通信網(wǎng)絡(luò)安全防護(hù)
評(píng)論: 更新日期:2018年01月11日
互聯(lián)網(wǎng)(CMNet)是完全開放的IP網(wǎng)絡(luò)���。面臨的主要安全風(fēng)險(xiǎn)來自用戶�、互聯(lián)伙伴的帶有拒絕服務(wù)攻擊性質(zhì)的安全事件�����,包括利用路由器漏洞的安全攻擊���,分布式大流量攻擊��,蠕蟲病毒�����、虛假路由��、釣魚攻擊���、P2P濫用等。
互聯(lián)網(wǎng)上的安全事件會(huì)影響直接或間接連接互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)��。因此����,針對(duì)互聯(lián)網(wǎng),應(yīng)重點(diǎn)做好以下幾方面安全措施:
(1)流量控制系統(tǒng):在互聯(lián)網(wǎng)的國(guó)際出入口��、網(wǎng)間接口���、骨干網(wǎng)接口的合適位置部署流量控制系統(tǒng)�,具備對(duì)各種業(yè)務(wù)流量帶寬進(jìn)行控制的能力,防止P2P等業(yè)務(wù)濫用。
(2)流量清洗系統(tǒng):在互聯(lián)網(wǎng)骨干網(wǎng)���、網(wǎng)間等接口部署異常流量清洗系統(tǒng)��,用于發(fā)現(xiàn)對(duì)特定端口�、特定協(xié)議等的攻擊行為并進(jìn)行阻斷�,防止或減緩拒絕服務(wù)攻擊發(fā)生的可能性��。
(3)惡意代碼監(jiān)測(cè)系統(tǒng):在骨干網(wǎng)接口���、網(wǎng)間接口�、IDC和重要系統(tǒng)的前端部署惡意代碼監(jiān)測(cè)系統(tǒng)�,具備對(duì)蠕蟲、木馬和僵尸網(wǎng)絡(luò)的監(jiān)測(cè)能力���。
(4)路由安全監(jiān)測(cè):對(duì)互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施重要組成的BGP路由系統(tǒng)進(jìn)行監(jiān)測(cè)���,防止惡意的路由宣告、攔截或篡改BGP路由的事件發(fā)生。
(5)重點(diǎn)完善DNS安全監(jiān)控和防護(hù)手段�����,針對(duì)異常流量以及DNS欺騙攻擊的特點(diǎn)����,對(duì)DNS服務(wù)器健康情況、DNS負(fù)載均衡設(shè)備、DNS系統(tǒng)解析情況等進(jìn)行監(jiān)控�����,及時(shí)發(fā)現(xiàn)并解決安全問題�。
通信網(wǎng)絡(luò)安全防護(hù)—移動(dòng)互聯(lián)網(wǎng)安全防護(hù)
移動(dòng)互聯(lián)網(wǎng)把移動(dòng)通信網(wǎng)作為接入網(wǎng)絡(luò)����,包括移動(dòng)通信網(wǎng)絡(luò)接入���、公眾互聯(lián)網(wǎng)服務(wù)、移動(dòng)互聯(lián)網(wǎng)終端�。移動(dòng)互聯(lián)網(wǎng)面臨的安全威脅主要來自終端、網(wǎng)絡(luò)和業(yè)務(wù)����。終端的智能化帶來的威脅主要是手機(jī)病毒和惡意代碼引起的破壞終端功能����、竊取用戶信息、濫用網(wǎng)絡(luò)資源����、非法惡意訂購(gòu)等。
網(wǎng)絡(luò)的安全威脅主要包括非法接入網(wǎng)絡(luò)���、進(jìn)行拒絕服務(wù)攻擊����、跟蹤竊聽空口傳輸?shù)男畔?��、濫用網(wǎng)絡(luò)服務(wù)等。業(yè)務(wù)層面的安全威脅包括非法訪問業(yè)務(wù)�����、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊�����、垃圾信息的泛濫�����、不良信息的傳播、個(gè)人隱私和敏感信息的泄露等��。
針對(duì)以上安全威脅,應(yīng)在終端側(cè)和網(wǎng)絡(luò)側(cè)進(jìn)行安全防護(hù)��。
(1)在終端側(cè)����,主要增強(qiáng)終端自身的安全功能����,終端應(yīng)具有身份認(rèn)證、業(yè)務(wù)應(yīng)用的訪問控制能力�����,同時(shí)要安裝手機(jī)防病毒軟件����。
(2)在網(wǎng)絡(luò)側(cè)�,針對(duì)協(xié)議漏洞或網(wǎng)絡(luò)設(shè)備自身漏洞�����,首先要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全評(píng)估和加固����,確保系統(tǒng)自身安全�����。其次����,針對(duì)網(wǎng)絡(luò)攻擊和業(yè)務(wù)層面的攻擊�����,應(yīng)在移動(dòng)互聯(lián)網(wǎng)的互聯(lián)邊界和核心節(jié)點(diǎn)部署流量分析����、流量清洗設(shè)備,識(shí)別出正常業(yè)務(wù)流量、異常攻擊流量等內(nèi)容����,實(shí)現(xiàn)對(duì)DDoS攻擊的防護(hù)��。
針對(duì)手機(jī)惡意代碼導(dǎo)致的濫發(fā)彩信��、非法聯(lián)網(wǎng)、惡意下載�����、惡意訂購(gòu)等行為,應(yīng)在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測(cè)系統(tǒng)。在GGSN上的Gn和Gp口通過分光把數(shù)據(jù)包采集到手機(jī)惡意代碼監(jiān)測(cè)系統(tǒng)進(jìn)行掃描分析,同時(shí)可以從彩信中心獲取數(shù)據(jù)�����,對(duì)彩信及附件進(jìn)行掃描分析����,從而實(shí)現(xiàn)對(duì)惡意代碼的監(jiān)測(cè)和攔截(見圖1)�����。
圖1 在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測(cè)系統(tǒng)
通信網(wǎng)絡(luò)的安全防護(hù)措施還不止本文介紹的兩種�����,我們還會(huì)在以后的文章中繼續(xù)向大家介紹��,請(qǐng)感興趣的朋友關(guān)注:淺析通信網(wǎng)絡(luò)的安全防護(hù)措施 下篇
通信網(wǎng)絡(luò)安全防護(hù)—核心網(wǎng)安全防護(hù)
(1)軟交換網(wǎng)安全防護(hù)�����。軟交換網(wǎng)需要重點(diǎn)防范來自內(nèi)部的風(fēng)險(xiǎn)���,如維護(hù)終端���、現(xiàn)場(chǎng)支持�、支撐系統(tǒng)接入帶來的安全問題���。重點(diǎn)防護(hù)措施可以包括:在軟交換網(wǎng)和網(wǎng)管�����、計(jì)費(fèi)網(wǎng)絡(luò)的連接邊界,設(shè)置安全訪問策略�,禁止越權(quán)訪問。根據(jù)需要��,在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)類產(chǎn)品����,以避免蠕蟲病毒的蔓延;維測(cè)終端��、反牽終端安裝網(wǎng)絡(luò)版防病毒軟件���,并專用于設(shè)備維護(hù)�����。
(2)GPRS核心網(wǎng)安全防護(hù)��。GPRS系統(tǒng)面臨來自GPRS用戶���、互聯(lián)伙伴和內(nèi)部的安全風(fēng)險(xiǎn)����。GPRS安全防護(hù)措施對(duì)GPRS網(wǎng)絡(luò)劃分了多個(gè)安全域,例如Gn安全域�����、Gi安全域�、Gp安全域等,各安全域之間VLAN或防火墻實(shí)現(xiàn)與互聯(lián)網(wǎng)的隔離;省際Gn域互聯(lián)�����、Gp域與其它PLMN GRPS網(wǎng)絡(luò)互連����、以及Gn與Gi域互聯(lián)時(shí)��,均應(yīng)設(shè)置防火墻�����,并配置合理的防火墻策略。
(3)3G核心網(wǎng)安全防護(hù):3G核心網(wǎng)不僅在分組域采用IP技術(shù)�����,電路域核心網(wǎng)也將采用IP技術(shù)在核心網(wǎng)元間傳輸媒體流及信令信息��,因此IP網(wǎng)絡(luò)的風(fēng)險(xiǎn)也逐步引入到3G核心網(wǎng)之中�����。由于3G核心網(wǎng)的重要性和復(fù)雜性,可以對(duì)其PS域網(wǎng)絡(luò)和CS域網(wǎng)絡(luò)分別劃分安全域并進(jìn)行相應(yīng)的防護(hù)�。例如對(duì)CS域而言�,可以劃分信令域����、媒體域�、維護(hù)OM域����、計(jì)費(fèi)域等����。
對(duì)于PS域可以分為Gn/Gp域�����,Gi域�����,Gom維護(hù)域�、計(jì)費(fèi)域等;對(duì)劃分的安全域分別進(jìn)行安全威脅分析并進(jìn)行針對(duì)性的防護(hù)���。重要安全域中的網(wǎng)元之間要做到雙向認(rèn)證���、數(shù)據(jù)一致性檢查��,同時(shí)對(duì)不同安全域要做到隔離�����,并在安全域之間進(jìn)行相應(yīng)的訪問控制����。
通信網(wǎng)絡(luò)安全防護(hù)—支撐網(wǎng)絡(luò)安全防護(hù)
支撐網(wǎng)絡(luò)包括網(wǎng)管支撐系統(tǒng)�、業(yè)務(wù)支撐系統(tǒng)和管理支撐系統(tǒng)。支撐網(wǎng)絡(luò)中有大量的IT設(shè)備���、終端�,面臨的安全威脅主要包括病毒�����、木馬�����、非授權(quán)的訪問或越權(quán)使用��、信息泄密���、數(shù)據(jù)完整性破壞、系統(tǒng)可用性被破壞等�����。
支撐網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)是做好安全域劃分��、系統(tǒng)自身安全和增加基礎(chǔ)安全防護(hù)手段���。同時(shí),通過建立4A系統(tǒng),對(duì)內(nèi)部維護(hù)人員和廠家人員操作網(wǎng)絡(luò)�、業(yè)務(wù)系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)��、OA系統(tǒng)等的全過程實(shí)施管控����。對(duì)支撐系統(tǒng)進(jìn)行區(qū)域劃分,進(jìn)行層次化����、有重點(diǎn)的保護(hù)是保證系統(tǒng)安全的有效手段����。
安全域劃分遵循集中化防護(hù)和分等級(jí)防護(hù)原則����,整合各系統(tǒng)分散的防護(hù)邊界�����,形成數(shù)個(gè)大的安全域�,內(nèi)部分區(qū)控制�、外部整合邊界����,并以此為基礎(chǔ)集中部署安全域內(nèi)各系統(tǒng)共享的安全技術(shù)防護(hù)手段���,實(shí)現(xiàn)重兵把守�����、縱深防護(hù)�。
4A系統(tǒng)為用戶訪問資源���、進(jìn)行維護(hù)操作提供了便捷、高效����、可靠的途徑����,并對(duì)操作維護(hù)過程進(jìn)行實(shí)時(shí)日志審計(jì)�����,同時(shí)也為加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)與信息安全控制�����、滿足相關(guān)法案審計(jì)要求提供技術(shù)保證����。圖2為維護(hù)人員通過登錄4A系統(tǒng)后訪問后臺(tái)設(shè)備的示意圖���。
4A系統(tǒng)作為用戶訪問后臺(tái)系統(tǒng)的惟一入口,可以實(shí)現(xiàn)對(duì)系統(tǒng)維護(hù)人員��、用戶的統(tǒng)一接入訪問控制����、授權(quán)和操作行為審計(jì)。對(duì)于防止違規(guī)訪問敏感信息系統(tǒng)和在訪問之后進(jìn)行審計(jì)提供非常重要的管控手段�����。
?
