1 通信網絡" title="網絡">網絡面臨的安全形勢

隨著手機游戲、彩鈴、彩信、位置服務、移動商城等各種數據業務的快速發展，用戶數量呈現高速增長，截至2010年6月底，據CNNIC發布的報告顯示，中國的手機用戶數量超過8億戶，中國網民數達4.2億，手機上網用戶2.77億。在互聯網" title="互聯網">互聯網快速發展的同時，安全事件也層出不窮，黑色產業鏈日益成熟，攻擊行為組織化、攻擊手段自動化、攻擊目標多樣化、攻擊目的趨利化等特點明顯。

近兩年來針對運營商" title="運營商">運營商的網絡和業務系統的安全事件總體有所上升，例如“5·19”，“6·25”互聯網DNS安全事件。除互聯網常見的安全事件外，以惡意獲取非法收入事件為主的事件明顯上升，例如通過惡意復制SIM卡、WAP惡意訂購、非法定位、泄露客戶信息等謀取經濟利益等。目前，通信網絡的安全現狀呈現出以下的一些趨勢：

（1）網絡IP" title="IP">IP化、設備IT化、應用Web化使電信業務系統日益開放，業務安全漏洞更加易于利用。針對業務攻擊日益突出，電信業務系統的攻擊越來越趨向追求經濟利益。

（2）手機終端智能化帶來了惡意代碼傳播、客戶信息安全及對網絡的沖擊等安全問題。

（3）三網融合" title="三網融合">三網融合、云計算、物聯網帶來的網絡開放性、終端復雜性使網絡面臨更多安全攻擊和威脅；系統可靠性以及數據保護將面臨更大的風險；網絡安全" title="網絡安全">網絡安全問題從互聯網的虛擬空間拓展到物理空間，網絡安全和危機處置將面臨更大的挑戰。

（4）電信運營企業保存的客戶信息（包括訂購關系）日益增多，客戶信息的流轉環節不斷增加，也存在SP等合作伙伴訪問客戶信息的需要，泄露、篡改、偽造客戶信息的問題日益突出。

（5）電信運營企業內部人員、第三方支持人員、SP等利用擁有的權限以及業務流程漏洞，實施以追求經濟利益為目的的犯罪。

這些形勢都使互聯網安全、客戶信息的安全保護、業務安全成為各運營商在通信網絡安全防護著重考慮的問題，對這些安全風險的控制也成為運營中的重要環節。

2 通信網絡的安全防護措施

2.1 互聯網安全防護

互聯網（CMNet）是完全開放的IP網絡。面臨的主要安全風險來自用戶、互聯伙伴的帶有拒絕服務攻擊性質的安全事件，包括利用路由器漏洞的安全攻擊，分布式大流量攻擊，蠕蟲病毒、虛假路由、釣魚攻擊、P2P濫用等。

互聯網上的安全事件會影響直接或間接連接互聯網的業務系統。因此，針對互聯網，應重點做好以下幾方面安全措施：

（1）流量控制系統：在互聯網的國際出入口、網間接口、骨干網接口的合適位置部署流量控制系統，具備對各種業務流量帶寬進行控制的能力，防止P2P等業務濫用。

（2）流量清洗系統：在互聯網骨干網、網間等接口部署異常流量清洗系統，用于發現對特定端口、特定協議等的攻擊行為并進行阻斷，防止或減緩拒絕服務攻擊發生的可能性。

（3）惡意代碼監測" title="監測">監測系統：在骨干網接口、網間接口、IDC和重要系統的前端部署惡意代碼監測系統，具備對蠕蟲、木馬和僵尸網絡的監測能力。

（4）路由安全監測：對互聯網關鍵基礎設施重要組成的BGP路由系統進行監測，防止惡意的路由宣告、攔截或篡改BGP路由的事件發生。

（5）重點完善DNS安全監控和防護手段，針對異常流量以及DNS欺騙攻擊的特點，對DNS服務器健康情況、DNS負載均衡設備、DNS系統解析情況等進行監控，及時發現并解決安全問題。

2.2 移動互聯網安全防護

移動互聯網把移動通信" title="移動通信">移動通信網作為接入網絡，包括移動通信網絡接入、公眾互聯網服務、移動互聯網終端。移動互聯網面臨的安全威脅主要來自終端、網絡和業務。終端的智能化帶來的威脅主要是手機病毒和惡意代碼引起的破壞終端功能、竊取用戶信息、濫用網絡資源、非法惡意訂購等。網絡的安全威脅主要包括非法接入網絡、進行拒絕服務攻擊、跟蹤竊聽空口傳輸的信息、濫用網絡服務等。業務層面的安全威脅包括非法訪問業務、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露等。

針對以上安全威脅，應在終端側和網絡側進行安全防護。

（1）在終端側，主要增強終端自身的安全功能，終端應具有身份認證、業務應用的訪問控制能力，同時要安裝手機防病毒軟件。

（2）在網絡側，針對協議漏洞或網絡設備自身漏洞，首先要對網絡設備進行安全評估和加固，確保系統自身安全。其次，針對網絡攻擊和業務層面的攻擊，應在移動互聯網的互聯邊界和核心節點部署流量分析、流量清洗設備，識別出正常業務流量、異常攻擊流量等內容，實現對DDoS攻擊的防護。針對手機惡意代碼導致的濫發彩信、非法聯網、惡意下載、惡意訂購等行為，應在網絡側部署惡意代碼監測系統。在GGSN上的Gn和Gp口通過分光把數據包采集到手機惡意代碼監測系統進行掃描分析，同時可以從彩信中心獲取數據，對彩信及附件進行掃描分析，從而實現對惡意代碼的監測和攔截（見圖1）。

 圖1　在網絡側部署惡意代碼監測系統

2.3 核心網安全防護

（1）軟交換網安全防護。軟交換網需要重點防范來自內部的風險，如維護終端、現場支持、支撐系統接入帶來的安全問題。重點防護措施可以包括：在軟交換網和網管、計費網絡的連接邊界，設置安全訪問策略，禁止越權訪問。根據需要，在網絡邊界部署防病毒網關類產品，以避免蠕蟲病毒的蔓延；維測終端、反牽終端安裝網絡版防病毒軟件，并專用于設備維護。

（2）GPRS核心網安全防護。GPRS系統面臨來自GPRS用戶、互聯伙伴和內部的安全風險。GPRS安全防護措施對GPRS網絡劃分了多個安全域，例如Gn安全域、Gi安全域、Gp安全域等，各安全域之間VLAN或防火墻實現與互聯網的隔離；省際Gn域互聯、Gp域與其它PLMN GRPS網絡互連、以及Gn與Gi域互聯時，均應設置防火墻，并配置合理的防火墻策略。

（3）3G核心網安全防護：3G核心網不僅在分組域采用IP技術，電路域核心網也將采用IP技術在核心網元間傳輸媒體流及信令信息，因此IP網絡的風險也逐步引入到3G核心網之中。由于3G核心網的重要性和復雜性，可以對其PS域網絡和CS域網絡分別劃分安全域并進行相應的防護。例如對CS域而言，可以劃分信令域、媒體域、維護OM域、計費域等；對于PS域可以分為Gn/Gp域，Gi域，Gom維護域、計費域等；對劃分的安全域分別進行安全威脅分析并進行針對性的防護。重要安全域中的網元之間要做到雙向認證、數據一致性檢查，同時對不同安全域要做到隔離，并在安全域之間進行相應的訪問控制。

2.4  支撐網絡安全防護

支撐網絡包括網管支撐系統、業務支撐系統和管理支撐系統。支撐網絡中有大量的IT設備、終端，面臨的安全威脅主要包括病毒、木馬、非授權的訪問或越權使用、信息泄密、數據完整性破壞、系統可用性被破壞等。

支撐網絡安全防護的基礎是做好安全域劃分、系統自身安全和增加基礎安全防護手段。同時，通過建立4A系統，對內部維護人員和廠家人員操作網絡、業務系統、網管系統、業務支撐系統、OA系統等的全過程實施管控。對支撐系統進行區域劃分，進行層次化、有重點的保護是保證系統安全的有效手段。安全域劃分遵循集中化防護和分等級防護原則，整合" title="整合">整合各系統分散的防護邊界，形成數個大的安全域，內部分區控制、外部整合邊界，并以此為基礎集中部署安全域內各系統共享的安全技術防護手段，實現重兵把守、縱深防護。

4A系統為用戶訪問資源、進行維護操作提供了便捷、高效、可靠的途徑，并對操作維護過程進行實時日志審計，同時也為加強企業內部網絡與信息安全控制、滿足相關法案審計要求提供技術保證。圖2為維護人員通過登錄4A系統后訪問后臺設備的示意圖。

圖2　維護人員通過登錄4A系統后訪問后臺設備的示意

4A系統作為用戶訪問后臺系統的惟一入口，可以實現對系統維護人員、用戶的統一接入訪問控制、授權和操作行為審計。對于防止違規訪問敏感信息系統和在訪問之后進行審計提供非常重要的管控手段。

3  重要系統的安全防護

3.1  Web網站安全防護

隨著網絡層防護水平的提高，Web等應用層由于其開放性可能會面臨著越來越多的攻擊，隨著通信業務Web化的發展趨勢，Web系統的安全直接影響到通信業務系統的安全。Web系統防護是一個復雜的問題，包括應對網頁篡改、DDoS攻擊、信息泄漏、導致系統可用性問題的其它類型黑客攻擊等各種措施。針對Web系統的許多攻擊方式都是利用了Web系統設計編碼中存在的漏洞，因此Web網站的安全防護通常要包括Web系統上線的安全編碼階段、安全檢測及上線之后的監控及運行防護階段。Web系統上線之前的階段側重于應用工具發現代碼存在的漏洞，而在監控及運行防護階段需要針對系統分層進行分別防護，例如分為內容層安全、應用層安全、網絡層安全、系統層安全等。在分層防護時分別部署內容檢測系統、Web安全漏洞掃描系統、防火墻、Web應用防火墻、系統漏洞掃描器等措施。

3.2  DNS系統的安全防護

DNS系統是互聯網的神經系統，因此對DNS系統的安全防護尤為重要。近幾年來，針對DNS系統的攻擊比較突出的為DoS攻擊、DNS投毒、域名劫持及重定向等。DNS系統的安全防護需要部署流量清洗設備，在發生異常DNS Flood攻擊時，能夠將DNS流量牽引到流量清洗設備進行清洗，保障DNS業務系統的正常運行。同時，DNS系統安全防護需要進行安全配置并同時要運行安全的DNS系統或者啟用安全的協議，例如運行源端口隨機化的系統來部分解決DNS投毒問題或者利用DNSSEC協議來避免DNS投毒、DNS劫持等。

4  新業務網絡的安全防護

4.1  物聯網安全

物聯網由大量的機器構成，很多節點處于無人值守環境，并且資源受限、數量龐大，因此物聯網除了面對移動通信網絡的傳統網絡安全問題之外，還存在著一些特殊安全問題，包括感知網絡的安全，以及感知網絡與通信網絡之間安全機制的相互協調。對于感知網絡的安全，主要有以下安全問題：

（1）感知節點的物理安全問題。很多節點處于無人值守環境，容易失效或受到物理攻擊，在進行安全設計時必須考慮失效/被俘節點的檢測、撤除問題，同時還要將失效/被俘節點導致的安全隱患限制在最小范圍內。

（2）感知網絡的傳輸與信息安全問題。感知網絡通常采用短距離通信技術、以自組織方式組網，且感知節點處理器、存儲器、電源等資源非常有限。開放的環境使傳輸介質易受外界環境影響，節點附近容易產生信道沖突，惡意攻擊者也可以方便竊聽重要信息。資源受限使節點無法進行快速的高復雜度的計算，這對依賴于加解密算法的安全架構提出了挑戰，需要考慮輕量級、高效的安全實現方案。

目前，物聯網通" title="網通">網通信安全防護重點在節點認證、加密、密鑰管理、路由安全和入侵檢測等方面，業界也提出了一些針對性的解決方案，如SPINS協議，其子協議SNEP 提供點到點通信認證、數據機密性、完整性和新鮮性等安全服務，子協議μTESLA提供對廣播消息的數據認證服務。但目前主要針對某個領域解決特定的安全問題，遠未形成物聯網安全防護體系，更無法與通信網絡相互配合形成統一的物聯網安全防護體系。

物聯網應用和行業緊密相關，有特殊的安全需求，作為運營商，應提供基礎安全服務，解決物聯網中共性的安全問題，例如構建物聯網安全管理平臺，為物聯網應用提供安全基礎支撐環境，重點提供認證、加密等安全通信服務，并解決節點監控與管理、網絡安全狀態監控、網絡故障修復、安全策略分發等問題。

4.2  云計算安全

云計算的虛擬化、多租戶和動態性不僅加重了傳統的安全問題，同時也引入了一些新的安全問題。云計算系統的安全防護應重點考慮如下方面：

（1）數據安全和隱私保護。由于虛擬技術、數據遷移、業務遷移等多個因素綜合導致數據保護將面臨更大的挑戰，應通過管理和技術手段，解決用戶隱私數據保護和數據內容安全問題。

（2）虛擬化安全。重點解決虛擬機隔離、虛擬機監控、虛擬機安全遷移和鏡像文件的安全存儲。

（3）運行環境安全。通過代碼的靜態分析和運行監測，避免惡意程序對內網、外網和系統中其他用戶發起的攻擊。

5  結束語

隨著通信網絡IP化、業務多樣化的發展，通信網絡安全形勢也會日趨嚴峻；三網融合、物聯網、云計算、移動互聯網等新業務和新技術的引入也給通信網絡安全帶來了巨大挑戰，因此通信網絡安全防護體系也必將隨著技術的進步和發展而動態調整。在通信網的安全防護過程中，需要不斷完善通信網絡安全防護標準，完善安全防護手段，提高應對各種安全威脅的能力，使得通信網絡能更好地服務于社會，推動業務與網絡系統更好地創造價值。