標簽：軟交換網  GPRS

1 通信網絡面臨的安全形勢

隨著手機游戲、彩鈴、彩信、位置服務、移動商城等各種數據業(yè)務的快速發(fā)展，用戶數量呈現高速增長，截至2010年6月底，據CNNIC發(fā)布的報告顯示，中國的手機用戶數量超過8億戶，中國網民數達4.2億，手機上網用戶2.77億。在互聯網快速發(fā)展的同時，安全事件也層出不窮，黑色產業(yè)鏈日益成熟，攻擊行為組織化、攻擊手段自動化、攻擊目標多樣化、攻擊目的趨利化等特點明顯。

近兩年來針對運營商的網絡和業(yè)務系統(tǒng)的安全事件總體有所上升，例如“5·19”，“6·25”互聯網DNS安全事件。除互聯網常見的安全事件外，以惡意獲取非法收入事件為主的事件明顯上升，例如通過惡意復制SIM卡、WAP惡意訂購、非法定位、泄露客戶信息等謀取經濟利益等。目前，通信網絡的安全現狀呈現出以下的一些趨勢：

(1)網絡IP化、設備IT化、應用Web化使電信業(yè)務系統(tǒng)日益開放，業(yè)務安全漏洞更加易于利用。針對業(yè)務攻擊日益突出，電信業(yè)務系統(tǒng)的攻擊越來越趨向追求經濟利益。

(2)手機終端智能化帶來了惡意代碼傳播、客戶信息安全及對網絡的沖擊等安全問題。

(3)三網融合、云計算、物聯網帶來的網絡開放性、終端復雜性使網絡面臨更多安全攻擊和威脅;系統(tǒng)可靠性以及數據保護將面臨更大的風險;網絡安全問題從互聯網的虛擬空間拓展到物理空間，網絡安全和危機處置將面臨更大的挑戰(zhàn)。

(4)電信運營企業(yè)保存的客戶信息(包括訂購關系)日益增多，客戶信息的流轉環(huán)節(jié)不斷增加，也存在SP等合作伙伴訪問客戶信息的需要，泄露、篡改、偽造客戶信息的問題日益突出。

(5)電信運營企業(yè)內部人員、第三方支持人員、SP等利用擁有的權限以及業(yè)務流程漏洞，實施以追求經濟利益為目的的犯罪。

這些形勢都使互聯網安全、客戶信息的安全保護、業(yè)務安全成為各運營商在通信網絡安全防護著重考慮的問題，對這些安全風險的控制也成為運營中的重要環(huán)節(jié)。

2 通信網絡的安全防護措施

2.1 互聯網安全防護

互聯網(CMNet)是完全開放的IP網絡。面臨的主要安全風險來自用戶、互聯伙伴的帶有拒絕服務攻擊性質的安全事件，包括利用路由器漏洞的安全攻擊，分布式大流量攻擊，蠕蟲病毒、虛假路由、釣魚攻擊、P2P濫用等。

互聯網上的安全事件會影響直接或間接連接互聯網的業(yè)務系統(tǒng)。因此，針對互聯網，應重點做好以下幾方面安全措施：

(1)流量控制系統(tǒng)：在互聯網的國際出入口、網間接口、骨干網接口的合適位置部署流量控制系統(tǒng)，具備對各種業(yè)務流量帶寬進行控制的能力，防止P2P等業(yè)務濫用。

(2)流量清洗系統(tǒng)：在互聯網骨干網、網間等接口部署異常流量清洗系統(tǒng)，用于發(fā)現對特定端口、特定協議等的攻擊行為并進行阻斷，防止或減緩拒絕服務攻擊發(fā)生的可能性。

(3)惡意代碼監(jiān)測系統(tǒng)：在骨干網接口、網間接口、IDC和重要系統(tǒng)的前端部署惡意代碼監(jiān)測系統(tǒng)，具備對蠕蟲、木馬和僵尸網絡的監(jiān)測能力。

(4)路由安全監(jiān)測：對互聯網關鍵基礎設施重要組成的BGP路由系統(tǒng)進行監(jiān)測，防止惡意的路由宣告、攔截或篡改BGP路由的事件發(fā)生。

(5)重點完善DNS安全監(jiān)控和防護手段，針對異常流量以及DNS欺騙攻擊的特點，對DNS服務器健康情況、DNS負載均衡設備、DNS系統(tǒng)解析情況等進行監(jiān)控，及時發(fā)現并解決安全問題。

2.2 移動互聯網安全防護

移動互聯網把移動通信網作為接入網絡，包括移動通信網絡接入、公眾互聯網服務、移動互聯網終端。移動互聯網面臨的安全威脅主要來自終端、網絡和業(yè)務。終端的智能化帶來的威脅主要是手機病毒和惡意代碼引起的破壞終端功能、竊取用戶信息、濫用網絡資源、非法惡意訂購等。網絡的安全威脅主要包括非法接入網絡、進行拒絕服務攻擊、跟蹤竊聽空口傳輸的信息、濫用網絡服務等。業(yè)務層面的安全威脅包括非法訪問業(yè)務、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露等。

針對以上安全威脅，應在終端側和網絡側進行安全防護。

(1)在終端側，主要增強終端自身的安全功能，終端應具有身份認證、業(yè)務應用的訪問控制能力，同時要安裝手機防病毒軟件。

(2)在網絡側，針對協議漏洞或網絡設備自身漏洞，首先要對網絡設備進行安全評估和加固，確保系統(tǒng)自身安全。其次，針對網絡攻擊和業(yè)務層面的攻擊，應在移動互聯網的互聯邊界和核心節(jié)點部署流量分析、流量清洗設備，識別出正常業(yè)務流量、異常攻擊流量等內容，實現對DDoS攻擊的防護。針對手機惡意代碼導致的濫發(fā)彩信、非法聯網、惡意下載、惡意訂購等行為，應在網絡側部署惡意代碼監(jiān)測系統(tǒng)。在GGSN上的Gn和Gp口通過分光把數據包采集到手機惡意代碼監(jiān)測系統(tǒng)進行掃描分析，同時可以從彩信中心獲取數據，對彩信及附件進行掃描分析，從而實現對惡意代碼的監(jiān)測和攔截(見圖1)。

圖1　在網絡側部署惡意代碼監(jiān)測系統(tǒng)

2.3 核心網安全防護

(1)軟交換網安全防護。軟交換網需要重點防范來自內部的風險，如維護終端、現場支持、支撐系統(tǒng)接入帶來的安全問題。重點防護措施可以包括：在軟交換網和網管、計費網絡的連接邊界，設置安全訪問策略，禁止越權訪問。根據需要，在網絡邊界部署防病毒網關類產品，以避免蠕蟲病毒的蔓延;維測終端、反牽終端安裝網絡版防病毒軟件，并專用于設備維護。

(2)GPRS核心網安全防護。GPRS系統(tǒng)面臨來自GPRS用戶、互聯伙伴和內部的安全風險。GPRS安全防護措施對GPRS網絡劃分了多個安全域，例如Gn安全域、Gi安全域、Gp安全域等，各安全域之間VLAN或防火墻實現與互聯網的隔離;省際Gn域互聯、Gp域與其它PLMN GRPS網絡互連、以及Gn與Gi域互聯時，均應設置防火墻，并配置合理的防火墻策略。

(3)3G核心網安全防護：3G核心網不僅在分組域采用IP技術，電路域核心網也將采用IP技術在核心網元間傳輸媒體流及信令信息，因此IP網絡的風險也逐步引入到3G核心網之中。由于3G核心網的重要性和復雜性，可以對其PS域網絡和CS域網絡分別劃分安全域并進行相應的防護。例如對CS域而言，可以劃分信令域、媒體域、維護OM域、計費域等;對于PS域可以分為Gn/Gp域，Gi域，Gom維護域、計費域等;對劃分的安全域分別進行安全威脅分析并進行針對性的防護。重要安全域中的網元之間要做到雙向認證、數據一致性檢查，同時對不同安全域要做到隔離，并在安全域之間進行相應的訪問控制。