对通信网络与信息安全的现状分析及防护措施

对通信网络与信息安全的现状分析及防护措施

摘要：人们在享受网络带来的便利的同时,网络安全也受到前所未有的威胁,计算机病毒无处不在、黑客猖獗等问题,令人防不胜防。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。

关键词：通信网络；安全现状；防护措施；新业务网络

1 通信网络面临的安全形势

随着通信网络各种数据业务的快速发展，用户数量呈现高速增长，在互联网快速发展的同时安全事件也层出不穷、黑色产业链日益成熟、攻击行为组织化、攻击手段自动化、攻击目标多样化、攻击目的趋利化等特点明显。目前，通信网络的安全现状呈现出以下的一些趋势：

⑴网络IP化、设备IT化、应用Web化使电信业务系统日益开放，业务安全漏洞更加易于利用。针对业务攻击日益突出，电信业务系统的攻击越来越趋向追求经济利益。

⑵手机终端智能化带来了恶意代码传播、客户信息安全及对网络的冲击等安全问题。

⑶三网融合、云计算、物联网带来的网络开放性、终端复杂性使网络面临更多安全攻击和威胁；系统可靠性以及数据保护将面临更大的风险；网络安全问题从互联网的虚拟空间拓展到物理空间、网络安全和危机处置将面临更大的挑战。

⑷电信运营企业保存的客户信息（包括订购关系）日益增多，客户信息的流转环节不断增加，也存在SP等合作伙伴访问客户信息的需要、泄露、篡改、伪造客户信息的问题日益突出。

⑸电信运营企业内部人员，第三方支持人员SP等利用拥有的权限以及业务流程漏洞，实施以追求经济利益为目的的犯罪。

2 通信网络的安全防护措施

2.1 移动互联网安全防护

移动互联网把移动通信网作为接入网络，包括移动通信网络接入、公众

互联网服务、移动互联网终端。移动互联网面临的安全威胁主要来自终端、网络和业务。终端的智能化带来的威胁主要是手机病毒和恶意代码引起的破坏终端功能、窃取用户信息、滥用网络资源非法恶意订购等。网络的安全威胁主要包括非法接入网络、进行拒绝服务攻击、跟踪窃听空口传输的信息滥用网络服务等。业务层面的安全威胁包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露等针对以上安全威胁，应在终端侧和网络侧进行安全防护。

2.1.1终端侧

主要增强终端自身的安全功能，终端应具有身份认证、业务应用的访问控制能力，同时要安装手机防病毒软件。

2.1.2网络侧

针对协议漏洞或网络设备自身漏洞，首先要对网络设备进行安全评估和加固，确保系统自身安全。其次。针对网络攻击和业务层面的攻击应在移动互联网的互联边界和核心节点部署流量分析、流量清洗设备、识别出正常业务流量、异常攻击流量等内容，实现对DDoS攻击的防护。针对手机恶意代码导致的滥发彩信、非法联网、恶意下载、恶意订购等行为，应在网络侧部署恶意代码监测系统。在GGSN上的Gn和Gp口通过分光把数据包采集到手机恶意代码监测系统进行扫描分析，同时可以从彩信中心获取数据，对彩信及附件进行扫描分析，从而实现对恶意代码的监测和拦截。见图 1

图1在网络侧部署恶意代码监测系统

2.2 核心网安全防护

⑴软交换网安全防护。软交换网需要重点防范来自内部的风险，如维护终端、现场支持、支撑系统接入带来的安全问题。重点防护措施可以包括：在软交换网和网管、计费网络的连接边界、设置安全访问策略、禁止越权访问。根据需要，在网络边界部署防病毒网关类产品；以避免蠕虫病毒的蔓延、维测终端、反牵终端安装网络版防病毒软件，并专用于设备维护。

⑵GPRS核心网安全防护。GPRS系统面临来自GPRS用户、互联伙伴和内部的安全风险。GPRS安全防护措施对GPRS网络划分了多个安全域，例如Gn安全域，Gi安全域，Gp安全域等，各安全域之间LAN 或防火墙实现与互联网的隔离；省际Gn域互联Gp域与其它PLMNGRPS网络互联，以及Gn与Gi 域互联时，均应设置防火墙，并配置合理的防火墙策略。

⑶3G核心网安全防护，3G核心网不仅在分组域采用IP技术，电路域核心网也将采用IP技术在核心网元间传输媒体流及信令信息，因此IP网络的风险

也逐步引入到3G核心网之中。由于3G核心网的重要性和复杂性，可以对其PS 域网络和CS域网络分别划分安全域并进行相应的防护。例如对CS域而言，可以划分信令域、媒体域、维护OM域、计费域等，对于PS域可以分为Gn/Gp域、Gi域、Gom维护域、计费域等，对划分的安全域分别进行安全威胁分析并进行针对性的防护重要安全域中的网元之间要做到双向认证，数据一致性检查，同时对不同安全域要做到隔离，并在安全域之间进行相应的访问控制。

2.3 支撑网络安全防护

支撑网络包括网管支撑系统、业务支撑系统和管理支撑系统。支撑网络中有大量的IT 设备、终端、面临的安全威胁主要包括病毒、木马、非授权的访问或越权使用、信息泄密、数据完整性破坏、系统可用性被破坏等。

支撑网络安全防护的基础是做好安全域划分、系统自身安全和增加基础安全防护手段。同时，通过建立4A系统，对内部维护人员和厂家人员操作网络、业务

系统、网管系统、业务支撑系统、OA系统等的全过程实施管控。对支撑系统进行区域划分，进行层次化，有重点的保护是保证系统安全的有效手段。安全域划分遵循集中化防护和分等级防护原则，整合各系统分散的防护边界，形成数个大的安全域，内部分区控制，外部整合边界，并以此为基础集中部署安全域内各系统共享的安全技术防护手段，实现重兵把守、纵深防护。

4A系统为用户访问资源，进行维护操作提供了便捷、高效、可靠的途径，并对操作维护过程进行实时日志审计，同时也为加强企业内部网络与信息安全控制、满足相关法案审计要求提供技术保证。图2为维护人员通过登录4A系统后访问后台设备的示意图。

图2维护人员通过登录4A系统后访问后台设备的示意

4A系统作为用户访问后台系统的惟一入口，可以实现对系统维护人员、用户的统一接入访问控制授权和操作行为审计、对于防止违规访问敏感信息系统和在访问之后进行审计提供非常重要的管控手段。

3 重要系统的安全防护

3.1 Web网站安全防护

随着网络层防护水平的提高Web等应用层由于其开放性可能会面临着越来越多的攻击，随着通信业务Web化的发展趋势Web系统的安全直接影响到通信业务系统的安全Web系统防护是一个复杂的问题，包括应对网页篡改DDoS 攻击，信息泄漏，导致系统可用性问题的其它类型黑客攻击等各种措施。针对