通信网络安全防护

《通信网络安全防护》由会员分享，可在线阅读，更多相关《通信网络安全防护（7页珍藏版）》请在金锄头文库上搜索。

1、h网络通信集团公司文件内部编码：（TTT-UUTT-MMYB-URTTY-ITTLTY-通信网络安全防护互联网（CMNet）是完全开放的IP网络。面临的主要安全风险来自用户、互联伙伴的带有拒绝服务攻击性质的安全事件，包括利用路由器漏洞的安全攻击，分布式大流量攻击，蠕虫病毒、虚假路由、钓鱼攻击、P2P 滥用等。互联网上的安全事件会影响直接或间接连接互联网的业务系统。因此，针对互联网，应重点做好以下几方面安全措施：（1）流量控制系统：在互联网的国际出入口、网间接口、骨干网接口的合适位置部署流量控制系统，具备对各种业务流量带宽进行控制的能力，防止P2P等业务滥用。（2）流量清洗系统：在互联网骨干网、

2、网间等接口部署异常流量清洗系统，用于发现对特定端口、特定协议等的攻击行为并进行阻断，防止或 减缓拒绝服务攻击发生的可能性。（3）恶意代码监测系统：在骨干网接口、网间接口、IDC和重要系统的前端部署恶意代码监测系统，具备对蠕虫、木马和僵尸网络的监测能 力。4)路由安全监测：对互联网关键基础设施重要组成的 BGP 路由系统进 行监测，防止恶意的路由宣告、拦截或篡改 BGP 路由的事件发生。(5)重点完善DNS安全监控和防护手段，针对异常流量以及DNS欺骗攻 击的特点，对DNS服务器健康情况、DNS负载均衡设备、DNS系统解析情 况等进行监控，及时发现并解决安全问题。通信网络安全防护移动互联网安全防

3、护移动互联网把移动通信网作为接入网络，包括移动通信网络接入、公众 互联网服务、移动互联网终端。移动互联网面临的安全威胁主要来自终 端、网络和业务。终端的智能化带来的威胁主要是手机病毒和恶意代码 引起的破坏终端功能、窃取用户信息、滥用网络资源、非法恶意订购 等。网络的安全威胁主要包括非法接入网络、进行拒绝服务攻击、跟踪窃听 空口传输的信息、滥用网络服务等。业务层面的安全威胁包括非法访问 业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传 播、个人隐私和敏感信息的泄露等。针对以上安全威胁，应在终端侧和网络侧进行安全防护。（1）在终端侧，主要增强终端自身的安全功能，终端应具有身份认证、

4、业务应用的访问控制能力，同时要安装手机防病毒软件。（2）在网络侧，针对协议漏洞或网络设备自身漏洞，首先要对网络设备 进行安全评估和加固，确保系统自身安全。其次，针对网络攻击和业务 层面的攻击，应在移动互联网的互联边界和核心节点部署流量分析、流 量清洗设备，识别出正常业务流量、异常攻击流量等内容，实现对 DDoS 攻击的防护。针对手机恶意代码导致的滥发彩信、非法联网、恶意下载、恶意订购等 行为，应在网络侧部署恶意代码监测系统。在 GGSN 上的 Gn 和 Gp 口通过 分光把数据包采集到手机恶意代码监测系统进行扫描分析，同时可以从 彩信中心获取数据，对彩信及附件进行扫描分析，从而实现对恶意代码

5、的监测和拦截（见图 1）。图 1 在网络侧部署恶意代码监测系统 通信网络的安全防护措施还不止本文介绍的两种，我们还会在以后的文 章中继续向大家介绍，请感兴趣的朋友关注：浅析通信网络的安全防护 措施下篇通信网络安全防护核心网安全防护（1）软交换网安全防护。软交换网需要重点防范来自内部的风险，如维 护终端、现场支持、支撑系统接入带来的安全问题。重点防护措施可以 包括：在软交换网和网管、计费网络的连接边界，设置安全访问策略， 禁止越权访问。根据需要，在网络边界部署防病毒网关类产品，以避免 蠕虫病毒的蔓延；维测终端、反牵终端安装网络版防病毒软件，并专用 于设备维护。（2）GPRS核心网安全防护。GPR

6、S系统面临来自GPRS用户、互联伙伴和 内部的安全风险。GPRS安全防护措施对GPRS网络划分了多个安全域，例 如Gn安全域、Gi安全域、Gp安全域等，各安全域之间VLAN或防火墙实 现与互联网的隔离；省际Gn域互联、Gp域与其它PLMNGRPS网络互连、 以及Gn与Gi域互联时，均应设置防火墙，并配置合理的防火墙策略。（3）3G核心网安全防护：3G核心网不仅在分组域采用IP技术，电路域 核心网也将采用IP技术在核心网元间传输媒体流及信令信息，因此IP 网络的风险也逐步引入到3G核心网之中。由于3G核心网的重要性和复 杂性，可以对其PS域网络和CS域网络分别划分安全域并进行相应的防 护。例如对

7、CS域而言，可以划分信令域、媒体域、维护0M域、计费域 等。对于PS域可以分为Gn/Gp域，Gi域，Gom维护域、计费域等；对划分的 安全域分别进行安全威胁分析并进行针对性的防护。重要安全域中的网 元之间要做到双向认证、数据一致性检查，同时对不同安全域要做到隔 离，并在安全域之间进行相应的访问控制。通信网络安全防护支撑网络安全防护支撑网络包括网管支撑系统、业务支撑系统和管理支撑系统。支撑网络中有大量的 IT 设备、终端，面临的安全威胁主要包括病毒、木马、非授权的访问或越权使用、信息泄密、数据完整性破坏、系统可用性被破坏支撑网络安全防护的基础是做好安全域划分、系统自身安全和增加基础 安全防护手段

8、。同时，通过建立4A系统，对内部维护人员和厂家人员操 作网络、业务系统、网管系统、业务支撑系统、0A系统等的全过程实施 管控。对支撑系统进行区域划分，进行层次化、有重点的保护是保证系 统安全的有效手段。安全域划分遵循集中化防护和分等级防护原则，整合各系统分散的防护 边界，形成数个大的安全域，内部分区控制、外部整合边界，并以此为 基础集中部署安全域内各系统共享的安全技术防护手段，实现重兵把 守、纵深防护。4A 系统为用户访问资源、进行维护操作提供了便捷、高效、可靠的途 径，并对操作维护过程进行实时日志审计，同时也为加强企业内部网络 与信息安全控制、满足相关法案审计要求提供技术保证。图 2为维护人 员通过登录 4A 系统后访问后台设备的示意图。4A 系统作为用户访问后台系统的惟一入口，可以实现对系统维护人员、 用户的统一接入访问控制、授权和操作行为审计。对于防止违规访问敏 感信息系统和在访问之后进行审计提供非常重要的管控手段。