摘　要：光傳輸網(wǎng)承載物理層及鏈路層的數(shù)據(jù)傳輸，是所有通信網(wǎng)絡(luò)的核心基礎(chǔ)。因此，光傳輸網(wǎng)安全作為數(shù)字信息基礎(chǔ)設(shè)施安全的關(guān)鍵組成部分，其重要性不言而喻。對(duì)光傳輸網(wǎng)的分層結(jié)構(gòu)展開介紹，分析了不同層面的安全風(fēng)險(xiǎn)，并針對(duì)各層可能受到的安全威脅研究了相關(guān)的安全對(duì)策，最后對(duì)光傳輸網(wǎng)安全防護(hù)體系構(gòu)建的關(guān)鍵點(diǎn)進(jìn)行了總結(jié)。

內(nèi)容目錄：
1　光傳輸網(wǎng)安全風(fēng)險(xiǎn)分析
1.1　光傳輸網(wǎng)元設(shè)備安全風(fēng)險(xiǎn)
1.2　光纖傳輸線路安全風(fēng)險(xiǎn)
1.3　光網(wǎng)管系統(tǒng)安全風(fēng)險(xiǎn)
2　光傳輸網(wǎng)安全防御技術(shù)
2.1　供應(yīng)鏈安全自動(dòng)檢測(cè)技術(shù)
2.2　光纖傳輸線路安全防御技術(shù)
2.3　光網(wǎng)管系統(tǒng)安全防御技術(shù)
3　光傳輸網(wǎng)絡(luò)安全防護(hù)體系
3.1　加強(qiáng)光產(chǎn)業(yè)研發(fā)，建立安全供應(yīng)鏈體系
3.2　強(qiáng)化光域加密，防范光信號(hào)信道竊聽
3.3　全面安全加固，減少光傳輸網(wǎng)脆弱性
3.4　構(gòu)建監(jiān)測(cè)預(yù)警體系，實(shí)現(xiàn)威脅快速感知
3.5　采取彈性網(wǎng)絡(luò)機(jī)制，增強(qiáng)光傳輸網(wǎng)恢復(fù)能力
4　結(jié)　語
光纖通信是目前實(shí)現(xiàn)高速率、大帶寬、低時(shí)延、遠(yuǎn)距離信息傳輸?shù)闹匾ㄐ攀侄巍?jù)統(tǒng)計(jì)，全球 90% 以上的互聯(lián)網(wǎng)數(shù)據(jù)通過光纖傳輸，99% 以上的洲際通信業(yè)務(wù)由海底光纜承載。

相比互聯(lián)網(wǎng)等 TCP/IP 網(wǎng)絡(luò)，光傳輸網(wǎng)相對(duì)封閉，攻擊面相對(duì)較少。但隨著量子計(jì)算、人工智能的廣泛應(yīng)用，自動(dòng)交換光網(wǎng)絡(luò)（Automatically Switched Optical Network，ASON）、全光網(wǎng)絡(luò)的逐步推廣及網(wǎng)絡(luò)攻防技術(shù)的快速發(fā)展，使得光傳輸網(wǎng)面臨的安全威脅不斷涌現(xiàn)。過去普遍被認(rèn)為具有優(yōu)良安全保密性能的光纖通信，現(xiàn)在也面臨著信息“被攔截、被復(fù)制、被篡改”的風(fēng)險(xiǎn)。據(jù)悉，斯諾登揭露的“棱鏡”計(jì)劃平行項(xiàng)目“上游”（Upstream）通過美國(guó)本土電信公司和網(wǎng)絡(luò)企業(yè)等服務(wù)商簽署相應(yīng)的《網(wǎng)絡(luò)安全協(xié)議》，利用海底光纜對(duì)外國(guó)政府進(jìn)行數(shù)據(jù)搜集和監(jiān)控。

安全風(fēng)險(xiǎn)分析是制訂安全解決方案、提供安全服務(wù)以及實(shí)施安全機(jī)制的前提和基礎(chǔ)。本文從提高光傳輸網(wǎng)絡(luò)安全性和可靠性出發(fā)，分析光傳輸網(wǎng)絡(luò)不同組成部分面臨的安全威脅，在此基礎(chǔ)上總結(jié)相應(yīng)的防御技術(shù)，提出科學(xué)有效的安全防護(hù)體系建議，從而為光傳輸網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)設(shè)施構(gòu)建和安全機(jī)制制定提供支撐。

1光傳輸網(wǎng)安全風(fēng)險(xiǎn)分析

光傳輸網(wǎng)按照不同的功能可劃分為傳輸介質(zhì)層和運(yùn)維管理層。傳輸介質(zhì)層是指光纖傳輸?shù)奈锢斫橘|(zhì)，主要包括傳輸網(wǎng)元設(shè)備和光纖傳輸線路，是數(shù)據(jù)傳輸?shù)闹黧w。運(yùn)維管理層主要指光網(wǎng)管系統(tǒng)，負(fù)責(zé)數(shù)據(jù)維護(hù)、配置管理及業(yè)務(wù)控制，保證光傳輸網(wǎng)的正常運(yùn)行。

1.1　光傳輸網(wǎng)元設(shè)備安全風(fēng)險(xiǎn)

光通信產(chǎn)業(yè)鏈主要包括光芯片、光器件、光模塊、光設(shè)備等，代表產(chǎn)品與相應(yīng)制造廠商如表 1 所示。受產(chǎn)業(yè)基礎(chǔ)配套能力和知識(shí)產(chǎn)權(quán)限制，國(guó)內(nèi)廠商大多處于產(chǎn)業(yè)鏈下游，核心光芯片和光器件的自主研發(fā)和技術(shù)實(shí)力較弱，大部分仍依靠進(jìn)口。其中，光芯片屬于技術(shù)密集型行業(yè)，工藝流程極為復(fù)雜，處于產(chǎn)業(yè)鏈的核心位置，具有極高的技術(shù)壁壘。美日廠商憑借核心技術(shù)占據(jù)了全球高端光芯片市場(chǎng)，而國(guó)內(nèi)廠商則聚集于中低端市場(chǎng)，10 Gbit/s 以下的光芯片國(guó)產(chǎn)化替代已經(jīng)完成，但高速光電芯片（25 Gbit/s 及以上）差距明顯。光器件、模塊產(chǎn)業(yè)也是我國(guó)競(jìng)爭(zhēng)力較為欠缺的光通信子產(chǎn)業(yè)，國(guó)內(nèi)廠商占據(jù)全球約 25% 的市場(chǎng)份額，整體上表現(xiàn)較為分散，無源器件競(jìng)爭(zhēng)力相對(duì)較高，有源器件國(guó)產(chǎn)水平不足。

因此，在光產(chǎn)業(yè)鏈的自主可控風(fēng)險(xiǎn)方面，一是可能面臨光器件 / 芯片供應(yīng)不穩(wěn)定甚至斷供風(fēng)險(xiǎn)；二是非國(guó)產(chǎn)芯片 / 器件邏輯在設(shè)計(jì)、生產(chǎn)、制造流程中可能被人為設(shè)置后門缺陷或漏洞，加上目前的安全風(fēng)險(xiǎn)評(píng)估缺少供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估，導(dǎo)致傳輸設(shè)備易被對(duì)手控制，出現(xiàn)設(shè)備癱瘓、信息被竊取或無法恢復(fù)等問題，給光傳輸網(wǎng)帶來較大的風(fēng)險(xiǎn)隱患。

表 1　光通信產(chǎn)業(yè)鏈分布情況

1.2　光纖傳輸線路安全風(fēng)險(xiǎn)

光纖傳輸線路覆蓋范圍大，為攻擊發(fā)起提供了天然的機(jī)動(dòng)余地。同時(shí)，在傳輸線路上存在無人值守的傳輸基站和無人看管的人井，導(dǎo)致非法人員可接觸到光纜或傳輸設(shè)備，實(shí)施服務(wù)破壞或非法竊聽。

1.2.1　服務(wù)破壞

服 務(wù) 破 壞 主 要 指 通 過 干 擾 攻 擊、 物 理 損毀 等方式破壞光傳輸網(wǎng)絡(luò)的正常通信或OPM 降低光通信服務(wù)質(zhì)量。

干擾攻擊將干擾光注入原通信光纖中進(jìn)行攻擊，使正常通信信號(hào)失真或損壞。根據(jù)干擾方式不同可進(jìn)一步分為帶內(nèi)干擾攻擊、帶外干擾攻擊、延遲干擾攻擊、強(qiáng)光干擾攻擊等。

物理損毀通過直接損壞傳輸光纜、設(shè)備、基站等硬件設(shè)施導(dǎo)致通信中斷。物理損毀的方式包括危險(xiǎn)性誤操作和人為假冒攻擊等。危險(xiǎn)性誤操作包括板卡、電源替換或線纜擴(kuò)容、施工等諸多無意誤操作。人為假冒攻擊是指對(duì)手有意偽裝成合法用戶獲得訪問權(quán)，直接以物理方式盜竊或破壞設(shè)備、光纜，直接導(dǎo)致傳輸設(shè)備宕機(jī)、傳輸節(jié)點(diǎn)毀壞，造成通信業(yè)務(wù)中斷。

1.2.2　非法竊聽

非法竊聽主要指未經(jīng)發(fā)送端授權(quán)的第三方通過非法手段截獲光通信信息，竊聽方式可進(jìn)一步分為隱蔽竊聽和非隱蔽竊聽。

隱蔽竊聽通過旁路光信號(hào)實(shí)現(xiàn)信息竊取，不會(huì)造成信息傳輸中斷或缺失，通常難以發(fā)現(xiàn)，常見手段主要有光纖彎曲法、光束分離法、信道光耦合法、V 型槽法、侵入式光柵法等。

非隱蔽竊聽通過將光纜斷開攔截光信息或接入非法設(shè)備等方式竊取數(shù)據(jù)、篡改信息或植入指令，易發(fā)現(xiàn)但難以與意外斷裂事故辨別。

1.3　光網(wǎng)管系統(tǒng)安全風(fēng)險(xiǎn)

光網(wǎng)管系統(tǒng)負(fù)責(zé)傳輸網(wǎng)的性能監(jiān)測(cè)、故障定位、系統(tǒng)安全維護(hù)、信道調(diào)度和業(yè)務(wù)開放等操作控制，是傳輸網(wǎng)的中樞，光傳輸網(wǎng)安全極大依賴于網(wǎng)管系統(tǒng) 。隨著 ASON 等新型光網(wǎng)絡(luò)技術(shù)的誕生及應(yīng)用，光網(wǎng)絡(luò)智能化程度越來越高，其對(duì)網(wǎng)管系統(tǒng)服務(wù)質(zhì)量的依賴性日益凸顯。

1.3.1　可靠性風(fēng)險(xiǎn)

一般而言，光網(wǎng)管系統(tǒng)設(shè)備節(jié)點(diǎn)配置信息采用集中存儲(chǔ)方式，各設(shè)備節(jié)點(diǎn)只保留自身的配置信息。一旦網(wǎng)管數(shù)據(jù)庫和部分設(shè)備節(jié)點(diǎn)同時(shí)發(fā)生損毀，整個(gè)光傳輸網(wǎng)絡(luò)業(yè)務(wù)的恢復(fù)只能通過相應(yīng)運(yùn)維人員進(jìn)行手工配置，不僅業(yè)務(wù)恢復(fù)時(shí)間較長(zhǎng)且容易出錯(cuò)，可能嚴(yán)重影響光傳輸網(wǎng)絡(luò)的安全運(yùn)行。

1.3.2　可管可控性風(fēng)險(xiǎn)

由于光網(wǎng)管系統(tǒng)的非開放性，不同廠商的網(wǎng)管系統(tǒng)一般不兼容，因此光傳輸網(wǎng)絡(luò)中的光傳輸設(shè)備通常需要采用不同的網(wǎng)管系統(tǒng)進(jìn)行管理，無法通過同一網(wǎng)管系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)的端到端指配，跨網(wǎng)絡(luò)業(yè)務(wù)的調(diào)度需要通過兩套以上的網(wǎng)管系統(tǒng)來完成，業(yè)務(wù)調(diào)度煩瑣復(fù)雜，增加了一線運(yùn)維人員的誤操作風(fēng)險(xiǎn)，導(dǎo)致光網(wǎng)管系統(tǒng)在可管可控性方面存在一定的隱患。

1.3.3　攻擊滲透風(fēng)險(xiǎn)

光網(wǎng)管系統(tǒng)大量使用通用操作系統(tǒng)以及基于 Web 技術(shù)的應(yīng)用程序，與互聯(lián)網(wǎng)一樣受到漏洞、病毒、網(wǎng)絡(luò)攻擊等威脅。同時(shí)，當(dāng)前光傳輸網(wǎng)網(wǎng)管系統(tǒng)信息部分接口采用明文傳送，沒有采用任何加密等保護(hù)措施，導(dǎo)致網(wǎng)管信息存在被非法竊取或任意篡改的風(fēng)險(xiǎn)。由于傳輸光纜跨越地理空間廣闊，其網(wǎng)絡(luò)管理系統(tǒng)需采用分布式遠(yuǎn)程管理，大多數(shù)的網(wǎng)絡(luò)管理數(shù)據(jù)需要經(jīng)過多個(gè)節(jié)點(diǎn)的轉(zhuǎn)發(fā)才能到達(dá)目的地，這進(jìn)一步加劇了網(wǎng)管數(shù)據(jù)被竊取篡改的風(fēng)險(xiǎn)。

2

光傳輸網(wǎng)安全防御技術(shù)

國(guó)內(nèi)外研究者針對(duì)上述安全問題進(jìn)行深入研究，提出了諸多安全防御技術(shù)。

2.1　供應(yīng)鏈安全自動(dòng)檢測(cè)技術(shù)

針對(duì)核心傳輸設(shè)備不可控風(fēng)險(xiǎn)，可利用供應(yīng)鏈安全自動(dòng)檢測(cè)技術(shù)，基于快速準(zhǔn)確的組件功能自動(dòng)分析能力，對(duì)光傳輸系統(tǒng)中通過供應(yīng)鏈輸入的軟件與固件進(jìn)行快速檢測(cè)，快速發(fā)現(xiàn)其中隱藏的惡意功能，并且不斷監(jiān)測(cè)、測(cè)試、驗(yàn)證供應(yīng)鏈安全性，在一定程度上減輕核心傳輸器件不可控的風(fēng)險(xiǎn) 。

2.2　光纖傳輸線路安全防御技術(shù)

2.2.1　干擾抵御

針對(duì)可能出現(xiàn)的帶內(nèi)干擾、帶外干擾、延遲干擾、強(qiáng)光干擾等攻擊方式，采用安全性能更強(qiáng)的光傳輸網(wǎng)組件和設(shè)備，增強(qiáng)自身抵御攻擊的能力。

例如，在解復(fù)用器后使用濾波器，濾除一定帶寬之外的信號(hào)，防止利用光放大器帶外增益競(jìng)爭(zhēng)發(fā)起干擾攻擊。在波長(zhǎng)進(jìn)行選擇交換前，采用均衡技術(shù)對(duì)摻鉺光纖放大器（Erbium Doped Fiber Amplifier，EDFA）增益競(jìng)爭(zhēng)進(jìn)行保護(hù)，利用光限幅放大器限制最大輸出光功率，防止信號(hào)功率過強(qiáng)對(duì)光組件的破壞，同時(shí)降低利用串音影響正常通信的可能。

2.2.2　網(wǎng)絡(luò)拓?fù)渥杂Ｗo(hù)

針對(duì)光纖斷裂、物理損毀等攻擊方式，采用網(wǎng)絡(luò)拓?fù)渥杂Ｗo(hù)技術(shù)保證光傳輸網(wǎng)傳輸?shù)目煽啃?，主要有保護(hù)策略和恢復(fù)策略兩種。

保護(hù)策略是指為光網(wǎng)絡(luò)的承載業(yè)務(wù)提供預(yù)留的保護(hù)通道 / 鏈路，當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)，利用預(yù)留的保護(hù)通道 / 鏈路傳送業(yè)務(wù)，可進(jìn)一步分為線形保護(hù)、環(huán)網(wǎng)保護(hù)。由于保護(hù)通道 / 鏈路都是預(yù)先建立的，在故障發(fā)生時(shí)不需要通過光網(wǎng)絡(luò)的信令進(jìn)行倒換，因此業(yè)務(wù)恢復(fù)的速度快，適用于較高等級(jí)的業(yè)務(wù)。但是保護(hù)策略的資源利用率較低。

恢復(fù)策略是指通過重路由等機(jī)制，為光網(wǎng)絡(luò)的承載業(yè)務(wù)動(dòng)態(tài)尋找網(wǎng)絡(luò)中的剩余資源，從而恢復(fù)被中斷的業(yè)務(wù)。該機(jī)制能夠高效利用光網(wǎng)絡(luò)資源，但對(duì)光通信設(shè)備的軟硬件要求較高，實(shí)現(xiàn)成本高，同時(shí)恢復(fù)響應(yīng)不確定，業(yè)務(wù)恢復(fù)時(shí)間較長(zhǎng)。

2.2.3　攻擊監(jiān)測(cè)

通過實(shí)時(shí)監(jiān)測(cè)光功率或特定光信號(hào)，及時(shí)檢測(cè)攻擊行為，防范非法竊光及分光問題。主要技術(shù)包括：光脈沖時(shí)域反射技術(shù)（Optical Time Domain Reflectometer，OTDR）、 光 脈 沖 頻 域 反射技術(shù)（Optical Frequency-Domain Reflectometer，OFDR）、光功率檢測(cè)儀、光譜分析儀、特殊光纜等。

2.2.4　光域加密

光域加密通過在物理光層對(duì)數(shù)據(jù)進(jìn)行安全加密，以增強(qiáng)信息抗截獲能力。當(dāng)前，國(guó)內(nèi)外有噪聲加密光通信、混沌光通信、擴(kuò)頻光通信、隱蔽光通信、跳頻光通信等幾個(gè)主流的研究方向。

2.3　光網(wǎng)管系統(tǒng)安全防御技術(shù)

針對(duì)光網(wǎng)管系統(tǒng)的安全風(fēng)險(xiǎn)，重點(diǎn)加強(qiáng)對(duì)網(wǎng)管系統(tǒng)的管理和控制，以提升光傳輸網(wǎng)絡(luò)的安全性能。例如，按照 GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)規(guī)范建立完善的安全體系；進(jìn)一步細(xì)化完善相關(guān)的技術(shù)標(biāo)準(zhǔn)，規(guī)范網(wǎng)管接口、網(wǎng)管通信協(xié)議和網(wǎng)管信息模型，確保網(wǎng)管系統(tǒng)的兼容性，全面提高網(wǎng)管系統(tǒng)的開放性和可管可控性；改善數(shù)據(jù)備份方式，提升設(shè)備配置數(shù)據(jù)庫可靠性；對(duì)網(wǎng)管管理控制信息進(jìn)行一定的加密處理，防范網(wǎng)管信息篡改。同時(shí)，采用帶外管理策略建立傳輸網(wǎng)管信息的專用數(shù)據(jù)通信網(wǎng)絡(luò)（Data Communication Network，DCN），使網(wǎng)絡(luò)管理通信流與用戶數(shù)據(jù)流分離，進(jìn)一步降低攻擊面。

3光傳輸網(wǎng)絡(luò)安全防護(hù)體系

網(wǎng)絡(luò)安全防護(hù)體系是保證光網(wǎng)絡(luò)安全的前提和基礎(chǔ)。按照預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊（Warning, Protection, Detection, Recovery,Response, Counterattack，WPDRRC），保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)（Protection, Detection, Recovery,Response，PDRR）等信息安全模型，以光傳輸網(wǎng)安全需求分析為出發(fā)點(diǎn)，針對(duì)光傳輸網(wǎng)在傳輸網(wǎng)元設(shè)備、傳輸線路、網(wǎng)管系統(tǒng)等方面的安全風(fēng)險(xiǎn)，以密碼算法、安全協(xié)議、管控策略、安全機(jī)制等安全基礎(chǔ)支撐功能為依托，塑造形成“監(jiān)、固、控、評(píng)”的動(dòng)態(tài)防御體系，全面保障光傳輸網(wǎng)的安全。

3.1　加強(qiáng)光產(chǎn)業(yè)研發(fā)，建立安全供應(yīng)鏈體系

關(guān)注光核心芯片、軟件的自主研發(fā)，解決深層次供應(yīng)依賴等安全問題，實(shí)現(xiàn)真正的自主可控。

建立覆蓋整個(gè)生命周期的風(fēng)險(xiǎn)評(píng)估機(jī)制，引入端到端的供應(yīng)鏈安全評(píng)估流程和方法，確保產(chǎn)品滿足安全要求，符合法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，防范光傳輸網(wǎng)中各類設(shè)備和系統(tǒng)帶病入網(wǎng)。

3.2　強(qiáng)化光域加密，防范光信號(hào)信道竊聽

面向網(wǎng)絡(luò)協(xié)議棧各層級(jí)進(jìn)行加密防護(hù)，使安全能力貫通傳輸、網(wǎng)絡(luò)、應(yīng)用和業(yè)務(wù)邏輯等不同層面，形成全方位數(shù)據(jù)安全防護(hù)體系，防范流量劫持和信道竊聽，解決數(shù)據(jù)傳輸存在的安全問題。目前來看，光物理層加密能夠提供高效、低延遲的大帶寬安全承載解決方案，將密鑰交給不同用戶自行管理，可滿足多租戶環(huán)境中密鑰管理需求，在服務(wù)類型、速率和網(wǎng)絡(luò)體系結(jié)構(gòu)等方面靈活度較高。國(guó)內(nèi)華為、中興等廠商已申請(qǐng)與光物理層加密相關(guān)的專利，為下一步大容量、高速率物理層數(shù)據(jù)加密設(shè)備的規(guī)?；瘧?yīng)用奠定了基礎(chǔ)。

3.3　全面安全加固，減少光傳輸網(wǎng)脆弱性

安全加固是針對(duì)光傳輸網(wǎng)絡(luò)中可能存在安全隱患的環(huán)節(jié)或器件進(jìn)行安全加固，從而提升光傳輸網(wǎng)絡(luò)的抗入侵、抗損毀和抗竊聽等能力，主要包括線路加固、節(jié)點(diǎn)加固、網(wǎng)管加固等。

線路加固主要針對(duì)傳輸線路上的安全風(fēng)險(xiǎn)進(jìn)行加固，例如針對(duì)彎曲光纖進(jìn)行竊聽的安全風(fēng)險(xiǎn)，可采用彎曲易斷的光纖或具有高強(qiáng)度防護(hù)層的光纖實(shí)現(xiàn)線路的安全加固。

節(jié)點(diǎn)加固主要針對(duì)光纜傳輸網(wǎng)節(jié)點(diǎn)的安全風(fēng)險(xiǎn)進(jìn)行加固。例如，在值守力量薄弱或者無人值守站點(diǎn)進(jìn)行周界防護(hù)，保證節(jié)點(diǎn)設(shè)備安全。采用可調(diào)光帶阻濾波器、增益鎖定摻鉺光纖（Erbium-Doped Fiber，EDF）、設(shè)置強(qiáng)光保護(hù)裝置等策略來應(yīng)對(duì)針對(duì) EDFA 發(fā)起的帶寬外攻擊、強(qiáng)光攻擊和增益競(jìng)爭(zhēng)攻擊。采用高隔離度的波分復(fù)用（Wavelength Division Multiplexing，WDM）、設(shè)置功率檢測(cè)裝置和隔離開關(guān)等策略來應(yīng)對(duì)光交叉連接（Optical Cross-Connect，OXC）竄擾竊聽風(fēng)險(xiǎn)。基于可信啟動(dòng)等安全機(jī)制，從底層硬件打造安全光傳輸設(shè)備。

網(wǎng)管加固主要針對(duì)光纜傳輸網(wǎng)節(jié)點(diǎn)網(wǎng)管進(jìn)行加固，包括終端加固、系統(tǒng)加固、冗余備份等。例如，采用終端防護(hù)軟件對(duì)網(wǎng)管系統(tǒng)的終端進(jìn)行防護(hù)，定期進(jìn)行漏洞掃描及補(bǔ)丁修復(fù)。除此之外，還應(yīng)該實(shí)施權(quán)限最小原則，減少對(duì)外暴露面等。

3.4　構(gòu)建監(jiān)測(cè)預(yù)警體系，實(shí)現(xiàn)威脅快速感知

一是光纖入侵檢測(cè)。通過對(duì)光纖線路信號(hào)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，采用入侵行為檢測(cè)、入侵行為分析、入侵行為定位等技術(shù)進(jìn)行多維度的檢測(cè)和分析，從而實(shí)現(xiàn)對(duì)分光、干擾攻擊等入侵行為的實(shí)時(shí)監(jiān)測(cè)、精確定位和快速預(yù)警。

二是設(shè)備及系統(tǒng)層面入侵檢測(cè)。提供主機(jī)和網(wǎng)絡(luò)層面的入侵檢測(cè)能力，實(shí)時(shí)感知設(shè)備及系統(tǒng)的安全狀態(tài)。

三是安全態(tài)勢(shì)感知。通過采集光纖層、設(shè)備層、系統(tǒng)層、網(wǎng)絡(luò)層的流量及日志等各類數(shù)據(jù)，綜合利用大數(shù)據(jù)分析、異常檢測(cè)等技術(shù)識(shí)別光網(wǎng)絡(luò)中的潛在風(fēng)險(xiǎn)，實(shí)時(shí)感知光網(wǎng)絡(luò)安全態(tài)勢(shì)。

3.5　采取彈性網(wǎng)絡(luò)機(jī)制，增強(qiáng)光傳輸網(wǎng)恢復(fù)能力

采用彈性網(wǎng)絡(luò)機(jī)制，通過鏈路級(jí)、設(shè)備級(jí)、網(wǎng)絡(luò)級(jí)、管理級(jí)的多維度冗余保護(hù)，構(gòu)建自動(dòng)響應(yīng)、協(xié)同聯(lián)動(dòng)閉環(huán)，使得網(wǎng)絡(luò)受損后能夠快速隔離被損部分，迅速修復(fù)被損數(shù)據(jù)并啟動(dòng)網(wǎng)絡(luò)重建，全面提升光傳輸可用性。

4結(jié)　語

隨著光通信網(wǎng)絡(luò)開放能力逐步增強(qiáng)，光傳輸網(wǎng)的網(wǎng)絡(luò)安全問題逐步引起越來越多人的關(guān)注。目前，國(guó)內(nèi)外的專家學(xué)者和工程技術(shù)人員在這方面做了許多工作，提出了一系列的安全解決方案。我們應(yīng)該將這些安全技術(shù)與產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)組織、運(yùn)行維護(hù)等相結(jié)合，增強(qiáng)相關(guān)軟硬件防護(hù)措施，確保光網(wǎng)絡(luò)的端到端、全生命周期安全可靠，從而滿足信息時(shí)代光傳輸網(wǎng)的安全需求。

文章來源：選自《信息安全與通信保密》2023年第10期