通信網絡安全防護綜述

(3)3G核心網安全防護：3G核心網不僅在分組域采用IP技術，電路域核心網也將采用IP技術在核心網元間傳輸媒體流及信令信息，因此IP網絡的風險也逐步引入到3G核心網之中。由于3G核心網的重要性和復雜性，可以對其PS域網絡和CS域網絡分別劃分安全域并進行相應的防護。例如對CS域而言，可以劃分信令域、媒體域、維護OM域、計費域等;對于PS域可以分為Gn/Gp域，Gi域，Gom維護域、計費域等;對劃分的安全域分別進行安全威脅分析并進行針對性的防護。重要安全域中的網元之間要做到雙向認證、數據一致性檢查，同時對不同安全域要做到隔離，并在安全域之間進行相應的訪問控制。

2.4 支撐網絡安全防護

支撐網絡包括網管支撐系統(tǒng)、業(yè)務支撐系統(tǒng)和管理支撐系統(tǒng)。支撐網絡中有大量的IT設備、終端，面臨的安全威脅主要包括病毒、木馬、非授權的訪問或越權使用、信息泄密、數據完整性破壞、系統(tǒng)可用性被破壞等。

支撐網絡安全防護的基礎是做好安全域劃分、系統(tǒng)自身安全和增加基礎安全防護手段。同時，通過建立4A系統(tǒng)，對內部維護人員和廠家人員操作網絡、業(yè)務系統(tǒng)、網管系統(tǒng)、業(yè)務支撐系統(tǒng)、OA系統(tǒng)等的全過程實施管控。對支撐系統(tǒng)進行區(qū)域劃分，進行層次化、有重點的保護是保證系統(tǒng)安全的有效手段。安全域劃分遵循集中化防護和分等級防護原則，整合各系統(tǒng)分散的防護邊界，形成數個大的安全域，內部分區(qū)控制、外部整合邊界，并以此為基礎集中部署安全域內各系統(tǒng)共享的安全技術防護手段，實現重兵把守、縱深防護。

4A系統(tǒng)為用戶訪問資源、進行維護操作提供了便捷、高效、可靠的途徑，并對操作維護過程進行實時日志審計，同時也為加強企業(yè)內部網絡與信息安全控制、滿足相關法案審計要求提供技術保證。圖2為維護人員通過登錄4A系統(tǒng)后訪問后臺設備的示意圖。

圖2　維護人員通過登錄4A系統(tǒng)后訪問后臺設備的示意

4A系統(tǒng)作為用戶訪問后臺系統(tǒng)的惟一入口，可以實現對系統(tǒng)維護人員、用戶的統(tǒng)一接入訪問控制、授權和操作行為審計。對于防止違規(guī)訪問敏感信息系統(tǒng)和在訪問之后進行審計提供非常重要的管控手段。

3 重要系統(tǒng)的安全防護

3.1 Web網站安全防護

隨著網絡層防護水平的提高，Web等應用層由于其開放性可能會面臨著越來越多的攻擊，隨著通信業(yè)務Web化的發(fā)展趨勢，Web系統(tǒng)的安全直接影響到通信業(yè)務系統(tǒng)的安全。Web系統(tǒng)防護是一個復雜的問題，包括應對網頁篡改、DDoS攻擊、信息泄漏、導致系統(tǒng)可用性問題的其它類型黑客攻擊等各種措施。針對Web系統(tǒng)的許多攻擊方式都是利用了Web系統(tǒng)設計編碼中存在的漏洞，因此Web網站的安全防護通常要包括Web系統(tǒng)上線的安全編碼階段、安全檢測及上線之后的監(jiān)控及運行防護階段。Web系統(tǒng)上線之前的階段側重于應用工具發(fā)現代碼存在的漏洞，而在監(jiān)控及運行防護階段需要針對系統(tǒng)分層進行分別防護，例如分為內容層安全、應用層安全、網絡層安全、系統(tǒng)層安全等。在分層防護時分別部署內容檢測系統(tǒng)、Web安全漏洞掃描系統(tǒng)、防火墻、Web應用防火墻、系統(tǒng)漏洞掃描器等措施。

3.2 DNS系統(tǒng)的安全防護

DNS系統(tǒng)是互聯網的神經系統(tǒng)，因此對DNS系統(tǒng)的安全防護尤為重要。近幾年來，針對DNS系統(tǒng)的攻擊比較突出的為DoS攻擊、DNS投毒、域名劫持及重定向等。DNS系統(tǒng)的安全防護需要部署流量清洗設備，在發(fā)生異常DNS Flood攻擊時，能夠將DNS流量牽引到流量清洗設備進行清洗，保障DNS業(yè)務系統(tǒng)的正常運行。同時，DNS系統(tǒng)安全防護需要進行安全配置并同時要運行安全的DNS系統(tǒng)或者啟用安全的協(xié)議，例如運行源端口隨機化的系統(tǒng)來部分解決DNS投毒問題或者利用DNSSEC協(xié)議來避免DNS投毒、DNS劫持等。

4 新業(yè)務網絡的安全防護

4.1 物聯網安全

物聯網由大量的機器構成，很多節(jié)點處于無人值守環(huán)境，并且資源受限、數量龐大，因此物聯網除了面對移動通信網絡的傳統(tǒng)網絡安全問題之外，還存在著一些特殊安全問題，包括感知網絡的安全，以及感知網絡與通信網絡之間安全機制的相互協(xié)調。對于感知網絡的安全，主要有以下安全問題：

(1)感知節(jié)點的物理安全問題。很多節(jié)點處于無人值守環(huán)境，容易失效或受到物理攻擊，在進行安全設計時必須考慮失效/被俘節(jié)點的檢測、撤除問題，同時還要將失效/被俘節(jié)點導致的安全隱患限制在最小范圍內。

(2)感知網絡的傳輸與信息安全問題。感知網絡通常采用短距離通信技術、以自組織方式組網，且感知節(jié)點處理器、存儲器、電源等資源非常有限。開放的環(huán)境使傳輸介質易受外界環(huán)境影響，節(jié)點附近容易產生信道沖突，惡意攻擊者也可以方便竊聽重要信息。資源受限使節(jié)點無法進行快速的高復雜度的計算，這對依賴于加解密算法的安全架構提出了挑戰(zhàn)，需要考慮輕量級、高效的安全實現方案。

目前，物聯網通信安全防護重點在節(jié)點認證、加密、密鑰管理、路由安全和入侵檢測等方面，業(yè)界也提出了一些針對性的解決方案，如SPINS協(xié)議，其子協(xié)議SNEP 提供點到點通信認證、數據機密性、完整性和新鮮性等安全服務，子協(xié)議μTESLA提供對廣播消息的數據認證服務。但目前主要針對某個領域解決特定的安全問題，遠未形成物聯網安全防護體系，更無法與通信網絡相互配合形成統(tǒng)一的物聯網安全防護體系。

物聯網應用和行業(yè)緊密相關，有特殊的安全需求，作為運營商，應提供基礎安全服務，解決物聯網中共性的安全問題，例如構建物聯網安全管理平臺，為物聯網應用提供安全基礎支撐環(huán)境，重點提供認證、加密等安全通信服務，并解決節(jié)點監(jiān)控與管理、網絡安全狀態(tài)監(jiān)控、網絡故障修復、安全策略分發(fā)等問題。

4.2 云計算安全

云計算的虛擬化、多租戶和動態(tài)性不僅加重了傳統(tǒng)的安全問題，同時也引入了一些新的安全問題。云計算系統(tǒng)的安全防護應重點考慮如下方面：

(1)數據安全和隱私保護。由于虛擬技術、數據遷移、業(yè)務遷移等多個因素綜合導致數據保護將面臨更大的挑戰(zhàn)，應通過管理和技術手段，解決用戶隱私數據保護和數據內容安全問題。