《电信运营商移动网络安全探讨》由会员分享,可在线阅读,更多相关《电信运营商移动网络安全探讨(7页珍藏版)》请在金锄头文库上搜索。
1、电信运营商移动网络安全探讨才虹丽 石宇(四川通信科研规划设计有限责任公司 基础网络咨询设计分院 成都 )【摘要】随着电信运营商移动网络大规模的建设,随之而来的网络安全问题显得尤为重要。文中对移动核心网络及IP承载网存在的安全风险做出了分析,并对网络安全建设思路提出了建议。关键词 移动网络 网络安全1 引言随着电信运营商3G业务的推广,传统固网电信运营商正在热火朝天的进行移动网络的改造和建设,随之而来的网络安全建设也需要同步展开。移动网络核心网络的容灾安全技术将对网络安全产生很大的影响,同时,现在移动网络从核心网络、承载平台、业务系统到后台的支撑系统都越来越多地转移到了IP承载网络,与IP承载网
2、络的结合也越来越紧密,IP承载网中存在的安全风险都将对运营商的移动网络形成威胁。如何在网络发展的同时进行安全体系的建设,降低网络安全风险成为一个急待解决的问题,本文从运营商移动网络现状出发,对移动网络安全建设思路进行探讨。2 移动网络及业务系统介绍电信运营商移动网络由无线网、核心网、承载网、业务网、支撑网和传输网等网络系统构成。先简单了解一下各个网络系统的基本情况,然后再针对各个网络系统的安全问题进行重点分析,主要包括核心网、承载网,本文不涉及无线网、业务网和传输网等其他网络的安全问题。核心网由电路域和分组域组成,电路域负责话音业务的承载和控制,主要网元包括移动交换中心、媒体网关、归属位置寄存
3、器/鉴权中心;分组域负责数据业务的承载和控制,主要网元包括分组数据服务节点(PDSN)、AAA、DNS等,PDSN负责管理用户通信状态,转发用户数据。通常,PDSN 集中设置在省会城市,实现对所有分组业务用户的接入。业务网负责业务逻辑和业务数据处理,在全国和省级两个层面进行建设,全国层面业务包括:彩铃平台、流媒体平台、邮箱平台、BREW下载平台等,省级层面业务包括:WAP网关、短信平台、彩信平台、IVR等,由省移动业务管理平台统一进行业务管理。承载网负责跨地市或跨省业务数据的承载,通过CE+IP承载网方式组网,CE负责移动网络核心网元汇聚,IP承载网负责各业务VPN的长途承载。各个系统通过承载
4、网实现互联互通,IP承载网为每个系统分配单独的VPN,为每个系统提供独立的逻辑通道,比如RP网络VPN、PI网络VPN、C网软交换VPN等。支撑网为电信业务的开展提供运行维护和管理决策支持,支撑网主要包括业务支撑系统、网管系统、企业信息化系统。3 移动网络面临的安全风险分析3.1 核心网容灾安全分析移动网络网元的容灾可以分为两大类,一类是数据容灾,一类是业务处理容灾。第一类主要包括的网元有SCP、BOSS系统、HLR等。这类网元从本质上看是一套大型数据库系统应用系统,它们存储着用户的基本数据。业务处理容灾主要包括涉及MSC、HLR、PDSN等网元,这些网元主要负责处理移动业务,同时也存储着用户
5、的一部分动态数据。3G核心网是基于软交换架构的分层结构,MSC服务器负责提供呼叫控制、移动性管理、计费等功能,MGW负责提供承载通道。MGW和MSC服务器分开放置,它们不必为一一对应关系,MGW和MSC服务器可以是多对多的关系,一个MGW可受控于多个MSC服务器。当某一MSC服务器宕机时,其所控制的MGW可以通过一定的策略向其它的MSC服务器注册,从而保证其服务的连续性。目前采用容灾备份机制有双归属1+1主备模式、双归属1+1互备模式、双归属N+1备份模式和池组模式。双归属1+1主备模式:主MSC服务器与备MSC服务器同时运行相同的软件和数据,备用MSC服务器是主用MSC服务器的镜像,备用MS
6、C服务器与外部网元如HLRMGWSCPSMSCSTP的信令链路处于非激活态,一旦主用MSC服务器出现故障,备用MSC服务器将激活为主用MSC服务器,MGW注册接入新的MSC服务器。采用这种容灾方式,业务会有短时间的中断。 双归属1+1互备模式:两个MSC服务器都预留部分资源给对方作为非激活态的资源,一旦对方MSC服务器出现故障,就激活预留的资源,接管对方管理的MGW等资源,将两个原来独立运行的端局合二为一。 双归属N+1备份模式无法处理两个MSC服务器同时退网,虽然两台MSC服务器由于自身原因同时出现故障的概率非常低,但在移动运营商的实际网络中,由于局所的限制,大量网元可能设置在同一局所,甚至
7、在同一机房。自然灾害和社会灾害可能会导致一个局所的设备都不可用,因此在现实中,很可能出现多个MSC服务器同时瘫痪的情况。在此情况下,N+1备份模式将不起作用。 池组技术提供了网络级冗余备份保障机制,假如网络中某一节点出现故障或拥塞,BSC可相应选择Pool内其它可用节点出现接替,实现真正意义上的实时网络级冗余安全保障机制,此方式比双归属方式节省网络资源,而且有更大空闲冗余备份资源和更佳单节点故障发生时的网络容量保障及总体高话务的防冲击能力。3.2 IP承载网安全分析移动核心网构成威胁的主体包括:系统合法用户、系统非法用户、系统组件和物理环境。各种威胁及其可能发生的各种情形如下表所示:表1 IP
8、承载网安全威胁列表威胁主体威胁内容威胁描述系统合法用户(包括系统管理员和其他授权用户)操作错误合法用户工作失误或疏忽的可能性滥用授权合法用户利用自己的权限故意或非故意破坏系统的可能性行为抵赖合法用户对自己操作行为否认的可能性系统非法用户(包括权限较低用户和外部攻击者)身份假冒非法用户冒充合法用户进行操作的可能性密码猜测非法用户对系统密码猜测的可能性漏洞利用非法用户利用系统漏洞侵入系统的可能性拒绝服务非法用户利用拒绝服务手段攻击系统的可能性恶意代码病毒、特洛伊木马、蠕虫、逻辑炸弹等感染的可能性数据窃听非法用户通过窃听等手段盗取重要数据的可能性物理破坏非法用户利用各种手段对资产物理破坏的可能性社会
9、工程非法用户利用社交等手段获取重要信息的可能性系统组件意外故障系统的硬件、软件发生意外故障的可能性通信中断数据通信传输过程中发生意外中断的可能性物理环境电源中断电源发生中断的可能性灾难火灾、水灾、雷击、鼠害、地震等发生的可能性移动网络核心设备总体的安全性很好,主要原因是由于软交换核心设备采用专用的软硬件平台,没有明显的安全漏洞。同时,在核心设备边界部署了防火墙产品对来自ChinaNET的攻击进行了防护,进一步保证了核心设备的安全性,利用漏洞攻击形成的风险在此区域非常低。但是由于核心设备需要对外提供业务服务,面临的威胁较多,导致了拒绝服务成为了主要的风险来源。网管主要的风险是恶意代码、漏洞利用、
10、操作失误、密码猜测、数据窃听。由于网管系统不对外提供服务,因此面临拒绝服务攻击的风险很小,主要的攻击都是来自内部。4 移动网络安全建设思路探讨4.1 池组技术在大容量、少局所的网络架构条件下,核心网设备的容灾成为关注的焦点。MSC POOL在解决设备容灾和解决特大本地网因用户移动造成的资源分布不均问题方面,有明显优势。MSC POOL由多个MSC组成资源池,POOL中所有BSC都与每个MSC相连。MSC POOL的组网结构打破了传统移动网中MSC和BSC的一对树形拓扑结构,改为一个BSC节点可以对应多个MSC节点,MSC和BSC节点是多对多的关系。终端进入MSC POOL区域后,在其离开该PO
11、OL前始终由一个MSC负责提供该终端服务。图1 MSC POOL原理图采用MSC POOL的优势主要表现在:(1)MSC负荷分担不同区域和不同时间内的话务高峰。(2)一个MSC宕机,POOL内其他MSC将其业务接管,网络可靠性高。(3)POOL区域内能够减少核心网元的切换、更新,减少C/D和E接口信令流量,从而优化网络性能。由于业内尚无大规模商用成功案例,建议积极跟踪MSC POOL技术的发展。4.2 安全域划分从安全的角度来分析,将移动核心网络划分为:核心域、管理域、第三方互联域几个部分。(1)核心域:核心域内部之间是可以互相信任的,核心域内部为软交换专有设备(MSCe、MGW、PDSN、A
12、AA、AN-AAA等)。核心域主要接口通过CE与CN2节点相连,另外和管理域存在内部接口用于管理;(2)管理域:管理域由软交换核心设备网管接口和局域网连接设备组成,用于对软交换设备进行管理和操作。管理域除了同核心域存在内部接口以外,同时存在较多其它接口,包括DCN、MPLSVPN等等;(3)第三方互联域:用于对软交换管理域进行操作和通讯的各个系统,该域结构复杂,接口众多;包括:计费采集系统的互联接口、CRM系统的互联接口等。4.3 网络边界安全系统的对外接口是数据传输的重要通道,也是受到攻击的常规路径。需要针对接入网络的不同,合理配置安全策略。(1)优化和规范防火墙配置CE路由器与ChinaN
13、ET网络之间配置了2台防火墙。防火墙的使用大大提高了网络边界的安全性,隐藏了内部网络结构,屏蔽了来自外部的大部分攻击。但是防火墙的访问控制策略需要严格设置,尽量较少暴露在外部的地址和接口。同时,还需要定期审查防火墙策略的有效性和严密性,保证其发挥应有的功能。(2)边界路由器设置安全策略针对边界的安全,过多依赖防火墙的单层保护作用而不充分考虑边界路由的自身安全是不正确的。一旦路由器被拒绝服务攻击或像蠕虫大规模爆发,将导致路由器自身的瘫痪,使整个网络通信中断。因此,建议在各系统出口的CE路由器上配置必要的协议安全策略及过滤蠕虫的ACL,防止大规模的拒绝服务攻击和蠕虫爆发。(3)设置IP与MAC、端
14、口与MAC的绑定可以考虑在系统核心交换机上设置所有服务器及重要终端的IP与MAC、端口与MAC的绑定,防止非法用户的欺骗和恶意盗用。4.4 网络设备安全为尽量降低网络设备被攻击的风险,建议在路由交换设备上做一些基本的安全加固和增强的设置。比如严格的用户名密码策略、限制远程访问地址、管理数据加密、停止不需要的服务等等。随着时间的推移,新漏洞出现以及技术人员配置的疏忽也会造成安全隐患,因此应该重视网络设备的安全加固的持续性。4.5 网络安全管理(1)部署动态口令身份认证系统软交换系统关键的网络设备和主机由于其重要性,口令强度要求比较高,因此导致较长口令的设置难以被记忆,而口令设置很弱的话,一旦被非
15、法用户猜测破解成功利用后,可能造成无法估计的损失。口令猜测也是软交换网管系统面临的主要风险之一。为了更好的实现身份认证及用户授权的管理问题,建议对信息系统内所有重要的业务主机、网络设备用户使用双因素动态口令认证系统,这样所有网络系统管理员和应用管理员可以通过手中的令牌对自己的口令进行动态的管理,有效的防止用户使用较弱的口令,防止用户由于设置了较复杂的口令导致忘记,而且可以设置统一的密码策略提升网络整体的安全性。(2)集中审计系统软交换的网络设备、服务器操作系统和应用程序的日志,忠实地记录了操作系统和应用程序的一举一动,能够通过这些日志定位系统故障、网络问题和入侵攻击行为。但当前这些日志比较分散,不宜于综合分析、查看,降低了日志的功用,增加了系统管理、网络管理以及安全管理的成本。尤其是一些攻击者在攻击之前大量发送能够引起系统记录日志的数据包,使系统在短时间内记录海量日志,从而将真正的攻击日志记录淹没在这些垃圾日志之中,使管理员无从发现真正的攻击行为。因此,建议各系统通过部署日志集中审计系统,以解决上述问题。同时审计系统还能够记录操作人员对系统的访问和部分操作,以便出现问题后,追查原因。通过部署日志集中审计系统将达到以下效果:l 对各种主流的操作系统网络设备(如路由器交换机等)安全设备(如防火墙入侵检测等)形成的日志进行自动的集中分析和审计;
