中国电信网络安全技术白皮书-中国电信集团(技术部拟文30599.docx

《中国电信网络安全技术白皮书-中国电信集团(技术部拟文30599.docx》由会员分享，可在线阅读，更多相关《中国电信网络安全技术白皮书-中国电信集团(技术部拟文30599.docx（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国电信信集团公公司技术术标准中国电信信网络安安全技术术白皮书书（20110 年年版）20100-3-30发发布20100-4-10实实施中国电信信集团公公司发布目1.录网络安全全综述.111.1. 20009 年网络络安全态态势总体体状况.11.2. 电信信网络安安全技术术及应用用发展动动态.22. 电电信网络络安全技技术发展展与应用用.442.1. 移动动互联网网安全.42.1.1.移动终终端安全全.42.1.2.网络安安全.62.1.3.应用与与内容安安全.72.2. IPP 网安安全.992.2.1.承载网网安全.92.2.2.支撑系系统安全全.1112.2.3.应用系系统安全全.12

2、22.2.4.安全管管理.1332.2.5.IIPv66 网络络演进.1163. 网网络安全全热点.183.1. 云安安全.1183.1.1.云计算算安全.1883.1.2.安全云云.2003.2. 物联联网安全全.2214. 网网络安全全设备.225. 结结语.27关于中国国电信网网络安全全实验室室.228术语和缩缩略语.229中国电信信网络安安全技术术白皮书书(20010 年版)1. 网网络安全全综述1.1. 20009 年网络络安全态态势总体体状况20099 年以以来，国国内互联联网用户户及应用用继续保保持着高高速发展展，据统统计，220099年底我国国互联网网网民数数量达到到3.884

3、 亿亿，手机机上网用用户达22.333 亿。随随着互联联网应用的广泛泛普及，其其在国家家政治、经经济、文文化以及及社会生生活的各各个方面面发挥着着越来越重要的的作用，已已经成为为国家、社社会、民民众交互互的重要要平台。与与此同时时，互联联网面临的安安全威胁胁也随着着互联网网及应用用的发展展而不断断演化，呈呈现日益益复杂的的局面，网络安全全形势不不容乐观观。纵观观20009 年年国内网网络安全全总体态态势，主主要特征征如下：1、木马马病毒数数量爆发发式增加加，变种种更新速速度加快快据国家计计算机病病毒应急急处理中中心统计计，20009 年新增增病毒样样本2999 万万个，其其中新增木木马2446

4、 万万多个，是是08 年新增增木马的的5.55 倍。其其主要特特征是本本土化趋趋势加剧，变变种速度度更快、变变化更多多，隐蔽蔽性增强强，攻击击目标明明确，趋趋利目的的明显。2、病毒毒传播形形式途径径多样化化20099 年病病毒传播播形式不不断翻新新，主要要包括工工具捆绑绑病毒、恶恶意广告告、垃圾圾邮件、钓钓鱼欺诈诈、网址址导航、热热点挂马马等多种种传播类类型。其其中较显显著的变变化是黑黑客开始利利用当前前社会重重大、流流行事件件的关键键词进行行指向性性、针对对性挂马马， “XXX如门”“阿阿凡达”等流行行热词都都是黑客客重点利利用挂马马的对象象。、3、僵尸尸网络发发展迅速速，威胁胁日益严严重僵

5、尸网络络发展迅迅速，已已成为网网络安全全的最大大隐患之之一，并并逐渐成成为攻击击的主要手段。目目前僵尸尸网络规规模总体体上趋于于小型化化、局部部化和专专业化；但也存存在规模模巨大的僵僵尸网络络，一旦旦被利用用发起DDDoSS 攻击击，后果果不堪设设想。4、网络络犯罪的的产业化化趋势明明显网络犯罪罪正成为为一种新新型犯罪罪职业，组组织化、集集团化、产产业化进进程加速速，挂马集团和和攻击组组织拥有有了完整整的病毒毒开发、下下毒盗号号、销赃赃转卖、攻攻击等一一条龙运作模式式，窃取取虚拟账账号、恶恶意推广广、欺骗骗下载或或网络钓钓鱼等非非法牟利利行为呈呈现出愈演愈愈烈之势势。第1 页页共33 页中国电

6、信信网络安安全技术术白皮书书(20010 年版)面对不断断增长的的安全威威胁，国国家有关关部门加加大了对对互联网网安全的的管理力力度，20099 年5 月，工工信部颁颁布了互互联网网网络安全全信息通通报实施施办法和和木马马和僵尸网络络监测和和处置机机制，对对CNCCERTT、运营营商、域域名服务务机构以以及网络络安全企业共共同开展展网络安安全信息息共享和和打击黑黑客产业业提出了了具体工工作要求求，并组组织了多次木木马和僵僵尸网络络专项治治理行动动，有效效地净化化了网络络安全环环境。20099 年以以来，中中国电信信继续在在网络安安全建设设与运营营方面开开展了大大量卓有有成效的工作作，其中中在集

7、团团层面组组织开展展了SOOC 体体系建设设、网络络安全检检查、DDNS 安全专项整整治、DDDoSS 攻击击防御体体系完善善、C 网承载载网安全全评估等等工作，有有力地保保障了电信信网的平平稳运行行。但由由于主要要受到外外部因素素影响，网网络安全全整体形形势仍不不容乐观。全全网安全全漏洞仍仍然频发发，影响响对象包包括众多多DNSS 服务务器、核核心网络络设备等；网网络病毒毒、僵尸尸木马等等引发的的安全事事件大量量增加；针对网网络设备备、重要要支撑系统、在在网客户户的DDDoS 攻击不不断出现现。据统统计，220099 年中中国电信信全网发发生DDoSS 攻击击3.77 万余余次，全全年垃圾圾

8、邮件投投诉量超超过511 万次次，各类类安全事事件均呈呈现快速上涨涨势头。总体来说说，随着着移动互互联网的的兴起，传传统宽带带应用日日益丰富富，移动动网络IIP化、终端端智能化化和应用用丰富化化给病毒毒传播、恶恶意攻击击提供了了有利的的条件，给给电信运营商安安全运营营带来了了极大的的挑战。因因此，电电信运营营商需不不断提升升电信基基础网络络和重要业业务系统统的安全全防护能能力，同同时也应应加强终终端及信信息服务务安全，以以满足全全业务安全全运营的的迫切需需求。另另外，云云计算、物物联网应应用的兴兴起，将将极大拓拓展电信信运营商的的业务领领域，如如何保障障云计算算、物联联网应用用的运营营安全也也

9、是电信信运营商商必须面对的的问题。1.2. 电信信网络安安全技术术及应用用发展动动态20099 年3G商用用开启了了国内移移动互联联网新时时代，移移动互联联网安全全可划分分为终端、网络络、应用用与内容容等几个个安全域域。移动终端端安全热热点主要要为硬件件安全架架构、智智能手机机安全防防护和终终端安全全管理等技技术；网络部分分包括接接入网与与核心及及承载网网，与传传统互联联网相比比，主要要区别在在于接入网网部分，主主要关注注接入鉴鉴权和密密钥协商商、非法法流量管管控等技技术；第2 页页共33 页中国电信信网络安安全技术术白皮书书(20010 年版)应用安全全领域重重点关注注应用层层通用认认证架构

10、构，以及及垃圾短短信、不不良站点点防治等内内容安全全技术。在传统IIP 网网领域，随随着网络络规模日日益扩大大，接入入带宽不不断增长长，网络络应用日益丰富富，电信信运营商商IP 网络运运营面临临的安全全威胁更更为突出出。IPP 网安安全按网网络层次架构构可划分分为承载载网安全全、支撑撑系统安安全、应应用系统统安全和和安全管管理技术术。承载网安安全最核核心的问问题是如如何保障障网络的的可用性性，主要要技术手手段包括括网络设备备安全加加固、异异常流量量攻击防防御、BBotnnet 监测和和控制技技术等；DNS 系统是是当前支支撑系统统中最薄薄弱的环环节，主主要研究究领域包包括DNNS 攻攻击防护、

11、DNSSEC、DNS 安全监控技术等；应用系统统安全主主要关注注Webb 应用用安全，主主要研究究领域包包括安全全认证、防防网页挂马马、源代代码安全全分析等等技术；安全管理理技术则则侧重于于SOCC 技术术，技术术热点主主要集中中在SOC 平台的的理念和定位位、安全全关联分分析技术术，以及及SOCC 平台台与云计计算技术术的结合合等。另外，随随着IPPv6 的演进进提速，IPv6 网络安全也成为业界关注的重点，主要研究领域域包括IIPv66 自身身安全机机制研究究、IPPv6 过渡技技术安全全研究、IPv6 应用安全研究等。在新兴技技术及应应用领域域，随着着云计算算与物联联网技术术及应用用的快

12、速速发展，云云安全、物联联网安全全成为网网络安全全研究热热点。其其中云安安全主要要包括云云计算应应用自身身安全，以及及云计算算技术及及理念在在网络安安全领域域的具体体应用，包包括安全全设备、安安全基础设施的的“云化”、云安安全业务务等。物物联网安安全研究究重点则则包括节节点认证证、加密密、密钥管理理、路由由安全和和入侵检检测等方方面。在网络安安全设备备领域，随随着安全全需求从从单一安安全产品品发展到到综合防防御体系系，网络安全全产品也也从过去去简单的的功能堆堆砌转向向系统化化设计，网网络安全全设备也也顺应由由过去单一一的网络络安全产产品，向向多种安安全产品品及多种种安全技技术的融融合应用用转变

13、。同同时，随着着云计算算技术及及理念在在安全设设备领域域的应用用，网络络安全产产品的“云化”趋势明显，为为网络安安全设备备的功能能、性能能的提升升注入了了新的活活力，为为实现全全程全网网的安全防防护提供供了可能能。为满足互互联网应应用发展展及自身身业务运运营的安安全需求求，电信信运营商商需继续续强化网络安全全基础设设施建设设，为社社会及公公众提供供安全、高高可用、可可信的网网络基础础设施第3 页页共33 页中国电信信网络安安全技术术白皮书书(20010 年版)和综合信信息服务务。可管管、可控控的可信信网络将将是电信信网络安安全技术术及应用用的发展展目标。2. 电电信网络络安全技技术发展展与应用

14、用2.1. 移动动互联网网安全3G开启启了移动动互联网网新时代代，提供供了比22G/2.55G网络络更为智智能化、多多样化的业务，为为人们生生产、生生活提供供了便利利。然而而，随着着移动网网络IPP 化、终终端智能能化和应用用丰富化化，木马马、病毒毒、恶意意攻击、垃垃圾信息息等传统统互联网网的安全全问题也也威胁着移移动互联联网。移移动安全全问题已已经引起起了用户户较大的的关注，甚甚至影响响了安全全敏感型业业务的推推广。根根据移动动互联网网的特点点，其安安全保障障应采取取“分层分分域”的策略，从从终端、网网络、应应用与内内容等层层面保障障其安全全性。2.1.1. 移动终终端安全全移动终端端向智能

15、能化方向向发展，手手机正由由传统的的通信工工具逐渐渐发展成成为个人人信息助理。然然而智能能手机带带给用户户便利的的同时，安安全问题题也日益益突显。一一方面，手手机中存储储的个人人信息越越来越丰丰富，另另一方面面手机计计算、存存储及数数据交换换能力显显著增强、智智能手机机操作系系统的开开放性，为为信息泄泄露和病病毒传播播提供了了可能。因因此如何提高移移动终端端特别是是智能手手机的安安全性，已已成为业业界及用用户非常常关注的的问题。移动终端端面临的的安全威威胁主要要有病毒毒、木马马等恶意意代码、信信息骚扰扰，以及及终端遗失或或被窃。据据统计，目目前已发发现手机机恶意代代码近千千种，可可导致用用户隐

16、私私泄露、设备损坏坏、经济济损失，甚甚至危及及运营商商网络。随随着3GG智能手手机的广广泛使用用，手机恶意代代码呈现现出加速速增长的的趋势。垃垃圾短信信、骚扰扰电话为为商业广广告、违违法诈骗骗等信息传传播提供供了方便便，不仅仅骚扰手手机用户户，还可可能对用用户造成成经济损损失。根据移动动终端面面临的威威胁，综综合考虑虑移动终终端架构构和网络络环境，其其安全防防护应按分层层防御的的思路，采采用多层层次安全全加固、立立体式安安全防护护的策略略，分别别从终端硬件、软软件系统统和网络络侧安全全管理实实施安全全防护，全全面保障障终端应应用和数数据的第4 页页共33 页中国电信信网络安安全技术术白皮书书(

17、20010 年版)安全性。硬件安全全架构：以UIIM 卡卡为可信信根，构构筑应用用安全基基础基于硬件件架构的的改进来来提高移移动终端端系统安安全性，典典型的有有可信计计算组织织TCG 的可信信移动平平台和AARM 公司的的TruustZZonee 技术术。TCCG 将将可信计计算的概概念引入到移动动领域，提提出了TTCG 移动参参考体系系结构并并发表了了MTMM 规范范。ARRM 则则依靠增强的的体系结结构和扩扩展指令令集，开开发研究究TruustZZonee 技术术，将安安全相关关特性和和功能直接接加入到到处理器器内核和和内存系系统。虽虽然业界界在硬件件安全架架构方面面进行了了探索，但由由于

18、标准准化、产产业支持持等原因因，尚未未整合成成完整的的产业链链。UIM 卡是带带微处理理器芯片片的智能能卡，具具备较好好的安全全机制，且且是用户户必备、由运营商商控制的的硬件，建建议以其其作为可可信根，现现阶段从从应用安安全入手手，针对对安全要求高的的用户，增增强UIIM 卡卡的安全全功能，作作为业务务认证、密密钥管理理的基础础，同时，积极极跟踪TTCG 等标准准化组织织在硬件件安全研研究中的的进展和和产业应应用情况况。系统安全全防护：加固与与防御并并重，打打造终端端防护体体系智能手机机由于具具有开放放的操作作系统，可可安装第第三方软软件，面面临更多多威胁。相相比之下，非非智能手手机环境境封闭

19、、安安全性较较高。智能手机机操作系系统与PPC 操操作系统统类似，但但针对移移动终端端的特点点，功能能有所简化，在在安全机机制方面面也存在在较大差差异，通通常采用用代码签签名机制制来控制制安装软软件的权限、采采用安全全沙箱机机制隔离离程序访访问权限限。智能能手机操操作系统统种类较较多，目目前Winndowws MMobiile 是天翼翼智能手手机中应应用最普普遍的系系统，提提供了一一系列安安全策略定制不不同安全全级别，但但其权限限隔离机机制较弱弱，只要要程序被被允许运运行，就就拥有可可访问甚至至修改系系统资源源的权限限，而同同时由于于Winndowws MMobiile 开发门门槛比较较低，黑

20、客很容容易开发发针对其其的恶意意代码，因因此该系系统易受受恶意代代码攻击击。针对系统统安全防防护，主主要有客客户端软软件、网网络侧流流量过滤滤两种思思路，提提供服务的既有有传统的的杀毒厂厂商，也也有专门门从事手手机安全全服务的的厂商。中中国电信信网络安安全实验室室在调研研用户需需求并充充分考虑虑移动终终端特点点的基础础上，已已经设计计开发了了天翼安全伴伴侣原型型系统，提提供了安安全检查查、防病病毒、防防骚扰、防防盗用和和数据保保护等安全功能能，可以以为用户户提供全全面的安安全服务务。智能手机机系统的的防护，应应从加固固与防御御两方面面着手，在在充分利利用系统统提供的的安全策略略进行加加固的基基

21、础上，为为用户提提供必要要的安全全防护手手段。建建议通过过定制终终第5 页页共33 页中国电信信网络安安全技术术白皮书书(20010 年版)端预装、网网站下载载等途径径分发安安全防护护软件，为为天翼智智能手机机用户免免费提供供系统安全检查查等基础础服务，在在此基础础上，有有偿提供供杀毒、防防盗用等等安全防防护增值值服务。终端安全全管理：构筑终终端管理理体系，掌掌控安全全态势国际标准准化组织织OMAA 制订订了用于于实现终终端设备备管理的的标准OOMA DM，可可以通过OOTA 的方式式来采集集终端信信息，配配置终端端的参数数信息，将将数据包包从网络络下载到终端端上安装装，处理理终端设设备产生生

22、的事件件和告警警信息。终端安全全管理为为运营商商提高服服务质量量提供了了有效手手段，技技术上建建议在集集团层面或移动动业务发发展较好好的省可可构建终终端安全全管理平平台，试试点开展展终端安安全管理理服务，为用用户提供供固件升升级、软软件分发发、故障障诊断、安安全事件件采集、事事件通告告等服务。2.1.2. 网络安安全移动互联联网网络络包括接接入网和和核心及及承载网网，与传传统互联联网相比比，主要要区别在于接入入网部分分。接入入网无线线空中接接口的安安全威胁胁主要有有非法接接入网络络、跟踪踪窃听空口传传送的信信息、滥滥用网络络服务等等。这些些安全隐隐患和问问题已经经引起各各界重视视，相关标准准在

23、接入入鉴权、空空口加密密等安全全保护机机制方面面都有比比较全面面的考虑虑，特别别是3G网网络安全全保障有有了进一一步的改改进。中国电信信移动网网络采用用的CDDMA 标准具具有抗干干扰、安安全通信信、保密密性好的的特性。CCDMAA 1xx 采用用专用CCAVEE 算法法产生密密钥，并并用长码码序列、ORYX 和增强的分组加加密算法法E_CCMEAA，分别别实现语语音、数数据和控控制信令令的加密密，鉴权权过程使用CAAVE 算法。EEV-DDO 空空口增加加了安全全层，提提供空口口加密以以及信令令的完整整性保护，可可支持AAES、SHAA-1 等算法法，接入入认证采采用基于于MD55 算法法的

24、CHHAP 认证。存在的安安全问题题主要是是：CDDMA 20000 11x 和和EV-DO 接入鉴鉴权均为为单向鉴鉴权，即即只有网络络对终端端的鉴权权，没有有终端对对网络的的鉴权；基于CCAVEE 和MD55 算法法的认证密钥较较短，只只有644bitt，且与与之相关关联的语语音、信信令、数数据加密密算法有有些已被被证明存在在安全隐隐患。针对以上上问题，3GPP2 在3GPP 鉴权和密钥协商体制AKA 的基础上改进，形成增强强型用户户鉴权机机制，并并确定为为主要安安全认证证技术。AKA 实现了网络和用户的双向向认证机机制，采采用AES 加密算算法，密密钥长度度增加到到1288bitt，安全全

25、性得到到第6 页页共33 页中国电信信网络安安全技术术白皮书书(20010 年版)很大提升升。CDDMA 后续演演进中可可能采用用的IMMS、LTEE 都已已明确采采用AKKA 作作为认证机制。CDMAA 核心心网承载载于中国国电信大大客户专专网CNN2 专专业VPPN 上上，具备备大容量量、QoS 能力、高高可用性性、专网网级安全全等特性性，关于于CN22 的安安全性，参参见IPP 网络络安全的承载载网部分分。和传统互互联网类类似，移移动互联联网设备备和网络络面临着着各种攻攻击威胁胁，主要要的防护措施包包括安全全域划分分、边界界防护、实实施严格格的访问问控制策策略、设设备安全全加固等等。由于

26、接入入资源有有限，移移动互联联网业务务更易受受到非法法流量的的影响，对对其他高高附加值值业务造成成冲击，因因此，有有必要对对流量进进行有效效的识别别和管控控。目前前流量检检测技术术主要有xxFloow 和和DPII 检测测等，基基于xFFloww 的技技术对网网络三、四四层的流流量进行行监控，DPPI 技技术则在在分析包包头的基基础上，增增加了对对应用层层的分析析，更适适用于需需要精细和准确确识别、精精细管理理的环境境，可防防止网络络资源滥滥用、抑抑制垃圾圾流量、进进行内容过滤等等。综合合考虑移移动互联联网网络络和业务务特点，以以及内容容管控的的要求，技技术上建议采用用DPII 技术术进行流流

27、量管控控。针对移动动互联网网的主要要问题，建建议从以以下方面面进行改改进：提高网络络各层面面安全防防护能力力，加强强网络资资源可用用性。如如在网络络的控制制层面通过过对上送送CE 设备主主控板流流量的限限制，防防止攻击击流或异异常流挤挤占主控引擎擎资源；在数据据转发层层面针对对常见及及危害程程度较大大的病毒毒端口进进行ACLL 限制制防止攻攻击流量量占用带带宽资源源；在路路由层面面启动路路由认证证机制防止路路由欺骗骗、路由由攻击；在管理理层面实实施设备备统一认认证、管管理和授授权防止攻攻击者非非法入侵侵网元设设备；结合现网网试点情情况部署署DPII 设备备，增强强对网络络流量、业业务的识识别和

28、管管控能力，防防范流量量攻击、屏屏蔽对不不良站点点的访问问；在网络演演进中，积积极稳妥妥地引入入AKAA 等新新型安全全机制，增增强移动动互联网的安全全性；在在网络融融合中，统统一规划划接入认认证平台台，加强强统一安安全管控，简化化认证流流程。2.1.3. 应用与与内容安安全应用是移移动互联联网发展展的助推推器，应应用的安安全影响响着移动动业务的的推广，至至关第7 页页共33 页中国电信信网络安安全技术术白皮书书(20010 年版)重要。同同时，垃垃圾短信信、不良良站点等等是移动动互联网网应用安安全中棘棘手的问问题，需需要通过技术术检测和和管理手手段相结结合的方方式进行行治理。应用安全全：利用

29、用接入层层安全机机制，构构筑移动动互联网网应用安安全基础础设施众多业务务的开展展，需要要可靠的的认证机机制来保保证合法法的业务务使用以以及正确确的计费，目前前各种业业务的认认证通常常由各业业务平台台独立进进行，认认证机制制和实现现方式差差异较大，不不仅不利利于业务务开展，还还可能存存在安全全隐患。为为了解决决应用层层的密钥钥共享、业务鉴权权等一系系列问题题，提供供统一的的认证服服务，33GPPP 和3GPPP2 定义了了一种通通用的认证机机制GBBA。GBAA 可以以为已有有的和将将要开展展的业务务提供安安全服务务，不仅仅可以解决密密钥分发发的安全全问题，也也可以避避免为每每一种业业务都提提供

30、独立立的鉴权权机制，以一致的的方式解解决业务务的安全全认证问问题。GGBA 正在标标准化，中中国电信信可关注注其标准化和和产业支支持情况况，同时时可借鉴鉴GBAA 的思思路，构构筑移动动互联网网应用安安全基础设施，为为服务提提供商增增强应用用安全性性提供必必要技术术支持。目前，移移动互联联网应用用以账号号口令认认证为主主，安全全性差。可可通过以以下两种种技术提高安安全性：一是利利用移动动通信接接入的安安全性，提提供基于于接入层层的身份份溯源；二是提供供基于UUIM 卡的PKKI/WWPKII 应用用支持。根根据不同同应用安安全要求求，可分分别构建两类类应用安安全支撑撑平台，提提供应用用安全支支

31、持服务务，技术术上可考考虑：选择试点点省份构构建接入入身份溯溯源系统统，为具具有较高高安全要要求的服服务提供供商开展基基于UIIM 用用户信息息的身份份溯源服服务，实实现应用用层用户户账号与与接入信息绑绑定，增增强用户户认证的的安全性性；在集团层层面构建建基于UUIM 卡的PKKI/WWPKII 支持持基础设设施，UUIM 卡作以以为数字证证书、私私钥的存存储介质质，并支支持多组组证书，通通过平台台统一管管理，为具有高高安全要要求的应应用提供供基于PPKI 的身份份认证、交交易签名名、数据据加密功能能，提高高应用的的安全性性。内容安全全：技术术检测与与管理手手段结合合，防治治垃圾信信息和不不良

32、站点点针对垃圾圾短信的的监控和和过滤，当当前主要要有关键键字过滤滤机制和和号码黑黑名单机机制，但面面对不断断演变的的垃圾短短信，这这两种机机制取得得的效果果并不非非常理想想。中国国电信网络安安全实验验室已经经开发的的天翼安安全伴侣侣采用了了基于智智能模式式识别的的垃圾短短信监控技技术，其其核心是是基于朴朴素贝叶叶斯方法法对短信信内容进进行特征征学习和和智能分分类，进而而实现对对垃圾短短信的智智能化监监控，具具有较高高的精确确度，并并通过建建立短信信反第8 页页共33 页中国电信信网络安安全技术术白皮书书(20010 年版)馈和再学学习机制制，可进进一步实实现系统统根据短短信内容容的自适适应。不

33、良站点点的监测测，可通通过爬虫虫技术采采集站点点内容，并并进行语语义、图图像、流流媒体识别等等自动分分析，其其中在文文本信息息的检测测方面，基基于统计计方法、专专家系统统等分类识别技技术已经经比较成成熟，但但图像、视视频等多多媒体识识别技术术成熟度度较低，需需要结合人工审审核。不不良信息息过滤，主主要采用用DPII 技术术分析用用户访问问站点UURL，并并进行过滤。不良站点点应采取取防、治治结合的的手段治治理，技技术上建建议如下下：部署内容容检测系系统，主主动检测测网内网网站，及及时发现现不良站站点，并并通过管管理手段进进行整治治；在C 网网综合CCE 到到1633 和CN22 的链链路上，部

34、部署DPPI 设设备，分分析用户户访问网页的的URLL 信息息，实现现移动上上网日志志留存；C 网分分组域业业务流量量综合管管理系统统增加UURL 封堵功功能，一一旦发现现用户访问不良良信息，屏屏蔽该页页面。其其中，UURL 封堵模模块与内内容检测测系统接接口，及时获取取URLL 列表表。外网网无法检检测的站站点，则则根据主主管部门门下发的的名单进行封封堵。2.2. IPP 网安安全IP 网网络是电电信运营营最重要要的基础础网络，安安全是保保证网络络质量的的基础。IP 网络安全可可分为承承载网安安全、支支撑系统统安全、应应用系统统安全几几个层次次，同时时，安全全的专业化化趋势使使统一网网络安全

35、全管理成成为一项项重要课课题，此此外，随随着中国国电信IIPv66网络演进进的进程程加速，IPv6 网络安全也提上日程。2.2.1. 承载网网安全承载网安安全主要要通过对对网络设设备、路路由的安安全保护护，强化化网络的的抗攻击击能力，提高网络络的可用用性、可可生存性性，并防防范外部部对网络络的流量量攻击。在历年的的安全整整治中，通通过平面面隔离、严严格的访访问控制制策略的的实施、设设备安全加固以以及设备备的安全全管理、安安全审计计等机制制提高了了网络设设备的安安全防护护能力和和可生存能能力，在在路由协协议中实实施认证证与完整整性检查查提高了了网络路路由的安安全性。但但第9 页页共33 页中国电

36、信信网络安安全技术术白皮书书(20010 年版)在20009 年年通信安安全巡检检中，网网络设备备和路由由的安全全依然暴暴露了一一些不足足，主要要表现在：设备管管理存在在安全漏漏洞，未未完全按按照安全全规范的的要求进进行设备备配置和和管理；设备备自身安安全防护护策略不不够精细细化；BBGP 路由协协议安全全策略尚尚需优化化。技术上建议议重点进进行以下下改进工工作：1、构建建带外网网管，加加强对设设备的安安全规范范化管控控；2、对BBGP 协议采采用精细细化路由由控制策策略，包包括：限限制接收收的ASS PAATH 长度、设置置BGPP TTTL SSecuuritty 值值、启用用邻居加加密机制制、发布布路由时时使用preffix-lisst 的的方式进进行白名名单的控控制、接接收路由由时设置置最大接接收前缀缀等；3、启用用设备关关键资源源防护（Anti-DDoS）措施，提高骨干设备的自我防护及防瘫能能力。流量攻击击是承载载网面临临的严重重安全威威胁。根根据集团团的DDDoS 攻击监监测平台台统计，每月月发生在在中国电电信网内内的DDDoS 攻击就就有几千千次，主主要种类类