中国联通光传送网 WDM OTN 安全白皮书

安全白皮书2023年06月中国联通光传送网WDM/OTN安全白皮书版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法究其相关法律责任。中国联通光传送网WDM/OTN安全白皮书前言 1 (一)硬件层安全风险 3 (二)系统层安全风险 3 (三)网络层安全风险 4 (四)管理层安全风险 4 (一)硬件安全 61.光纤安全 72.物理环境安全 73.设备硬件安全 7 (二)系统安全 81.操作系统安全 82.开源软件安全 93.安全启动 94.运行态安全 9 (三)网络安全 101.内置防火墙 102.身份认证 103.通信协议安全 114.OTN加密 11 (四)管理安全 111.管理通道安全 122.身份与访问管理 123.日志管理与审计 124.安全升级 135.证书管理 136.密钥管理 147.安全态势感知 14 (一)安全启动 15 (二)运行态安全 161.安全隔离 162.权限控制 163.安全编译选项 17 (三)OTN加密 17 (四)证书管理 181.证书生成 182.证书使用 193.证书销毁 19 (五)安全态势感知 201.安全配置核查 202.入侵检测 21 (一)光物理层指纹认证 23 (二)量子密码学算法敏捷性 24 中国联通光传送网WDM/OTN安全白皮书-1-前言四五规划”中将“建立健全的关键信息基础设施保护体系”和“加强网络安全中国联通勇当网络安全(基于新型信息基础设施)现代产业链链长，全面光传送网作为业务传输管道，是国家关键通信基础设施。同时，将光传送网作为运力网络的国家重点项目“东数西算”和“东数西存”，要求其提供持当前，在传送领域发布的《传送网络安全防护要求》和《传送网络安全防中国联通光传送网WDM/OTN安全白皮书-2-国家发布的多个法规，如《中华人民共和国网络安全法》和《网络安全等级保提供具体可实施的指导。中国联通光传送网WDM/OTN安全白皮书-3-随着光传送网的建设全面推进和快速发展，其重要性越发突出，这对光传送网设备和光纤等网络基础设施的安全提出了更高的安全要求。通过对通信网络的攻击事件和护网行动的结果分析，结合光传送网业务发展和网络攻击技术的演进，光传送网设备将面临如下层面的风险。 全风险 全风险软件，是利用开源漏洞实施攻击的主要突破点。 2023StateofOpenSourceSecurityReport》研究报告指出，84%的代码中国联通光传送网WDM/OTN安全白皮书-4-库含有至少一个已知的开源漏洞，89%的代码库使用了至少四年没有更新过的 全风险 风险。 (四)管理层安全风险 中国联通光传送网WDM/OTN安全白皮书5--- 存在长期遭受攻击的风险。中国联通光传送网WDM/OTN安全白皮书-6-基于光传送网络面临的安全风险，将从基础设施(硬件和系统)、网络和管图1光传送网的安全架构 )、设备运行所需的物理环境和设备节点。硬件安全是所有安全的物理基础，包括恶意攻击和来自外部环境的威胁。中国联通光传送网WDM/OTN安全白皮书-7-1.光纤安全光纤安全包括光缆安全和光纤信号安全，分别从物理层面和信号层面保证 应支持光缆全生命周期的可视化管理和监控。光缆的选择和铺设方式应满确保光传输链路的高可靠性和高可用性。 应支持光纤入侵检测，实现光纤线路的信号实时监控，通过检测光纤链路2.物理环境安全传送网设备物理环境应遵从物理环境安全相关标准，如YD/T1744-2009环境安全要求进行设计和部署，以满安全。3.设备硬件安全设备硬件安全包括整机安全、单板安全和芯片安全，保障设备硬件自身的中国联通光传送网WDM/OTN安全白皮书-8-安全。 为防止恶意人员对设备进行破坏或试图近端非法接入设备，机柜上面应配备安全锁和门磁告警。只允许授权用户打开机柜，检测到机柜长时间被打开， 。 设备应基于硬件可信根构建可信系统，硬件可信根内置于芯片内部，通过 系统软件的安全，还要支持系统启动和运行态安全1.操作系统安全设备应选择稳定内核LTS(LongTermSupport)版本，满足设备的生命周期要求。同时应及时修复设备安全漏洞，参照业界最佳实践对操作系统加固进行安全加固(例如默认关闭非必要服务，禁止OS用户登录等)，尽可能减少安中国联通光传送网WDM/OTN安全白皮书-9-2.开源软件安全3.安全启动设备应实现基于硬件可信根的安全启动，通过数字签名技术保障设备软件的完整性，确保设备加载软件来源可信。4.运行态安全 设备应支持系统应用与系统内核隔离，应用与系统应运行在不同的地址空 设备应践行权限最小化原则，对系统用户、进程和文件目录按需设置合理的权限，保护关键资产不被非法访问，避免故障蔓延。 中国联通光传送网WDM/OTN安全白皮书-10- 光传送设备在现网运行时涉及多种网络通信场景，如网管系统连接光传输设备进行设备运维管控操作，新设备接入已有光传送网络，光传送设备间运行1.内置防火墙光传送设备应提供内置防火墙，集成ACL(AccessControlList)和网络DOS攻击和泛洪攻击等。2.身份认证中国联通光传送网WDM/OTN安全白皮书-11-身份认证的场景： CPE传送设备要认证接入设备的身份。 3.通信协议安全全可靠地运行对整个光传送网络至关重要。光传输设备应遵循协议标准，参考4.OTN加密的OTN加密能力，为有高安全要求的行业(例如 (四)管理安全管理面提供系统运维管理功能，是光传送网络的大脑和中枢。管理平面的中国联通光传送网WDM/OTN安全白皮书-12-1.管理通道安全TLS2.身份与访问管理n功能： 声明的身份。 3.日志管理与审计光传送设备应提供完善、安全的日志管理和审计功能，便于更好地监控系中国联通光传送网WDM/OTN安全白皮书-13- 4.安全升级软件属于设备关键资产，光传送设备应支持安全升级能力，确保设备要升完 名；软件加载时应校验签名的合法性，只有验证通过才能升级软件。 5.证书管理数字证书已在光传送网络中普遍应用，通常在各种安全通信协议(例如CTLSDTLS中国联通光传送网WDM/OTN安全白皮书-14-6.密钥管理密钥的安全管理对于整个系统的安全性至关重要。光传送设备应提供安全7.安全态势感知光传送设备应支持安全态势感知能力，通过收集设备侧安全相关的信息，中国联通光传送网WDM/OTN安全白皮书-15-光传送网络的安全离不开光传送设备关键技术的支持，本章节将介绍安全 st根应满足如下要求： 安全启动过程如图2所示。中国联通光传送网WDM/OTN安全白皮书-16-图2安全启动过程 运行态安全是指通过合适的安全隔离、合理的权限控制和必要的安全编译。1.安全隔离 。 2.权限控制 中国联通光传送网WDM/OTN安全白皮书-17- 采用OS提供的MAC机制(如SELinux)对系统关键的文件和目录进行访 3.安全编译选项。设备软件在编译、 C 供E2E安全管道： 中国联通光传送网WDM/OTN安全白皮书-18- OTN加密系统如图3所示。图3加密系统 (四)证书管理运营商应通过证书管理系统对网络中设备使用的证书进行管理，并建立认包1.证书生成 中国联通光传送网WDM/OTN安全白皮书-19- 2.证书使用 t 3.证书销毁数字证书生命周期管理如图4所示。中国联通光传送网WDM/OTN安全白皮书-20-图4数字证书生命周期管理示意图 。1.安全配置核查安全配置不当已成为现网安全事件的主要诱因。光传送设备应提供安全配置核查能力，将安全风险尽可能地消除在工程部署阶段，并且能够在系统维护阶段进行安全配置项的及时核查和风险提示。安全配置核查侧重对设备已知风键环节： 中国联通光传送网WDM/OTN安全白皮书-21- 在新设备入网的工程部署阶段和设备正常运行的系统运维阶段，对比安全 用户可根据系统给出的安全加固建议，执行设备安全配置加固操作，快速修复2.入侵检测包括如下功能： 中国联通光传送网WDM/OTN安全白皮书-22-通过收集设备上记录的用户操作行为，并利用大数据分析技术进行分析，进而监控用户对系统的运维操作是否存在异常行为。检测范围包括登录口令暴 备应该支持检测光纤入侵行为检测，如光纤窃听检测。中国联通光传送网WDM/OTN安全白皮书-23-全技术的发展趋势，希望和行业一起探索和研究新的安全技术在光传送设备中 )光物理层指纹认证耦合差别等，对发射的信号产生独特的影响，使得该设备发出的信号具有唯一安全性缺陷，抵御量子攻击。学术界对于光层物理指纹技术开展了广泛研究，多种光层特征都可以作为如图5所示。中国联通光传送网WDM/OTN安全白皮书-24-图5光通信物理特征 (二)量子密码学算法敏捷性业界预计量子计算将在2030年左右突破经典密码学(尤其是非对称密码算迁移的复杂性以及工作量巨大，现在必须考虑迁移的准备工作，确保算法迁移的平滑题，例如利用基于编码的后量子实现混合密钥协商架构，如果在标准化之前发现使用的后量子算法的安全问题，则可用DH算法提供保护；如果量子威胁突基于后量子算法的混合密钥协商架构如图6所示。中国联通光传送网WDM/OTN安全白皮书5--2-图6基于后量子算法的混合密钥协商架构中国联通光传送网WDM/OTN安全白皮书-26-缩写中文全称ACL访问控制列表光传送网ToB面向企业ToC面向用户ENISA欧盟网络安全局CNVD国家信息安全漏洞共享平台CNNVD国家信息安全漏洞库CA证书授权CMPv2证书管理协议v2DOS拒绝服务TLS传输层安全SFTP安全文件传输协议SSH安全外壳协议OSPF最短路径优先协议SNMP简单网络管理协议TP网络时间协议RADIUS拨