光传输网安全风险分析及防御技术研究
摘 要:光传输网承载物理层及链路层的数据传输,是所有通信网络的核心基础。因此,光传输网安全作为数字信息基础设施安全的关键组成部分,其重要性不言而喻。对光传输网的分层结构展开介绍,分析了不同层面的安全风险,并针对各层可能受到的安全威胁研究了相关的安全对策,最后对光传输网安全防护体系构建的关键点进行了总结。
内容目录:
1 光传输网安全风险分析
1.1 光传输网元设备安全风险
1.2 光纤传输线路安全风险
1.3 光网管系统安全风险
2 光传输网安全防御技术
2.1 供应链安全自动检测技术
2.2 光纤传输线路安全防御技术
2.3 光网管系统安全防御技术
3 光传输网络安全防护体系
3.1 加强光产业研发,建立安全供应链体系
3.2 强化光域加密,防范光信号信道窃听
3.3 全面安全加固,减少光传输网脆弱性
3.4 构建监测预警体系,实现威胁快速感知
3.5 采取弹性网络机制,增强光传输网恢复能力
4 结 语
光纤通信是目前实现高速率、大带宽、低时延、远距离信息传输的重要通信手段。据统计,全球 90% 以上的互联网数据通过光纤传输,99% 以上的洲际通信业务由海底光缆承载。
相比互联网等 TCP/IP 网络,光传输网相对封闭,攻击面相对较少。但随着量子计算、人工智能的广泛应用,自动交换光网络(Automatically Switched Optical Network,ASON)、全光网络的逐步推广及网络攻防技术的快速发展,使得光传输网面临的安全威胁不断涌现。过去普遍被认为具有优良安全保密性能的光纤通信,现在也面临着信息“被拦截、被复制、被篡改”的风险。据悉,斯诺登揭露的“棱镜”计划平行项目“上游”(Upstream)通过美国本土电信公司和网络企业等服务商签署相应的《网络安全协议》,利用海底光缆对外国政府进行数据搜集和监控。
安全风险分析是制订安全解决方案、提供安全服务以及实施安全机制的前提和基础。本文从提高光传输网络安全性和可靠性出发,分析光传输网络不同组成部分面临的安全威胁,在此基础上总结相应的防御技术,提出科学有效的安全防护体系建议,从而为光传输网络安全防护基础设施构建和安全机制制定提供支撑。
1光传输网安全风险分析
光传输网按照不同的功能可划分为传输介质层和运维管理层。传输介质层是指光纤传输的物理介质,主要包括传输网元设备和光纤传输线路,是数据传输的主体。运维管理层主要指光网管系统,负责数据维护、配置管理及业务控制,保证光传输网的正常运行。
1.1 光传输网元设备安全风险
光通信产业链主要包括光芯片、光器件、光模块、光设备等,代表产品与相应制造厂商如表 1 所示。受产业基础配套能力和知识产权限制,国内厂商大多处于产业链下游,核心光芯片和光器件的自主研发和技术实力较弱,大部分仍依靠进口。其中,光芯片属于技术密集型行业,工艺流程极为复杂,处于产业链的核心位置,具有极高的技术壁垒。美日厂商凭借核心技术占据了全球高端光芯片市场,而国内厂商则聚集于中低端市场,10 Gbit/s 以下的光芯片国产化替代已经完成,但高速光电芯片(25 Gbit/s 及以上)差距明显。光器件、模块产业也是我国竞争力较为欠缺的光通信子产业,国内厂商占据全球约 25% 的市场份额,整体上表现较为分散,无源器件竞争力相对较高,有源器件国产水平不足。
因此,在光产业链的自主可控风险方面,一是可能面临光器件 / 芯片供应不稳定甚至断供风险;二是非国产芯片 / 器件逻辑在设计、生产、制造流程中可能被人为设置后门缺陷或漏洞,加上目前的安全风险评估缺少供应链风险评估,导致传输设备易被对手控制,出现设备瘫痪、信息被窃取或无法恢复等问题,给光传输网带来较大的风险隐患。
表 1 光通信产业链分布情况
1.2 光纤传输线路安全风险
光纤传输线路覆盖范围大,为攻击发起提供了天然的机动余地。同时,在传输线路上存在无人值守的传输基站和无人看管的人井,导致非法人员可接触到光缆或传输设备,实施服务破坏或非法窃听。
1.2.1 服务破坏
服 务 破 坏 主 要 指 通 过 干 扰 攻 击、 物 理 损毁 等方式破坏光传输网络的正常通信或OPM 降低光通信服务质量。
干扰攻击将干扰光注入原通信光纤中进行攻击,使正常通信信号失真或损坏。根据干扰方式不同可进一步分为带内干扰攻击、带外干扰攻击、延迟干扰攻击、强光干扰攻击等。
物理损毁通过直接损坏传输光缆、设备、基站等硬件设施导致通信中断。物理损毁的方式包括危险性误操作和人为假冒攻击等。危险性误操作包括板卡、电源替换或线缆扩容、施工等诸多无意误操作。人为假冒攻击是指对手有意伪装成合法用户获得访问权,直接以物理方式盗窃或破坏设备、光缆,直接导致传输设备宕机、传输节点毁坏,造成通信业务中断。
1.2.2 非法窃听
非法窃听主要指未经发送端授权的第三方通过非法手段截获光通信信息,窃听方式可进一步分为隐蔽窃听和非隐蔽窃听。
隐蔽窃听通过旁路光信号实现信息窃取,不会造成信息传输中断或缺失,通常难以发现,常见手段主要有光纤弯曲法、光束分离法、信道光耦合法、V 型槽法、侵入式光栅法等。
非隐蔽窃听通过将光缆断开拦截光信息或接入非法设备等方式窃取数据、篡改信息或植入指令,易发现但难以与意外断裂事故辨别。
1.3 光网管系统安全风险
光网管系统负责传输网的性能监测、故障定位、系统安全维护、信道调度和业务开放等操作控制,是传输网的中枢,光传输网安全极大依赖于网管系统 。随着 ASON 等新型光网络技术的诞生及应用,光网络智能化程度越来越高,其对网管系统服务质量的依赖性日益凸显。
1.3.1 可靠性风险
一般而言,光网管系统设备节点配置信息采用集中存储方式,各设备节点只保留自身的配置信息。一旦网管数据库和部分设备节点同时发生损毁,整个光传输网络业务的恢复只能通过相应运维人员进行手工配置,不仅业务恢复时间较长且容易出错,可能严重影响光传输网络的安全运行。
1.3.2 可管可控性风险
由于光网管系统的非开放性,不同厂商的网管系统一般不兼容,因此光传输网络中的光传输设备通常需要采用不同的网管系统进行管理,无法通过同一网管系统实现业务的端到端指配,跨网络业务的调度需要通过两套以上的网管系统来完成,业务调度烦琐复杂,增加了一线运维人员的误操作风险,导致光网管系统在可管可控性方面存在一定的隐患。
1.3.3 攻击渗透风险
光网管系统大量使用通用操作系统以及基于 Web 技术的应用程序,与互联网一样受到漏洞、病毒、网络攻击等威胁。同时,当前光传输网网管系统信息部分接口采用明文传送,没有采用任何加密等保护措施,导致网管信息存在被非法窃取或任意篡改的风险。由于传输光缆跨越地理空间广阔,其网络管理系统需采用分布式远程管理,大多数的网络管理数据需要经过多个节点的转发才能到达目的地,这进一步加剧了网管数据被窃取篡改的风险。
2
光传输网安全防御技术
国内外研究者针对上述安全问题进行深入研究,提出了诸多安全防御技术。
2.1 供应链安全自动检测技术
针对核心传输设备不可控风险,可利用供应链安全自动检测技术,基于快速准确的组件功能自动分析能力,对光传输系统中通过供应链输入的软件与固件进行快速检测,快速发现其中隐藏的恶意功能,并且不断监测、测试、验证供应链安全性,在一定程度上减轻核心传输器件不可控的风险 。
2.2 光纤传输线路安全防御技术
2.2.1 干扰抵御
针对可能出现的带内干扰、带外干扰、延迟干扰、强光干扰等攻击方式,采用安全性能更强的光传输网组件和设备,增强自身抵御攻击的能力。
例如,在解复用器后使用滤波器,滤除一定带宽之外的信号,防止利用光放大器带外增益竞争发起干扰攻击。在波长进行选择交换前,采用均衡技术对掺铒光纤放大器(Erbium Doped Fiber Amplifier,EDFA)增益竞争进行保护,利用光限幅放大器限制最大输出光功率,防止信号功率过强对光组件的破坏,同时降低利用串音影响正常通信的可能。
2.2.2 网络拓扑自愈保护
针对光纤断裂、物理损毁等攻击方式,采用网络拓扑自愈保护技术保证光传输网传输的可靠性,主要有保护策略和恢复策略两种。
保护策略是指为光网络的承载业务提供预留的保护通道 / 链路,当网络发生故障时,利用预留的保护通道 / 链路传送业务,可进一步分为线形保护、环网保护。由于保护通道 / 链路都是预先建立的,在故障发生时不需要通过光网络的信令进行倒换,因此业务恢复的速度快,适用于较高等级的业务。但是保护策略的资源利用率较低。
恢复策略是指通过重路由等机制,为光网络的承载业务动态寻找网络中的剩余资源,从而恢复被中断的业务。该机制能够高效利用光网络资源,但对光通信设备的软硬件要求较高,实现成本高,同时恢复响应不确定,业务恢复时间较长。
2.2.3 攻击监测
通过实时监测光功率或特定光信号,及时检测攻击行为,防范非法窃光及分光问题。主要技术包括:光脉冲时域反射技术(Optical Time Domain Reflectometer,OTDR)、 光 脉 冲 频 域 反射技术(Optical Frequency-Domain Reflectometer,OFDR)、光功率检测仪、光谱分析仪、特殊光缆等。
2.2.4 光域加密
光域加密通过在物理光层对数据进行安全加密,以增强信息抗截获能力。当前,国内外有噪声加密光通信、混沌光通信、扩频光通信、隐蔽光通信、跳频光通信等几个主流的研究方向。
2.3 光网管系统安全防御技术
针对光网管系统的安全风险,重点加强对网管系统的管理和控制,以提升光传输网络的安全性能。例如,按照 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》等标准规范建立完善的安全体系;进一步细化完善相关的技术标准,规范网管接口、网管通信协议和网管信息模型,确保网管系统的兼容性,全面提高网管系统的开放性和可管可控性;改善数据备份方式,提升设备配置数据库可靠性;对网管管理控制信息进行一定的加密处理,防范网管信息篡改。同时,采用带外管理策略建立传输网管信息的专用数据通信网络(Data Communication Network,DCN),使网络管理通信流与用户数据流分离,进一步降低攻击面。
3光传输网络安全防护体系
网络安全防护体系是保证光网络安全的前提和基础。按照预警、保护、检测、响应、恢复和反击(Warning, Protection, Detection, Recovery,Response, Counterattack,WPDRRC),保护、检测、响应和恢复(Protection, Detection, Recovery,Response,PDRR)等信息安全模型,以光传输网安全需求分析为出发点,针对光传输网在传输网元设备、传输线路、网管系统等方面的安全风险,以密码算法、安全协议、管控策略、安全机制等安全基础支撑功能为依托,塑造形成“监、固、控、评”的动态防御体系,全面保障光传输网的安全。
3.1 加强光产业研发,建立安全供应链体系
关注光核心芯片、软件的自主研发,解决深层次供应依赖等安全问题,实现真正的自主可控。
建立覆盖整个生命周期的风险评估机制,引入端到端的供应链安全评估流程和方法,确保产品满足安全要求,符合法律法规和标准规范,防范光传输网中各类设备和系统带病入网。
3.2 强化光域加密,防范光信号信道窃听
面向网络协议栈各层级进行加密防护,使安全能力贯通传输、网络、应用和业务逻辑等不同层面,形成全方位数据安全防护体系,防范流量劫持和信道窃听,解决数据传输存在的安全问题。目前来看,光物理层加密能够提供高效、低延迟的大带宽安全承载解决方案,将密钥交给不同用户自行管理,可满足多租户环境中密钥管理需求,在服务类型、速率和网络体系结构等方面灵活度较高。国内华为、中兴等厂商已申请与光物理层加密相关的专利,为下一步大容量、高速率物理层数据加密设备的规模化应用奠定了基础。
3.3 全面安全加固,减少光传输网脆弱性
安全加固是针对光传输网络中可能存在安全隐患的环节或器件进行安全加固,从而提升光传输网络的抗入侵、抗损毁和抗窃听等能力,主要包括线路加固、节点加固、网管加固等。
线路加固主要针对传输线路上的安全风险进行加固,例如针对弯曲光纤进行窃听的安全风险,可采用弯曲易断的光纤或具有高强度防护层的光纤实现线路的安全加固。
节点加固主要针对光缆传输网节点的安全风险进行加固。例如,在值守力量薄弱或者无人值守站点进行周界防护,保证节点设备安全。采用可调光带阻滤波器、增益锁定掺铒光纤(Erbium-Doped Fiber,EDF)、设置强光保护装置等策略来应对针对 EDFA 发起的带宽外攻击、强光攻击和增益竞争攻击。采用高隔离度的波分复用(Wavelength Division Multiplexing,WDM)、设置功率检测装置和隔离开关等策略来应对光交叉连接(Optical Cross-Connect,OXC)窜扰窃听风险。基于可信启动等安全机制,从底层硬件打造安全光传输设备。
网管加固主要针对光缆传输网节点网管进行加固,包括终端加固、系统加固、冗余备份等。例如,采用终端防护软件对网管系统的终端进行防护,定期进行漏洞扫描及补丁修复。除此之外,还应该实施权限最小原则,减少对外暴露面等。
3.4 构建监测预警体系,实现威胁快速感知
一是光纤入侵检测。通过对光纤线路信号进行实时监测,采用入侵行为检测、入侵行为分析、入侵行为定位等技术进行多维度的检测和分析,从而实现对分光、干扰攻击等入侵行为的实时监测、精确定位和快速预警。
二是设备及系统层面入侵检测。提供主机和网络层面的入侵检测能力,实时感知设备及系统的安全状态。
三是安全态势感知。通过采集光纤层、设备层、系统层、网络层的流量及日志等各类数据,综合利用大数据分析、异常检测等技术识别光网络中的潜在风险,实时感知光网络安全态势。
3.5 采取弹性网络机制,增强光传输网恢复能力
采用弹性网络机制,通过链路级、设备级、网络级、管理级的多维度冗余保护,构建自动响应、协同联动闭环,使得网络受损后能够快速隔离被损部分,迅速修复被损数据并启动网络重建,全面提升光传输可用性。
4结 语
随着光通信网络开放能力逐步增强,光传输网的网络安全问题逐步引起越来越多人的关注。目前,国内外的专家学者和工程技术人员在这方面做了许多工作,提出了一系列的安全解决方案。我们应该将这些安全技术与产业发展、网络组织、运行维护等相结合,增强相关软硬件防护措施,确保光网络的端到端、全生命周期安全可靠,从而满足信息时代光传输网的安全需求。
文章来源:选自《信息安全与通信保密》2023年第10期
等保测评咨询
