美国对我国电信基础设施渗透控制,美此举有何意图?会带来哪些影响?
不同于其他行业的关键信息基础设施,承载话音、数据、消息的电信 *** 以CT系统为主与绝大多数其他行业的关键信息基础设施以IT系统为主不同,电信 *** 要复杂得多。
在电信行业关键信息基础设施认定方面,美国国家关键功能集可以借鉴。美国国土安全部下属的国家 *** 安全和基础设施安全局CISA国家风险管理中心发布了国家关键功能集,将影响国家关键功能划分为供应、分配、管理和连接四个领域。按此分类方式,电信网
络属于连接类。
除了上述电信 *** 和服务外,支撑 *** 运营的大量 IT 支撑系统,如业务支撑系统BSS、网管支
撑系统OSS,也非常重要,应考虑纳入关键信息基础设施范围。例如网管系统由于管理着电
信 *** 的网元设备,一旦被入侵,通过网管系统可以控制核心 *** ,造成 *** 瘫痪业务支撑系统计费支撑了电信 *** 运营,保存了用户数据,一旦被入侵,可能造成用户敏感信息泄露。
进一步说明,美国这两大情报部门作案手段非常的高明是通过在非美国以外的地方购买 的IP地址,做了很多次拐弯抹角才去入侵西工大一般国家根本察觉不到,但刚刚入侵就被 西工大 *** 安全部门查获,这说明大陆方面在 *** 科技和 *** 安全方面的技术也非常的厉害!
*** 攻击影响阿尔巴尼亚 *** 电子服务消息,阿尔巴尼亚向 *** 服务数字交付的转变正受到 *** 攻击的破坏,导致国家电子服务
门户网站关闭。
当地媒体周一向总理办公室发表的一份声明称, *** 周五下午发现了这次袭击事件。它起初似乎是
勒索软件,但其真正目标是使阿尔巴尼亚 *** 离线,阿尔巴尼亚每日新闻发布的声明副本说。 Entrust是一家专注于在线信任和身份管理的安全公司,提供广泛的服务,包括加密通信、安全数字
支付和身份证明解决方案。实际上,吉恩·夏普的革命手册,内容丰富,详细周到。跟麦当劳操作手册一样,真正做到了系统
化、流程化、标准化,恨不得让幼儿园小朋友看完,都能上手去颠覆几个国家。
这套理论刚一出炉,趁着热乎劲儿,美国先拿不听话的巴拿马练手。巴拿马 *** 成为该理论的之一个牺牲品。它像一只冻僵了的弱鸡,毫无反抗之力。
美国人大喜过望,开始对老冤家苏联全方位下手。
加大资金投入,各个领域渗透。
最终,在戈尔巴乔夫和叶利钦等带路党的里应外合下,大家齐心协力,将苏联大厦推倒在地,再踏
上一只脚。
从此,多米诺骨牌接连倒下。
东欧各国、前苏联加盟共和国,像接力赛一样爆发 *** 得了传染病似的。当然了你也可以说,是这些国家自己不争气,国内矛盾重重,自己处理不好。
但平心而论哪个国家没有内部矛盾哪个国家没有社会问题?你老欧洲内部矛盾少吗?你美国内部矛盾少吗枪杀案少吗?骚乱少吗持续数月之久,是相当靓丽的一道风景线。所以,再次呼吁大家遇到社会问题的时候千万要冷静冷静再冷静,不要被反动势力利用。
不要做亲者痛仇者快的事情分清人民内部矛盾和敌我矛盾。
因为, *** 带来的恶果,我们每一个人,都承受不起。什么叫做贼喊捉贼?美国就是!美国是世界上更大的黑客组织和 *** 窃密者,却时常栽赃陷害别人
发起 *** 攻击。这些年美国一直在世界上宣称中国的黑客对他们的 *** 发起攻击实际上却是美
国的 *** 黑客一直在攻击中国。
美国 *** 黑客不仅攻击中国的公用和民用 *** ,而且试图控制中国
的核心基础设施,这种用心实在是在险恶了。如果像电信这样的基础设施被美国渗透控制,那整个
国家的通信安全都会受到挑战,人们的隐私就受到了严重威胁。而且万一以后发生了战争等,美国
就可以轻易利用这种控制手段切断正常通信,从而左右战争进程。
美国有多 *** 可想而知了!
前些时候,美国美国国土安全部、中央情报局非法入侵我国西北工业大学的事情在国内外引起了热议美国两大情报机构居然派出黑客入侵一所中国大学的数据库,这在美国近些年对间谍活动中是
非常少见的。而这个事情也同样引起海峡对岸政论节目的热议,中天台就邀请了“雄风3”反舰导弹设计师张诚进行了解读,张诚不但对于西北工业大学和所研究的项目进行了解答,作为科学家张诚对西工大的评价是非常高,同时也对工业大学雄厚的科研实力更是羡慕不已!
有穷人去富人家去偷,当然也存在富人去富人家偷东西的事情,美国当然不是穷人他们入侵西工大是富人到富人家去偷东西这也说明了中国近些年来国防科研突飞猛进,把美国逼得气喘吁吁,所以才过来要看个究竟。
关键信息基础设施面临的 *** 安全风险日益加大 全球 *** 安全局势面临严峻挑战,日益突出的安全威胁向国家重要领域传导渗透。近年来,国内外 针对基础设施和重要信息系统的 *** 攻击事件频发,攻击手段不断升级,关键信息基础设施受到的 *** 威胁呈逐年上升趋势,对社会稳定和国家安全造成了巨大威胁,关键信息基础设施安全运行面 临巨大挑战。
关于电信 *** 关键信息基础设施保护的思考
文 华为技术有限公司中国区 *** 安全与用户隐私保护部 冯运波 李加赞 姚庆天
根据我国《 *** 安全法》及《关键信息基础设施安全保护条例》,关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的 *** 设施和信息系统”。其中,电信 *** 自身是关键信息基础设施,同时又为其他行业的关键信息基础设施提供 *** 通信和信息服务,在国家经济、科教、文化以及 社会 管理等方面起到基础性的支撑作用。电信 *** 是关键信息基础设施的基础设施,做好电信 *** 关键信息基础设施的安全保护尤为重要。
一、电信 *** 关键信息基础设施的范围
依据《关键信息基础设施安全保护条例》第 9条,应由通信行业主管部门结合本行业、本领域实际,制定电信行业关键信息基础设施的认定规则。
不同于其他行业的关键信息基础设施,承载话音、数据、消息的电信 *** (以 CT 系统为主)与绝大多数其他行业的关键信息基础设施(以 IT 系统为主)不同,电信 *** 要复杂得多。电信 *** 会涉及移动接入 *** (2G/3G/4G/5G)、固定接入网、传送网、IP 网、移动核心网、IP 多媒体子系统核心网、网管支撑网、业务支撑网等多个通信 *** ,任何一个 *** 被攻击,都会对承载在电信网上的话音或数据业务造成影响。
在电信行业关键信息基础设施认定方面,美国的《国家关键功能集》可以借鉴。2019 年 4 月,美国国土安全部下属的国家 *** 安全和基础设施安全局(CISA)国家风险管理中心发布了《国家关键功能集》,将影响国家关键功能划分为供应、分配、管理和连接四个领域。按此分类方式,电信 *** 属于连接类。
除了上述电信 *** 和服务外,支撑 *** 运营的大量 IT 支撑系统,如业务支撑系统(BSS)、网管支撑系统(OSS),也非常重要,应考虑纳入关键信息基础设施范围。例如,网管系统由于管理着电信 *** 的网元设备,一旦被入侵,通过网管系统可以控制核心 *** ,造成 *** 瘫痪;业务支撑系统(计费)支撑了电信 *** 运营,保存了用户数据,一旦被入侵,可能造成用户敏感信息泄露。
二、电信 *** 关键信息基础设施的保护目标和 ***
电信 *** 是数字化浪潮的关键基础设施,扮演非常重要的角色,关系国计民生。各国 *** 高度重视关键基础设施安全保护,纷纷明确关键信息基础设施的保护目标。
2007 年,美国国土安全部(DHS)发布《国土安全国家战略》,首次指出面对不确定性的挑战,需要保证国家基础设施的韧性。2013 年 2 月,奥巴马签发了《改进关键基础设施 *** 安全行政指令》,其首要策略是改善关键基础设施的安全和韧性,并要求美国国家标准与技术研究院(NIST)制定 *** 安全框架。NIST 于 2018 年 4 月发布的《改进关键基础设施 *** 安全框架》(CSF)提出,关键基础设施保护要围绕识别、防护、检测、响应、恢复环节,建立 *** 安全框架,管理 *** 安全风险。NIST CSF围绕关键基础设施的 *** 韧性要求,定义了 IPDRR能力框架模型,并引用了 SP800-53 和 ISO27001 等标准。IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,是这五个能力的首字母。2018 年 5 月,DHS 发布《 *** 安全战略》,将“通过加强 *** *** 和关键基础设施的安全性和韧性,提高国家 *** 安全风险管理水平”作为核心目标。
2009 年 3 月,欧盟委员会通过法案,要求保护欧洲 *** 安全和韧性;2016 年 6 月,欧盟议会发布“欧盟 *** 和信息系统安全指令”(NISDIRECTIVE),牵引欧盟各国关键基础设施国家战略设计和立法;欧盟成员国以 NIS DIRECTIVE为基础,参考欧盟 *** 安全局(ENISA)的建议开发国家 *** 安全战略。2016 年,ENISA 承接 NISDIRECTIVE,面向数字服务提供商(DSP)发布安全技术指南,定义 27 个安全技术目标(SO),该SO 系列条款和 ISO 27001/NIST CSF之间互相匹配,关键基础设施的 *** 韧性成为重要要求。
借鉴国际实践,我国电信 *** 关键信息基础设施安全保护的核心目标应该是:保证 *** 的可用性,确保 *** 不瘫痪,在受到 *** 攻击时,能发现和阻断攻击、快速恢复 *** 服务,实现 *** 高韧性;同时提升电信 *** 安全风险管理水平,确保 *** 数据和用户数据安全。
我国《关键信息基础设施安全保护条例》第五条和第六条规定:国家对关键信息基础设施实行重点保护,在 *** 安全等级保护的基础上,采取技术保护措施和其他必要措施,应对 *** 安全事件,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。我国《国家 *** 空间安全战略》也提出,要着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度。
参考 IPDRR 能力框架模型,建立电信 *** 的资产风险识别(I)、安全防护(P)、安全检测(D)、安全事件响应和处置(R)和在受攻击后的恢复(R)能力,应成为实施电信 *** 关键信息基础设施安全保护的 *** 论。参考 NIST 发布的 CSF,开展电信 *** 安全保护,可按照七个步骤开展。一是确定优先级和范围,确定电信 *** 单元的保护目标和优先级。二是定位,明确需要纳入关基保护的相关系统和资产,识别这些系统和资产面临的威胁及存在的漏洞、风险。三是根据安全现状,创建当前的安全轮廓。四是评估风险,依据整体风险管理流程或之前的风险管理活动进行风险评估。评估时,需要分析运营环境,判断是否有 *** 安全事件发生,并评估事件对组织的影响。五是为未来期望的安全结果创建目标安全轮廓。六是确定当期风险管理结果与期望目标之间的差距,通过分析这些差距,对其进行优先级排序,然后制定一份优先级执行行动计划以消除这些差距。七是执行行动计划,决定应该执行哪些行动以消除差距。
三、电信 *** 关键信息基础设施的安全风险评估
做好电信 *** 的安全保护,首先要全面识别电信 *** 所包含的资产及其面临的安全风险,根据风险制定相应的风险消减方案和保护方案。
1. 对不同的电信 *** 应分别进行安全风险评估
不同电信 *** 的结构、功能、采用的技术差异很大,面临的安全风险也不一样。例如,光传送网与 5G 核心网(5G Core)所面临的安全风险有显著差异。光传送网设备是数据链路层设备,转发用户面数据流量,设备分散部署,从用户面很难攻击到传送网设备,面临的安全风险主要来自管理面;而5G 核心网是 5G *** 的神经中枢,在云化基础设施上集中部署,由于 5G *** 能力开放,不仅有来自管理面的风险,也有来自互联网的风险,一旦被渗透攻击,影响面极大。再如,5G 无线接入网(5GRAN)和 5G Core 所面临的安全风险也存在显著差异。5G RAN 面临的风险主要来自物理接口攻击、无线空口干扰、伪基站及管理面,从现网运维实践来看,RAN 被渗透的攻击的案例极其罕见,风险相对较小。5G Core 的云化、IT 化、服务化(SBA)架构,传统的 IT 系统的风险也引入到电信 *** ; *** 能力开放、用户端口功能(UPF)下沉到边缘等,导致接口增多,暴露面扩大,因此,5G Core 所面临的安全风险客观上高于 5G RAN。在电信 *** 的范围确定后,运营商应按照不同的 *** 单元,全面做好每个 *** 单元的安全风险评估。
2. 做好电信 *** 三个平面的安全风险评估
电信 *** 分为三个平面:控制面、管理面和用户面,对电信 *** 的安全风险评估,应从三个平面分别入手,分析可能存在的安全风险。
控制面网元之间的通信依赖信令协议,信令协议也存在安全风险。以七号信令(SS7)为例,全球移动通信系统协会(G *** A)在 2015 年公布了存在 SS7 信令存在漏洞,可能导致任意用户非法位置查询、短信窃取、通话窃听;如果信令网关解析信令有问题,外部攻击者可以直接中断关键核心网元。例如,5G 的 UPF 下沉到边缘园区后,由于 UPF 所处的物理环境不可控,若 UPF 被渗透,则存在通过UPF 的 N4 口攻击核心网的风险。
电信 *** 的管理面风险在三个平面中的风险是更高的。例如,欧盟将 5G 管理面管理和编排(MANO)风险列为更高等级。全球电信 *** 安全事件显示,电信 *** 被攻击的实际案例主要是通过攻击管理面实现的。虽然运营商在管理面部署了统一安全管理平台解决方案(4A)、堡垒机、安全运营系统(SOC)、多因素认证等安全防护措施,但是,在通信网安全防护检查中,经常会发现管理面安全域划分不合理、管控策略不严,安全防护措施不到位、远程接入 VPN 设备及 4A 系统存在漏洞等现象,导致管理面的系统容易被渗透。
电信 *** 的用户面传输用户通信数据,电信网元一般只转发用户面通信内容,不解析、不存储用户数据,在做好终端和互联网接口防护的情况下,安全风险相对可控。用户面主要存在的安全风险包括:用户面信息若未加密,在 *** 传输过程中可能被窃听;海量用户终端接入可能导致用户面流量分布式拒绝服务攻击(DDoS);用户面传输的内容可能存在恶意信息,例如恶意软件、电信诈骗信息等;电信 *** 设备用户面接口可能遭受来自互联网的攻击等。
3. 做好内外部接口的安全风险评估
在开展电信 *** 安全风险评估时,应从端到端的视角分析 *** 存在的外部接口和网元之间内部接口的风险,尤其是重点做好外部接口风险评估。以 5G 核心网为例,5G 核心网存在如下外部接口:与 UE 之间的 N1 接口,与基站之间的 N2 接口、与UPF 之间的 N4 接口、与互联网之间的 N6 接口等,还有漫游接口、能力开放接口、管理面接口等。每个接口连接不同的安全域,存在不同风险。根据3GPP 协议标准定义,在 5G 非独立组网(NSA)中,当用户漫游到其他 *** 时,该用户的鉴权、认证、位置登记,需要在漫游 *** 与归属 *** 之间传递。漫游边界接口用于运营商之间互联互通,需要经过公网传输。因此,这些漫游接口均为可访问的公网接口,而这些接口所使用的协议没有定义认证、加密、完整性保护机制。
4. 做好虚拟化/容器环境的安全风险评估
移动核心网已经云化,云化架构相比传统架构,引入了通用硬件,将 *** 功能运行在虚拟环境/容器环境中,为运营商带来低成本的 *** 和业务的快速部署。虚拟化使近端物理接触的攻击变得更加困难,并简化了攻击下的灾难隔离和灾难恢复。 *** 功能虚拟化(NFV)环境面临传统 *** 未遇到过的新的安全威胁,包括物理资源共享打破物理边界、虚拟化层大量采用开源和第三方软件引入大量开源漏洞和风险、分层多厂商集成导致安全定责与安全策略协同更加困难、传统安全静态配置策略无自动调整能力导致无法应对迁移扩容等场景。云化环境中网元可能面临的典型安全风险包括:通过虚拟 *** 窃听或篡改应用层通信内容,攻击虚拟存储,非法访问应用层的用户数据,篡改镜像,虚拟机(VM)之间攻击、通过 *** 功能虚拟化基础设施(NFVI)非法攻击 VM,导致业务不可用等。
5. 做好暴露面资产的安全风险评估
电信 *** 规模大,涉及的网元多,但是,哪些是互联网暴露面资产,应首先做好梳理。例如,5G *** 中,5G 基站(gNB)、UPF、安全电子支付协议(SEPP)、应用功能(AF)、 *** 开放功能(NEF)等网元存在与非可信域设备之间的接口,应被视为暴露面资产。暴露面设备容易成为入侵 *** 的突破口,因此,需重点做好暴露面资产的风险评估和安全加固。
四、对运营商加强电信 *** 关键信息基础设施安全保护的建议
参考国际上通行的 IPDRR *** ,运营商应根据场景化安全风险,按照事前、事中、事后三个阶段,构建电信 *** 安全防护能力,实现 *** 高韧性、数据高安全性。
1. 构建电信 *** 资产、风险识别能力
建设电信 *** 资产风险管理系统,统一识别和管理电信 *** 所有的硬件、平台软件、虚拟 VNF网元、安全关键设备及软件版本,定期开展资产和风险扫描,实现资产和风险可视化。安全关键功能设备是实施 *** 监管和控制的关键网元,例如,MANO、虚拟化编排器、运维管理接入堡垒机、位于安全域边界的防火墙、活动目录(AD)域控服务器、运维 VPN 接入网关、审计和监控系统等。安全关键功能设备一旦被非法入侵,对电信 *** 的影响极大,因此,应做好对安全关键功能设备资产的识别和并加强技术管控。
2. 建立 *** 纵深安全防护体系
一是通过划分 *** 安全域,实现电信 *** 分层分域的纵深安全防护。可以将电信 *** 用户面、控制面的系统划分为非信任区、半信任区、信任区三大类安全区域;管理面的 *** 管理安全域(NMS),其安全信任等级是整个 *** 中更高的。互联网第三方应用属于非信任区;对外暴露的网元(如 5G 的 NEF、UPF)等放在半信任区,核心网控制类网元如接入和移动管理功能(AMF)等和存放用户认证鉴权 *** 数据的网元如归属签约用户服务器(HSS)、统一数据管理(UDM)等放在信任区进行保护,并对用户认证鉴权 *** 数据进行加密等特别的防护。二是加强电信 *** 对外边界安全防护,包括互联网边界、承载网边界,基于对边界的安全风险分析,构建不同的防护方案,部署防火墙、入侵防御系统(IPS)、抗DDoS 攻击、信令防护、全流量监测(NTA)等安全防护设备。三是采用防火墙、虚拟防火墙、IPS、虚拟数据中心(VDC)/虚拟私有 *** (VPC)隔离,例如通过防火墙(Firewall)可限制大部分非法的 *** 访问,IPS 可以基于流量分析发现 *** 攻击行为并进行阻断,VDC 可以实现云内物理资源级别的隔离,VPC 可以实现虚拟化层级别的隔离。四是在同一个安全域内,采用虚拟局域网(VLAN)、微分段、VPC 隔离,实现网元访问权限最小化控制,防止同一安全域内的横向移动攻击。五是基于网元间通信矩阵白名单,在电信 *** 安全域边界、安全域内实现精细化的异常流量监控、访问控制等。
3. 构建全面威胁监测能力
在电信 *** 外部边界、安全域边界、安全域内部署 *** 层威胁感知能力,通过部署深度报文检测(DPI)类设备,基于 *** 流量分析发现 *** 攻击行为。基于设备商的网元内生安全检测能力,构建操作系统(OS)入侵、虚拟化逃逸、网元业务面异常检测、网元运维面异常检测等安全风险检测能力。基于流量监测、网元内生安全组件监测、采集电信网元日志分析等多种方式,构建全面威胁安全态势感知平台,及时发现各类安全威胁、安全事件和异常行为。
4. 加强电信 *** 管理面安全风险管控
管理面的风险更高,应重点防护。针对电信 *** 管理面的风险,应做好管理面 *** 隔离、运维终端的安全管控、管理员登录设备的多因素认证和权限控制、运维操作的安全审计等,防止越权访问,防止从管理面入侵电信 *** ,保护用户数据安全。
5. 构建智能化、自动化的安全事件响应和恢复能力
在 *** 级纵深安全防护体系基础上,建立安全运营管控平台,对边界防护、域间防护、访问控制列表(ACL)、微分段、VPC 等安全访问控制策略实施统一编排,基于流量、网元日志及网元内生组件上报的安全事件开展大数据分析,及时发现入侵行为,并能对攻击行为自动化响应。
(本文刊登于《中国信息安全》杂志2021年第11期)
关键信息基础设施安全保护条例
《关键信息基础设施安全保护条例》之一条 为了保障关键信息基础设施安全,维护 *** 安全,根据《中华人民共和国 *** 安全法》,制定本条例。
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要 *** 设施、信息系统等。
第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
省级人民 *** 有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥 *** 及社会各方面的作用,共同保护关键信息基础设施安全。
第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的 *** 安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在 *** 安全等级保护的基础上,采取技术保护措施和其他必要措施,应对 *** 安全事件,防范 *** 攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
0条大神的评论