通信网络安全防护

1、 通信网络安全防护 互联网（CMNet）是完全开放的IP网络。面临的主要平安风险来自用户、互联伙伴的带有拒绝服务攻击性质的平安大事，包括利用路由器漏洞的平安攻击，分布式大流量攻击，蠕虫病毒、虚假路由、钓鱼攻击、P2P滥用等。 互联网上的平安大事会影响直接或间接连接互联网的业务系统。因此，针对互联网，应重点做好以下几方面平安措施：（1）流量掌握系统：在互联网的国际出入口、网间接口、骨干网接口的合适位置部署流量掌握系统，具备对各种业务流量带宽进行掌握的力量，防止P2P等业务滥用。（2）流量清洗系统：在互联网骨干网、网间等接口部署特别流量清洗系统，用于发觉对特定端口、特定协议等的攻击行为并进行阻断，

2、防止或减缓拒绝服务攻击发生的可能性。（3）恶意代码监测系统：在骨干网接口、网间接口、IDC和重要系统的前端部署恶意代码监测系统，具备对蠕虫、木马和僵尸网络的监测力量。（4）路由平安监测：对互联网关键基础设施重要组成的BGP路由系统进行监测，防止恶意的路由宣告、拦截或篡改BGP路由的大事发生。（5）重点完善DNS平安监控和防护手段，针对特别流量以及DNS哄骗攻击的特点，对DNS服务器健康状况、DNS负载均衡设备、DNS系统解析状况等进行监控，准时发觉并解决平安问题。通信网络平安防护移动互联网平安防护移动互联网把移动通信网作为接入网络，包括移动通信网络接入、公众互联网服务、移动互联网终端。移动互联

3、网面临的平安威逼主要来自终端、网络和业务。终端的智能化带来的威逼主要是手机病毒和恶意代码引起的破坏终端功能、窃取用户信息、滥用网络资源、非法恶意订购等。网络的平安威逼主要包括非法接入网络、进行拒绝服务攻击、跟踪窃听空口传输的信息、滥用网络服务等。业务层面的平安威逼包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露等。针对以上平安威逼，应在终端侧和网络侧进行平安防护。（1）在终端侧，主要增加终端自身的平安功能，终端应具有身份认证、业务应用的访问掌握力量，同时要安装手机防病毒软件。（2）在网络侧，针对协议漏洞或网络设备自身漏洞，首先要对网络设备进

4、行平安评估和加固，确保系统自身平安。其次，针对网络攻击和业务层面的攻击，应在移动互联网的互联边界和核心节点部署流量分析、流量清洗设备，识别出正常业务流量、特别攻击流量等内容，实现对DDoS攻击的防护。针对手机恶意代码导致的滥发彩信、非法联网、恶意下载、恶意订购等行为，应在网络侧部署恶意代码监测系统。在GGSN上的Gn和Gp口通过分光把数据包采集到手机恶意代码监测系统进行扫描分析，同时可以从彩信中心猎取数据，对彩信及附件进行扫描分析，从而实现对恶意代码的监测和拦截（见图1）。图1在网络侧部署恶意代码监测系统通信网络的平安防护措施还不止本文介绍的两种，我们还会在以后的文章中连续向大家介绍，请感爱好

5、的伴侣关注：浅析通信网络的平安防护措施 下篇通信网络平安防护核心网平安防护（1）软交换网平安防护。软交换网需要重点防范来自内部的风险，如维护终端、现场支持、支撑系统接入带来的平安问题。重点防护措施可以包括：在软交换网和网管、计费网络的连接边界，设置平安访问策略，禁止越权访问。依据需要，在网络边界部署防病毒网关类产品，以避开蠕虫病毒的扩散；维测终端、反牵终端安装网络版防病毒软件，并专用于设备维护。（2）GPRS核心网平安防护。GPRS系统面临来自GPRS用户、互联伙伴和内部的平安风险。GPRS平安防护措施对GPRS网络划分了多个平安域，例如Gn平安域、Gi平安域、Gp平安域等，各平安域之间VLA

6、N或防火墙实现与互联网的隔离；省际Gn域互联、Gp域与其它PLMN GRPS网络互连、以及Gn与Gi域互联时，均应设置防火墙，并配置合理的防火墙策略。（3）3G核心网平安防护：3G核心网不仅在分组域采纳IP技术，电路域核心网也将采纳IP技术在核心网元间传输媒体流及信令信息，因此IP网络的风险也逐步引入到3G核心网之中。由于3G核心网的重要性和简单性，可以对其PS域网络和CS域网络分别划分平安域并进行相应的防护。例如对CS域而言，可以划分信令域、媒体域、维护OM域、计费域等。对于PS域可以分为Gn/Gp域，Gi域，Gom维护域、计费域等；对划分的平安域分别进行平安威逼分析并进行针对性的防护。重要

7、平安域中的网元之间要做到双向认证、数据全都性检查，同时对不同平安域要做到隔离，并在平安域之间进行相应的访问掌握。通信网络平安防护支撑网络平安防护支撑网络包括网管支撑系统、业务支撑系统和管理支撑系统。支撑网络中有大量的IT设备、终端，面临的平安威逼主要包括病毒、木马、非授权的访问或越权使用、信息泄密、数据完整性破坏、系统可用性被破坏等。支撑网络平安防护的基础是做好平安域划分、系统自身平安和增加基础平安防护手段。同时，通过建立4A系统，对内部维护人员和厂家人员操作网络、业务系统、网管系统、业务支撑系统、OA系统等的全过程实施管控。对支撑系统进行区域划分，进行层次化、有重点的爱护是保证系统平安的有效手段。平安域划分遵循集中化防护和分等级防护原则，整合各系统分散的防护边界，形成数个大的平安域，内部分区掌握、外部整合边界，并以此为基础集中部署平安域内各系统共享的平安技术防护手段，实现重兵把守、纵深防护。4A系统为用户访问资源、进行维护操作供应了便捷、高效、牢靠的途径，并对操作维护过程进行实时日志审计，同时也为加强企业内部网络与信息平安掌握、满意相关法案审计要求供应技术保证。图2为维