关于断网事件的海底光缆脆弱性问题探讨

本文发表于《信息网络安全》2007.2，欢迎转载，请注明作者和期刊名。

关于断网事件的海底光缆脆弱性问题探讨

张鉴

国家信息中心网络安全部

 

一、引言

2006年12月26日晚27日凌晨，在距中国台湾南部约15公里的海域处，连续发生两次7级左右的强烈地震。铺设在该区域附近的中美海缆、亚太1号海缆、亚太2号海缆、FLAG海缆、亚欧海缆、FNAL海缆等多条国际海底通信光缆，在强烈地震下发生断裂。此次海缆断裂中，中国电信一共有六条海缆受到影响，中国网通影响更大，共有八条光缆被震断。海缆断裂，引发了互联网世界的鸿沟，中国的网民无法打开绝大部分国际网站，1500万用户的MSN不能登陆，国内和国外的邮件收发受阻，世界一下子断开了，割裂了。此次海底光缆断网事件不禁让我们进行深刻的反思，改变人类生活方式的互联网和大洋深处冰冷的光缆，到底是稳固的维系，还只是一种极其脆弱的关联？我们如何能拥有更加安全、更加健壮的网络环境，以避免如此影响巨大的事故的再次发生？以下本文将从网络拓扑结构和信息系统应急响应技术两方面对海底光缆的脆弱性问题进行探讨。

二、海底光缆网络拓扑结构脆弱性分析

网络拓扑是指网络中各个端点相互连接的方法和形式。网络拓扑结构反映了组网的一种几何形式。按照拓扑结构的不同，常见的计算机网络拓扑结构有：总线型拓扑结构、星型拓扑结构、环型拓扑结构、树型拓扑结构、网型拓扑结构等。

中国与国际相连主要是通过新欧亚3号、中美海缆、亚太2号三组海缆，这三组海缆经过中国大陆的国际海缆登陆口上海、青岛、汕头等城市，分别与日本、美国、欧洲相连。12月27日的地震，使这三条海缆都有不同程度的断裂。其中新欧亚3 号连接汕头和上海崇明登陆局，是我国通往东亚、南非、中东、北非、西欧以及澳大利亚等国家和地区的重要通信通道。中美海缆由台湾屏东枋山开始，经上海崇明岛、韩国、日本，再连接至美国加州，最后从加州往回走关岛、琉球、广东汕头回到枋山，是亚洲各国连通美国的主要电信线路。本次受影响最大的中美海底光缆属环状电信网络。南北两条路由均可从中国达美国，北线上的韩国釜山和日本千仓，以及在南线上的日本冲绳和美国关岛均将以支线方式加入本光缆系统。中美海底光缆拓扑结构如图1所示：

<!--[if !vml]--><!--[endif]-->

图1 中美海底光缆结构示意图

环型拓扑结构是一个像环一样的闭合链路，在链路上有许多中继器和通过中继器连接到链路上的节点。也就是说，环型拓扑结构网络是由一些中继器和连接到中继器的点到点链路组成的一个闭合环。在环型网中，所有的通信共享一条物理通道，即连接网中所有节点的点到点链路。图2为环型拓扑结构示意图。

<!--[if !vml]--><!--[endif]-->

图2  环型拓扑结构示意图

其中，每个中继器通过单向传输链路连接到另外两个中继器，形成单一的闭合通路，所有的工作站都可通过中继器连接到环路上。任何一个工作站发送的信号，都可以沿着通信介质进行传播，而且能被所有其他的工作站接收。中继器为环型网提供了3种基本功能：数据发送到环中，接收数据和从环中删除数据。它能够接收一个链路上的数据，并以同样的速度串行地把该数据送到另一条链路上，即不在中继器中缓冲。由通信介质及中继器所构成的通信链路是单向的，即能在一个方向上传输数据，而且所有的链路是单向的，即能在一个方向上围绕着环进行循环。

环型拓扑结构的交换方式采用分组交换。由于多个工作站共享同一环，因此需要对此进行控制，以便决定每个站在什么时候可以把分组放在环上。一般情况下，环型拓扑结构网络采用令牌环(Token Ring)的介质访问控制。信息发送的过程为：如果某一站点希望将报文发送到另一目的站点，那么它需要将这个报文分成若干个分组。每个分组包括一段数据再加上一些控制信息，其中控制信息包括目的站点的地点。发送信息的站点依次把每个分组放到环上之后，通过其他中继器进行循环；环中的所有中继器都将分组的地址与该中继器连接的节点的地址相比较，当地址符合时，该站点就接收该分组。

环型拓扑结构具有以下优点：

● 电缆长度短。环型拓扑结构所需的电缆长度与总线型相当，但比星型要短。

● 适用于光纤。光纤传输速度高，环型拓扑网络是单向传输，十分适用于光纤通信介质。如果在环型拓扑网络中把光纤作为通信介质，将大大提高网络的速度和加强抗干扰的能力。

● 无差错传输。由于采用点到点通信链路，被传输的信号在每一节点上再生，因此，传输信息误码率可减到最少。

环型拓扑结构的缺点为：

● 可靠性差。在环上传输数据是通过接在环上的每个中继器完成的，所以任何两个节点间的电缆或者中继器故障都会导致全网故障。

● 故障诊断困难。因为环上的任一点出现故障都会引起全网的故障，所以难于对故障进行定位。

● 调整网络比较困难。要调整网络中的配置，例如扩大或缩小，都是比较困难的。

 

从以上对于环型拓扑结构的分析可以看出，环状结构存在风险，因为一个节点断掉，就意味着一个方向的通信断掉。因此解决海底光缆脆弱性问题的一个基础点就是进一步完善海底光缆的网络拓扑结构，比较好的方法是使太平洋地区的海缆由环状铺设向网状铺设演化。

网状结构分为全连接网状和不完全连接网状两种形式。全连接网状中，每一个节点和网中其它节点均有链路连接。不完全连接网中，两节点之间不一定有直接链路连接，它们之间的通信，依靠其它节点转接。网状网络通常利用冗余的设备和线路来提高网络的可靠性，因此，结点可以根据当前的网络信息流量有选择地将数据发往不同的线路，碰撞和阻塞可大大减少，不受瓶颈问题和失效问题的影响，局部的故障不会影响整个网络的正常工作，可靠性高；缺点是网络关系复杂，建网不易，网络控制机制复杂。广域网中一般用不完全连接网状结构。图2为网型拓扑结构示意图

 

<!--[if !vml]--><!--[endif]-->

图3 网型拓扑结构示意图

2006年12月，Verizon通信公司、中国联通、网通、电信，以及中国台湾、韩国多家电信公司达成协议，将铺设另外一条越洋回路光缆。一旦新的太平洋光缆投入使用，太平洋地区的海缆将呈现网状铺设，从而提高安全性。

三、针对灾难恢复的应急响应技术探讨

威胁海底光缆的因素有很多，包括地震、火山、渔船拖网、船锚以及鲨鱼啃咬等，因此建立一套完善的针对海底光缆的应急相应制度是极为必要的。此次海缆断裂事件，造成大量国内用户无法访问国外网站，问题无法及时解决，我国针对此类网络事故应急响应力量薄弱的问题再次凸显。一系列已发生的突发事件表明，如果没有一定的应急响应能力，突发事件将给我们社会或生活带来严重的后果，加强应急响应建设，就可以有效减少灾难所带来的社会成本和压力。它是应对紧急事件、保护信息的相应的防范、化解与控制措施，是保障业务连续性的重要环节。

应急响应通常指组织为了应对各种突发事件的发生所做的准备以及在事件发生后所采取的措施。应急响应的对象是计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统故障、组织内部或外部的人、计算机病毒或蠕虫等。应急响应实际上是网络安全保障工作的具体体现。各种防护方案、安全设施、策略规定等，广义上都可以理解为应急响应工作的一部分。而完整的应急响应工作的各个阶段，则体现了网络安全保障的不间断过程。

应急响应的活动应该主要包括两个方面：

第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；

第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。

以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，吸取教训，从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

针对由于灾难造成的突发事件（如此次海底光缆断裂事件），一个完善的应急响应体系应满足以下要求：

（1）及时发现

这是应急响应的基本前提。做到及时发现和准确判断，实现突发灾难数据、图像信息的快速获取和更新，并且应该尽可能的了解全局情况。

（2）完善的灾难恢复规划（DRP）

灾难恢复规划，是指为了减少灾难带来的损失和实现灾难恢复所做的事前计划和安排。

（3） 完善的灾难恢复预案

灾难恢复预案，是定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件，用于在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。

（4）明确的恢复时间目标（RTO）和恢复点目标（RPO） 

所谓恢复时间目标，是指灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。所谓恢复点目标，是指灾难发生后，系统和数据必须恢复到的时间点要求。

（5）完善的业务影响分析（BIA）

业务影响分析，是指分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。

（6）完备的关键业务功能（CBF）分析

关键业务功能，是指如果中断一定时间，将显著影响单位运作的服务或职能。

（7）完善的数据备份策略（DBS）

数据备份策略，是指为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时间、技术、介质和场外存放方式，以保证达到RPO和RTO。

（8）完善的灾难恢复策略（DRS）

灾难恢复策略，是指利用技术、管理手段以及相关资源，确保已有的关键数据和关键业务在灾难发生后在确定的时间内可以恢复和继续运营的过程。

针对灾难恢复的应急响应体系由于存在灾难的小概率、高风险的特点，其实施应注重以下方面：

首先要结合实际对灾难恢复工作做好需求分析。要从所面临的威胁与风险入手，评估信息资产及其服务的价值，分析业务的关键性、时效性，根据业务中断的影响、系统终端可容忍的时限、系统中断可容忍的数据丢失，确定各项业务恢复的优先级和相关性。

其次要对灾难恢复目标的参考点进行量化。这当中有以下五个参考点：系统恢复的时间间隔（RTO）、数据恢复点的滞后时间（RPO）、总成本的控制（TCC）、灾备点距离的选择及灾备等级的确立。

第三要选择合适的模式进行建设。现行的灾难恢复系统建设有三种模式：独立建设、联合共建、社会化服务。可根据业务规模、业务的关键性以及技术实力和财政能力来选择灾难恢复系统建设的模式。

第四应注意灾难恢复系统的检测与演练工作。

四、结束语

此次海底光缆断裂事件以及其造成的巨大影响无疑值得我们进行深刻的反思。网络使世界变得更小，信息交流变得更快捷，但对网络的依赖也导致一旦发生变故，人们所受到的伤害也将是前所未有的。这次地震是偶发的，但这种牵一发而动全身的格局却是必然的，因此我们必须对网络的安全脆弱性有更加深刻的理解，建立更加完善的安全保障机制，真正拥有安全、健康的网络环境。