- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
NGN、3G核心网:开放性架构引发安全策略变革
作者:通信产业报记者 靳辉
由于NGN和3G核心网的开放性和IP化,安全威胁正在向电信核心网渗透。专家指出,建立更具体系的安全机制,同时应用新的通道与身份认证技术,是今后维护电信网络安全的主要策略。
近年来,日益严重的网络安全问题越来越受到人们的关注,僵尸主机正在与蠕虫、病毒和攻击行为等结合起来,对公共网络造成越来越严重的威胁;同时,互联网的安全问题除了威胁到公众用户外,也在越来越多地波及到其承载者。在这样的背景下,对于作为基础网络运营者的电信运营商而言,其核心网络和业务网络的安全问题也变得越来越严峻。
安全机制替代传统策略
记者在与应用开发商、电信运营支撑系统集成商的交流中了解到,对于负责开发小型应用程序、网络元素和BSS/OSS系统的各类供应商而言,他们通常将特色和功能的开发能力视为核心竞争元素。
而在电信运营商方面,北京邮电大学通信网络综合实验室的研究员柯平告诉记者,电信运营商虽然其深知安全性是一项重要要求,但在传统思路上并不将安全性视为基础架构核心能力的组成部分。然而,在现今网络演进提速和安全威胁加剧的背景下,电信运营商如果想要确保其基础架构投资得到保护,恐怕需要改变传统思路,确立以安全为中心的思想,从而指导其开展网络架构及其相关元素的开发工作。
针对电信网络发展中需要面对的这些安全挑战,柯平指出,应该通过建立一整套不同于传统方式的全面安全监控机制来应对。"预防远远比治理更有效。"他认为,具体来讲,安全机制中应该包含以下元素:跟踪NGN系统面临的不断变化的各种安全威胁,启用严格的网络安全机制,系统关闭任何不使用的网络服务,防止非法用户通过非法的服务入侵设备;通过隔离、过滤、监测、认证、加密等手段降低遭受攻击的可能性,并检测、记录攻击的发生,保证攻击的可溯源性。
开放性带来风险
事实上,安全问题一直以来都是困扰着电信运营商的一大痛处,爆发性的蠕虫与病毒侵袭、大流量分布式拒绝服务(DDOS)攻击、垃圾流量以及专门针对电信支撑和业务系统的攻击等,时刻都在给电信运营商网络安全带来巨大的挑战。如何采取层次化的安全防护措施,构筑电信网络安全体系,保障电信运营骨干网络、支撑网络及其承载业务的安全性,是电信运营商始终需要面对的课题。
而随着当前网络向NGN和3G的演进以及电信和互联网业务的多样化与融合化,电信网络安全问题正在凸显出来。NGN的主要组件包括面向服务的架构(SOA)和3GPPIP多媒体子系统(IMS)。SOA是一个由服务交付平台(SDP)组成的应用程序层,IMS是一种智能通用控制层,旨在交付标准统一的通信和展现型服务。中国电信集团网络安全实验室主任金华敏指出,尽管SOA和IMS相结合,能将电信服务提供商的基础架构组织成为松散耦合的可互换智能模块,从而提供灵活而快速的服务,降低新业务服务的运营成本;但同时,这种架构的开放性也给电信运营商带来了更多的安全隐患。因为在这种开放架构下,应用开发商合作伙伴以及互动性业务会对电信核心网和数据库专网进行更多的接入,这会使得电信运营商的3G无线网络和NGNIP网络基础架构容易受到新漏洞和风险的影响。
新技术组合出击
目前很多安全产品厂商已经将针对NGN与3G核心网安全漏洞的全面监测与治理机制纳入到其电信网络安全解决方案的设计中,主张通过各自的安全性评测方法来指导网络管理、渗透测试、集成工程设计、事故取证和事故响应,从而识别和验证网络、系统及应用程序漏洞,杜绝这些漏洞可能会招致的外部或内部的未授权访问。记者了解到,目前赛门铁克、华为、Juniper、联想网域等厂商均已推出了相关解决方案和服务。
此外,认证技术则是今后维护电信网络安全的另一种专业安全技术。北京邮电大学信息安全中心的研究人员林蔚告诉记者,电信运营商的传统安全思路是只提供网络通路,不提供端到端的网络安全服务,端到端的安全主要靠终端用户自己解决;而在NGN与3G环境下,网络系统由于强调为用户提供安全可靠的服务,必须要求网络做到端到端的安全保证,如采用SIP加密、RTP加密、VPN等通道安全措施,要求终端在接入网络系统时,要进行身份认证,包括MAC地址、IP地址等物理属性的检查,用户在使用网络服务时,也必须进行账户的认证。
林蔚进一步指出,目前的安全通道技术中,VPN技术,特别是SSLVPN技术的价值正在凸显出来。他告诉记者,目前看来,VPN几大主要厂商如ArrayNetworks、深信服、凹凸科技等的SSLVPN产品,普遍地配备了全面的身份认证机制,能达到不同类型用户通过权限分割功能访问生产、开发及办公资源;同时能提供WEB访问,以及Telnet、SSH、FTP及ORACLE特定端口的接入访问,支持从网络任何地点、通过各种网络终端接入。他认为,这些都能有效地将身份认证和访问控制机能带入到新一代移动和无线核心网当中。
链接 无线网络安全新威胁
近年来,SMS和MMS已经成为垃圾邮件和网络钓鱼活动的新媒介,部分原因是对部署这些服务的设备所采用的技术和程序防御措施尚不成熟,或未像应用于其他平台的防御措施那样广泛部署。此外,移动终端用户通常认为通过SMS和MMS接收信息比通过台式机中的电子邮件来接收信息更能彰显个性。另外,到目前为止,针对这些层面的威胁并不常见。因此,用户更有可能相信这些信息,惟命是从。对攻击者而言,与以特定的移动操作系统为目标相比,以SMS和MMS为目标能够得到更多好处。SMS和MMS已经非常完善,并且部署广泛,几乎所有网络上的任何移动通信终端均可使用,与智能手机相比,它们拥有更庞大的目标用户群。专家预测,基于SMS和MMS的网络钓鱼及垃圾邮件将继续增长。面对这一状况,移动运营商可能不得不在过滤技术上进行投资,以进行应对。这个问题诱因是,有许多基于互联网的不同SMS网关,这些网关允许用户提供自己的出生日期或姓名,从而可能被仿冒并用于发送垃圾邮件。
上一篇:彻底调查:全球三大3G标准的技术性比较分析
下一篇:GPRS网络建设方案及设计