关于电信网络关键信息基础设施保护的思考

文 华为技术有限公司中国区网络安全与用户隐私保护部 冯运波 李加赞 姚庆天

根据我国《网络安全法》及《关键信息基础设施安全保护条例》，关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统”。其中，电信网络自身是关键信息基础设施，同时又为其他行业的关键信息基础设施提供网络通信和信息服务，在国家经济、科教、文化以及 社会 管理等方面起到基础性的支撑作用。电信网络是关键信息基础设施的基础设施，做好电信网络关键信息基础设施的安全保护尤为重要。

一、电信网络关键信息基础设施的范围

依据《关键信息基础设施安全保护条例》第 9条，应由通信行业主管部门结合本行业、本领域实际，制定电信行业关键信息基础设施的认定规则。

不同于其他行业的关键信息基础设施，承载话音、数据、消息的电信网络（以 CT 系统为主）与绝大多数其他行业的关键信息基础设施（以 IT 系统为主）不同，电信网络要复杂得多。电信网络会涉及移动接入网络（2G/3G/4G/5G）、固定接入网、传送网、IP 网、移动核心网、IP 多媒体子系统核心网、网管支撑网、业务支撑网等多个通信网络，任何一个网络被攻击，都会对承载在电信网上的话音或数据业务造成影响。

在电信行业关键信息基础设施认定方面，美国的《国家关键功能集》可以借鉴。2019 年 4 月，美国国土安全部下属的国家网络安全和基础设施安全局（CISA）国家风险管理中心发布了《国家关键功能集》，将影响国家关键功能划分为供应、分配、管理和连接四个领域。按此分类方式，电信网络属于连接类。

除了上述电信网络和服务外，支撑网络运营的大量 IT 支撑系统，如业务支撑系统（BSS）、网管支撑系统（OSS），也非常重要，应考虑纳入关键信息基础设施范围。例如，网管系统由于管理着电信网络的网元设备，一旦被入侵，通过网管系统可以控制核心网络，造成网络瘫痪；业务支撑系统（计费）支撑了电信网络运营，保存了用户数据，一旦被入侵，可能造成用户敏感信息泄露。

二、电信网络关键信息基础设施的保护目标和方法

电信网络是数字化浪潮的关键基础设施，扮演非常重要的角色，关系国计民生。各国政府高度重视关键基础设施安全保护，纷纷明确关键信息基础设施的保护目标。

2007 年，美国国土安全部（DHS）发布《国土安全国家战略》，首次指出面对不确定性的挑战，需要保证国家基础设施的韧性。2013 年 2 月，奥巴马签发了《改进关键基础设施网络安全行政指令》，其首要策略是改善关键基础设施的安全和韧性，并要求美国国家标准与技术研究院（NIST）制定网络安全框架。NIST 于 2018 年 4 月发布的《改进关键基础设施网络安全框架》（CSF）提出，关键基础设施保护要围绕识别、防护、检测、响应、恢复环节，建立网络安全框架，管理网络安全风险。NIST CSF围绕关键基础设施的网络韧性要求，定义了 IPDRR能力框架模型，并引用了 SP800-53 和 ISO27001 等标准。IPDRR能力框架模型包括风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）五大能力，是这五个能力的首字母。2018 年 5 月，DHS 发布《网络安全战略》，将“通过加强政府网络和关键基础设施的安全性和韧性，提高国家网络安全风险管理水平”作为核心目标。

2009 年 3 月，欧盟委员会通过法案，要求保护欧洲网络安全和韧性；2016 年 6 月，欧盟议会发布“欧盟网络和信息系统安全指令”（NISDIRECTIVE），牵引欧盟各国关键基础设施国家战略设计和立法；欧盟成员国以 NIS DIRECTIVE为基础，参考欧盟网络安全局（ENISA）的建议开发国家网络安全战略。2016 年，ENISA 承接 NISDIRECTIVE，面向数字服务提供商（DSP）发布安全技术指南，定义 27 个安全技术目标（SO），该SO 系列条款和 ISO 27001/NIST CSF之间互相匹配，关键基础设施的网络韧性成为重要要求。

借鉴国际实践，我国电信网络关键信息基础设施安全保护的核心目标应该是：保证网络的可用性，确保网络不瘫痪，在受到网络攻击时，能发现和阻断攻击、快速恢复网络服务，实现网络高韧性；同时提升电信网络安全风险管理水平，确保网络数据和用户数据安全。

我国《关键信息基础设施安全保护条例》第五条和第六条规定：国家对关键信息基础设施实行重点保护，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。我国《国家网络空间安全战略》也提出，要着眼识别、防护、检测、预警、响应、处置等环节，建立实施关键信息基础设施保护制度。

参考 IPDRR 能力框架模型，建立电信网络的资产风险识别（I）、安全防护（P）、安全检测（D）、安全事件响应和处置（R）和在受攻击后的恢复（R）能力，应成为实施电信网络关键信息基础设施安全保护的方法论。参考 NIST 发布的 CSF，开展电信网络安全保护，可按照七个步骤开展。一是确定优先级和范围，确定电信网络单元的保护目标和优先级。二是定位，明确需要纳入关基保护的相关系统和资产，识别这些系统和资产面临的威胁及存在的漏洞、风险。三是根据安全现状，创建当前的安全轮廓。四是评估风险，依据整体风险管理流程或之前的风险管理活动进行风险评估。评估时，需要分析运营环境，判断是否有网络安全事件发生，并评估事件对组织的影响。五是为未来期望的安全结果创建目标安全轮廓。六是确定当期风险管理结果与期望目标之间的差距，通过分析这些差距，对其进行优先级排序，然后制定一份优先级执行行动计划以消除这些差距。七是执行行动计划，决定应该执行哪些行动以消除差距。

三、电信网络关键信息基础设施的安全风险评估

做好电信网络的安全保护，首先要全面识别电信网络所包含的资产及其面临的安全风险，根据风险制定相应的风险消减方案和保护方案。

1 对不同的电信网络应分别进行安全风险评估

不同电信网络的结构、功能、采用的技术差异很大，面临的安全风险也不一样。例如，光传送网与 5G 核心网（5G Core）所面临的安全风险有显著差异。光传送网设备是数据链路层设备，转发用户面数据流量，设备分散部署，从用户面很难攻击到传送网设备，面临的安全风险主要来自管理面；而5G 核心网是 5G 网络的神经中枢，在云化基础设施上集中部署，由于 5G 网络能力开放，不仅有来自管理面的风险，也有来自互联网的风险，一旦被渗透攻击，影响面极大。再如，5G 无线接入网（5GRAN）和 5G Core 所面临的安全风险也存在显著差异。5G RAN 面临的风险主要来自物理接口攻击、无线空口干扰、伪基站及管理面，从现网运维实践来看，RAN 被渗透的攻击的案例极其罕见，风险相对较小。5G Core 的云化、IT 化、服务化（SBA）架构，传统的 IT 系统的风险也引入到电信网络；网络能力开放、用户端口功能（UPF）下沉到边缘等，导致接口增多，暴露面扩大，因此，5G Core 所面临的安全风险客观上高于 5G RAN。在电信网络的范围确定后，运营商应按照不同的网络单元，全面做好每个网络单元的安全风险评估。

2 做好电信网络三个平面的安全风险评估

电信网络分为三个平面：控制面、管理面和用户面，对电信网络的安全风险评估，应从三个平面分别入手，分析可能存在的安全风险。

控制面网元之间的通信依赖信令协议，信令协议也存在安全风险。以七号信令（SS7）为例，全球移动通信系统协会（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能导致任意用户非法位置查询、短信窃取、通话窃听；如果信令网关解析信令有问题，外部攻击者可以直接中断关键核心网元。例如，5G 的 UPF 下沉到边缘园区后，由于 UPF 所处的物理环境不可控，若 UPF 被渗透，则存在通过UPF 的 N4 口攻击核心网的风险。

电信网络的管理面风险在三个平面中的风险是最高的。例如，欧盟将 5G 管理面管理和编排（MANO）风险列为最高等级。全球电信网络安全事件显示，电信网络被攻击的实际案例主要是通过攻击管理面实现的。虽然运营商在管理面部署了统一安全管理平台解决方案（4A）、堡垒机、安全运营系统（SOC）、多因素认证等安全防护措施，但是，在通信网安全防护检查中，经常会发现管理面安全域划分不合理、管控策略不严，安全防护措施不到位、远程接入 *** 设备及 4A 系统存在漏洞等现象，导致管理面的系统容易被渗透。

电信网络的用户面传输用户通信数据，电信网元一般只转发用户面通信内容，不解析、不存储用户数据，在做好终端和互联网接口防护的情况下，安全风险相对可控。用户面主要存在的安全风险包括：用户面信息若未加密，在网络传输过程中可能被窃听；海量用户终端接入可能导致用户面流量分布式拒绝服务攻击（DDoS）；用户面传输的内容可能存在恶意信息，例如恶意软件、电信诈骗信息等；电信网络设备用户面接口可能遭受来自互联网的攻击等。

3 做好内外部接口的安全风险评估

在开展电信网络安全风险评估时，应从端到端的视角分析网络存在的外部接口和网元之间内部接口的风险，尤其是重点做好外部接口风险评估。以 5G 核心网为例，5G 核心网存在如下外部接口：与 UE 之间的 N1 接口，与基站之间的 N2 接口、与UPF 之间的 N4 接口、与互联网之间的 N6 接口等，还有漫游接口、能力开放接口、管理面接口等。每个接口连接不同的安全域，存在不同风险。根据3GPP 协议标准定义，在 5G 非独立组网（NSA）中，当用户漫游到其他网络时，该用户的鉴权、认证、位置登记，需要在漫游网络与归属网络之间传递。漫游边界接口用于运营商之间互联互通，需要经过公网传输。因此，这些漫游接口均为可访问的公网接口，而这些接口所使用的协议没有定义认证、加密、完整性保护机制。

4 做好虚拟化/容器环境的安全风险评估

移动核心网已经云化，云化架构相比传统架构，引入了通用硬件，将网络功能运行在虚拟环境/容器环境中，为运营商带来低成本的网络和业务的快速部署。虚拟化使近端物理接触的攻击变得更加困难，并简化了攻击下的灾难隔离和灾难恢复。网络功能虚拟化（NFV）环境面临传统网络未遇到过的新的安全威胁，包括物理资源共享打破物理边界、虚拟化层大量采用开源和第三方软件引入大量开源漏洞和风险、分层多厂商集成导致安全定责与安全策略协同更加困难、传统安全静态配置策略无自动调整能力导致无法应对迁移扩容等场景。云化环境中网元可能面临的典型安全风险包括：通过虚拟网络窃听或篡改应用层通信内容，攻击虚拟存储，非法访问应用层的用户数据，篡改镜像，虚拟机（VM）之间攻击、通过网络功能虚拟化基础设施（NFVI）非法攻击 VM，导致业务不可用等。

5 做好暴露面资产的安全风险评估

电信网络规模大，涉及的网元多，但是，哪些是互联网暴露面资产，应首先做好梳理。例如，5G网络中，5G 基站（gNB）、UPF、安全电子支付协议（SEPP）、应用功能（AF）、网络开放功能（NEF）等网元存在与非可信域设备之间的接口，应被视为暴露面资产。暴露面设备容易成为入侵网络的突破口，因此，需重点做好暴露面资产的风险评估和安全加固。

四、对运营商加强电信网络关键信息基础设施安全保护的建议

参考国际上通行的 IPDRR 方法，运营商应根据场景化安全风险，按照事前、事中、事后三个阶段，构建电信网络安全防护能力，实现网络高韧性、数据高安全性。

1 构建电信网络资产、风险识别能力

建设电信网络资产风险管理系统，统一识别和管理电信网络所有的硬件、平台软件、虚拟 VNF网元、安全关键设备及软件版本，定期开展资产和风险扫描，实现资产和风险可视化。安全关键功能设备是实施网络监管和控制的关键网元，例如，MANO、虚拟化编排器、运维管理接入堡垒机、位于安全域边界的防火墙、活动目录（AD）域控服务器、运维 *** 接入网关、审计和监控系统等。安全关键功能设备一旦被非法入侵，对电信网络的影响极大，因此，应做好对安全关键功能设备资产的识别和并加强技术管控。

2 建立网络纵深安全防护体系

一是通过划分网络安全域，实现电信网络分层分域的纵深安全防护。可以将电信网络用户面、控制面的系统划分为非信任区、半信任区、信任区三大类安全区域；管理面的网络管理安全域（NMS），其安全信任等级是整个网络中最高的。互联网第三方应用属于非信任区；对外暴露的网元（如 5G 的 NEF、UPF）等放在半信任区，核心网控制类网元如接入和移动管理功能（AMF）等和存放用户认证鉴权网络数据的网元如归属签约用户服务器（HSS）、统一数据管理（UDM）等放在信任区进行保护，并对用户认证鉴权网络数据进行加密等特别的防护。二是加强电信网络对外边界安全防护，包括互联网边界、承载网边界，基于对边界的安全风险分析，构建不同的防护方案，部署防火墙、入侵防御系统（IPS）、抗DDoS 攻击、信令防护、全流量监测（NTA）等安全防护设备。三是采用防火墙、虚拟防火墙、IPS、虚拟数据中心（VDC）/虚拟私有网络（VPC）隔离，例如通过防火墙（Firewall）可限制大部分非法的网络访问，IPS 可以基于流量分析发现网络攻击行为并进行阻断，VDC 可以实现云内物理资源级别的隔离，VPC 可以实现虚拟化层级别的隔离。四是在同一个安全域内，采用虚拟局域网（VLAN）、微分段、VPC 隔离，实现网元访问权限最小化控制，防止同一安全域内的横向移动攻击。五是基于网元间通信矩阵白名单，在电信网络安全域边界、安全域内实现精细化的异常流量监控、访问控制等。

3 构建全面威胁监测能力

在电信网络外部边界、安全域边界、安全域内部署网络层威胁感知能力，通过部署深度报文检测（DPI）类设备，基于网络流量分析发现网络攻击行为。基于设备商的网元内生安全检测能力，构建 *** 作系统（OS）入侵、虚拟化逃逸、网元业务面异常检测、网元运维面异常检测等安全风险检测能力。基于流量监测、网元内生安全组件监测、采集电信网元日志分析等多种方式，构建全面威胁安全态势感知平台，及时发现各类安全威胁、安全事件和异常行为。

4 加强电信网络管理面安全风险管控

管理面的风险最高，应重点防护。针对电信网络管理面的风险，应做好管理面网络隔离、运维终端的安全管控、管理员登录设备的多因素认证和权限控制、运维 *** 作的安全审计等，防止越权访问，防止从管理面入侵电信网络，保护用户数据安全。

5 构建智能化、自动化的安全事件响应和恢复能力

在网络级纵深安全防护体系基础上，建立安全运营管控平台，对边界防护、域间防护、访问控制列表（ACL）、微分段、VPC 等安全访问控制策略实施统一编排，基于流量、网元日志及网元内生组件上报的安全事件开展大数据分析，及时发现入侵行为，并能对攻击行为自动化响应。

（本文刊登于《中国信息安全》杂志2021年第11期）

　　AVAST5，是捷克国家ALWILSoftware软件公司研发的一款杀毒软件。

　　它拥有七大防护模块：网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。ALMILSoftware公司是擅长于安全软件方面的研发，开发的Avast Antivirus系列是他们的拳头产品，Avast在许多重要的市场和权威评奖中都取得了骄人的成绩，同样在此后进军国际市场上也赢得了良好的增长率。

1969年美国国防部建立的“阿帕网”(ARPANET)正式投入运行，标志着信息时代的开始。

阿帕网为美国国防部高级研究计划署开发的世界上第一个运营的封包交换网络，它是全球互联网的始祖。

Internet可以说是美苏冷战的产物。在美国，20世纪60年代是一个很特殊的时代。60年代初，古巴核导d危机发生，美国和原苏联之间的冷战状态随之升温，核毁灭的威胁成了人们日常生活的话题。

在美国对古巴封锁的同时，越南战争爆发，许多第三世界国家发生政治危机。由于美国联邦经费的刺激和公众恐惧心理的影响，"实验室冷战"也开始了。

能否保持科学技术上的领先地位，将决定战争的胜负。而科学技术的进步依赖于电脑领域的发展。到了60年代末，每一个主要的联邦基金研究中心，包括纯商业性组织、大学，都有了由美国新兴电脑工业提供的最新技术装备的电脑设备。电脑中心互联以共享数据的思想得到了迅速发展。

扩展资料

到了1975年，arpanet已经连入了100多台主机，并结束了网络试验阶段，移交美国国防部国防通信局正式运行。在总结第一阶段建网实践经验的基础上，研究人员开始了第二代网络协议的设计工作。这个阶段的重点是网络互联问题，网络互连技术研究的深入导致了TCP/IP协议（中译名为传输控制协议/因特网互联协议）的出现与发展。

到1979年，越来越多的研究人员投入到了tcp/Ip协议的研究与开发之中。在1980年前后，arpanet所有的主机都转向tcp/IP协议。到1983年1月，arpanet向tcp/ip的转换全部结束。同时，美国国防部国防通信局将arpanet分为两个独立的部分，一部分仍叫arpanet，用于进一步的研究工作；另一部分稍大一些，成为著名的MILNET，用于军方的非机密通信。

谈对网络安全的认识

近几年来，网络越来越深入人心，它是人们工作、学习、生活的便捷工具和丰富资源。但是，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。作为学校，如何建立比较安全的校园网络体系，值得我们关注研究。

建立校园网络安全体系，主要依赖三个方面：一是威严的法律；二是先进的技术；三是严格的管理。

从技术角度看，目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等，这些技术对防止非法入侵系统起到了一定的防御作用。代理及防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。

网络现状

我校是一所市一级中学，目前有两所网络教室、200多台教学办公电脑，校园网一期工程为全校教教学教研建立了计算机信息网络，实现了校园内计算机联网，信息资源共享并通过中国公用Internet网（CHINANET）与Internet互连，校园网结构是：校园内建筑物之间的连接选用多模光纤，以网管中心为中心，辐射向其他建筑物，楼内水平线缆采用超五类非屏双绞线缆。3Com 4900交换机作为核心交换机；二级交换机为3Com 3300。

安全隐患

当时，校园网络存在的安全隐患和漏洞有：

1、校园网通过CHINANET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

2、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

3、目前使用的 *** 作系统存在安全漏洞，对网络安全构成了威胁。我校的网络服务器安装的 *** 作系统有Windows2000 Server，其普遍性和可 *** 作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞，这些都对原有网络安全构成威胁。

4、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。

措施及解决方案

根据我校校园网的结构特点及面临的安全隐患，我们决定采用下面一些安全方案和措施。

一、安全代理部署

在Internet与校园网内网之间部署一台安全代理（ISA），并具防火墙等功能，形成内外网之间的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在安全代理，与内、外网间进行隔离。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在安全代理设置上可以按照以下原则配置来提高网络安全性：

1、据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“关闭一切，只开有用”的原则。

2、安全代理配置成过滤掉以内部网络地址进入Internet的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

3、安全代理上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

4、定期查看安全代理访问日志，及时发现攻击行为和不良上网记录，并保留日志90天。

5、允许通过配置网卡对安全代理设置，提高安全代理管理安全性。

二、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。

三、漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

四、诺顿网络版杀毒产品部署

在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

1、在学校网络中心配置一台高效的Windows2000服务器安装一个诺顿软件网络版的系统中心，负责管理200多个主机网点的计算机。

2、在各行政、教学单位等200多台主机上分别安装诺顿杀毒软件网络版的客户端。

3、安装完诺顿杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

4、网管中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到诺顿网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它200多个主机网点的客户端与服务器端，并自动对诺顿杀毒软件网络版进行更新，使全校的防毒病毒库始终处于最新的状态。

五、划分内部虚拟专网（VLAN），针对内部有效VLAN设置合法地址池，针对不同VLAN开放相应端口，阻止广播风暴发生。

六、实时升级Windows2000 Server、IE等各软件补丁，减少漏洞；实行个人办公电脑实名制。

七、安全管理

常言说：“三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式，制定详细的安全管理制度，如机房管理制度、病毒防范制度、上网规定等，同时要注意物理安全，防止设备器材的暴力损坏，防火、防雷、防潮、防尘、防盗等，并采取切实有效的措施保证制度的执行。

近几年，通过对以上措施的逐步实施，我校校园网络能鸲安全正常运行，为学校教育教学工作的顺利开展提供了有力辅助，并渐入佳境。

网络安全保障体系的构建

网络安全保障体系如图1所示。其保障功能主要体现在对整个网络系统的风险及隐患进行及时的评估、识别、控制和应急处理等，便于有效地预防、保护、响应和恢复，确保系统安全运行。

图1 网络安全保障体系

1．网络安全保障关键要素

网络安全保障关键要素包括四个方面：网络安全策略、网络安全管理、网络安全运作和网络安全技术，如图2所示。其中，网络安全策略为安全保障的核心，主要包括网络安全的战略、政策和标准。网络安全管理是指企事业机构的管理行为，主要包括安全意识、组织结构和审计监督。网络安全运作是企事业机构的日常管理行为，包括运作流程和对象管理。网络安全技术是网络系统的行为，包括安全服务、措施、基础设施和技术手段。   

图2 网络安全保障要素            图3 P2DR模型示意图

在机构的管理机制下，只有利用运作机制借助技术手段，才可真正实现网络安全。通过网络安全运作，在日常工作中认真执行网络安全管理和网络安全技术手段，“七分管理，三分技术，运作贯穿始终”，管理是关键，技术是保障，其中的管理实际上包括管理技术。P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型，也是动态安全模型，包含4个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。如图3所示。

2．网络安全保障总体框架

鉴于网络系统的各种威胁和风险，以往传统针对单方面具体的安全隐患，所提出的具体解决方案具有一定其局限性，应对的措施也难免顾此失彼。面对新的网络环境和威胁，需要建立一个以深度防御为特点的网络信息安全保障体系。网络安全保障体系总体框架如图4所示。此保障体系框架的外围是风险管理、法律法规、标准的符合性。

图4 网络安全保障体系框架

网络安全管理的本质是对网络信息安全风险进行动态及有效管理和控制。网络安全风险管理是网络运营管理的核心，其中的风险分为信用风险、市场风险和 *** 作风险，包括网络信息安全风险。实际上，在网络信息安全保障体系框架中，充分体现了风险管理的理念。网络安全保障体系架构包括五个部分：

1) 网络安全策略。属于整个体系架构的顶层设计，起到总体宏观上的战略性和方向性指导作用。以风险管理为核心理念，从长远发展规划和战略角度整体策划网络安全建设。

2) 网络安全政策和标准。是对网络安全策略的逐层细化和落实，包括管理、运作和技术三个层面，各层面都有相应的安全政策和标准，通过落实标准政策规范管理、运作和技术，保证其统一性和规范性。当三者发生变化时，相应的安全政策和标准也需要调整并相互适应，反之，安全政策和标准也会影响管理、运作和技术。

3) 网络安全运作。基于日常运作模式及其概念性流程（风险评估、安全控制规划和实施、安全监控及响应恢复）。是网络安全保障体系的核心，贯穿网络安全始终；也是网络安全管理机制和技术机制在日常运作中的实现，涉及运作流程和运作管理。

4) 网络安全管理。对网络安全运作至关重要，从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现，而网络安全管理体系是从人员组织的角度保证正常运作，网络安全技术体系是从技术角度保证运作。

5) 网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可极大提高网络安全运作的有效性，从而达到网络安全保障体系的目标，实现整个生命周期（预防、保护、检测、响应与恢复）的风险防范和控制。

摘自-拓展：网络安全技术及应用（第3版）贾铁军主编，机械工业出版社，2017

NMD(National Missile Defence， 美国国家导d防御系统)，其工作模式为： 预警雷达首先发现目标,即“敌方”的进攻洲际导d;预警雷达将报警信号传送到军事卫星; 军事卫星将报警信号传送到指挥部; 指挥部发出命令发射反导d导d; 反导d导d利用红外跟踪原理搜寻敌方进攻导d, 识别真假d头, 然后在地球大气层外拦截敌方进攻导d, 并用激光武器将其摧毁 建立原因 冷战战时期，美国为了取得对苏联的军事优势，于1983年提出"战略防御"计划（又称"星球大战"计划）。 1993年，克林顿宣布"星球大战"时代结束，取而代之的是"NMD"(National Missile Defence, 国家导d防御系统) 和 "TMD"(Theater Missile Defence, 战区导d防御系统)。 组成结构 NMD全部组成是:2处发射阵地、3个指挥中心、5个通信中继站、15部雷达、30颗卫星、250个地下发射井和250枚拦截导d系统。 具体地说，NMD是由5大部分组成的，即预警卫星、改进的预警雷达、地基雷达、地基拦截d和作战管理指挥控制通信系统。 预警卫星用于探测敌方导d的发射，提供预警和敌方d道导d发射点和落点的信息。这些卫星都属于天基红外系统，也就是说靠敌方发射导d时喷射的烟火的红外辐射信号来探测导d。 改迸的预警雷达，它们是NMD系统的"眼睛"，能预警到4000-4800千米远的目标。美国除要改进现有部署在阿拉斯加的地地d预警雷达以及部署在加州与马萨诸塞州的"铺路爪"雷达外，还要在亚洲地区新建一个早期预警雷达。 地基雷达是一种X波段、宽频带、大孔径相控阵雷达，将地基拦截d导引到作战空域。 地基拦截d是NMD的核心，由助推火箭和拦截器(d头)组成，前者将拦截器送到目标邻近，后者能自动调整方向和高度，在寻找和锁定目标后与之相撞，将它击落在太空上。 作战管理指挥控制通信系统利用计算机和通信网络把上述系统联系起来。 这些系统部署后，24颗整天围绕地球不断旋转的低轨道预警卫星和6颗高轨道卫星，一旦探测到敌方发射导d，立刻跟踪其红外辐射信号。通过作战管理指挥控制通信系统，卫星除将导d的飞行d道"告诉"指挥中心外，还要为预警雷达和地基雷达指示目标。预警雷达发现目标后，将导d的跟踪和评估数据转告地基雷达。一旦收到美国航天司令部的发射命令后，拦截d就腾空而起。拦截器靠携带的红外探测器盯上来袭导d后，竭尽全力(靠动能)与它相撞，与对方同归于尽。 发展动向 美国国家导d防御系统由80年代的"战略防御计划"和90年代初的"对付有限打击全球防护系统"演变而来的。 美国发展NMD和TMD将打破全球的战略平衡与稳定，阻碍核裁军的进程，破坏国际防扩散的努力，并可能引发新一轮的军备竞赛，所以受到世界上大多数国家的反对。 TMD的研制是由低向高发展的。用于拦截飞行高度在40公里以下导d的爱国者导d，已取得较大进展。在1991年海湾战争时，爱国者PAC－2 型导d命中率为60％，此后美国不遗余力地提高这种导d的性能。今年3月15日，美国宣布改进型的爱国者PAC－3型导d拦截试验获得成功。据悉，美国还要进行16次拦截不同目标的试验，使这种导d进一步完善。目前爱国者导d是TMD中唯一有效的拦截武器，也就是说，TMD 尚处于低空防御阶段。 NMD是用来保护美国本土免受d道导d攻击的防御系统。从这一点看，它是里根“星球大战”计划的翻版或继承者。所不同的是，“星球大战”计划所依赖的是空中防御系统，而NMD是以陆空结合、陆地防御系统为主。根据美国国防部提供的材料，NMD包含六大部分：地基拦截导d、地基雷达、天基传感器、改进型早期预警雷达，以及作战管理、指挥、控制系统和通信系统。按照设想，美国可以通过这一系统，从敌方导d一发射，就对它进行侦察、跟踪、定位、锁定，在它进入美国领空前将其摧毁。这项计划尚处于论证阶段，到底搞成什么样子，至今谁也说不清楚。据说，如果把外来的导d比作雨点，这一系统就像一把伞，把美国罩得严严实实，不受一点损害。但也有人对此提出质疑，一位议员在国会辩论时，就曾当场撑起一把只有伞架的漏雨伞，以此形容NMD的防御能力。 战区导d防御系统（TMD） TMD计划是美国总统克林顿于1993年提出的，其前提是认为冷战后"战区d道导d"在第三世界国家中迅速扩散，并已成为美国前沿部队及海外盟友面临的主要威胁。美国认为，所有威胁不到美国本土的d道导d，都属于"战区d道导d"，只有能够打到美国本土的d道导d，才是"战略d道导d"。因此，TMD是相对于防御"战略d道导d"的"国家导d防御系统"(NMD)而言的。TMD与NMD共同构成了美国"d道导d防御"(BMD)构想的两大内容，其开发工作由美国国防部d道导d防御局具体负责。 "战区"是指"美国本土以外，由一个联合司令部和专门司令部管辖的地区"。因此，战区导d防御系统是"用于保护美国本土以外一个战区免遭近程、中程或远程d道导d攻击的武器系统"。 美国军方对于战区导d的防卫有三种主要策略：一是在来袭导d发射前侦察到并将其摧毁；二是在来袭导d发射升空时将其摧毁；三是在来袭导d飞行途中或重回大气层时予以拦截摧毁。 TMD的设想由低层防御和高层防御两部分组成。低层防御设想包括"爱国者-3"(PAC-3)、"扩大的中程防空系统"(MEADS)、"海军区域防御"(NAD)系统，高层防御设想包括陆军"战区高空区域防御"(THAAD)系统、"海军战区防御体系"(NTW)、空军"助推段防御"(BPI)。其中，"爱国者-3"、"海军区域防御"系统、"陆军"战区高空区域防御"系统、"海军战区防御体系"构成TMD的核心和重点开发项目。 PAC-3导d PAC-3是爱国者系统的最新型号,是一种集团军和军级机动防空系统，可发射多枚导d同时推毁距离不等的目标。爱国者系统因在海湾战争中表现突出而闻名。PAC-3系统将于2001年完全升级为低层d道导d防御（BMD）体系，其任务是为部队和固定设施提供保护，抵御近、中程d道导d、巡航导d和固定翼或旋转翼飞机等的攻击。在设计上，要求PAC-3便于在世界各地部署和能用C-17或C-5飞机运输。 PAC-3由3种配置组成，均为升级产品。为了尽快给部队提供导d防御手段，两种原始的配置已于1995-1996年期间部署。第3种配置于2001年实施部署。其最终配置将全部采用改型系统部件。升级后的地面雷达在其多功能、低空、威胁探测与识别等能力方面均得到提高。目标进入地球大气层后，新型的PAC-3导d采用猛烈撞击的方式将其摧毁，这就是所谓稠密大气层撞击杀伤截击。PAC-3的指挥、控制与通信系统比早期产品有了更好的改进， *** 作能力有了较大的提高。 PAC-3的发射装置主要由地面雷达设备、截击控制站和8部导d发射设备组成。 海军区域战区d道导d防御（TBMD） 海军区域战区d道导d防御计划涉及装备标准导d的宙斯盾巡洋舰和驱逐舰。将对宙斯盾武器系统进行改进，使其能用AN／SPY－1雷达探测、跟踪战区d道导d，并用SM－2BlocKⅣA导d将其拦截。SM－2Block ⅣA导d由SM－2BlocⅣ导d改进而来，增加了一个红外导引头，改进了战斗部、自动驾驶仪和引信，使其能拦截战区d道导d。这一计划包括宙斯盾探测战区d道导d能力的验证。目前还计划研制用户作战评估系统（UOES），以使早期参战单位能进行试验，并在国家紧急情况下提供有限的大气层内防御战术d道导d的能力。 THAAD系统 THAAD的研制工作启动于1992年，陆军定于2007年部署。THAAD是TMD中关键性的一节。THAAD主要用来阻截远程战区级d道导d，THAAD的目标是要在远处高空将导d击落，这样，就可以增加防范战区d道导d威胁的能力，尤其是对一些有较大杀伤力的武器，可以在远处和高空就把它们击落，以防后患。 THAAD系统具有拦截战区d道导d所需的齐射能力。为在更高的高空和更远的距离摧毁携带大规模毁灭性武器的威胁，以保证需要的防御水平，齐射能力是必要的。 THAAD项目的另一个重要部分是用户作战评估系统（UOES）。该系统能对系统作战性能进行早期评估，并在国家紧急情况下提供有限的大气层内防御能力。 THAAD的导d部分由拦截导d、托板装运发射系统和战斗管理／指挥、控制和通信系统组成。拦截导d是命中-杀伤飞行器，它采用最新的制导、控制和杀伤飞行器技术。托板装运发射系统使导d发射箱、控制和发射执行平台能便于运输，战斗管理／指挥、控制和通信系统由执行THAAD任务所需的通信和数据系统组成。THAAD的战斗管理／指挥、控制和通信系统还提供与战区防空指挥和控制系统连接的通用接口，以及与THAAD雷达连接的接口。 THAAD雷达能满足能力更强的宽域防御雷达的迫切需求。作为THAAD系统的一个组成部分，THAAD雷达提供监视和火控支援，并向爱国者导d一类低层防御系统提供提示。THAAD雷达利用现有的雷达技术实现期望的功能：威胁攻击预警，威胁类型识别，拦截导d火控，外部传感器提示，发射和d着点判断。特别是，THAAD雷达将具有区分战术d道导d类型的能力，并能在拦截后进行杀伤评估。THAAD雷达将进行一系列综合性能试验，为THAAD项目进入里程碑2作准备。THAAD雷达的研制成果将成为国家导d防御-地基雷达（NMD－GBR）的雷达技术验证机的基础。