通信網(wǎng)絡(luò )安全防護綜述

標簽：DNS系統 網(wǎng)絡(luò )IP化

1 通信網(wǎng)絡(luò )面臨的安全形勢

隨著(zhù)手機游戲、彩鈴、彩信、位置服務(wù)、移動(dòng)商城等各種數據業(yè)務(wù)的快速發(fā)展，用戶(hù)數量呈現高速增長(cháng)，截至2010年6月底，據CNNIC發(fā)布的報告顯示，中國的手機用戶(hù)數量超過(guò)8億戶(hù)，中國網(wǎng)民數達4.2億，手機上網(wǎng)用戶(hù)2.77億。在互聯(lián)網(wǎng)快速發(fā)展的同時(shí)，安全事件也層出不窮，黑色產(chǎn)業(yè)鏈日益成熟，攻擊行為組織化、攻擊手段自動(dòng)化、攻擊目標多樣化、攻擊目的趨利化等特點(diǎn)明顯。

近兩年來(lái)針對運營(yíng)商的網(wǎng)絡(luò )和業(yè)務(wù)系統的安全事件總體有所上升，例如“5·19”，“6·25”互聯(lián)網(wǎng)DNS安全事件。除互聯(lián)網(wǎng)常見(jiàn)的安全事件外，以惡意獲取非法收入事件為主的事件明顯上升，例如通過(guò)惡意復制SIM卡、WAP惡意訂購、非法定位、泄露客戶(hù)信息等謀取經(jīng)濟利益等。目前，通信網(wǎng)絡(luò )的安全現狀呈現出以下的一些趨勢：

(1)網(wǎng)絡(luò )IP化、設備IT化、應用Web化使電信業(yè)務(wù)系統日益開(kāi)放，業(yè)務(wù)安全漏洞更加易于利用。針對業(yè)務(wù)攻擊日益突出，電信業(yè)務(wù)系統的攻擊越來(lái)越趨向追求經(jīng)濟利益。

(2)手機終端智能化帶來(lái)了惡意代碼傳播、客戶(hù)信息安全及對網(wǎng)絡(luò )的沖擊等安全問(wèn)題。

(3)三網(wǎng)融合、云計算、物聯(lián)網(wǎng)帶來(lái)的網(wǎng)絡(luò )開(kāi)放性、終端復雜性使網(wǎng)絡(luò )面臨更多安全攻擊和威脅;系統可靠性以及數據保護將面臨更大的風(fēng)險;網(wǎng)絡(luò )安全問(wèn)題從互聯(lián)網(wǎng)的虛擬空間拓展到物理空間，網(wǎng)絡(luò )安全和危機處置將面臨更大的挑戰。

(4)電信運營(yíng)企業(yè)保存的客戶(hù)信息(包括訂購關(guān)系)日益增多，客戶(hù)信息的流轉環(huán)節不斷增加，也存在SP等合作伙伴訪(fǎng)問(wèn)客戶(hù)信息的需要，泄露、篡改、偽造客戶(hù)信息的問(wèn)題日益突出。

(5)電信運營(yíng)企業(yè)內部人員、第三方支持人員、SP等利用擁有的權限以及業(yè)務(wù)流程漏洞，實(shí)施以追求經(jīng)濟利益為目的的犯罪。

這些形勢都使互聯(lián)網(wǎng)安全、客戶(hù)信息的安全保護、業(yè)務(wù)安全成為各運營(yíng)商在通信網(wǎng)絡(luò )安全防護著(zhù)重考慮的問(wèn)題，對這些安全風(fēng)險的控制也成為運營(yíng)中的重要環(huán)節。

2 通信網(wǎng)絡(luò )的安全防護措施

2.1 互聯(lián)網(wǎng)安全防護

互聯(lián)網(wǎng)(CMNet)是完全開(kāi)放的IP網(wǎng)絡(luò )。面臨的主要安全風(fēng)險來(lái)自用戶(hù)、互聯(lián)伙伴的帶有拒絕服務(wù)攻擊性質(zhì)的安全事件，包括利用路由器漏洞的安全攻擊，分布式大流量攻擊，蠕蟲(chóng)病毒、虛假路由、釣魚(yú)攻擊、P2P濫用等。

互聯(lián)網(wǎng)上的安全事件會(huì )影響直接或間接連接互聯(lián)網(wǎng)的業(yè)務(wù)系統。因此，針對互聯(lián)網(wǎng)，應重點(diǎn)做好以下幾方面安全措施：

(1)流量控制系統：在互聯(lián)網(wǎng)的國際出入口、網(wǎng)間接口、骨干網(wǎng)接口的合適位置部署流量控制系統，具備對各種業(yè)務(wù)流量帶寬進(jìn)行控制的能力，防止P2P等業(yè)務(wù)濫用。

(2)流量清洗系統：在互聯(lián)網(wǎng)骨干網(wǎng)、網(wǎng)間等接口部署異常流量清洗系統，用于發(fā)現對特定端口、特定協(xié)議等的攻擊行為并進(jìn)行阻斷，防止或減緩拒絕服務(wù)攻擊發(fā)生的可能性。

(3)惡意代碼監測系統：在骨干網(wǎng)接口、網(wǎng)間接口、IDC和重要系統的前端部署惡意代碼監測系統，具備對蠕蟲(chóng)、木馬和僵尸網(wǎng)絡(luò )的監測能力。

(4)路由安全監測：對互聯(lián)網(wǎng)關(guān)鍵基礎設施重要組成的BGP路由系統進(jìn)行監測，防止惡意的路由宣告、攔截或篡改BGP路由的事件發(fā)生。

(5)重點(diǎn)完善DNS安全監控和防護手段，針對異常流量以及DNS欺騙攻擊的特點(diǎn)，對DNS服務(wù)器健康情況、DNS負載均衡設備、DNS系統解析情況等進(jìn)行監控，及時(shí)發(fā)現并解決安全問(wèn)題。

2.2 移動(dòng)互聯(lián)網(wǎng)安全防護

移動(dòng)互聯(lián)網(wǎng)把移動(dòng)通信網(wǎng)作為接入網(wǎng)絡(luò )，包括移動(dòng)通信網(wǎng)絡(luò )接入、公眾互聯(lián)網(wǎng)服務(wù)、移動(dòng)互聯(lián)網(wǎng)終端。移動(dòng)互聯(lián)網(wǎng)面臨的安全威脅主要來(lái)自終端、網(wǎng)絡(luò )和業(yè)務(wù)。終端的智能化帶來(lái)的威脅主要是手機病毒和惡意代碼引起的破壞終端功能、竊取用戶(hù)信息、濫用網(wǎng)絡(luò )資源、非法惡意訂購等。網(wǎng)絡(luò )的安全威脅主要包括非法接入網(wǎng)絡(luò )、進(jìn)行拒絕服務(wù)攻擊、跟蹤竊聽(tīng)空口傳輸的信息、濫用網(wǎng)絡(luò )服務(wù)等。業(yè)務(wù)層面的安全威脅包括非法訪(fǎng)問(wèn)業(yè)務(wù)、非法訪(fǎng)問(wèn)數據、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個(gè)人隱私和敏感信息的泄露等。

針對以上安全威脅，應在終端側和網(wǎng)絡(luò )側進(jìn)行安全防護。

(1)在終端側，主要增強終端自身的安全功能，終端應具有身份認證、業(yè)務(wù)應用的訪(fǎng)問(wèn)控制能力，同時(shí)要安裝手機防病毒軟件。

(2)在網(wǎng)絡(luò )側，針對協(xié)議漏洞或網(wǎng)絡(luò )設備自身漏洞，首先要對網(wǎng)絡(luò )設備進(jìn)行安全評估和加固，確保系統自身安全。其次，針對網(wǎng)絡(luò )攻擊和業(yè)務(wù)層面的攻擊，應在移動(dòng)互聯(lián)網(wǎng)的互聯(lián)邊界和核心節點(diǎn)部署流量分析、流量清洗設備，識別出正常業(yè)務(wù)流量、異常攻擊流量等內容，實(shí)現對DDoS攻擊的防護。針對手機惡意代碼導致的濫發(fā)彩信、非法聯(lián)網(wǎng)、惡意下載、惡意訂購等行為，應在網(wǎng)絡(luò )側部署惡意代碼監測系統。在GGSN上的Gn和Gp口通過(guò)分光把數據包采集到手機惡意代碼監測系統進(jìn)行掃描分析，同時(shí)可以從彩信中心獲取數據，對彩信及附件進(jìn)行掃描分析，從而實(shí)現對惡意代碼的監測和攔截(見(jiàn)圖1)。

圖1　在網(wǎng)絡(luò )側部署惡意代碼監測系統

2.3 核心網(wǎng)安全防護

(1)軟交換網(wǎng)安全防護。軟交換網(wǎng)需要重點(diǎn)防范來(lái)自?xún)炔康娘L(fēng)險，如維護終端、現場(chǎng)支持、支撐系統接入帶來(lái)的安全問(wèn)題。重點(diǎn)防護措施可以包括：在軟交換網(wǎng)和網(wǎng)管、計費網(wǎng)絡(luò )的連接邊界，設置安全訪(fǎng)問(wèn)策略，禁止越權訪(fǎng)問(wèn)。根據需要，在網(wǎng)絡(luò )邊界部署防病毒網(wǎng)關(guān)類(lèi)產(chǎn)品，以避免蠕蟲(chóng)病毒的蔓延;維測終端、反牽終端安裝網(wǎng)絡(luò )版防病毒軟件，并專(zhuān)用于設備維護。

(2)GPRS核心網(wǎng)安全防護。GPRS系統面臨來(lái)自GPRS用戶(hù)、互聯(lián)伙伴和內部的安全風(fēng)險。GPRS安全防護措施對GPRS網(wǎng)絡(luò )劃分了多個(gè)安全域，例如Gn安全域、Gi安全域、Gp安全域等，各安全域之間VLAN或防火墻實(shí)現與互聯(lián)網(wǎng)的隔離;省際Gn域互聯(lián)、Gp域與其它PLMN GRPS網(wǎng)絡(luò )互連、以及Gn與Gi域互聯(lián)時(shí)，均應設置防火墻，并配置合理的防火墻策略。