通信網(wǎng)絡(luò )安全防護綜述

(3)3G核心網(wǎng)安全防護：3G核心網(wǎng)不僅在分組域采用IP技術(shù)，電路域核心網(wǎng)也將采用IP技術(shù)在核心網(wǎng)元間傳輸媒體流及信令信息，因此IP網(wǎng)絡(luò )的風(fēng)險也逐步引入到3G核心網(wǎng)之中。由于3G核心網(wǎng)的重要性和復雜性，可以對其PS域網(wǎng)絡(luò )和CS域網(wǎng)絡(luò )分別劃分安全域并進(jìn)行相應的防護。例如對CS域而言，可以劃分信令域、媒體域、維護OM域、計費域等;對于PS域可以分為Gn/Gp域，Gi域，Gom維護域、計費域等;對劃分的安全域分別進(jìn)行安全威脅分析并進(jìn)行針對性的防護。重要安全域中的網(wǎng)元之間要做到雙向認證、數據一致性檢查，同時(shí)對不同安全域要做到隔離，并在安全域之間進(jìn)行相應的訪(fǎng)問(wèn)控制。

2.4 支撐網(wǎng)絡(luò )安全防護

支撐網(wǎng)絡(luò )包括網(wǎng)管支撐系統、業(yè)務(wù)支撐系統和管理支撐系統。支撐網(wǎng)絡(luò )中有大量的IT設備、終端，面臨的安全威脅主要包括病毒、木馬、非授權的訪(fǎng)問(wèn)或越權使用、信息泄密、數據完整性破壞、系統可用性被破壞等。

支撐網(wǎng)絡(luò )安全防護的基礎是做好安全域劃分、系統自身安全和增加基礎安全防護手段。同時(shí)，通過(guò)建立4A系統，對內部維護人員和廠(chǎng)家人員操作網(wǎng)絡(luò )、業(yè)務(wù)系統、網(wǎng)管系統、業(yè)務(wù)支撐系統、OA系統等的全過(guò)程實(shí)施管控。對支撐系統進(jìn)行區域劃分，進(jìn)行層次化、有重點(diǎn)的保護是保證系統安全的有效手段。安全域劃分遵循集中化防護和分等級防護原則，整合各系統分散的防護邊界，形成數個(gè)大的安全域，內部分區控制、外部整合邊界，并以此為基礎集中部署安全域內各系統共享的安全技術(shù)防護手段，實(shí)現重兵把守、縱深防護。

4A系統為用戶(hù)訪(fǎng)問(wèn)資源、進(jìn)行維護操作提供了便捷、高效、可靠的途徑，并對操作維護過(guò)程進(jìn)行實(shí)時(shí)日志審計，同時(shí)也為加強企業(yè)內部網(wǎng)絡(luò )與信息安全控制、滿(mǎn)足相關(guān)法案審計要求提供技術(shù)保證。圖2為維護人員通過(guò)登錄4A系統后訪(fǎng)問(wèn)后臺設備的示意圖。

圖2　維護人員通過(guò)登錄4A系統后訪(fǎng)問(wèn)后臺設備的示意

4A系統作為用戶(hù)訪(fǎng)問(wèn)后臺系統的惟一入口，可以實(shí)現對系統維護人員、用戶(hù)的統一接入訪(fǎng)問(wèn)控制、授權和操作行為審計。對于防止違規訪(fǎng)問(wèn)敏感信息系統和在訪(fǎng)問(wèn)之后進(jìn)行審計提供非常重要的管控手段。

3 重要系統的安全防護

3.1 Web網(wǎng)站安全防護

隨著(zhù)網(wǎng)絡(luò )層防護水平的提高，Web等應用層由于其開(kāi)放性可能會(huì )面臨著(zhù)越來(lái)越多的攻擊，隨著(zhù)通信業(yè)務(wù)Web化的發(fā)展趨勢，Web系統的安全直接影響到通信業(yè)務(wù)系統的安全。Web系統防護是一個(gè)復雜的問(wèn)題，包括應對網(wǎng)頁(yè)篡改、DDoS攻擊、信息泄漏、導致系統可用性問(wèn)題的其它類(lèi)型黑客攻擊等各種措施。針對Web系統的許多攻擊方式都是利用了Web系統設計編碼中存在的漏洞，因此Web網(wǎng)站的安全防護通常要包括Web系統上線(xiàn)的安全編碼階段、安全檢測及上線(xiàn)之后的監控及運行防護階段。Web系統上線(xiàn)之前的階段側重于應用工具發(fā)現代碼存在的漏洞，而在監控及運行防護階段需要針對系統分層進(jìn)行分別防護，例如分為內容層安全、應用層安全、網(wǎng)絡(luò )層安全、系統層安全等。在分層防護時(shí)分別部署內容檢測系統、Web安全漏洞掃描系統、防火墻、Web應用防火墻、系統漏洞掃描器等措施。

3.2 DNS系統的安全防護

DNS系統是互聯(lián)網(wǎng)的神經(jīng)系統，因此對DNS系統的安全防護尤為重要。近幾年來(lái)，針對DNS系統的攻擊比較突出的為DoS攻擊、DNS投毒、域名劫持及重定向等。DNS系統的安全防護需要部署流量清洗設備，在發(fā)生異常DNS Flood攻擊時(shí)，能夠將DNS流量牽引到流量清洗設備進(jìn)行清洗，保障DNS業(yè)務(wù)系統的正常運行。同時(shí)，DNS系統安全防護需要進(jìn)行安全配置并同時(shí)要運行安全的DNS系統或者啟用安全的協(xié)議，例如運行源端口隨機化的系統來(lái)部分解決DNS投毒問(wèn)題或者利用DNSSEC協(xié)議來(lái)避免DNS投毒、DNS劫持等。

4 新業(yè)務(wù)網(wǎng)絡(luò )的安全防護

4.1 物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)由大量的機器構成，很多節點(diǎn)處于無(wú)人值守環(huán)境，并且資源受限、數量龐大，因此物聯(lián)網(wǎng)除了面對移動(dòng)通信網(wǎng)絡(luò )的傳統網(wǎng)絡(luò )安全問(wèn)題之外，還存在著(zhù)一些特殊安全問(wèn)題，包括感知網(wǎng)絡(luò )的安全，以及感知網(wǎng)絡(luò )與通信網(wǎng)絡(luò )之間安全機制的相互協(xié)調。對于感知網(wǎng)絡(luò )的安全，主要有以下安全問(wèn)題：

(1)感知節點(diǎn)的物理安全問(wèn)題。很多節點(diǎn)處于無(wú)人值守環(huán)境，容易失效或受到物理攻擊，在進(jìn)行安全設計時(shí)必須考慮失效/被俘節點(diǎn)的檢測、撤除問(wèn)題，同時(shí)還要將失效/被俘節點(diǎn)導致的安全隱患限制在最小范圍內。

(2)感知網(wǎng)絡(luò )的傳輸與信息安全問(wèn)題。感知網(wǎng)絡(luò )通常采用短距離通信技術(shù)、以自組織方式組網(wǎng)，且感知節點(diǎn)處理器、存儲器、電源等資源非常有限。開(kāi)放的環(huán)境使傳輸介質(zhì)易受外界環(huán)境影響，節點(diǎn)附近容易產(chǎn)生信道沖突，惡意攻擊者也可以方便竊聽(tīng)重要信息。資源受限使節點(diǎn)無(wú)法進(jìn)行快速的高復雜度的計算，這對依賴(lài)于加解密算法的安全架構提出了挑戰，需要考慮輕量級、高效的安全實(shí)現方案。

目前，物聯(lián)網(wǎng)通信安全防護重點(diǎn)在節點(diǎn)認證、加密、密鑰管理、路由安全和入侵檢測等方面，業(yè)界也提出了一些針對性的解決方案，如SPINS協(xié)議，其子協(xié)議SNEP 提供點(diǎn)到點(diǎn)通信認證、數據機密性、完整性和新鮮性等安全服務(wù)，子協(xié)議μTESLA提供對廣播消息的數據認證服務(wù)。但目前主要針對某個(gè)領(lǐng)域解決特定的安全問(wèn)題，遠未形成物聯(lián)網(wǎng)安全防護體系，更無(wú)法與通信網(wǎng)絡(luò )相互配合形成統一的物聯(lián)網(wǎng)安全防護體系。

物聯(lián)網(wǎng)應用和行業(yè)緊密相關(guān)，有特殊的安全需求，作為運營(yíng)商，應提供基礎安全服務(wù)，解決物聯(lián)網(wǎng)中共性的安全問(wèn)題，例如構建物聯(lián)網(wǎng)安全管理平臺，為物聯(lián)網(wǎng)應用提供安全基礎支撐環(huán)境，重點(diǎn)提供認證、加密等安全通信服務(wù)，并解決節點(diǎn)監控與管理、網(wǎng)絡(luò )安全狀態(tài)監控、網(wǎng)絡(luò )故障修復、安全策略分發(fā)等問(wèn)題。

4.2 云計算安全

云計算的虛擬化、多租戶(hù)和動(dòng)態(tài)性不僅加重了傳統的安全問(wèn)題，同時(shí)也引入了一些新的安全問(wèn)題。云計算系統的安全防護應重點(diǎn)考慮如下方面：

(1)數據安全和隱私保護。由于虛擬技術(shù)、數據遷移、業(yè)務(wù)遷移等多個(gè)因素綜合導致數據保護將面臨更大的挑戰，應通過(guò)管理和技術(shù)手段，解決用戶(hù)隱私數據保護和數據內容安全問(wèn)題。