新聞中心

EEPW首頁 > 手機(jī)與無線通信 > 設(shè)計(jì)應(yīng)用 > 通信網(wǎng)絡(luò)安全防護(hù)技術(shù)分析

通信網(wǎng)絡(luò)安全防護(hù)技術(shù)分析

作者: 時間:2012-07-25 來源:網(wǎng)絡(luò) 收藏

標(biāo)簽:軟交換網(wǎng) GPRS

本文引用地址:http://2s4d.com/article/154320.htm

1 面臨的安全形勢

隨著手機(jī)游戲、彩鈴、彩信、位置服務(wù)、移動商城等各種數(shù)據(jù)業(yè)務(wù)的快速發(fā)展,用戶數(shù)量呈現(xiàn)高速增長,截至2010年6月底,據(jù)CNNIC發(fā)布的報(bào)告顯示,中國的手機(jī)用戶數(shù)量超過8億戶,中國網(wǎng)民數(shù)達(dá)4.2億,手機(jī)上網(wǎng)用戶2.77億。在互聯(lián)網(wǎng)快速發(fā)展的同時,安全事件也層出不窮,黑色產(chǎn)業(yè)鏈日益成熟,攻擊行為組織化、攻擊手段自動化、攻擊目標(biāo)多樣化、攻擊目的趨利化等特點(diǎn)明顯。

近兩年來針對運(yùn)營商的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全事件總體有所上升,例如“5·19”,“6·25”互聯(lián)網(wǎng)DNS安全事件。除互聯(lián)網(wǎng)常見的安全事件外,以惡意獲取非法收入事件為主的事件明顯上升,例如通過惡意復(fù)制SIM卡、WAP惡意訂購、非法定位、泄露客戶信息等謀取經(jīng)濟(jì)利益等。目前,的安全現(xiàn)狀呈現(xiàn)出以下的一些趨勢:

(1)網(wǎng)絡(luò)IP化、設(shè)備IT化、應(yīng)用Web化使電信業(yè)務(wù)系統(tǒng)日益開放,業(yè)務(wù)安全漏洞更加易于利用。針對業(yè)務(wù)攻擊日益突出,電信業(yè)務(wù)系統(tǒng)的攻擊越來越趨向追求經(jīng)濟(jì)利益。

(2)手機(jī)終端智能化帶來了惡意代碼傳播、客戶信息安全及對網(wǎng)絡(luò)的沖擊等安全問題。

(3)三網(wǎng)融合、云計(jì)算、物聯(lián)網(wǎng)帶來的網(wǎng)絡(luò)開放性、終端復(fù)雜性使網(wǎng)絡(luò)面臨更多安全攻擊和威脅;系統(tǒng)可靠性以及數(shù)據(jù)保護(hù)將面臨更大的風(fēng)險;網(wǎng)絡(luò)安全問題從互聯(lián)網(wǎng)的虛擬空間拓展到物理空間,網(wǎng)絡(luò)安全和危機(jī)處置將面臨更大的挑戰(zhàn)。

(4)電信運(yùn)營企業(yè)保存的客戶信息(包括訂購關(guān)系)日益增多,客戶信息的流轉(zhuǎn)環(huán)節(jié)不斷增加,也存在SP等合作伙伴訪問客戶信息的需要,泄露、篡改、偽造客戶信息的問題日益突出。

(5)電信運(yùn)營企業(yè)內(nèi)部人員、第三方支持人員、SP等利用擁有的權(quán)限以及業(yè)務(wù)流程漏洞,實(shí)施以追求經(jīng)濟(jì)利益為目的的犯罪。

這些形勢都使互聯(lián)網(wǎng)安全、客戶信息的安全保護(hù)、業(yè)務(wù)安全成為各運(yùn)營商在著重考慮的問題,對這些安全風(fēng)險的控制也成為運(yùn)營中的重要環(huán)節(jié)。

2 通信網(wǎng)絡(luò)的措施

2.1 互聯(lián)網(wǎng)

互聯(lián)網(wǎng)(CMNet)是完全開放的IP網(wǎng)絡(luò)。面臨的主要安全風(fēng)險來自用戶、互聯(lián)伙伴的帶有拒絕服務(wù)攻擊性質(zhì)的安全事件,包括利用路由器漏洞的安全攻擊,分布式大流量攻擊,蠕蟲病毒、虛假路由、釣魚攻擊、P2P濫用等。

互聯(lián)網(wǎng)上的安全事件會影響直接或間接連接互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)。因此,針對互聯(lián)網(wǎng),應(yīng)重點(diǎn)做好以下幾方面安全措施:

(1)流量控制系統(tǒng):在互聯(lián)網(wǎng)的國際出入口、網(wǎng)間接口、骨干網(wǎng)接口的合適位置部署流量控制系統(tǒng),具備對各種業(yè)務(wù)流量帶寬進(jìn)行控制的能力,防止P2P等業(yè)務(wù)濫用。

(2)流量清洗系統(tǒng):在互聯(lián)網(wǎng)骨干網(wǎng)、網(wǎng)間等接口部署異常流量清洗系統(tǒng),用于發(fā)現(xiàn)對特定端口、特定協(xié)議等的攻擊行為并進(jìn)行阻斷,防止或減緩拒絕服務(wù)攻擊發(fā)生的可能性。

(3)惡意代碼監(jiān)測系統(tǒng):在骨干網(wǎng)接口、網(wǎng)間接口、IDC和重要系統(tǒng)的前端部署惡意代碼監(jiān)測系統(tǒng),具備對蠕蟲、木馬和僵尸網(wǎng)絡(luò)的監(jiān)測能力。

(4)路由安全監(jiān)測:對互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施重要組成的BGP路由系統(tǒng)進(jìn)行監(jiān)測,防止惡意的路由宣告、攔截或篡改BGP路由的事件發(fā)生。

(5)重點(diǎn)完善DNS安全監(jiān)控和防護(hù)手段,針對異常流量以及DNS欺騙攻擊的特點(diǎn),對DNS服務(wù)器健康情況、DNS負(fù)載均衡設(shè)備、DNS系統(tǒng)解析情況等進(jìn)行監(jiān)控,及時發(fā)現(xiàn)并解決安全問題。

2.2 移動互聯(lián)網(wǎng)安全防護(hù)

移動互聯(lián)網(wǎng)把移動通信網(wǎng)作為接入網(wǎng)絡(luò),包括移動通信網(wǎng)絡(luò)接入、公眾互聯(lián)網(wǎng)服務(wù)、移動互聯(lián)網(wǎng)終端。移動互聯(lián)網(wǎng)面臨的安全威脅主要來自終端、網(wǎng)絡(luò)和業(yè)務(wù)。終端的智能化帶來的威脅主要是手機(jī)病毒和惡意代碼引起的破壞終端功能、竊取用戶信息、濫用網(wǎng)絡(luò)資源、非法惡意訂購等。網(wǎng)絡(luò)的安全威脅主要包括非法接入網(wǎng)絡(luò)、進(jìn)行拒絕服務(wù)攻擊、跟蹤竊聽空口傳輸?shù)男畔?、濫用網(wǎng)絡(luò)服務(wù)等。業(yè)務(wù)層面的安全威脅包括非法訪問業(yè)務(wù)、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露等。

針對以上安全威脅,應(yīng)在終端側(cè)和網(wǎng)絡(luò)側(cè)進(jìn)行安全防護(hù)。

(1)在終端側(cè),主要增強(qiáng)終端自身的安全功能,終端應(yīng)具有身份認(rèn)證、業(yè)務(wù)應(yīng)用的訪問控制能力,同時要安裝手機(jī)防病毒軟件。

(2)在網(wǎng)絡(luò)側(cè),針對協(xié)議漏洞或網(wǎng)絡(luò)設(shè)備自身漏洞,首先要對網(wǎng)絡(luò)設(shè)備進(jìn)行安全評估和加固,確保系統(tǒng)自身安全。其次,針對網(wǎng)絡(luò)攻擊和業(yè)務(wù)層面的攻擊,應(yīng)在移動互聯(lián)網(wǎng)的互聯(lián)邊界和核心節(jié)點(diǎn)部署流量、流量清洗設(shè)備,識別出正常業(yè)務(wù)流量、異常攻擊流量等內(nèi)容,實(shí)現(xiàn)對DDoS攻擊的防護(hù)。針對手機(jī)惡意代碼導(dǎo)致的濫發(fā)彩信、非法聯(lián)網(wǎng)、惡意下載、惡意訂購等行為,應(yīng)在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測系統(tǒng)。在GGSN上的Gn和Gp口通過分光把數(shù)據(jù)包采集到手機(jī)惡意代碼監(jiān)測系統(tǒng)進(jìn)行掃描,同時可以從彩信中心獲取數(shù)據(jù),對彩信及附件進(jìn)行掃描,從而實(shí)現(xiàn)對惡意代碼的監(jiān)測和攔截(見圖1)。

圖1 在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測系統(tǒng)

圖1 在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測系統(tǒng)

2.3 核心網(wǎng)安全防護(hù)

(1)軟交換網(wǎng)安全防護(hù)。軟交換網(wǎng)需要重點(diǎn)防范來自內(nèi)部的風(fēng)險,如維護(hù)終端、現(xiàn)場支持、支撐系統(tǒng)接入帶來的安全問題。重點(diǎn)防護(hù)措施可以包括:在軟交換網(wǎng)和網(wǎng)管、計(jì)費(fèi)網(wǎng)絡(luò)的連接邊界,設(shè)置安全訪問策略,禁止越權(quán)訪問。根據(jù)需要,在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)類產(chǎn)品,以避免蠕蟲病毒的蔓延;維測終端、反牽終端安裝網(wǎng)絡(luò)版防病毒軟件,并專用于設(shè)備維護(hù)。

(2)GPRS核心網(wǎng)安全防護(hù)。GPRS系統(tǒng)面臨來自GPRS用戶、互聯(lián)伙伴和內(nèi)部的安全風(fēng)險。GPRS安全防護(hù)措施對GPRS網(wǎng)絡(luò)劃分了多個安全域,例如Gn安全域、Gi安全域、Gp安全域等,各安全域之間VLAN或防火墻實(shí)現(xiàn)與互聯(lián)網(wǎng)的隔離;省際Gn域互聯(lián)、Gp域與其它PLMN GRPS網(wǎng)絡(luò)互連、以及Gn與Gi域互聯(lián)時,均應(yīng)設(shè)置防火墻,并配置合理的防火墻策略。

(3)3G核心網(wǎng)安全防護(hù):3G核心網(wǎng)不僅在分組域采用IP,電路域核心網(wǎng)也將采用IP在核心網(wǎng)元間傳輸媒體流及信令信息,因此IP網(wǎng)絡(luò)的風(fēng)險也逐步引入到3G核心網(wǎng)之中。由于3G核心網(wǎng)的重要性和復(fù)雜性,可以對其PS域網(wǎng)絡(luò)和CS域網(wǎng)絡(luò)分別劃分安全域并進(jìn)行相應(yīng)的防護(hù)。例如對CS域而言,可以劃分信令域、媒體域、維護(hù)OM域、計(jì)費(fèi)域等;對于PS域可以分為Gn/Gp域,Gi域,Gom維護(hù)域、計(jì)費(fèi)域等;對劃分的安全域分別進(jìn)行安全威脅分析并進(jìn)行針對性的防護(hù)。重要安全域中的網(wǎng)元之間要做到雙向認(rèn)證、數(shù)據(jù)一致性檢查,同時對不同安全域要做到隔離,并在安全域之間進(jìn)行相應(yīng)的訪問控制。

p2p機(jī)相關(guān)文章:p2p原理




評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉