通信網(wǎng)絡安全防護

1、通信網(wǎng)絡安全防護互聯(lián)網(wǎng)(CMNet)是完全開放的IP網(wǎng)絡。面臨的主要安全風險來自用戶、互聯(lián)伙伴的帶有拒絕服務攻擊性質(zhì)的安全事件，包括利用路由器漏洞的安全攻擊，分布式大流量攻擊，蠕蟲病毒、虛假路由、釣魚攻擊、P2P 濫用等?；ヂ?lián)網(wǎng)上的安全事件會影響直接或間接連接互聯(lián)網(wǎng)的業(yè)務系統(tǒng)。因此，針對互聯(lián)網(wǎng)，應重點做好以下幾方面安 全措施：( 1) 流量控制系統(tǒng)：在互聯(lián)網(wǎng)的國際出入口、網(wǎng)間接口、骨干網(wǎng)接口的合適位置部署流量控制系統(tǒng)，具備對各種業(yè)務流量帶寬進行控制的能力，防止P2P 等業(yè)務濫用。2) 流量清洗系統(tǒng)：在互聯(lián)網(wǎng)骨干網(wǎng)、網(wǎng)間等接口部署異常流量清洗系統(tǒng)，用于發(fā)現(xiàn)對特定端口、特定協(xié)議等的攻擊行為并進行阻

2、斷，防止或減緩拒絕服務攻擊發(fā)生的可能性。(3)惡意代碼監(jiān)測系統(tǒng)：在骨干網(wǎng)接口、網(wǎng)間接口、IDC和重要系統(tǒng)的前端部署惡意代碼監(jiān)測系統(tǒng)，具備對蠕蟲、木馬和僵尸網(wǎng)絡的監(jiān)測能力。(4)路由安全監(jiān)測：對互聯(lián)網(wǎng)關鍵基礎設施重要組成的BGP路由系統(tǒng)進行監(jiān)測，防止惡意的路由宣告、攔截或篡改BGP路由的事件發(fā)生。(5)重點完善DNS安全監(jiān)控和防護手段，針對異常流量以及DNS欺騙攻擊的特點，對 DNS服務器健康情況、DNS負載均衡設備、DNS系統(tǒng)解析情況等進行監(jiān)控，及時發(fā)現(xiàn)并解決安全問題。通信網(wǎng)絡安全防護 移動互聯(lián)網(wǎng)安全防護移動互聯(lián)網(wǎng)把移動通信網(wǎng)作為接入網(wǎng)絡，包括移動通信網(wǎng)絡接入、公眾互聯(lián)網(wǎng)服務、移動互聯(lián)網(wǎng)終端。

3、移動互 聯(lián)網(wǎng)面臨的安全威脅主要來自終端、網(wǎng)絡和業(yè)務。終端的智能化帶來的威脅主要是手機病毒和惡意代碼引起的 破壞終端功能、竊取用戶信息、濫用網(wǎng)絡資源、非法惡意訂購等。 網(wǎng)絡的安全威脅主要包括非法接入網(wǎng)絡、進行拒絕服務攻擊、跟蹤竊聽空口傳輸?shù)男畔?、濫用網(wǎng)絡服務等。業(yè) 務層面的安全威脅包括非法訪問業(yè)務、非法訪問數(shù)據(jù)、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個 人隱私和敏感信息的泄露等。針對以上安全威脅，應在終端側(cè)和網(wǎng)絡側(cè)進行安全防護。（ 1） 在終端側(cè)，主要增強終端自身的安全功能，終端應具有身份認證、業(yè)務應用的訪問控制能力，同時要安裝 手機防病毒軟件。（ 2） 在網(wǎng)絡側(cè)，針對協(xié)議漏洞或網(wǎng)絡設備

4、自身漏洞，首先要對網(wǎng)絡設備進行安全評估和加固，確保系統(tǒng)自身安全。其次，針對網(wǎng)絡攻擊和業(yè)務層面的攻擊，應在移動互聯(lián)網(wǎng)的互聯(lián)邊界和核心節(jié)點部署流量分析、流量清洗設備，識別出正常業(yè)務流量、異常攻擊流量等內(nèi)容，實現(xiàn)對 DDoS攻擊的防護。針對手機惡意代碼導致的濫發(fā)彩信、非法聯(lián)網(wǎng)、惡意下載、惡意訂購等行為，應在網(wǎng)絡側(cè)部署惡意代碼監(jiān)測系統(tǒng)。在GGSN上的Gn和Gp 口通過分光把數(shù)據(jù)包采集到手機惡意代碼監(jiān)測系統(tǒng)進行掃描分析，同時可以從彩信中心獲取數(shù)據(jù)，對彩信及附件進行掃描分析，從而實現(xiàn)對惡意代碼的監(jiān)測和攔截（見圖1 ）。1 在網(wǎng)絡側(cè)部署惡意代碼監(jiān)測系統(tǒng)通信網(wǎng)絡的安全防護措施還不止本文介紹的兩種，我們還會在以

5、后的文章中繼續(xù)向大家介紹，請感興趣的朋友 關注：淺析通信網(wǎng)絡的安全防護措施下篇通信網(wǎng)絡安全防護 核心網(wǎng)安全防護（ 1） 軟交換網(wǎng)安全防護。軟交換網(wǎng)需要重點防范來自內(nèi)部的風險，如維護終端、現(xiàn)場支持、支撐系統(tǒng)接入帶來的安全問題。重點防護措施可以包括：在軟交換網(wǎng)和網(wǎng)管、計費網(wǎng)絡的連接邊界，設置安全訪問策略，禁止越權訪問。根據(jù)需要，在網(wǎng)絡邊界部署防病毒網(wǎng)關類產(chǎn)品，以避免蠕蟲病毒的蔓延；維測終端、反牽終端安裝網(wǎng)絡版防病毒軟件，并專用于設備維護。 2） GPRSK心網(wǎng)安全防護。GPRS系統(tǒng)面臨來自 GPRS用戶、互聯(lián)伙伴和內(nèi)部的安全風險。GPRS安全防護措施對GPRS網(wǎng)絡劃分了多個安全域，例如Gn安全域、

6、Gi安全域、Gp安全域等，各安全域之間VLAN或防火墻實現(xiàn)與互聯(lián)網(wǎng)的隔離；省際Gn域互聯(lián)、Gp域與其它PLMNGRPS網(wǎng)絡互連、以及 Gn與Gi域互聯(lián)時，均應設置防火墻，并配置合理的防火墻策略。 3） 3） 3G 核心網(wǎng)安全防護：3G 核心網(wǎng)不僅在分組域采用IP 技術，電路域核心網(wǎng)也將采用IP 技術在核心網(wǎng)元間傳輸媒體流及信令信息，因此 IP網(wǎng)絡的風險也逐步引入到 3G核心網(wǎng)之中。由于 3G核心網(wǎng)的重要性和復雜性， 可以又t其PS域網(wǎng)絡和CS域網(wǎng)絡分別劃分安全域并進行相應的防護。例如對CS域而言，可以劃分信令域、媒體域、維護OM 域、計費域等。對于PS域可以分為Gn/Gp域，Gi域，Gom維護

7、域、計費域等；對劃分的安全域分別進行安全威脅分析并進行針對性的防護。重要安全域中的網(wǎng)元之間要做到雙向認證、數(shù)據(jù)一致性檢查，同時對不同安全域要做到隔離，并在安全域之間進行相應的訪問控制。通信網(wǎng)絡安全防護 支撐網(wǎng)絡安全防護支撐網(wǎng)絡包括網(wǎng)管支撐系統(tǒng)、業(yè)務支撐系統(tǒng)和管理支撐系統(tǒng)。支撐網(wǎng)絡中有大量的IT設備、終端，面臨的安全威脅主要包括病毒、木馬、非授權的訪問或越權使用、信息泄密、數(shù)據(jù)完整性破壞、系統(tǒng)可用性被破壞等。支撐網(wǎng)絡安全防護的基礎是做好安全域劃分、系統(tǒng)自身安全和增加基礎安全防護手段。同時，通過建立4A 系統(tǒng)，對內(nèi)部維護人員和廠家人員操作網(wǎng)絡、業(yè)務系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務支撐系統(tǒng)、OA 系統(tǒng)等的全過程實施管控。對支撐系統(tǒng)進行區(qū)域劃分，進行層次化、有重點的保護是保證系統(tǒng)安全的有效手段。安全域劃分遵循集中化防護和分等級防護原則，整合各系統(tǒng)分散的防護邊界，形成數(shù)個大的安全域，內(nèi)部分區(qū) 控制、外部整合邊界，并以此為基礎集中部署安全域內(nèi)各系統(tǒng)共享的安全技術防護手段，實現(xiàn)重兵把守、縱深 防護。4A 系統(tǒng)為用戶訪問資源、進行維護操作提供了便捷、高效、可靠的途徑，并對操作維護過程進行實時日志審計，同時也為加強企業(yè)內(nèi)部網(wǎng)絡與信息安全控制、滿足相關法案審計要求提供技術保證。