電信網路安全總體防衛討論

《電信網路安全總體防衛討論》較為全面地討論了電信網路安全防衛方面的有關問題，內容包括電信網路總體概念、電信網路的網路安全的總體概念、電信網路安全防衛總體技術、網路安全的支持系統和典型電信網路的網路安全總體防衛。

《電信網路安全總體防衛討論》可以作為從事電信網路理論研究、設備研製、總體設計和工程套用人員的參考書，也可供電信網路專業的本科生、碩士生和博士生學習參考。

第一章　電信網路的形成

一、基本電信系統

(一)基本電信系統定義

(二)基本電信系統套用分類

二、基本電信系統存在的問題

(一)基本電信系統存在“N方問題”

(二)當N比較小時的情況

(三)當N比較大時的情況

三、電信網路的形成

(一)解決“N方問題”的途徑

(二)具體解決“N方問題”的技術方法

(三)採用復用技術和定址技術的結果

四、電信網路的技術分類

(一)電信網路的構成

(二)電信網路技術分類

五、電信網路的功能結構

六、電信網路的分類方法

第二章　電信網路機理分類

一、關於電信網路機理分類的基本考慮

二、復用技術機理分類

(一)確定復用技術

(二)統計復用技術

三、確定復用技術機理和基本屬性

(一)確定復用技術機理

(二)確定復用基本屬性

四、統計復用技術機理和基本屬性照企境承

(一)統計復用技術機理

(二)統計復用基本屬性

五、定址技術機理分類

(一)有連線操作定址技術

(二)無連線操作定址技術

六、有連線操作定址技術機理和基本屬性

(一)有連線操作定址技術機理

(二)有連線操作定址基本屬性

七、無連線操作定址技術機理和基本屬性

(一)無連線操作定址技術機理

(二)無連線操作定址基本屬性

八、電信網路形態笑請拒機理分類

(一)技術體系定義

(二)網路形態定義

(三)媒體網路的網路形態分類

(四)電信網路的網路形態分類

第三章　電信網路套用分類

一、電信網路套用分類的基本考慮

二、電信網路按套用分類

三、典型的電信網路套用網路形態

(一)公用交換電話網(PSTN)

(二)網際網路(Internet)

(三)有線電視(CATV)網

(四)寬頻綜合業務數字網(B-ISDN)

(五)經典數據鏈(DL)

(六)多業務傳送平台(MSTP)

(七)自組織分組無線網路(AdHoc)

四、ITU關於GII網路形態的研究成就

(一)GII電信網路的設計目標

(二)GII電信網路的設計原則

(三)GII電信網路的發展趨勢

(四)GII電信網路總體研究架構

五、GII電信網路形態總體概況

(一)GII的基本考慮

(二)GII網路形態構成

(三)GII電信網路形態的特點

(四)關於GII電信網路的工程套用評價

第四章　電信網路的套用位置

一、信息基礎設施及其分類

(一)信息基礎設施

(二)信息基礎設施分類

(三)電信網路在信息基礎設施中的位置

二、信息系統及其分類

(一)信息系統

(二)信息系統分類

(三)電信網路在信息系統中的位置

三、國家基礎設施及其分類

(一)國家基礎設施

(二)信息基礎設施與其他國家基礎設施的關係

(三)電信網路在國家基礎設施中的位置

四、本書的內容定界

(一)國家基礎設施中的“網路”概念

(二)信息系統中的“網路船局探”概念

(三)信息基礎設施中的“網路”概念

(四)電信網路的“網路”概念

(五)各類“網路安全”之間的關係

第五章　電信網路的網路安全概念

一、信息系統中的安全概念

二、信息系統安全問題發展演變

(一)通信保密年代

(二)計算機安全年代

(三)計算機網路安全年代

(四)向網路世界安全過渡年代

(五)網路空間(Cyber)安全概念

三、信息系統的安全體系結構

(一)我國關於信息系統安全問題的界定

(二)信息系統安全結構

四、電信網路的網路安全概念

(一)廣義電信網路的網路安全概念

(二)狹義電信網路的網路安全概念

(三)網路安全優劣概舉背念

五、電信網路的可信概念

(一)可信概念

(二)行為可信概念

(三)電信網路的安全概念與可信概念的關係

(四)可信電信網路

(五)支持電信網路可信性的基本措施

第六章　美國網路安全的防衛對策

一、美國司法強制性通信協助法案摘要

(一)法案形成

(二)法案內容

(三)法案涉及的領域

(四)法案實施原則

(五)對於法案的反應

(六)法案相關後續工作

(七)聯邦通信委員會下屬重構

(八)VoIP的安全問題

二、美國白宮(2003)報告--《網路空間安全的國家戰略》摘要

(一)戰略目標

(二)引言

(三)網路空間威脅和漏洞

(四)國家政策和指導原則

(五)結論

三、美紙拒疊笑國總統信息技術諮詢委員會(2005)報告--《網路空間安判船懂全：當務之急》摘要

(一)網路安全-國家的重要問題

(二)重要性優戀故糊先方面的結論和建議

(三)網路安全研究優先方面的結論和建議

第七章　網路安全防衛技術研究進展

一、網路安全概念

(一)安全定義

(二)安全分類

二、計算機網路安全

(一)攻擊類型

(二)攻擊機制

(三)安全服務

(四)防衛機制

三、國際標準化組織/開放系統互連安全體系結構

(一)建立安全體系結構的目的

(二)建立安全體系結構的方法

(三)ISO/OSI安全體系結構標準

(四)ISO/OSI對安全性的一般描述

(五)OSI安全體系結構各層上的安全服務

(六)安全分層及服務配置的原則

(七)OSI安全體系結構的各層上的安全機制

(八)OSI安全體系的安全管理

(九)網際網路安全協定結構

四、網際網路的網路安全

(一)數據鏈路層安全協定

(二)網路層IPSec安全體系結構

(三)網際網路的網路安全問題

五、區域網路的網路安全

(一)區域網路概述

(二)區域網路的網路安全問題

(三)區域網路安全技術

六、無線電信網路共同的安全問題

(一)無線網路面臨的威脅

(二)無線網路威脅的解決方案

(三)UMTS的安全接入

七、全球移動通信系統的網路安全

(一)GSM安全設計目標

(二)GSM的安全特點

(三)GSM的安全隱患

(四)2G安全機制

(五)3G安全目標

八、無線區域網路的網路安全

(一)無線區域網路的技術標準

(二)無線區域網路的安全標準

(三)無線區域網路的安全威脅

(四)無線區域網路面臨的無線攻擊分類

(五)保護無線區域網路的安全措施

九、公用交換電話網的網路安全

(一)固定電信網路的網路安全問題

(二)電話防火牆

(三)電信固定網虛擬專用網

(四)電信固定網入侵檢測

十、各類網路的通用物理安全

(一)物理安全內容

(二)物理安全措施

十一、網路安全的技術方面討論

(一)關於計算機網路安全

(二)關於電信網路與信息加密的關係

(三)ISO/OSI安全標準

(四)關於無線電信網路安全

(五)關於固定公用交換電話網安全

(六)關於電信網路體制機理對於網路安全的影響

第八章　電信網路的網路安全體系結構

一、電信網路的網路安全對抗體系結構

(一)電信網路的網路對抗模型

(二)關於電信網路組成

(三)關於電信網路對抗攻擊

(四)關於電信網路對抗防衛

二、第一種網路攻擊--非法利用

(一)秘密使用網路資源

(二)非法騷擾和犯罪

三、第二種網路攻擊--秘密偵測

(一)秘密偵聽通信內容

(二)秘密偵測網路參數

(三)在電信網路中建立偵測環境

(四)通過電信網路偵測信息系統

四、第三種網路攻擊--惡意破壞

(一)電磁干擾

(二)惡意業務量擁塞電信網路

(三)惡意控制和破壞電信網路的支持網路

(四)破壞電信網路設施

五、第一種網路防衛--技術機理防衛

六、第二種網路防衛--實現技術防衛

七、第三種網路防衛--工程套用防衛

八、第四種網路防衛--運營管理防衛

第九章　電信網路的網路安全防衛體系結構

一、網路安全防衛體系結構

二、網路安全法制方面

三、網路安全管理方面

(一)管理概念

(二)電信網路風險評估

(三)制定策略

(四)實現安全

(五)審核

四、網路安全技術方面

(一)機理防衛與技術防衛

(二)反應式和預應式策略

(三)“周邊防衛策略”與“相互猜疑策略”

(四)單項技術防衛與網路防衛技術之間的配合與聯合

(五)防衛技術的相關性與獨立性

(六)電信網路安全功能層次結構

五、網路安全人才方面

(一)政府主管官員

(二)網路安全技術研發專家

(三)網路安全專業操作人員

(四)社會民眾

六、國家電信網路的網路安全防衛體系

(一)國家網路安全防衛系統組成

(二)國家網路安全防衛系統的特點

第十章　電信網路的網路安全防衛的總體思路

一、電信網路的網路安全問題分析

(一)可能的非法利用電信網路的行為之一

(二)可能的非法利用電信網路的行為之二

(三)可能的非法利用電信網路的行為之三

(四)可能的惡意破壞電信網路的行為之一

(五)可能的惡意破壞電信網路的行為之二

(六)可能的惡意破壞電信網路的行為之三

(七)可能的惡意破壞電信網路的行為之四

二、電信網路的網路安全防衛討論

(一)關於惡意破壞電信網路防衛

(二)關於非法利用電信網路防衛

(三)計算機系統防衛病毒攻擊問題

(四)計算機系統防衛分散式拒絕服務攻擊問題

三、電信網路的網路安全防衛總體思路

(一)從邊緣防衛策略轉向互相猜疑策略

(二)從面向威脅對抗轉向面向能力建設

(三)電信網路的網路安全防衛總體思路實現問題

第十一章　電信網路技術體制的網路安全屬性分析

一、電信網路的網路安全屬性概念

二、第一類電信網路的網路安全屬性

(一)第一類電信網路的網路構成

(二)第一類電信網路的網路安全屬性分析

(三)PSTN中可能出現的網路安全問題

三、第二類電信網路的網路安全屬性

(一)第二類電信網路的網路構成

(二)第二類電信網路的網路安全屬性分析

(三)網際網路中可能出現的網路安全問題

四、第三類電信網路的網路安全屬性

(一)第三類電信網路的網路構成

(二)第三類電信網路的網路安全屬性分析

(三)CATV中可能出現的網路安全問題

五、第四類電信網路的網路安全屬性

(一)第四類電信網路的網路構成

(二)第四類電信網路的網路安全屬性分析

(三)B-ISDN可能出現的網路安全問題

六、電信網路技術體制的網路安全屬性比較

(一)復用方式對網路安全屬性的影響

(二)定址方式對網路安全屬性的影響

(三)“確定復用與無連線操作定址組合”的網路安全屬性

(四)“確定復用與有連線操作定址組合”的網路安全屬性

(五)“統計復用與有連線操作定址組合”的網路安全屬性

(六)“統計復用與無連線操作定址組合”的網路安全屬性

七、電信網路技術體制的網路安全設計討論

(一)技術機理是決定安全屬性的基礎

(二)不可信環境中不同機理電信網路的工程效果

(三)電信網路工程設計的基本原則

(四)媒體網路的網路安全是工程設計的核心

(五)核心網路的媒體網路的兩項重大發明

(六)核心網儘可能不用定址技術

第十二章　各類電信網路形態的套用位置及其網路安全問題

一、第一類電信網路的套用位置及其網路安全問題

(一)第一類電信網路的套用位置

(二)第一類電信網路接入套用時的網路安全問題

二、第二類電信網路的套用位置及其網路安全問題

(一)第二類電信網路的套用位置

(二)第二類電信網路作為接入套用時的網路安全問題

三、第三類電信網路的套用位置及其網路安全問題

(一)第三類電信網路的套用位置

(二)有線電視網單方向接入網的網路安全問題

(三)有線電視網雙方向接入網的網路安全問題

(四)數位電視廣播系統的網路安全問題

四、第四類電信網路的套用位置及其網路安全問題

(一)第四類電信網路的套用位置

(二)第四類電信網路用於核心網路時的網路安全問題

五、現實主流電信網路形態及其網路安全問題歸納

(一)GII網路形態的形成

(二)網路安全問題歸納

第十三章　電信網路的網路安全防衛實現技術討論

一、傳輸系統的網路安全防衛討論

(一)傳輸系統的網路安全問題

(二)傳輸系統的網路安全防衛分析

二、光纜傳輸系統的網路安全防衛討論

(一)光纜傳輸系統的網路安全問題

(二)光纜傳輸系統的線路監測系統

(三)光網路安全技術

三、無線傳輸系統的網路安全防衛討論

(一)無線傳輸系統的網路安全問題

(二)無線傳輸系統的網路安全防衛分析

(三)無線傳輸系統技術抗干擾分類

(四)無線傳輸系統抗干擾技術體制選擇原則

四、同步網的網路安全防衛討論

(一)同步網的作用

(二)時鐘來源分類

(三)同步網的安全防衛分析

(四)同步網的網路安全防衛設計原則

五、信令網的網路安全防衛討論

(一)信令網路的網路安全問題

(二)通過用戶接口對用戶信令的入侵防衛

(三)通過傳輸系統群接口的入侵防衛

(四)通過信令網路管理接口的入侵防衛

(五)大量的惡意呼叫占用信令資源的入侵防衛

(六)信令網路的網間接口的安全防衛

六、管理網的網路安全防衛討論

(一)管理網的特點

(二)管理網路的安全問題

(三)管理網路的安全防衛對策

七、網間互通的網路安全防衛討論

(一)網間互通的網路安全問題

(二)網間互通的網路安全防衛對策

八、電話網中的電話騷擾防衛討論

(一)電話騷擾問題

(二)騷擾電話的可能來源

(三)電話騷擾基本防衛對策

九、廣播電視網的非法插播防衛討論

(一)廣播電視網中的典型網路安全問題

(二)廣播電視網中的網路安全問題分析

(三)廣播電視網路安全防範對策

第十四章　電信網路的網路安全核心技術討論

一、基本概念

(一)標識

(二)認證

(三)鑑別

(四)第三方

(五)密碼算法

(六)密鑰算法

(七)認證、監管、能力系統

二、可信網路空間--三個支撐環境

(一)可信計算

(二)可信連線

(三)可信套用

三、可信網路空間--兩個關鍵技術

(一)密鑰技術

(二)代理技術

四、可信網路空間--鑑別模式和認證網路

(一)鑑別模式

(二)認證網路

五、基於公共密鑰基礎設施(CPK)的標識認證技術

(一)認證技術是構建可信社會的技術基礎

(二)CPK可信認證系統

(三)CPK可信認證系統的特點

六、CPK可信認證技術在電信系統中的套用

(一)無復用傳輸鏈路的縱深安全防衛

(二)確定復用傳輸鏈路的縱深安全防衛

(三)統計復用傳輸鏈路的縱深安全防衛

第十五章　電信網路的信源定位系統

一、信源定位的作用

(一)網路犯罪行為

(二)信源定位系統

二、公用交換電話網中的信源定位可行性

三、經典網際網路中的信源定位可行性

四、經典網際網路的信源定位技術分類

(一)前攝追蹤技術

(二)反應追蹤技術

五、經典網際網路的信源定位典型方法

(一)機率分組標記方法

(二)逐跳追蹤方法

(三)iTrace方法

(四)基於代理的數據分組追蹤方法

(五)SPIE方法

六、經典網際網路的信源定位實現方案

(一)技術要求

(二)典型實現方案

(三)集中式追蹤機制

(四)分散式的追蹤機制

七、信源定位記錄

(一)信源定位記錄系統

(二)數據記錄技術分類

(三)數據記錄儀的存儲介質分類

(四)數據記錄儀產品簡介

第十六章　電信網路的流量分布監控系統

一、異常網路流量概念

(一)網路流量定義

(二)異常網路流量的種類

(三)異常流量的流向

(四)異常流量產生的後果

二、異常流量監測技術

(一)異常流量監測技術的分類

(二)異常流量監測技術的智慧型化發展趨勢

三、基於網路流量統計分析的入侵檢測

(一)入侵檢測的定義及其組成

(二)基於網路流量統計分析的入侵檢測技術

四、流量監測實現

(一)網路流(NetFlow)技術簡介

(二)NetFlow數據採集

(三)利用NetFlow工具處理防範網路異常流量

第十七章　電信網路的木馬對抗系統

一、支持網路中的網路安全問題分析

(一)支持網路概況

(二)管理網路與計算機網路比較

(三)信令網路與計算機網路比較

(四)電信網路木馬對抗基本思路

二、木馬概念

(一)木馬定義

(二)木馬分類

(三)木馬的特點

(四)木馬攻擊定義

(五)木馬攻擊分類

(六)木馬入侵途徑

(七)木馬入侵步驟

(八)植入服務端程式的主要方法

(九)運行服務端程式的主要方法

(十)木馬防衛分類

三、電信網路環境中的木馬防衛

四、管理網路的木馬防衛

(一)採取可信備份

(二)阻止入侵

(三)嚴格訪問控制

(四)及時採用最新補丁

(五)最大限度簡化管理網路

(六)監督管理者

(七)尋找和消滅木馬

(八)監視“代理”的行為

五、信令網路的木馬防衛

(一)用戶-網路接口防衛

(二)信令網關接口防衛

六、電信網路木馬對抗系統設計要求

(一)電信網路木馬對抗系統的任務

(二)電信網路木馬對抗系統的功能要求

(三)電信網路木馬對抗系統關係

第十八章　電信網路的網路安全評審與檢測

一、關於電信網路的安全評審

(一)評估(Assessment)

(二)評價(Evaluation)

(三)紅隊(RedTeam)測試

二、電信網路安全評估

(一)目標網路形態保留了哪些原來網路形態的主要優點？

(二)目標網路形態消除了哪些原來網路形態的主要缺點？

(三)目標網路形態屬於哪種網路形態？

(四)結果網路形態如何保障用戶-網路接口的網路安全？

(五)目標網路形態如何保障網間接口的網路安全？

(六)結果網路形態如何保障網路內部的網路安全？

三、電信網路安全評價

(一)通過電話用戶-網路接口入侵協作測試

(二)通過電話用戶-網路接口騷擾定位協作測試

(三)通過電話網關接口入侵協作測試

(四)通過電話網關接口騷擾定位協作測試

(五)通過多個電話用戶-網路接口大話務量擁塞的協作測試

(六)通過電話網關接口大話務量擁塞網路的協作測試

(七)通過支持網路的管理接口入侵協作測試

(八)通過用戶-網路接口特定病毒攻擊支持網協作測試

(九)通過網關接口特定病毒攻擊支持網協作測試

(十)通過用戶-網路接口向支持網路植入木馬的協作測試

(十一)通過網關接口向支持網路植入木馬的協作測試

(十二)電信網路的“後門”掃描協作測試

(十三)媒體網路與支持網路之間的“後門”掃描協作測試

(十四)乙太網用戶計算機虛偽地址協作測試

四、紅隊(RedTeam)攻擊

(一)利用合法用戶終端進行騷擾攻擊

(二)利用合法用戶終端進行病毒攻擊

(三)通過網關接口進行騷擾攻擊

(四)通過網關接口進行病毒攻擊

(五)入侵管理網路

五、“網路空間防禦”演習(CDX)

(一)背景

(二)目的

(三)一般概念和原則

(四)場景

(五)歷次演習的概況

(六)獲得的經驗

六、“寂靜地平線”應變網路反恐演習

(一)“寂靜地平線”悄然登場

(二)電腦天才悉數參演

(三)“電子9·11”比“電子珍珠港”更可怕

(四)美國軍政開始提高網路恐怖攻擊的警惕性

(五)網路恐怖威脅並非假設

七、網路空間風暴(CyberStorm)演習

第十九章　電信網路的網路安全防衛非技術方面

一、問題提出

二、國家行為

(一)電信網路的軟破壞及其對策

(二)電信網路的硬破壞及其對策

三、必要條件

(一)國家立法並建立授權管理機構

(二)技術支持和技術標準

(三)網路能力和應急設施支持

(四)國家政策保障

四、國家立法和授權管理機構

(一)國家立法

(二)管理機構

五、技術支持和技術標準

(一)制定國家電信網路應急方案

(二)電信網路自身的應急能力建設

(三)電信網路之間的應急配合能力建設

(四)電信網路能力的實驗驗證

(五)國家組織和財政支持

六、網路能力和應急設施

(一)國家各個電信網路內的對抗軟破壞的能力

(二)國家各個電信網路內的應對硬破壞的能力

(三)國家各個電信網路之間的互通能力

(四)國家各個電信網路之間應急配合能力

(五)國家監視管理能力

七、國家政策保障

八、建設國家電信網路的網路安全管理機構

九、建設國家電信網路安全威脅檢測系統

十、建設國家電信網路行為監管和認證系統

(一)國家電信網路行為監管和認證系統總體設計

(二)研製國家電信網路安全認證系統

(三)研製國家電信網路安全監管系統

(四)研製國家電信網路安全能力系統

(五)研製國家可信電信網路平台

第二十章　關於經典網際網路的總體看法

一、經典網際網路是一種具有特定機理的電信網路

(一)經典網際網路是第二類電信網路形態

(二)經典網際網路是一項重大發明

二、經典網際網路伴隨工程套用與時俱進

(一)提出基礎理論

(二)發明區域網路

(三)確立TCP/IP協定

(四)形成網際網路

(五)支持數據套用

(六)設備簡單

(七)發明全球資訊網

(八)套用光纜

(九)計算機普及套用

(十)可信工作環境

三、經典網際網路不是萬能的電信網路形態

(一)經典網際網路的“QoS問題”

(二)網際網路地址數量問題

(三)網際網路的網路安全問題

四、經典網際網路不是不可救藥的電信網路

(一)關於“網際網路的設計原則受到衝擊”問題

(二)關於越來越複雜的網路核心層阻礙套用和技術發展問題

(三)關於“無序的網路結構存在可擴展性”問題

(四)關於“核心協定不能針對終端移動性進行最佳化”問題

(五)關於“網際網路能不能適應未來發展需要”問題

(六)關於“網路安全面臨嚴峻的挑戰”問題

五、澄清一個因為概念混淆而引入的誤解

第二十一章　網際網路的網路安全總體防衛討論

一、經典網際網路的網路安全問題歸納

(一)經典網際網路的接入網引入的主要網路安全問題

(二)經典網際網路作為核心網引入的主要網路安全問題

二、經典網際網路中核心網路安全防衛問題討論

(一)經典網際網路的“QoS”問題

(二)MPLS技術是機理性重大發明

(三)MPLS同時改變了經典網際網路的網路安全屬性

(四)可控網際網路的網路結構

(五)媒體信號與控制信號分別傳輸問題

(六)可控網際網路縱深防衛問題

三、可控網際網路中區域網路的網路安全防衛問題討論

(一)保留乙太網的基本良好屬性

(二)保留乙太網與用戶計算機、伺服器等設施的標準接口

(三)必須解決由網路確定各個用戶計算機的唯一地址問題

(四)採用標識認證技術解決用戶終端地址問題

四、可控網際網路的其他網路安全防衛問題討論

(一)可控網際網路的核心網路的網路安全問題

(二)可控網路中長途傳輸系統的網路安全問題

(三)可控網際網路的接入網的網路安全問題

(四)可控網際網路的接入傳輸系統的網路安全問題

(五)MPLS邊緣路由器的網路安全問題

(六)在用戶接入電路中的控制信號與媒體信號一起傳輸問題

(七)地址信號與媒體信號在同一分組內傳遞的問題

(八)數據分組可以隨機通過節點間不同電路傳遞的問題

(九)非法用戶終端比較容易接入區域網路的問題

第二十二章　可控網際網路的網路安全總體設計討論

一、可控網際網路的網路安全總體結構設計原則

二、可信區域網路總體設計原則

三、信號標識認證設計原則

四、區域網路的用戶-網路接口安全防衛設計原則

五、核心網安全防衛設計原則

六、控制信號與媒體信號隔離傳遞設計原則

七、電信網路功能設計原則

八、網間接口防衛設計原則

九、可控網際網路整體縱深防衛設計原則

十、傳輸系統安全防衛設計原則

十一、同步網安全防衛設計原則

十二、信令網路安全防衛設計原則

十三、管理網路安全防衛設計原則

十四、合法管理接口防衛設計原則

十五、網路安全支持系統設計原則

十六、小規模可控網際網路總體設計概要

十七、大規模可控網際網路總體設計概要

第二十三章　電信網路的網路安全研究題目歸納

一、美國白宮(2003)報告--《保護網路空間的國家戰略》的結論值得研究和借鑑

(一)優先建立國家網路空間安全反應系統

(二)優先實施減小網路空間安全威脅和脆弱性化國家計畫

(三)優先實施國家網路空間安全意識和培訓計畫

(四)優先維護政府網路空間的安全

(五)優先實施國家安全和國際網路空間安全合作

二、美國總統信息技術諮詢委員會報告(2005)--《網路空間安全：當務之急》的結論值得研究和借鑑

(一)對於網路安全問題的認識

(二)重要性優先方面的結論和建議

(三)網路安全研究優先方面的結論和建議

三、歐洲信息基礎設施的安全對策值得研究和借鑑

四、電信網路的網路安全防衛技術研究題目歸納

五、我國當前電信網路的網路安全技術研究工作建議

(一)國家出面組織起來，通過討論加深共識

(二)國家出面組織起來，解決當前存在的問題

(三)國家出面組織起來，開展基礎研究

結語

參考文獻

……

(二)GII網路形態構成

(三)GII電信網路形態的特點

(四)關於GII電信網路的工程套用評價

第四章　電信網路的套用位置

一、信息基礎設施及其分類

(一)信息基礎設施

(二)信息基礎設施分類

(三)電信網路在信息基礎設施中的位置

二、信息系統及其分類

(一)信息系統

(二)信息系統分類

(三)電信網路在信息系統中的位置

三、國家基礎設施及其分類

(一)國家基礎設施

(二)信息基礎設施與其他國家基礎設施的關係

(三)電信網路在國家基礎設施中的位置

四、本書的內容定界

(一)國家基礎設施中的“網路”概念

(二)信息系統中的“網路”概念

(三)信息基礎設施中的“網路”概念

(四)電信網路的“網路”概念

(五)各類“網路安全”之間的關係

第五章　電信網路的網路安全概念

一、信息系統中的安全概念

二、信息系統安全問題發展演變

(一)通信保密年代

(二)計算機安全年代

(三)計算機網路安全年代

(四)向網路世界安全過渡年代

(五)網路空間(Cyber)安全概念

三、信息系統的安全體系結構

(一)我國關於信息系統安全問題的界定

(二)信息系統安全結構

四、電信網路的網路安全概念

(一)廣義電信網路的網路安全概念

(二)狹義電信網路的網路安全概念

(三)網路安全優劣概念

五、電信網路的可信概念

(一)可信概念

(二)行為可信概念

(三)電信網路的安全概念與可信概念的關係

(四)可信電信網路

(五)支持電信網路可信性的基本措施

第六章　美國網路安全的防衛對策

一、美國司法強制性通信協助法案摘要

(一)法案形成

(二)法案內容

(三)法案涉及的領域

(四)法案實施原則

(五)對於法案的反應

(六)法案相關後續工作

(七)聯邦通信委員會下屬重構

(八)VoIP的安全問題

二、美國白宮(2003)報告--《網路空間安全的國家戰略》摘要

(一)戰略目標

(二)引言

(三)網路空間威脅和漏洞

(四)國家政策和指導原則

(五)結論

三、美國總統信息技術諮詢委員會(2005)報告--《網路空間安全：當務之急》摘要

(一)網路安全-國家的重要問題

(二)重要性優先方面的結論和建議

(三)網路安全研究優先方面的結論和建議

第七章　網路安全防衛技術研究進展

一、網路安全概念

(一)安全定義

(二)安全分類

二、計算機網路安全

(一)攻擊類型

(二)攻擊機制

(三)安全服務

(四)防衛機制

三、國際標準化組織/開放系統互連安全體系結構

(一)建立安全體系結構的目的

(二)建立安全體系結構的方法

(三)ISO/OSI安全體系結構標準

(四)ISO/OSI對安全性的一般描述

(五)OSI安全體系結構各層上的安全服務

(六)安全分層及服務配置的原則

(七)OSI安全體系結構的各層上的安全機制

(八)OSI安全體系的安全管理

(九)網際網路安全協定結構

四、網際網路的網路安全

(一)數據鏈路層安全協定

(二)網路層IPSec安全體系結構

(三)網際網路的網路安全問題

五、區域網路的網路安全

(一)區域網路概述

(二)區域網路的網路安全問題

(三)區域網路安全技術

六、無線電信網路共同的安全問題

(一)無線網路面臨的威脅

(二)無線網路威脅的解決方案

(三)UMTS的安全接入

七、全球移動通信系統的網路安全

(一)GSM安全設計目標

(二)GSM的安全特點

(三)GSM的安全隱患

(四)2G安全機制

(五)3G安全目標

八、無線區域網路的網路安全

(一)無線區域網路的技術標準

(二)無線區域網路的安全標準

(三)無線區域網路的安全威脅

(四)無線區域網路面臨的無線攻擊分類

(五)保護無線區域網路的安全措施

九、公用交換電話網的網路安全

(一)固定電信網路的網路安全問題

(二)電話防火牆

(三)電信固定網虛擬專用網

(四)電信固定網入侵檢測

十、各類網路的通用物理安全

(一)物理安全內容

(二)物理安全措施

十一、網路安全的技術方面討論

(一)關於計算機網路安全

(二)關於電信網路與信息加密的關係

(三)ISO/OSI安全標準

(四)關於無線電信網路安全

(五)關於固定公用交換電話網安全

(六)關於電信網路體制機理對於網路安全的影響

第八章　電信網路的網路安全體系結構

一、電信網路的網路安全對抗體系結構

(一)電信網路的網路對抗模型

(二)關於電信網路組成

(三)關於電信網路對抗攻擊

(四)關於電信網路對抗防衛

二、第一種網路攻擊--非法利用

(一)秘密使用網路資源

(二)非法騷擾和犯罪

三、第二種網路攻擊--秘密偵測

(一)秘密偵聽通信內容

(二)秘密偵測網路參數

(三)在電信網路中建立偵測環境

(四)通過電信網路偵測信息系統

四、第三種網路攻擊--惡意破壞

(一)電磁干擾

(二)惡意業務量擁塞電信網路

(三)惡意控制和破壞電信網路的支持網路

(四)破壞電信網路設施

五、第一種網路防衛--技術機理防衛

六、第二種網路防衛--實現技術防衛

七、第三種網路防衛--工程套用防衛

八、第四種網路防衛--運營管理防衛

第九章　電信網路的網路安全防衛體系結構

一、網路安全防衛體系結構

二、網路安全法制方面

三、網路安全管理方面

(一)管理概念

(二)電信網路風險評估

(三)制定策略

(四)實現安全

(五)審核

四、網路安全技術方面

(一)機理防衛與技術防衛

(二)反應式和預應式策略

(三)“周邊防衛策略”與“相互猜疑策略”

(四)單項技術防衛與網路防衛技術之間的配合與聯合

(五)防衛技術的相關性與獨立性

(六)電信網路安全功能層次結構

五、網路安全人才方面

(一)政府主管官員

(二)網路安全技術研發專家

(三)網路安全專業操作人員

(四)社會民眾

六、國家電信網路的網路安全防衛體系

(一)國家網路安全防衛系統組成

(二)國家網路安全防衛系統的特點

第十章　電信網路的網路安全防衛的總體思路

一、電信網路的網路安全問題分析

(一)可能的非法利用電信網路的行為之一

(二)可能的非法利用電信網路的行為之二

(三)可能的非法利用電信網路的行為之三

(四)可能的惡意破壞電信網路的行為之一

(五)可能的惡意破壞電信網路的行為之二

(六)可能的惡意破壞電信網路的行為之三

(七)可能的惡意破壞電信網路的行為之四

二、電信網路的網路安全防衛討論

(一)關於惡意破壞電信網路防衛

(二)關於非法利用電信網路防衛

(三)計算機系統防衛病毒攻擊問題

(四)計算機系統防衛分散式拒絕服務攻擊問題

三、電信網路的網路安全防衛總體思路

(一)從邊緣防衛策略轉向互相猜疑策略

(二)從面向威脅對抗轉向面向能力建設

(三)電信網路的網路安全防衛總體思路實現問題

第十一章　電信網路技術體制的網路安全屬性分析

一、電信網路的網路安全屬性概念

二、第一類電信網路的網路安全屬性

(一)第一類電信網路的網路構成

(二)第一類電信網路的網路安全屬性分析

(三)PSTN中可能出現的網路安全問題

三、第二類電信網路的網路安全屬性

(一)第二類電信網路的網路構成

(二)第二類電信網路的網路安全屬性分析

(三)網際網路中可能出現的網路安全問題

四、第三類電信網路的網路安全屬性

(一)第三類電信網路的網路構成

(二)第三類電信網路的網路安全屬性分析

(三)CATV中可能出現的網路安全問題

五、第四類電信網路的網路安全屬性

(一)第四類電信網路的網路構成

(二)第四類電信網路的網路安全屬性分析

(三)B-ISDN可能出現的網路安全問題

六、電信網路技術體制的網路安全屬性比較

(一)復用方式對網路安全屬性的影響

(二)定址方式對網路安全屬性的影響

(三)“確定復用與無連線操作定址組合”的網路安全屬性

(四)“確定復用與有連線操作定址組合”的網路安全屬性

(五)“統計復用與有連線操作定址組合”的網路安全屬性

(六)“統計復用與無連線操作定址組合”的網路安全屬性

七、電信網路技術體制的網路安全設計討論

(一)技術機理是決定安全屬性的基礎

(二)不可信環境中不同機理電信網路的工程效果

(三)電信網路工程設計的基本原則

(四)媒體網路的網路安全是工程設計的核心

(五)核心網路的媒體網路的兩項重大發明

(六)核心網儘可能不用定址技術

第十二章　各類電信網路形態的套用位置及其網路安全問題

一、第一類電信網路的套用位置及其網路安全問題

(一)第一類電信網路的套用位置

(二)第一類電信網路接入套用時的網路安全問題

二、第二類電信網路的套用位置及其網路安全問題

(一)第二類電信網路的套用位置

(二)第二類電信網路作為接入套用時的網路安全問題

三、第三類電信網路的套用位置及其網路安全問題

(一)第三類電信網路的套用位置

(二)有線電視網單方向接入網的網路安全問題

(三)有線電視網雙方向接入網的網路安全問題

(四)數位電視廣播系統的網路安全問題

四、第四類電信網路的套用位置及其網路安全問題

(一)第四類電信網路的套用位置

(二)第四類電信網路用於核心網路時的網路安全問題

五、現實主流電信網路形態及其網路安全問題歸納

(一)GII網路形態的形成

(二)網路安全問題歸納

第十三章　電信網路的網路安全防衛實現技術討論

一、傳輸系統的網路安全防衛討論

(一)傳輸系統的網路安全問題

(二)傳輸系統的網路安全防衛分析

二、光纜傳輸系統的網路安全防衛討論

(一)光纜傳輸系統的網路安全問題

(二)光纜傳輸系統的線路監測系統

(三)光網路安全技術

三、無線傳輸系統的網路安全防衛討論

(一)無線傳輸系統的網路安全問題

(二)無線傳輸系統的網路安全防衛分析

(三)無線傳輸系統技術抗干擾分類

(四)無線傳輸系統抗干擾技術體制選擇原則

四、同步網的網路安全防衛討論

(一)同步網的作用

(二)時鐘來源分類

(三)同步網的安全防衛分析

(四)同步網的網路安全防衛設計原則

五、信令網的網路安全防衛討論

(一)信令網路的網路安全問題

(二)通過用戶接口對用戶信令的入侵防衛

(三)通過傳輸系統群接口的入侵防衛

(四)通過信令網路管理接口的入侵防衛

(五)大量的惡意呼叫占用信令資源的入侵防衛

(六)信令網路的網間接口的安全防衛

六、管理網的網路安全防衛討論

(一)管理網的特點

(二)管理網路的安全問題

(三)管理網路的安全防衛對策

七、網間互通的網路安全防衛討論

(一)網間互通的網路安全問題

(二)網間互通的網路安全防衛對策

八、電話網中的電話騷擾防衛討論

(一)電話騷擾問題

(二)騷擾電話的可能來源

(三)電話騷擾基本防衛對策

九、廣播電視網的非法插播防衛討論

(一)廣播電視網中的典型網路安全問題

(二)廣播電視網中的網路安全問題分析

(三)廣播電視網路安全防範對策

第十四章　電信網路的網路安全核心技術討論

一、基本概念

(一)標識

(二)認證

(三)鑑別

(四)第三方

(五)密碼算法

(六)密鑰算法

(七)認證、監管、能力系統

二、可信網路空間--三個支撐環境

(一)可信計算

(二)可信連線

(三)可信套用

三、可信網路空間--兩個關鍵技術

(一)密鑰技術

(二)代理技術

四、可信網路空間--鑑別模式和認證網路

(一)鑑別模式

(二)認證網路

五、基於公共密鑰基礎設施(CPK)的標識認證技術

(一)認證技術是構建可信社會的技術基礎

(二)CPK可信認證系統

(三)CPK可信認證系統的特點

六、CPK可信認證技術在電信系統中的套用

(一)無復用傳輸鏈路的縱深安全防衛

(二)確定復用傳輸鏈路的縱深安全防衛

(三)統計復用傳輸鏈路的縱深安全防衛

第十五章　電信網路的信源定位系統

一、信源定位的作用

(一)網路犯罪行為

(二)信源定位系統

二、公用交換電話網中的信源定位可行性

三、經典網際網路中的信源定位可行性

四、經典網際網路的信源定位技術分類

(一)前攝追蹤技術

(二)反應追蹤技術

五、經典網際網路的信源定位典型方法

(一)機率分組標記方法

(二)逐跳追蹤方法

(三)iTrace方法

(四)基於代理的數據分組追蹤方法

(五)SPIE方法

六、經典網際網路的信源定位實現方案

(一)技術要求

(二)典型實現方案

(三)集中式追蹤機制

(四)分散式的追蹤機制

七、信源定位記錄

(一)信源定位記錄系統

(二)數據記錄技術分類

(三)數據記錄儀的存儲介質分類

(四)數據記錄儀產品簡介

第十六章　電信網路的流量分布監控系統

一、異常網路流量概念

(一)網路流量定義

(二)異常網路流量的種類

(三)異常流量的流向

(四)異常流量產生的後果

二、異常流量監測技術

(一)異常流量監測技術的分類

(二)異常流量監測技術的智慧型化發展趨勢

三、基於網路流量統計分析的入侵檢測

(一)入侵檢測的定義及其組成

(二)基於網路流量統計分析的入侵檢測技術

四、流量監測實現

(一)網路流(NetFlow)技術簡介

(二)NetFlow數據採集

(三)利用NetFlow工具處理防範網路異常流量

第十七章　電信網路的木馬對抗系統

一、支持網路中的網路安全問題分析

(一)支持網路概況

(二)管理網路與計算機網路比較

(三)信令網路與計算機網路比較

(四)電信網路木馬對抗基本思路

二、木馬概念

(一)木馬定義

(二)木馬分類

(三)木馬的特點

(四)木馬攻擊定義

(五)木馬攻擊分類

(六)木馬入侵途徑

(七)木馬入侵步驟

(八)植入服務端程式的主要方法

(九)運行服務端程式的主要方法

(十)木馬防衛分類

三、電信網路環境中的木馬防衛

四、管理網路的木馬防衛

(一)採取可信備份

(二)阻止入侵

(三)嚴格訪問控制

(四)及時採用最新補丁

(五)最大限度簡化管理網路

(六)監督管理者

(七)尋找和消滅木馬

(八)監視“代理”的行為

五、信令網路的木馬防衛

(一)用戶-網路接口防衛

(二)信令網關接口防衛

六、電信網路木馬對抗系統設計要求

(一)電信網路木馬對抗系統的任務

(二)電信網路木馬對抗系統的功能要求

(三)電信網路木馬對抗系統關係

第十八章　電信網路的網路安全評審與檢測

一、關於電信網路的安全評審

(一)評估(Assessment)

(二)評價(Evaluation)

(三)紅隊(RedTeam)測試

二、電信網路安全評估

(一)目標網路形態保留了哪些原來網路形態的主要優點？

(二)目標網路形態消除了哪些原來網路形態的主要缺點？

(三)目標網路形態屬於哪種網路形態？

(四)結果網路形態如何保障用戶-網路接口的網路安全？

(五)目標網路形態如何保障網間接口的網路安全？

(六)結果網路形態如何保障網路內部的網路安全？

三、電信網路安全評價

(一)通過電話用戶-網路接口入侵協作測試

(二)通過電話用戶-網路接口騷擾定位協作測試

(三)通過電話網關接口入侵協作測試

(四)通過電話網關接口騷擾定位協作測試

(五)通過多個電話用戶-網路接口大話務量擁塞的協作測試

(六)通過電話網關接口大話務量擁塞網路的協作測試

(七)通過支持網路的管理接口入侵協作測試

(八)通過用戶-網路接口特定病毒攻擊支持網協作測試

(九)通過網關接口特定病毒攻擊支持網協作測試

(十)通過用戶-網路接口向支持網路植入木馬的協作測試

(十一)通過網關接口向支持網路植入木馬的協作測試

(十二)電信網路的“後門”掃描協作測試

(十三)媒體網路與支持網路之間的“後門”掃描協作測試

(十四)乙太網用戶計算機虛偽地址協作測試

四、紅隊(RedTeam)攻擊

(一)利用合法用戶終端進行騷擾攻擊

(二)利用合法用戶終端進行病毒攻擊

(三)通過網關接口進行騷擾攻擊

(四)通過網關接口進行病毒攻擊

(五)入侵管理網路

五、“網路空間防禦”演習(CDX)

(一)背景

(二)目的

(三)一般概念和原則

(四)場景

(五)歷次演習的概況

(六)獲得的經驗

六、“寂靜地平線”應變網路反恐演習

(一)“寂靜地平線”悄然登場

(二)電腦天才悉數參演

(三)“電子9·11”比“電子珍珠港”更可怕

(四)美國軍政開始提高網路恐怖攻擊的警惕性

(五)網路恐怖威脅並非假設

七、網路空間風暴(CyberStorm)演習

第十九章　電信網路的網路安全防衛非技術方面

一、問題提出

二、國家行為

(一)電信網路的軟破壞及其對策

(二)電信網路的硬破壞及其對策

三、必要條件

(一)國家立法並建立授權管理機構

(二)技術支持和技術標準

(三)網路能力和應急設施支持

(四)國家政策保障

四、國家立法和授權管理機構

(一)國家立法

(二)管理機構

五、技術支持和技術標準

(一)制定國家電信網路應急方案

(二)電信網路自身的應急能力建設

(三)電信網路之間的應急配合能力建設

(四)電信網路能力的實驗驗證

(五)國家組織和財政支持

六、網路能力和應急設施

(一)國家各個電信網路內的對抗軟破壞的能力

(二)國家各個電信網路內的應對硬破壞的能力

(三)國家各個電信網路之間的互通能力

(四)國家各個電信網路之間應急配合能力

(五)國家監視管理能力

七、國家政策保障

八、建設國家電信網路的網路安全管理機構

九、建設國家電信網路安全威脅檢測系統

十、建設國家電信網路行為監管和認證系統

(一)國家電信網路行為監管和認證系統總體設計

(二)研製國家電信網路安全認證系統

(三)研製國家電信網路安全監管系統

(四)研製國家電信網路安全能力系統

(五)研製國家可信電信網路平台

第二十章　關於經典網際網路的總體看法

一、經典網際網路是一種具有特定機理的電信網路

(一)經典網際網路是第二類電信網路形態

(二)經典網際網路是一項重大發明

二、經典網際網路伴隨工程套用與時俱進

(一)提出基礎理論

(二)發明區域網路

(三)確立TCP/IP協定

(四)形成網際網路

(五)支持數據套用

(六)設備簡單

(七)發明全球資訊網

(八)套用光纜

(九)計算機普及套用

(十)可信工作環境

三、經典網際網路不是萬能的電信網路形態

(一)經典網際網路的“QoS問題”

(二)網際網路地址數量問題

(三)網際網路的網路安全問題

四、經典網際網路不是不可救藥的電信網路

(一)關於“網際網路的設計原則受到衝擊”問題

(二)關於越來越複雜的網路核心層阻礙套用和技術發展問題

(三)關於“無序的網路結構存在可擴展性”問題

(四)關於“核心協定不能針對終端移動性進行最佳化”問題

(五)關於“網際網路能不能適應未來發展需要”問題

(六)關於“網路安全面臨嚴峻的挑戰”問題

五、澄清一個因為概念混淆而引入的誤解

第二十一章　網際網路的網路安全總體防衛討論

一、經典網際網路的網路安全問題歸納

(一)經典網際網路的接入網引入的主要網路安全問題

(二)經典網際網路作為核心網引入的主要網路安全問題

二、經典網際網路中核心網路安全防衛問題討論

(一)經典網際網路的“QoS”問題

(二)MPLS技術是機理性重大發明

(三)MPLS同時改變了經典網際網路的網路安全屬性

(四)可控網際網路的網路結構

(五)媒體信號與控制信號分別傳輸問題

(六)可控網際網路縱深防衛問題

三、可控網際網路中區域網路的網路安全防衛問題討論

(一)保留乙太網的基本良好屬性

(二)保留乙太網與用戶計算機、伺服器等設施的標準接口

(三)必須解決由網路確定各個用戶計算機的唯一地址問題

(四)採用標識認證技術解決用戶終端地址問題

四、可控網際網路的其他網路安全防衛問題討論

(一)可控網際網路的核心網路的網路安全問題

(二)可控網路中長途傳輸系統的網路安全問題

(三)可控網際網路的接入網的網路安全問題

(四)可控網際網路的接入傳輸系統的網路安全問題

(五)MPLS邊緣路由器的網路安全問題

(六)在用戶接入電路中的控制信號與媒體信號一起傳輸問題

(七)地址信號與媒體信號在同一分組內傳遞的問題

(八)數據分組可以隨機通過節點間不同電路傳遞的問題

(九)非法用戶終端比較容易接入區域網路的問題

第二十二章　可控網際網路的網路安全總體設計討論

一、可控網際網路的網路安全總體結構設計原則

二、可信區域網路總體設計原則

三、信號標識認證設計原則

四、區域網路的用戶-網路接口安全防衛設計原則

五、核心網安全防衛設計原則

六、控制信號與媒體信號隔離傳遞設計原則

七、電信網路功能設計原則

八、網間接口防衛設計原則

九、可控網際網路整體縱深防衛設計原則

十、傳輸系統安全防衛設計原則

十一、同步網安全防衛設計原則

十二、信令網路安全防衛設計原則

十三、管理網路安全防衛設計原則

十四、合法管理接口防衛設計原則

十五、網路安全支持系統設計原則

十六、小規模可控網際網路總體設計概要

十七、大規模可控網際網路總體設計概要

第二十三章　電信網路的網路安全研究題目歸納

一、美國白宮(2003)報告--《保護網路空間的國家戰略》的結論值得研究和借鑑

(一)優先建立國家網路空間安全反應系統

(二)優先實施減小網路空間安全威脅和脆弱性化國家計畫

(三)優先實施國家網路空間安全意識和培訓計畫

(四)優先維護政府網路空間的安全

(五)優先實施國家安全和國際網路空間安全合作

二、美國總統信息技術諮詢委員會報告(2005)--《網路空間安全：當務之急》的結論值得研究和借鑑

(一)對於網路安全問題的認識

(二)重要性優先方面的結論和建議

(三)網路安全研究優先方面的結論和建議

三、歐洲信息基礎設施的安全對策值得研究和借鑑

四、電信網路的網路安全防衛技術研究題目歸納

五、我國當前電信網路的網路安全技術研究工作建議

(一)國家出面組織起來，通過討論加深共識

(二)國家出面組織起來，解決當前存在的問題

(三)國家出面組織起來，開展基礎研究

結語

參考文獻

……