期備份制度、建立口令定期修改制度等等。
(3)規劃上:網絡技術迅猛發展,也使得黑客攻擊技術不斷發展,網絡管理者要做好防范工作的同時也要做出正確合理的網絡結構設計、規劃和組織,做到防范於未然。對新的技術和產品的研發要早作准備,深入調研國內外電信IP網安全的狀況,了解黑客技術的進展,在廣泛融合的基礎上做出前瞻性的規劃,培養相關領域的人才。
5、結束語
電信網是公網,是國家關鍵基礎設施的重要組成部分,對可靠性和安全性要求極高,是人們向信息社會邁進的基石,與人們