網路關鍵信息在哪裡登入

A. 我家wifi無線路由器壞了，我想網上買一個自己換，但是我不會換。請教你們會的教我一下，詳細點。謝謝

硬體連接，首先將路由器接通電源，然後將電信或網通(或其他互聯網接入商)提供的上網線接頭(一般是RJ-45水晶頭)接到路由器的廣域網介面上，這個口在路由器的背面，形狀與其它介面沒有區別，往往顏色上與其他介面不同，這個介面一般標有"WAN"字樣。在用一根有兩個水晶頭的網線(兩頭都是EIA/TIA568B線序)，一頭連接到電腦主機背面的網卡介面上，另一頭連接到無線路由器的區域網介面上(上圖中黃色介面中的任一個，一般幾個口合到一起都標有「LAN」字樣）
>02
開始設置，打開瀏覽器，然後在地址欄里輸入：192.168.1.1(這個地址可能會有不同，請參見您的路由器說明書)，然後按回車鍵，這個時候會彈出一個登錄對話框。如圖。在用戶名和密碼里都輸入「admin」(如不同請參見您的路由器說明書)，然後單擊「確定」按鈕。
>03
（3）一般路由器都有「設置向導」功能，我們先以設置向導來操作，單擊「設置向導」鏈接，然後從出現的右邊的頁面中單擊「下一步」按鈕，如下圖所示
>04
（4）在"設置向導-上網方式」頁面選擇第一項「PPPoE(ADSL虛擬撥號)」，一般家庭都是這種方式。然後按「下一步」按鈕。
>05
（4）接著輸入你的電信或聯通的上網帳號以及密碼，如果不知道可以找一下申請寬頻時的單子看看，完成後「下一步」按鈕。——到此，我們完成了路由器配置的第1步。
>06
（4）下一步之後就設置SSID，也就是你的wifi名稱，在安全選項區，建議選擇「WPA-PSK/WPA2-PSK PSK密碼」，並按要求設置密碼(這個密碼是您的手機或筆記本連接無線網路時需要輸入的密碼，一定要記牢哦)。完成後單擊「下一步」按鈕。——這是配置路由器的第2步。最後在下面的頁面單擊「完成」按鈕。

B. 微博全網關鍵詞雲在哪

具體步驟如下：

打開新浪微博，在新浪微博首頁的搜索框中輸入「微博關鍵詞」，單擊搜索。單擊上面菜單欄中的「應用」，再單擊下面的「微博關鍵詞」用微博授權登錄。

單機右下方的「生成」，就可以生成自己發的微博的「文字雲」。

文字雲是根據自己經常發的微博生成，比較常用的詞生成的文字會比較大，比較少用的詞文字會在邊上，字體也比較小。

微博允許用戶通過Web、Wap、Mail、App、IM、SMS以及用戶可以通過PC、手機等多種移動終端接入，以文字、圖片、視頻等多媒體形式，實現信息的即時分享、傳播互動。

微博提供了這樣一個平台，你既可以作為觀眾，在微博上瀏覽你感興趣的信息；也可以作為發布者，在微博上發布內容供別人瀏覽。發布的內容一般較短，例如140字的限制，微博由此得名。

也可以發布圖片，分享視頻等。

其次，微博開通的多種API使得大量的用戶可以通過手機、網路等方式來即時更新自己的個人信息。微博網站即時通訊功能非常強大，在有網路的地方，只要有手機也可即時更新自己的內容，哪怕你就在事發現場。

類例於一些大的突發事件或引起全球關注的大事，如果有微博客在場，利用各種手段在微博客上發表出來，其實時性、現場感以及快捷性，甚至超過所有媒體。

C. 登錄微軟的賬號,總是顯示賬戶缺少一些關鍵信息該怎麼辦

若在嘗試登錄微軟(Microsoft)賬號時，總是出現「賬戶缺少一些關鍵信息」的錯誤提示，通常表示您的賬號信息不完整或存在問題。以下是幾個可能的解決辦法：
1. 確認賬號和密碼是否正確
首先，請確保輸入的微軟賬號和密碼是正衡燃確的。如果您忘搭備記了密碼，可以嘗試使用微軟賬號的重置密碼選項。
2. 更新您的賬號信息
若您已更改了您的賬戶信息，如電子郵件地址、電話號碼等，則可能需要更新微軟賬號的信息以解決該問題。您可以登錄微軟賬號，檢查並更新缺失的信息。
3. 等待一段時間
有時，您只需等待一段時間，讓系統更新您的信息即可解決該問題。您可以稍後再次嘗試登知攔毀錄賬號。
4. 聯系微軟支持
如果以上方法都沒有解決該問題，則建議您聯系微軟支持團隊。他們可以幫助您診斷和解決與賬號相關的問題。
總之，若您在嘗試登錄微軟賬號時遇到了「賬戶缺少一些關鍵信息」的錯誤提示，您可以嘗試上述方法來解決該問題。

D. 中小學學籍網登錄入口福建：http://zxxs.fje.gov.cn/

中小學學籍網登錄入口福建： http://zxxs.fje.gov.cn/

、「G」轎櫻乎字頭正式學籍號是否一定和身份證號一致？

「G」字頭正式學籍號依據身份證號生成，因此一般情況下二者應一致。閉悉之後學生身份證號發生變化才會導致不一致。不一致也不會影響學生辦理任何業務，因此無特殊理由沒有必要申請修改正式學籍號。特殊情況需修改「G」字頭正式學籍號的，需要依申請按流程重新辦理。

獲得頌缺「G」字頭正式學籍號後，是否可修改其中的關鍵信息？

「G」字頭學籍號具有性。獲得了「G」字頭正式學籍號的學生，其學籍號不能輕易修改。因戶籍關鍵信息變動，確需對「姓名」和「身份證號」兩項關鍵信息進行修改的，必須履行相關程序。修改時，應由學校學籍管理員在學籍系統內上傳戶籍等相關證明材料照片或掃描件，縣級學籍主管部門審核把關後提交中央資料庫進行全國查重和身份比對，對沒有問題的，可進行修改。學籍修改情況的歷史信息將隨學籍永久保留。

已獲得的「G」字頭正式學籍號是否可刪除？

原則上不允許刪除「G」字頭正式學籍號。「G」字頭正式學籍號通過了全國查重、與國家人口基礎信息庫比對等一系列程序的嚴格檢驗，是學生身份的標識。如涉及問題學籍確需刪除的，由省級教育行政部門提交佐證材料報教育部審核後方可刪除。

轉學、畢業後跨省就學辦理時間有什麼要求？

為做好畢業結業和升級處理工作，每年從7月15日零時至8月14日24時，學籍系統暫停發起轉學業務，其他時間均可發起，7月15日零時之前發起的轉學業務可繼續辦理。

每年畢業後跨省就學新業務發起時間限定為8月15日零時至12月14日24時、3月1日零時至5月31日24時。

需要注意的是，各省在國家規定的統一時段中，根據各自實際又規定了本省的轉學及畢業後跨省就學時段，在這種情況下，以省級規定為准。 ;

E. 學籍信息網上查詢入口

學籍信息網上查詢入口

學籍信息網上查詢入口，負責老師看到確實有錯誤後，就會在內部系統里進行調檔，看是不是真的.錯誤了，若是錯誤，則會向當地教育局部門提交修改申請，學籍信息網上查詢入口。

學籍信息網上查詢入口1

查詢網站:http://xjxl.chsi.com.cn/ 。

教育部學籍查詢網站是學信網。

1、在瀏覽器輸入網址 http://xjxl.chsi.com.cn/ 。

2、登錄後在左上角的學籍查詢按鈕，點開輸入身份證號碼、姓名及還有校驗碼，即可進行學籍情況查詢。

如下圖的左上方，點擊學籍查詢。

3、因為每個人都有自己的學籍檔謹指茄案信息錄入，不需要重新注冊就能使用。

學籍號是按照北京市教育委員會文件「京教基[2000]062號」的要求編排，CMIS系統和學生卡系統用學籍號唯一標識一名學生。

4、學籍號的確定：

學籍號由16位構成，其中各位的意義為：

省市位(2位)+區縣(2位)+學校類別(1位)+學校(3位)+學生類別(1位)+屆別(2位)+班(2位)+學生號(2位) +校驗位(1位)。

學籍信息網上查詢入口2

學籍信息錯誤分為兩種情況：

一種是在校學生的信息錯誤，可以聯系學校的教務處幫忙修改；另一種是已經畢業，要修改信息，則需要向學校提供證明，由學校上報進行修改。

總的來說，學歷網上的學籍、學歷信息不能個人進行修改，需要由學校進行修改。

學信網學籍檔案信息有誤怎麼改

學信網上的個人信息直接來源於錄取信息，一般不允許更改，特別是個人身份專信息。

如確有錯誤，需提供一系列證明材料，先到學校教務處申請，審核通過後再報省教育廳審核。

學信網上學籍檔案錯誤，一般是學校向學信網提供資料是出現了錯誤，學生需要按以下流程進行更改：

1、學生要拿正確的資料向曾經保存學籍以及發放畢業證的學校提出申請。

2、必須拿正確的'資料才可以。當著老師的面告訴老師，向學信網提供的資料有誤，已經無法提供自己的認證信息了。

3、負責老師看到確實有錯誤後，就會在內部系統里進行調檔，看是不是真的.錯誤了，若是錯誤，則會向當地教育局部門祥察提交修改申請，以及附上錯誤的信息檔案等。

4、教育局會等待與下一批畢業的學生的資料一起向學信網提供，學信網接到新信息後，可以對其進行修改。

學籍信息網上查詢入口3

教育部反復強調過，「中國高等教育學生信息網」是我國高等教育學歷證書查詢的唯一網站（圖1），你的高等院校學籍信息都會在這個網站備案保存。以後找工作或者需要任何相關證明材料的時候，都可以從這個網站獲取資料，是真實可信、具有法律效力的。

想要查詢自己是否被冒名頂替入學，當然也可以從這個網站查詢。「中國高等教育學生信息網」簡稱「學信網」，如果通過搜索引擎查詢，注意別中了「李鬼」的陷阱，被套取自己的身份證信息。注意，官方唯一網址是http：//www、chsi、com、cn。

如果首次使用，需進行注冊，沒啥可說的，根據提示填寫自己的手機號、驗證碼、姓名、身份證號碼等即可完成。

但是，如果一旦有被冒名頂替的情況，你的身份證信息就會「撞車」，顯示為已經注冊（圖2），也就是說，你的身份證信息可能已經被別人盜用了，而且也極有可能被別人頂替上了大學。

別著急，你可以用找回用戶名的方式重置一下，在這里再次填入正確的身份證和姓名即可，然後繼續找回密碼。

需要注意的是，注銷賬號會暫時影響用戶統考、自主招生、兵役登記/應征報名等信息，所以如果不是確認自己信息被盜，或者在報考等關鍵時間點，最好不要進行重置操作。

接下來勾選「我要重新注冊」，在這里可以選擇下載APP自助驗證，或者通過客服人工驗證，按要求逗脊上傳自己手持身份證的照片即可（確保是持本人身份證操作，圖3）。

在這里，一定注意臉部細節完整保留，而且身份證信息清晰可見（正反兩面）。客服會詳細比對身份證照片和本人長相，以及證件號碼、有效期等關鍵信息。

一般來說，三個工作日之後就可以完成審核，接下來，如果消息屬實，你就可以用自己的賬號正常登錄學信網了。

F. 家中寬頻的賬號在哪裡查

如您使用的是聯通寬頻，可通過以下方式查詢寬頻賬號：
1、通過「中國聯通網上營業廳」，主頁點擊「寬頻—寬頻服務賀磨—寬頻賬號查詢」根據頁面提示操作查詢寬頻賬號。
2、撥打聯通客服熱線，轉接人工客服提供塵數機主身份等信息後查詢寬頻賬號。
3、機主本人帶派拍首上有效身份證件原件親臨聯通自辦營業廳查詢寬頻賬號。

G. 昆明市學考網報名後能修改嗎

考生繳費成功前可以修改全部報名信息，繳費成功後只能修改部分個人信息，可修改時間為考生所報考省份報名結束之前（請注意各省報名時間段不同），具體操作和注意事項為：

1.考生可登錄報名網站「報考信息」頁面點擊「關鍵信息」或「基本信息」進行修改。

2.考試地點、考試級別、考試科目繳費成功後不可更改。

3.考生姓名、證件號碼可以進行部分修改。如考生可修改姓名中同音字錄入錯誤或證件號碼個別數字錄入錯誤等，但不能對考生姓名、證件號碼同時完全修改。

4.修改方式：考生需要在報名網站「報考信息」頁面點擊「關鍵信息」，按照提示上傳清晰的考生本人手持證件照的照片申請修改（照片放大後證件上的漢字和數字清晰可見）。我中心將對考生提交的申請進行審核，審核通過後將自動修改；如審核不通過，會在「關鍵信息」修改的提交頁面告知未通過原因。審核時間為提交悉亂申請後的3個工作日。

報名結束後考生不能再修改個人信息，喊虛請注意各省報名結束時間。報名時考生要認真核對報考信息，如因個人信息錯誤導致無法參加考鄭陸燃試，後果由考生本人承擔。

H. 關於電信網路關鍵信息基礎設施保護的思考

文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天

根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中，電信網路自身是關鍵信息基礎設施，同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務，在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施，做好電信網路關鍵信息基礎設施的安全保護尤為重要。

一、電信網路關鍵信息基礎設施的范圍

依據《關鍵信息基礎設施安全保護條例》第 9條，應由通信行業主管部門結合本行業、本領域實際，制定電信行業關鍵信息基礎設施的認定規則。

不同於其他行業的關鍵信息基礎設施，承載話音、數據、消息的電信網路（以 CT 系統為主）與絕大多數其他行業的關鍵信息基礎設施（以 IT 系統為主）不同，電信網路要復雜得多。電信網路會涉及移動接入網路（2G/3G/4G/5G）、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路，任何一個網路被攻擊，都會對承載在電信網上的話音或數據業務造成影響。

在電信行業關鍵信息基礎設施認定方面，美國的《國家關鍵功能集》可以借鑒。2019 年 4 月，美國國土安全部下屬的國家網路安全和基礎設施安全局（CISA）國家風險管理中心發布了《國家關鍵功能集》，將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式，電信網路屬於連接類。

除了上述電信網路和服務外，支撐網路運營的大量 IT 支撐系統，如業務支撐系統（BSS）、網管支撐系統（OSS），也非常重要，應考慮納入關鍵信息基礎設施范圍。例如，網管系統由於管理著電信網路的網元設備，一旦被入侵，通過網管系統可以控制核心網路，造成網路癱瘓；業務支撐系統（計費）支撐了電信網路運營，保存了用戶數據，一旦被入侵，可能造成用戶敏感信息泄露。

二、電信網路關鍵信息基礎設施的保護目標和方法

電信網路是數字化浪潮的關鍵基礎設施，扮演非常重要的角色，關系國計民生。各國政府高度重視關鍵基礎設施安全保護，紛紛明確關鍵信息基礎設施的保護目標。

2007 年，美國國土安全部（DHS）發布《國土安全國家戰略》，首次指出面對不確定性的挑戰，需要保證國家基礎設施的韌性。2013 年 2 月，奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》，其首要策略是改善關鍵基礎設施的安全和韌性，並要求美國國家標准與技術研究院（NIST）制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》（CSF）提出，關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節，建立網路安全框架，管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求，定義了 IPDRR能力框架模型，並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別（Identify）、安全防禦（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力，是這五個能力的首字母。2018 年 5 月，DHS 發布《網路安全戰略》，將「通過加強政府網路和關鍵基礎設施的安全性和韌性，提高國家網路安全風險管理水平」作為核心目標。

2009 年 3 月，歐盟委員會通過法案，要求保護歐洲網路安全和韌性；2016 年 6 月，歐盟議會發布「歐盟網路和信息系統安全指令」（NISDIRECTIVE），牽引歐盟各國關鍵基礎設施國家戰略設計和立法；歐盟成員國以 NIS DIRECTIVE為基礎，參考歐盟網路安全局（ENISA）的建議開發國家網路安全戰略。2016 年，ENISA 承接 NISDIRECTIVE，面向數字服務提供商（DSP）發布安全技術指南，定義 27 個安全技術目標（SO），該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配，關鍵基礎設施的網路韌性成為重要要求。

借鑒國際實踐，我國電信網路關鍵信息基礎設施安全保護的核心目標應該是：保證網路的可用性，確保網路不癱瘓，在受到網路攻擊時，能發現和阻斷攻擊、快速恢復網路服務，實現網路高韌性；同時提升電信網路安全風險管理水平，確保網路數據和用戶數據安全。

我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定：國家對關鍵信息基礎設施實行重點保護，在網路安全等級保護的基礎上，採取技術保護措施和其他必要措施，應對網路安全事件，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出，要著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度。

參考 IPDRR 能力框架模型，建立電信網路的資產風險識別（I）、安全防護（P）、安全檢測（D）、安全事件響應和處置（R）和在受攻擊後的恢復（R）能力，應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF，開展電信網路安全保護，可按照七個步驟開展。一是確定優先順序和范圍，確定電信網路單元的保護目標和優先順序。二是定位，明確需要納入關基保護的相關系統和資產，識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀，創建當前的安全輪廓。四是評估風險，依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時，需要分析運營環境，判斷是否有網路安全事件發生，並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距，通過分析這些差距，對其進行優先順序排序，然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃，決定應該執行哪些行動以消除差距。

三、電信網路關鍵信息基礎設施的安全風險評估

做好電信網路的安全保護，首先要全面識別電信網路所包含的資產及其面臨的安全風險，根據風險制定相應的風險消減方案和保護方案。

1. 對不同的電信網路應分別進行安全風險評估

不同電信網路的結構、功能、採用的技術差異很大，面臨的安全風險也不一樣。例如，光傳送網與 5G 核心網（5G Core）所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備，轉發用戶面數據流量，設備分散部署，從用戶面很難攻擊到傳送網設備，面臨的安全風險主要來自管理面；而5G 核心網是 5G 網路的神經中樞，在雲化基礎設施上集中部署，由於 5G 網路能力開放，不僅有來自管理面的風險，也有來自互聯網的風險，一旦被滲透攻擊，影響面極大。再如，5G 無線接入網（5GRAN）和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面，從現網運維實踐來看，RAN 被滲透的攻擊的案例極其罕見，風險相對較小。5G Core 的雲化、IT 化、服務化（SBA）架構，傳統的 IT 系統的風險也引入到電信網路；網路能力開放、用戶埠功能（UPF）下沉到邊緣等，導致介面增多，暴露面擴大，因此，5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後，運營商應按照不同的網路單元，全面做好每個網路單元的安全風險評估。

2. 做好電信網路三個平面的安全風險評估

電信網路分為三個平面：控制面、管理面和用戶面，對電信網路的安全風險評估，應從三個平面分別入手，分析可能存在的安全風險。

控制面網元之間的通信依賴信令協議，信令協議也存在安全風險。以七號信令（SS7）為例，全球移動通信系統協會（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽；如果信令網關解析信令有問題，外部攻擊者可以直接中斷關鍵核心網元。例如，5G 的 UPF 下沉到邊緣園區後，由於 UPF 所處的物理環境不可控，若 UPF 被滲透，則存在通過UPF 的 N4 口攻擊核心網的風險。

電信網路的管理面風險在三個平面中的風險是最高的。例如，歐盟將 5G 管理面管理和編排（MANO）風險列為最高等級。全球電信網路安全事件顯示，電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案（4A）、堡壘機、安全運營系統（SOC）、多因素認證等安全防護措施，但是，在通信網安全防護檢查中，經常會發現管理面安全域劃分不合理、管控策略不嚴，安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象，導致管理面的系統容易被滲透。

電信網路的用戶面傳輸用戶通信數據，電信網元一般只轉發用戶面通信內容，不解析、不存儲用戶數據，在做好終端和互聯網介面防護的情況下，安全風險相對可控。用戶面主要存在的安全風險包括：用戶面信息若未加密，在網路傳輸過程中可能被竊聽；海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊（DDoS）；用戶面傳輸的內容可能存在惡意信息，例如惡意軟體、電信詐騙信息等；電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。

3. 做好內外部介面的安全風險評估

在開展電信網路安全風險評估時，應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險，尤其是重點做好外部介面風險評估。以 5G 核心網為例，5G 核心網存在如下外部介面：與 UE 之間的 N1 介面，與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等，還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域，存在不同風險。根據3GPP 協議標準定義，在 5G 非獨立組網（NSA）中，當用戶漫遊到其他網路時，該用戶的鑒權、認證、位置登記，需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通，需要經過公網傳輸。因此，這些漫遊介面均為可訪問的公網介面，而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。

4. 做好虛擬化/容器環境的安全風險評估

移動核心網已經雲化，雲化架構相比傳統架構，引入了通用硬體，將網路功能運行在虛擬環境/容器環境中，為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難，並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化（NFV）環境面臨傳統網路未遇到過的新的安全威脅，包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括：通過虛擬網路竊聽或篡改應用層通信內容，攻擊虛擬存儲，非法訪問應用層的用戶數據，篡改鏡像，虛擬機（VM）之間攻擊、通過網路功能虛擬化基礎設施（NFVI）非法攻擊 VM，導致業務不可用等。

5. 做好暴露面資產的安全風險評估

電信網路規模大，涉及的網元多，但是，哪些是互聯網暴露面資產，應首先做好梳理。例如，5G網路中，5G 基站（gNB）、UPF、安全電子支付協議（SEPP）、應用功能（AF）、網路開放功能（NEF）等網元存在與非可信域設備之間的介面，應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口，因此，需重點做好暴露面資產的風險評估和安全加固。

四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議

參考國際上通行的 IPDRR 方法，運營商應根據場景化安全風險，按照事前、事中、事後三個階段，構建電信網路安全防護能力，實現網路高韌性、數據高安全性。

1. 構建電信網路資產、風險識別能力

建設電信網路資產風險管理系統，統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本，定期開展資產和風險掃描，實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元，例如，MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄（AD）域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵，對電信網路的影響極大，因此，應做好對安全關鍵功能設備資產的識別和並加強技術管控。

2. 建立網路縱深安全防護體系

一是通過劃分網路安全域，實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域；管理面的網路管理安全域（NMS），其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區；對外暴露的網元（如 5G 的 NEF、UPF）等放在半信任區，核心網控制類網元如接入和移動管理功能（AMF）等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器（HSS）、統一數據管理（UDM）等放在信任區進行保護，並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護，包括互聯網邊界、承載網邊界，基於對邊界的安全風險分析，構建不同的防護方案，部署防火牆、入侵防禦系統（IPS）、抗DDoS 攻擊、信令防護、全流量監測（NTA）等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心（VDC）/虛擬私有網路（VPC）隔離，例如通過防火牆（Firewall）可限制大部分非法的網路訪問，IPS 可以基於流量分析發現網路攻擊行為並進行阻斷，VDC 可以實現雲內物理資源級別的隔離，VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內，採用虛擬區域網（VLAN）、微分段、VPC 隔離，實現網元訪問許可權最小化控制，防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單，在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。

3. 構建全面威脅監測能力

在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力，通過部署深度報文檢測（DPI）類設備，基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力，構建操作系統（OS）入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式，構建全面威脅安全態勢感知平台，及時發現各類安全威脅、安全事件和異常行為。

4. 加強電信網路管理面安全風險管控

管理面的風險最高，應重點防護。針對電信網路管理面的風險，應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等，防止越權訪問，防止從管理面入侵電信網路，保護用戶數據安全。

5. 構建智能化、自動化的安全事件響應和恢復能力

在網路級縱深安全防護體系基礎上，建立安全運營管控平台，對邊界防護、域間防護、訪問控制列表（ACL）、微分段、VPC 等安全訪問控制策略實施統一編排，基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析，及時發現入侵行為，並能對攻擊行為自動化響應。

（本文刊登於《中國信息安全》雜志2021年第11期）