3G移動(dòng)互聯(lián)網(wǎng)時(shí)代之安全挑戰與應對策略
盧煜 2011/05/23
當下,國內3G建設接近尾聲。在三大運營(yíng)商的聯(lián)合推動(dòng)下,移動(dòng)互聯(lián)網(wǎng)已經(jīng)逐漸滲透到人們的日常生活中。時(shí)尚一族的手機,除了基本的通話(huà)、短信、游戲之外,高速度的互聯(lián)網(wǎng)沖浪、在線(xiàn)視頻點(diǎn)播等,早已不是什么新鮮事物。但是無(wú)線(xiàn)通信技術(shù)和互聯(lián)網(wǎng)的結合,在更加豐富了人們溝通、娛樂(lè )體驗的同時(shí),垃圾短信、手機病毒、無(wú)端死機等一系列問(wèn)題,也讓消費者頭疼不已。隨著(zhù)移動(dòng)互聯(lián)網(wǎng)的大規模商用,安全問(wèn)題迅速凸顯,并成為必須要面對的難題之一。
網(wǎng)絡(luò )演進(jìn) 危機暗藏
移動(dòng)互聯(lián)網(wǎng)出現至今,其演進(jìn)過(guò)程總共經(jīng)歷了三個(gè)階段:從最初的模擬無(wú)線(xiàn)通信到GSM無(wú)線(xiàn)通信再到3G無(wú)線(xiàn)通信,今天,我們已經(jīng)進(jìn)入3G移動(dòng)互聯(lián)網(wǎng)時(shí)代。而移動(dòng)互聯(lián)網(wǎng)在演進(jìn)過(guò)程中伴隨如下特征。
網(wǎng)絡(luò )“ALL IP”
在2008年10月中國(北京)國際信息通信展上,華為、中興通訊、愛(ài)立信、上海貝爾和諾基亞西門(mén)子通信無(wú)一例外地展示了ALL-IP網(wǎng)絡(luò )解決方案。移動(dòng)互聯(lián)網(wǎng)從最初2G網(wǎng)絡(luò )的核心網(wǎng)IP化,到今天3G接入網(wǎng)、核心網(wǎng)以及內容網(wǎng)絡(luò )的端到端IP化過(guò)程中,都在試圖成立移動(dòng)互聯(lián)網(wǎng)的ALL-IP標準,移動(dòng)互聯(lián)網(wǎng)全部IP化是最終的目標。
移動(dòng)互聯(lián)網(wǎng)IP化后,出現了很多優(yōu)點(diǎn),它提高了業(yè)務(wù)的豐富性、組網(wǎng)靈活性、系統的高擴展性以及業(yè)務(wù)和網(wǎng)絡(luò )的可管理性等,但是IP化也帶來(lái)一個(gè)很大的問(wèn)題,就是它把基于IP的互聯(lián)網(wǎng)存在的安全威脅,全部引入到了移動(dòng)互聯(lián)網(wǎng)中來(lái)。比如從前只在固網(wǎng)出現的DDoS攻擊、蠕蟲(chóng)病毒、惡意網(wǎng)頁(yè)推送等,如今在我們的移動(dòng)互聯(lián)網(wǎng)中也屢見(jiàn)不鮮。
終端“智能化”
單從手機看,無(wú)論是引領(lǐng)時(shí)尚潮流的“洋品牌”iPhone、黑霉,還是攻城掠地集萬(wàn)千功能于一身的“國產(chǎn)貨”山寨機,提供的功能真可謂“應有盡有,無(wú)所不有”。之前,我們只能在計算機上完成的功能,現在智能終端幾乎都可以完成了。移動(dòng)終端在實(shí)現智能化以后,會(huì )出現與我們的計算機終端一樣的安全威脅。針對無(wú)線(xiàn)終端的攻擊除了傳統的攻擊手段之外,也有其自身的特殊性。如針對手機操作系統的病毒攻擊,針對無(wú)線(xiàn)業(yè)務(wù)的木馬攻擊、惡意廣播的垃圾電話(huà)、基于彩信應用的蠕蟲(chóng)、手機信息盜用等。
同時(shí),在智能終端沖擊下,業(yè)務(wù)的管道化問(wèn)題也需要特別重視。當手機智能化之后,在線(xiàn)視頻點(diǎn)播、P2P下載等數據業(yè)務(wù)會(huì )像在固網(wǎng)中一樣迅速膨脹,如果在移動(dòng)互聯(lián)網(wǎng)中提供數據管道,那好比一個(gè)高速公路一樣,它不管進(jìn)出的車(chē)輛是小車(chē)還是卡車(chē),它只管按車(chē)的數量收費,而不是按車(chē)的大小收費。
比如,谷歌在2008年推出的手機地圖業(yè)務(wù),用戶(hù)可以通過(guò)手機客戶(hù)端軟件,通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò ),實(shí)時(shí)下載谷歌內容服務(wù)器上的地圖內容,在這類(lèi)業(yè)務(wù)流量非常大的情況下,會(huì )給用戶(hù)造成費用壓力,也會(huì )造成運營(yíng)商計費的壓力。如果運營(yíng)商不能針對性地提供業(yè)務(wù)來(lái)滿(mǎn)足不同用戶(hù)的業(yè)務(wù)需求,那么最終將導致業(yè)務(wù)收入的流失。
帶寬趨“百兆”
3G標準規定提供超過(guò)1M的接入帶寬,未來(lái)可以提供幾十兆甚至百兆的接入帶寬。如此一來(lái),首先是會(huì )對移動(dòng)互聯(lián)網(wǎng)上現存的安全設備性能提出挑戰。第二點(diǎn),伴隨著(zhù)接入帶寬的提高,用戶(hù)會(huì )把無(wú)線(xiàn)上網(wǎng)卡插到計算機上去,體驗無(wú)線(xiàn)網(wǎng)絡(luò ),這樣會(huì )把計算機的安全威脅引入到無(wú)線(xiàn)網(wǎng)絡(luò )中,一旦終端受到了安全威脅,比如成為僵尸主機,那無(wú)線(xiàn)網(wǎng)絡(luò )受到的攻擊跟固網(wǎng)是一樣的。同時(shí),無(wú)線(xiàn)資源對用戶(hù)數是有限制的,并且數據用戶(hù)的多少會(huì )影響語(yǔ)音業(yè)務(wù)的體驗。如果惡意用戶(hù)頻繁地去攻擊別人,或者是用一些垃圾流量去訪(fǎng)問(wèn)別人,則會(huì )極大地占用無(wú)線(xiàn)資源。另外產(chǎn)生的一個(gè)問(wèn)題就是計費問(wèn)題,惡意的攻擊流量和垃圾流量也會(huì )導致用戶(hù)的計費信息增加,導致了用戶(hù)費用提升和滿(mǎn)意度下降。
總之,移動(dòng)互聯(lián)網(wǎng)的發(fā)展帶來(lái)的安全問(wèn)題很多:移動(dòng)互聯(lián)網(wǎng)的ALL-IP化引入了IP互聯(lián)網(wǎng)的所有安全威脅;終端的智能化凸顯了管道化的業(yè)務(wù)安全問(wèn)題;接入帶寬的提升加劇了有效資源的惡意利用。
安全策略多層面部署
2009年8月,工業(yè)和信息化部發(fā)布了《通信網(wǎng)絡(luò )安全防護監督管理辦法(征求意見(jiàn)稿)》,征求意見(jiàn)稿提出,通信網(wǎng)絡(luò )運行單位規劃、設計、新建、改建通信網(wǎng)絡(luò )工程項目,應當同步規劃、設計、建設滿(mǎn)足通信網(wǎng)絡(luò )安全防護標準要求的通信網(wǎng)絡(luò )安全保障設施,并與主體工程同時(shí)進(jìn)行驗收和投入運行。已經(jīng)投入運行的通信網(wǎng)絡(luò )安全保障設施沒(méi)有滿(mǎn)足通信網(wǎng)絡(luò )安全防護標準要求的,通信網(wǎng)絡(luò )運行單位應當進(jìn)行改建。
客戶(hù)需求和政策導向成為了移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題的新挑戰,運營(yíng)商需要緊緊圍繞“業(yè)務(wù)”中心,全方位多層次部署安全策略,并針對性地進(jìn)行安全加固,才能打造出綠色、安全、和諧的移動(dòng)互聯(lián)網(wǎng)世界(如圖1)。
設備層安全加固
設備層安全,主要指對承載業(yè)務(wù)的設備進(jìn)行安全加固。目前移動(dòng)互聯(lián)網(wǎng)的設備層主要可以分為:網(wǎng)元設備、操作系統、數據庫等幾部分。網(wǎng)元設備主要是指移動(dòng)互聯(lián)網(wǎng)中的路由器、交換機、防火墻以及一些內容層設備,針對這些設備的自身安全,可以進(jìn)行4A設置、ACL保護、廣播抑制等加固準則。操作系統的安全加固,主要通過(guò)最小化安裝、補丁管理 、安裝防病毒軟件等策略。在數據庫安全方面,目前更多是從數據可靠性來(lái)考慮,通過(guò)制定一系列安全備份原則,來(lái)保障數控庫的安全備份。
網(wǎng)絡(luò )層安全對策
應對網(wǎng)絡(luò )層的安全威脅,首先分析移動(dòng)互聯(lián)網(wǎng)不同接口及不同的網(wǎng)絡(luò )層面存在的安全威脅,然后按照安全域劃分理論對移動(dòng)互聯(lián)網(wǎng)劃分不同的安全域。
安全域主要根據風(fēng)險級別和業(yè)務(wù)差異進(jìn)行劃分,將同一網(wǎng)絡(luò )安全層次內服務(wù)器之間的連接控制在區域內部。根據劃分原則,無(wú)線(xiàn)網(wǎng)絡(luò )的安全區域可分為Gi域、Gp域、Gn域、Om域、Ga域、計費中心接口域等, 在不同的安全邊界,通過(guò)實(shí)施和部署不同的安全策略和設備來(lái)完成邊界的安全防護,最后進(jìn)行相應的安全加固。
在網(wǎng)絡(luò )層的安全加固過(guò)程中,需要注意的是不能因為安全而安全,因為安全沒(méi)有最完美的情況,運營(yíng)商的網(wǎng)絡(luò )是以收入為中心的網(wǎng)絡(luò ),所以安全實(shí)施也一定要基于業(yè)務(wù)可存活為基礎進(jìn)行實(shí)施。
業(yè)務(wù)層安全策略
在業(yè)務(wù)安全問(wèn)題上,需要重視以下三方面的問(wèn)題:一是業(yè)務(wù)如何實(shí)現可視化,二是解決業(yè)務(wù)管道化問(wèn)題,三是如何進(jìn)行非法業(yè)務(wù)的有效管控。
相應的安全策略有:首先,在網(wǎng)絡(luò )當中,考慮對DPI系統的引進(jìn)。安全問(wèn)題一般在網(wǎng)絡(luò )層上分析,因為在應用層上很難看清楚。通過(guò)DPI系統則很好地把網(wǎng)絡(luò )流量可視化,能夠看清網(wǎng)絡(luò )中的業(yè)務(wù)流量和非法業(yè)務(wù)流量,通過(guò)細分流量和業(yè)務(wù),可以有針對性地去開(kāi)展業(yè)務(wù),或屏蔽一些非法的業(yè)務(wù),從而提升用戶(hù)的業(yè)務(wù)體驗。
在業(yè)務(wù)管道化以及對非法業(yè)務(wù)管控問(wèn)題上,首先要對不同的流量進(jìn)行區分,對于異常流量,比如手機僵尸網(wǎng)絡(luò )、手機病毒、手機垃圾彩信、垃圾郵件等,這些流量必須進(jìn)行一定管控和清洗。而對于用戶(hù)常用的業(yè)務(wù)流量,則需要提升其體驗,可以通過(guò)細分業(yè)務(wù)來(lái)提供定制化套餐,例如QQ上網(wǎng)套餐、谷歌手機地圖套餐,甚至在線(xiàn)電視套餐等,通過(guò)基于業(yè)務(wù)、用戶(hù)、帶寬三個(gè)維度的包月業(yè)務(wù)模式,可以大大提升用戶(hù)對業(yè)務(wù)的體驗,以及加大用戶(hù)對業(yè)務(wù)的依賴(lài),并且還可以提升增值業(yè)務(wù)的收入。
此外,對于影響業(yè)務(wù)利益以及業(yè)務(wù)濫用的一些業(yè)務(wù),需要進(jìn)行一定的管控。對于運營(yíng)商而言,跟自營(yíng)業(yè)務(wù)利益沖突的業(yè)務(wù)均可以列為管控業(yè)務(wù)的范疇。
管理層面安全對策
無(wú)線(xiàn)業(yè)務(wù)網(wǎng)絡(luò )通常在管理上都是采用帶外管理,但是帶外管理同樣也會(huì )引入安全威脅。管理層面的安全威脅點(diǎn)主要是非授權訪(fǎng)問(wèn)、網(wǎng)絡(luò )層攻擊、管理信息泄漏/篡改等,相應的對策如圖2。
需要補充的是,很多本地網(wǎng)的業(yè)務(wù)系統MSC、MGW等,目前基本上都是通過(guò)DCN實(shí)現網(wǎng)管的,對于業(yè)務(wù)系統而言,DCN網(wǎng)絡(luò )及網(wǎng)管終端是不可信的,但是很多本地網(wǎng)在DCN和業(yè)務(wù)系統之間沒(méi)有進(jìn)行安全手段隔離和加固,這是非常大的安全隱患,如果網(wǎng)管終端把安全威脅引入到業(yè)務(wù)系統,后果不堪設想,所以在進(jìn)行管理安全分析時(shí),一定要考慮業(yè)務(wù)系統和網(wǎng)管網(wǎng)絡(luò )的邊界隔離問(wèn)題,在不可信區域邊界一定實(shí)施相應的安全隔離手段。
技術(shù)與安全意識缺一不可
凡事預則立,不預則廢。移動(dòng)互聯(lián)網(wǎng)的安全防護,既需要吸取在固網(wǎng)安全上成熟的成功經(jīng)驗,又應當考慮其自身特點(diǎn)。在大規模商用之初,統籌安排、靈活部署將為后續的業(yè)務(wù)發(fā)展打下良好的根基。此外,我們也應該看到,安全問(wèn)題是無(wú)時(shí)不在、無(wú)處不在,技術(shù)手段只能被動(dòng)防御。在此基礎上,只有提高網(wǎng)絡(luò )建設者和消費者的安全防護意識,做到技術(shù)和安全意識相結合,才能讓移動(dòng)互聯(lián)網(wǎng)安全、平穩地長(cháng)期發(fā)展下去。
通信世界周刊
相關(guān)閱讀:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
修文县|
祁东县|
台州市|
方山县|
义马市|
双鸭山市|
通山县|
彰化市|
鄂伦春自治旗|
广灵县|
汽车|
涞源县|
镇康县|
湘阴县|
乌审旗|
安顺市|
铁岭市|
电白县|
朝阳市|
晴隆县|
莆田市|
弥勒县|
石狮市|
台江县|
嘉荫县|
丰都县|
凤翔县|
柏乡县|
鸡西市|
诸城市|
郧西县|
万载县|
光泽县|
长泰县|
开化县|
齐齐哈尔市|
马鞍山市|
砀山县|
博兴县|
治多县|
衡阳市|
http://444
http://444
http://444
http://444
http://444
http://444