軟交換網(wǎng)絡(luò )安全威脅和需求淺析
2008/06/23
摘要 軟交換網(wǎng)絡(luò )具有業(yè)務(wù)接口開(kāi)放、接入手段豐富、承載和傳送單一、設備容量集中等特點(diǎn),這些特點(diǎn)使軟交換網(wǎng)絡(luò )面臨更多的安全威脅。本文從軟交換自身的特點(diǎn)出發(fā),結合運營(yíng)商的實(shí)際運營(yíng)經(jīng)驗,分析和探討了軟交換網(wǎng)絡(luò )的安全威脅和需求。圖1 軟交換網(wǎng)絡(luò )安全域的劃分
核心網(wǎng)安全域包括所有的軟交換機,TG、AG、SG等接入網(wǎng)關(guān),BGW類(lèi)設備,關(guān)鍵業(yè)務(wù)平臺(包括SHLR、號碼轉換平臺等),軟交換媒體服務(wù)器和應用服務(wù)器,開(kāi)發(fā)給第三方業(yè)務(wù)接口的應用網(wǎng)關(guān)。Internet接入網(wǎng)安全域包括所有分配公網(wǎng)地址的SIP電話(huà)終端、IAD類(lèi)設備、各類(lèi)SIP接入的PC等。支撐系統安全域包括網(wǎng)管、計費和OSS等輔助運營(yíng)系統。第三方應用網(wǎng)絡(luò )安全域主要包括所有以開(kāi)發(fā)業(yè)務(wù)接口方式接入的應用服務(wù)器,鑒于目前實(shí)際應用中很少涉及到這種應用,這里不討論該區域的安全需求。
3.2 各安全域的安全需求
(1)核心網(wǎng)安全域
核心網(wǎng)安全域是軟交換網(wǎng)絡(luò )的安全核心。從現網(wǎng)情況來(lái)看,核心網(wǎng)的承載層一般都采用專(zhuān)用IP網(wǎng)和VPN方式組網(wǎng),安全域內設備(包括各種AG)本身的管理和控制可以認為是安全的。核心網(wǎng)安全域的安全需求有:設備的可用性,即可以在各種情況下(包括設備故障、網(wǎng)絡(luò )風(fēng)暴、話(huà)務(wù)沖擊等)保證設備和承載業(yè)務(wù)的正常運行;需要在核心網(wǎng)與其他網(wǎng)絡(luò )連接處部署BGW和防火墻等設備進(jìn)行內外網(wǎng)隔離;網(wǎng)絡(luò )中的SS等設備需具備完善的設備認證和授信方式,防止非法登錄;核心網(wǎng)節點(diǎn)間需采用心跳和媒體檢測等方式進(jìn)行狀態(tài)檢查,及時(shí)更新節點(diǎn)狀態(tài),保證業(yè)務(wù)正常;接入節點(diǎn)需具備帶寬和業(yè)務(wù)管理能力,防止用戶(hù)非法占用帶寬和使用業(yè)務(wù);核心網(wǎng)節點(diǎn)應具備對異常信令和消息的處理能力,防止人為攻擊等造成節點(diǎn)癱瘓或過(guò)負。
(2)Internet接入網(wǎng)安全域
Internet存在安全問(wèn)題,當通過(guò)Internet提供軟交換業(yè)務(wù)時(shí),需要保證業(yè)務(wù)接入設備與軟交換網(wǎng)絡(luò )之間的通信安全。Internet接入網(wǎng)安全域的安全需求有:在SIP電話(huà)、軟件電話(huà)等終端設備與Internet和軟交換網(wǎng)絡(luò )互聯(lián)設備之間需要應用L2TP、IPSec等隧道技術(shù);小容量AGW、IAD等通過(guò)Internet接入時(shí),它們與Internet和軟交換網(wǎng)絡(luò )互聯(lián)設備之間需要應用GRE、IPinIP、IPSec等隧道技術(shù);需要完善的接入設備認證和授信手段,防止冒名使用。
(3)支撐系統安全域
支撐系統主要包括網(wǎng)管、計費和OSS等系統。雖然支撐系統不向用戶(hù)直接提供業(yè)務(wù),且都在內網(wǎng)區域內,受攻擊的可能性較小,但其功能的特殊性且大多采用通用操作系統,因此必須保證其安全。支撐系統安全域的安全需求有:高強度的用戶(hù)認證機制;重要系統需要進(jìn)行物理隔離,并且網(wǎng)間需要部署功能強大的防火墻設備;需要優(yōu)化系統安全策略。
4、軟交換網(wǎng)絡(luò )安全措施
(1)承載網(wǎng)層面
軟交換網(wǎng)絡(luò )的承載層現在除了用專(zhuān)網(wǎng)和MPLS VPN等手段進(jìn)行網(wǎng)絡(luò )隔離外,一些廠(chǎng)商采用在關(guān)鍵節點(diǎn)放置網(wǎng)絡(luò )探頭,以ping段包的形式進(jìn)行偵聽(tīng)等手段進(jìn)行網(wǎng)絡(luò )質(zhì)量監控,目前這種方式有以下難題需要解決:一是ping包和軟交換消息包的長(cháng)度差異較大,在一定丟包率情況下無(wú)法滿(mǎn)足軟交換信令的要求;二是ping包的頻率不能設置太短,在承載網(wǎng)完全中斷情況下,可以準確定位故障點(diǎn),但是在閃斷或者網(wǎng)絡(luò )質(zhì)量不穩定情況下,難以保證實(shí)時(shí)性業(yè)務(wù)的質(zhì)量和實(shí)現故障定位。
(2)網(wǎng)絡(luò )層面
在軟交換設計和規劃期間,應該對軟交換網(wǎng)絡(luò )安全有全面考慮:承載網(wǎng)的安全,包括網(wǎng)絡(luò )隔離、防攻擊等;關(guān)鍵業(yè)務(wù)節點(diǎn)的備份和用戶(hù)的業(yè)務(wù)歸屬;業(yè)務(wù)的合理配備和設置,盡量在分散和易管理間找到平衡。
對于軟交換網(wǎng)絡(luò )特有的雙歸屬容災應該加以充分利用,彌補網(wǎng)絡(luò )安全漏洞,但需注意對雙歸屬機制進(jìn)行完善,包括網(wǎng)關(guān)的切換策略、軟交換的控制策略、心跳參數設置策略、容災數據庫管理等。
(3)軟交換設備層面
軟交換設備的安全主要靠廠(chǎng)商的安全設計來(lái)保證,但同時(shí)應該重視以下幾個(gè)方面:建立關(guān)鍵板件檢測制度和定期切換檢測制度,充分保證關(guān)鍵板件倒換成功;為了保證軟件版本和補丁的安全性,廠(chǎng)商應建立軟件版本安全控制體系,運營(yíng)商應加強入網(wǎng)檢驗制度和應用流程管理,共同解決軟件的安全性和兼容性問(wèn)題;充分了解和用好設備的自保護措施,如軟交換的過(guò)負荷保護機制。
(4)管理層面
網(wǎng)絡(luò )安全工作是一個(gè)以管理為主的系統工程,靠的是“三分技術(shù),七分管理”,因此必須制定一系列的安全管理制度、安全評估和風(fēng)險處置手段、應急預案等,這些措施應覆蓋網(wǎng)絡(luò )安全的各個(gè)方面,達到能夠解決的安全問(wèn)題及時(shí)解決,可以減輕的安全問(wèn)題進(jìn)行加固,不能解決的問(wèn)題編制應急預案減少安全威脅。與此同時(shí),需要強有力的管理來(lái)保障這些制度和手段落到實(shí)處。
5、結束語(yǔ)
軟交換網(wǎng)絡(luò )是一個(gè)新的網(wǎng)絡(luò ),它不僅肩負著(zhù)PSTN業(yè)務(wù)過(guò)渡的重任,還擔負著(zhù)新業(yè)務(wù)和新網(wǎng)絡(luò )的未來(lái),IP承載、網(wǎng)關(guān)多重歸屬、承載和業(yè)務(wù)分離、更加開(kāi)放的接口等新特性無(wú)一不對網(wǎng)絡(luò )安全提出了高要求,軟交換網(wǎng)絡(luò )安全將是一個(gè)需要長(cháng)期關(guān)注和研究的話(huà)題。
中國聯(lián)通網(wǎng)站
| NGN話(huà)務(wù)分析融入交換綜合網(wǎng)管系統的設計與實(shí)現 2008-06-23 |
| 專(zhuān)家:電信重組有助于加快NGN業(yè)務(wù)技術(shù)發(fā)展 2008-06-18 |
| VoIP持續放量 NGN時(shí)代來(lái)臨 2008-06-17 |
| NGN與NGI將趨于知行合一 2008-06-17 |
| 融合 開(kāi)放 管控 移動(dòng)——ITU NGN GSI創(chuàng )新大會(huì ) 2008-06-12 |