互聯(lián)網(wǎng)(CMNet)是完全開放的IP網(wǎng)絡���。面臨的主要安全風險來自用戶�、互聯(lián)伙伴的帶有拒絕服務攻擊性質的安全事件���,包括利用路由器漏洞的安全攻擊���,分布式大流量攻擊��,蠕蟲病毒����、虛假路由����、釣魚攻擊、P2P濫用等��。
互聯(lián)網(wǎng)上的安全事件會影響直接或間接連接互聯(lián)網(wǎng)的業(yè)務系統(tǒng)�����。因此���,針對互聯(lián)網(wǎng)��,應重點做好以下幾方面安全措施:
(1)流量控制系統(tǒng):在互聯(lián)網(wǎng)的國際出入口����、網(wǎng)間接口、骨干網(wǎng)接口的合適位置部署流量控制系統(tǒng)����,具備對各種業(yè)務流量帶寬進行控制的能力,防止P2P等業(yè)務濫用��。
(2)流量清洗系統(tǒng):在互聯(lián)網(wǎng)骨干網(wǎng)��、網(wǎng)間等接口部署異常流量清洗系統(tǒng)�����,用于發(fā)現(xiàn)對特定端口����、特定協(xié)議等的攻擊行為并進行阻斷��,防止或減緩拒絕服務攻擊發(fā)生的可能性���。
(3)惡意代碼監(jiān)測系統(tǒng):在骨干網(wǎng)接口��、網(wǎng)間接口����、IDC和重要系統(tǒng)的前端部署惡意代碼監(jiān)測系統(tǒng),具備對蠕蟲�����、木馬和僵尸網(wǎng)絡的監(jiān)測能力�����。
(4)路由安全監(jiān)測:對互聯(lián)網(wǎng)關鍵基礎設施重要組成的BGP路由系統(tǒng)進行監(jiān)測����,防止惡意的路由宣告、攔截或篡改BGP路由的事件發(fā)生����。
(5)重點完善DNS安全監(jiān)控和防護手段,針對異常流量以及DNS欺騙攻擊的特點�,對DNS服務器健康情況、DNS負載均衡設備�、DNS系統(tǒng)解析情況等進行監(jiān)控,及時發(fā)現(xiàn)并解決安全問題����。
通信網(wǎng)絡安全防護—移動互聯(lián)網(wǎng)安全防護
移動互聯(lián)網(wǎng)把移動通信網(wǎng)作為接入網(wǎng)絡����,包括移動通信網(wǎng)絡接入�、公眾互聯(lián)網(wǎng)服務、移動互聯(lián)網(wǎng)終端���。移動互聯(lián)網(wǎng)面臨的安全威脅主要來自終端���、網(wǎng)絡和業(yè)務。終端的智能化帶來的威脅主要是手機病毒和惡意代碼引起的破壞終端功能����、竊取用戶信息、濫用網(wǎng)絡資源�、非法惡意訂購等。
網(wǎng)絡的安全威脅主要包括非法接入網(wǎng)絡�、進行拒絕服務攻擊、跟蹤竊聽空口傳輸?shù)男畔?����、濫用網(wǎng)絡服務等�。業(yè)務層面的安全威脅包括非法訪問業(yè)務����、非法訪問數(shù)據(jù)��、拒絕服務攻擊�、垃圾信息的泛濫���、不良信息的傳播��、個人隱私和敏感信息的泄露等����。
針對以上安全威脅�,應在終端側和網(wǎng)絡側進行安全防護。
(1)在終端側����,主要增強終端自身的安全功能,終端應具有身份認證��、業(yè)務應用的訪問控制能力���,同時要安裝手機防病毒軟件����。
(2)在網(wǎng)絡側,針對協(xié)議漏洞或網(wǎng)絡設備自身漏洞��,首先要對網(wǎng)絡設備進行安全評估和加固�����,確保系統(tǒng)自身安全�����。其次����,針對網(wǎng)絡攻擊和業(yè)務層面的攻擊,應在移動互聯(lián)網(wǎng)的互聯(lián)邊界和核心節(jié)點部署流量分析�����、流量清洗設備���,識別出正常業(yè)務流量����、異常攻擊流量等內容,實現(xiàn)對DDoS攻擊的防護���。
針對手機惡意代碼導致的濫發(fā)彩信、非法聯(lián)網(wǎng)��、惡意下載����、惡意訂購等行為,應在網(wǎng)絡側部署惡意代碼監(jiān)測系統(tǒng)�。在GGSN上的Gn和Gp口通過分光把數(shù)據(jù)包采集到手機惡意代碼監(jiān)測系統(tǒng)進行掃描分析,同時可以從彩信中心獲取數(shù)據(jù)����,對彩信及附件進行掃描分析,從而實現(xiàn)對惡意代碼的監(jiān)測和攔截(見圖1)���。
圖1 在網(wǎng)絡側部署惡意代碼監(jiān)測系統(tǒng)
通信網(wǎng)絡的安全防護措施還不止本文介紹的兩種���,我們還會在以后的文章中繼續(xù)向大家介紹,請感興趣的朋友關注:淺析通信網(wǎng)絡的安全防護措施 下篇
通信網(wǎng)絡安全防護—核心網(wǎng)安全防護
(1)軟交換網(wǎng)安全防護���。軟交換網(wǎng)需要重點防范來自內部的風險����,如維護終端、現(xiàn)場支持�����、支撐系統(tǒng)接入帶來的安全問題���。重點防護措施可以包括:在軟交換網(wǎng)和網(wǎng)管���、計費網(wǎng)絡的連接邊界,設置安全訪問策略����,禁止越權訪問。根據(jù)需要�,在網(wǎng)絡邊界部署防病毒網(wǎng)關類產品,以避免蠕蟲病毒的蔓延��;維測終端��、反牽終端安裝網(wǎng)絡版防病毒軟件���,并專用于設備維護�����。
(2)GPRS核心網(wǎng)安全防護�。GPRS系統(tǒng)面臨來自GPRS用戶、互聯(lián)伙伴和內部的安全風險�。GPRS安全防護措施對GPRS網(wǎng)絡劃分了多個安全域����,例如Gn安全域、Gi安全域��、Gp安全域等�,各安全域之間VLAN或防火墻實現(xiàn)與互聯(lián)網(wǎng)的隔離;省際Gn域互聯(lián)���、Gp域與其它PLMN GRPS網(wǎng)絡互連����、以及Gn與Gi域互聯(lián)時�,均應設置防火墻,并配置合理的防火墻策略�����。
(3)3G核心網(wǎng)安全防護:3G核心網(wǎng)不僅在分組域采用IP技術,電路域核心網(wǎng)也將采用IP技術在核心網(wǎng)元間傳輸媒體流及信令信息�,因此IP網(wǎng)絡的風險也逐步引入到3G核心網(wǎng)之中。由于3G核心網(wǎng)的重要性和復雜性���,可以對其PS域網(wǎng)絡和CS域網(wǎng)絡分別劃分安全域并進行相應的防護�����。例如對CS域而言����,可以劃分信令域�、媒體域、維護OM域��、計費域等��。
對于PS域可以分為Gn/Gp域����,Gi域,Gom維護域�、計費域等;對劃分的安全域分別進行安全威脅分析并進行針對性的防護�����。重要安全域中的網(wǎng)元之間要做到雙向認證、數(shù)據(jù)一致性檢查���,同時對不同安全域要做到隔離�,并在安全域之間進行相應的訪問控制�。
通信網(wǎng)絡安全防護—支撐網(wǎng)絡安全防護
支撐網(wǎng)絡包括網(wǎng)管支撐系統(tǒng)、業(yè)務支撐系統(tǒng)和管理支撐系統(tǒng)��。支撐網(wǎng)絡中有大量的IT設備�����、終端�����,面臨的安全威脅主要包括病毒�、木馬�����、非授權的訪問或越權使用��、信息泄密、數(shù)據(jù)完整性破壞���、系統(tǒng)可用性被破壞等��。
支撐網(wǎng)絡安全防護的基礎是做好安全域劃分�����、系統(tǒng)自身安全和增加基礎安全防護手段���。同時,通過建立4A系統(tǒng)���,對內部維護人員和廠家人員操作網(wǎng)絡�����、業(yè)務系統(tǒng)�����、網(wǎng)管系統(tǒng)�、業(yè)務支撐系統(tǒng)��、OA系統(tǒng)等的全過程實施管控。對支撐系統(tǒng)進行區(qū)域劃分�����,進行層次化���、有重點的保護是保證系統(tǒng)安全的有效手段���。
安全域劃分遵循集中化防護和分等級防護原則,整合各系統(tǒng)分散的防護邊界�,形成數(shù)個大的安全域,內部分區(qū)控制�、外部整合邊界,并以此為基礎集中部署安全域內各系統(tǒng)共享的安全技術防護手段�����,實現(xiàn)重兵把守����、縱深防護�。
4A系統(tǒng)為用戶訪問資源、進行維護操作提供了便捷���、高效����、可靠的途徑,并對操作維護過程進行實時日志審計��,同時也為加強企業(yè)內部網(wǎng)絡與信息安全控制�����、滿足相關法案審計要求提供技術保證���。圖2為維護人員通過登錄4A系統(tǒng)后訪問后臺設備的示意圖��。
4A系統(tǒng)作為用戶訪問后臺系統(tǒng)的惟一入口�����,可以實現(xiàn)對系統(tǒng)維護人員��、用戶的統(tǒng)一接入訪問控制�、授權和操作行為審計��。對于防止違規(guī)訪問敏感信息系統(tǒng)和在訪問之后進行審計提供非常重要的管控手段。
?
