新聞中心

EEPW首頁(yè) > 手機(jī)與無線通信 > 設(shè)計(jì)應(yīng)用 > 通信網(wǎng)絡(luò)安全防護(hù)綜述

通信網(wǎng)絡(luò)安全防護(hù)綜述

作者: 時(shí)間:2012-07-25 來源:網(wǎng)絡(luò) 收藏

(3)3G核心網(wǎng):3G核心網(wǎng)不僅在分組域采用IP技術(shù),電路域核心網(wǎng)也將采用IP技術(shù)在核心網(wǎng)元間傳輸媒體流及信令信息,因此IP網(wǎng)絡(luò)的風(fēng)險(xiǎn)也逐步引入到3G核心網(wǎng)之中。由于3G核心網(wǎng)的重要性和復(fù)雜性,可以對(duì)其PS域網(wǎng)絡(luò)和CS域網(wǎng)絡(luò)分別劃分安全域并進(jìn)行相應(yīng)的防護(hù)。例如對(duì)CS域而言,可以劃分信令域、媒體域、維護(hù)OM域、計(jì)費(fèi)域等;對(duì)于PS域可以分為Gn/Gp域,Gi域,Gom維護(hù)域、計(jì)費(fèi)域等;對(duì)劃分的安全域分別進(jìn)行安全威脅分析并進(jìn)行針對(duì)性的防護(hù)。重要安全域中的網(wǎng)元之間要做到雙向認(rèn)證、數(shù)據(jù)一致性檢查,同時(shí)對(duì)不同安全域要做到隔離,并在安全域之間進(jìn)行相應(yīng)的訪問控制。

2.4 支撐網(wǎng)絡(luò)

支撐網(wǎng)絡(luò)包括網(wǎng)管支撐系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)和管理支撐系統(tǒng)。支撐網(wǎng)絡(luò)中有大量的IT設(shè)備、終端,面臨的安全威脅主要包括病毒、木馬、非授權(quán)的訪問或越權(quán)使用、信息泄密、數(shù)據(jù)完整性破壞、系統(tǒng)可用性被破壞等。

支撐網(wǎng)絡(luò)的基礎(chǔ)是做好安全域劃分、系統(tǒng)自身安全和增加基礎(chǔ)安全防護(hù)手段。同時(shí),通過建立4A系統(tǒng),對(duì)內(nèi)部維護(hù)人員和廠家人員操作網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)、OA系統(tǒng)等的全過程實(shí)施管控。對(duì)支撐系統(tǒng)進(jìn)行區(qū)域劃分,進(jìn)行層次化、有重點(diǎn)的保護(hù)是保證系統(tǒng)安全的有效手段。安全域劃分遵循集中化防護(hù)和分等級(jí)防護(hù)原則,整合各系統(tǒng)分散的防護(hù)邊界,形成數(shù)個(gè)大的安全域,內(nèi)部分區(qū)控制、外部整合邊界,并以此為基礎(chǔ)集中部署安全域內(nèi)各系統(tǒng)共享的安全技術(shù)防護(hù)手段,實(shí)現(xiàn)重兵把守、縱深防護(hù)。

4A系統(tǒng)為用戶訪問資源、進(jìn)行維護(hù)操作提供了便捷、高效、可靠的途徑,并對(duì)操作維護(hù)過程進(jìn)行實(shí)時(shí)日志審計(jì),同時(shí)也為加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)與信息安全控制、滿足相關(guān)法案審計(jì)要求提供技術(shù)保證。圖2為維護(hù)人員通過登錄4A系統(tǒng)后訪問后臺(tái)設(shè)備的示意圖。

維護(hù)人員通過登錄4A系統(tǒng)后訪問后臺(tái)設(shè)備的示意

圖2 維護(hù)人員通過登錄4A系統(tǒng)后訪問后臺(tái)設(shè)備的示意

4A系統(tǒng)作為用戶訪問后臺(tái)系統(tǒng)的惟一入口,可以實(shí)現(xiàn)對(duì)系統(tǒng)維護(hù)人員、用戶的統(tǒng)一接入訪問控制、授權(quán)和操作行為審計(jì)。對(duì)于防止違規(guī)訪問敏感信息系統(tǒng)和在訪問之后進(jìn)行審計(jì)提供非常重要的管控手段。

3 重要系統(tǒng)的安全防護(hù)

3.1 Web網(wǎng)站安全防護(hù)

隨著網(wǎng)絡(luò)層防護(hù)水平的提高,Web等應(yīng)用層由于其開放性可能會(huì)面臨著越來越多的攻擊,隨著通信業(yè)務(wù)Web化的發(fā)展趨勢(shì),Web系統(tǒng)的安全直接影響到通信業(yè)務(wù)系統(tǒng)的安全。Web系統(tǒng)防護(hù)是一個(gè)復(fù)雜的問題,包括應(yīng)對(duì)網(wǎng)頁(yè)篡改、DDoS攻擊、信息泄漏、導(dǎo)致系統(tǒng)可用性問題的其它類型黑客攻擊等各種措施。針對(duì)Web系統(tǒng)的許多攻擊方式都是利用了Web系統(tǒng)設(shè)計(jì)編碼中存在的漏洞,因此Web網(wǎng)站的安全防護(hù)通常要包括Web系統(tǒng)上線的安全編碼階段、安全檢測(cè)及上線之后的監(jiān)控及運(yùn)行防護(hù)階段。Web系統(tǒng)上線之前的階段側(cè)重于應(yīng)用工具發(fā)現(xiàn)代碼存在的漏洞,而在監(jiān)控及運(yùn)行防護(hù)階段需要針對(duì)系統(tǒng)分層進(jìn)行分別防護(hù),例如分為內(nèi)容層安全、應(yīng)用層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全等。在分層防護(hù)時(shí)分別部署內(nèi)容檢測(cè)系統(tǒng)、Web安全漏洞掃描系統(tǒng)、防火墻、Web應(yīng)用防火墻、系統(tǒng)漏洞掃描器等措施。

3.2 DNS系統(tǒng)的安全防護(hù)

DNS系統(tǒng)是互聯(lián)網(wǎng)的神經(jīng)系統(tǒng),因此對(duì)DNS系統(tǒng)的安全防護(hù)尤為重要。近幾年來,針對(duì)DNS系統(tǒng)的攻擊比較突出的為DoS攻擊、DNS投毒、域名劫持及重定向等。DNS系統(tǒng)的安全防護(hù)需要部署流量清洗設(shè)備,在發(fā)生異常DNS Flood攻擊時(shí),能夠?qū)NS流量牽引到流量清洗設(shè)備進(jìn)行清洗,保障DNS業(yè)務(wù)系統(tǒng)的正常運(yùn)行。同時(shí),DNS系統(tǒng)安全防護(hù)需要進(jìn)行安全配置并同時(shí)要運(yùn)行安全的DNS系統(tǒng)或者啟用安全的協(xié)議,例如運(yùn)行源端口隨機(jī)化的系統(tǒng)來部分解決DNS投毒問題或者利用DNSSEC協(xié)議來避免DNS投毒、DNS劫持等。

4 新業(yè)務(wù)網(wǎng)絡(luò)的安全防護(hù)

4.1 物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)由大量的機(jī)器構(gòu)成,很多節(jié)點(diǎn)處于無人值守環(huán)境,并且資源受限、數(shù)量龐大,因此物聯(lián)網(wǎng)除了面對(duì)移動(dòng)的傳統(tǒng)網(wǎng)絡(luò)安全問題之外,還存在著一些特殊安全問題,包括感知網(wǎng)絡(luò)的安全,以及感知網(wǎng)絡(luò)與之間安全機(jī)制的相互協(xié)調(diào)。對(duì)于感知網(wǎng)絡(luò)的安全,主要有以下安全問題:

(1)感知節(jié)點(diǎn)的物理安全問題。很多節(jié)點(diǎn)處于無人值守環(huán)境,容易失效或受到物理攻擊,在進(jìn)行安全設(shè)計(jì)時(shí)必須考慮失效/被俘節(jié)點(diǎn)的檢測(cè)、撤除問題,同時(shí)還要將失效/被俘節(jié)點(diǎn)導(dǎo)致的安全隱患限制在最小范圍內(nèi)。

(2)感知網(wǎng)絡(luò)的傳輸與信息安全問題。感知網(wǎng)絡(luò)通常采用短距離通信技術(shù)、以自組織方式組網(wǎng),且感知節(jié)點(diǎn)處理器、存儲(chǔ)器、電源等資源非常有限。開放的環(huán)境使傳輸介質(zhì)易受外界環(huán)境影響,節(jié)點(diǎn)附近容易產(chǎn)生信道沖突,惡意攻擊者也可以方便竊聽重要信息。資源受限使節(jié)點(diǎn)無法進(jìn)行快速的高復(fù)雜度的計(jì)算,這對(duì)依賴于加解密算法的安全架構(gòu)提出了挑戰(zhàn),需要考慮輕量級(jí)、高效的安全實(shí)現(xiàn)方案。

目前,物聯(lián)網(wǎng)通信安全防護(hù)重點(diǎn)在節(jié)點(diǎn)認(rèn)證、加密、密鑰管理、路由安全和入侵檢測(cè)等方面,業(yè)界也提出了一些針對(duì)性的解決方案,如SPINS協(xié)議,其子協(xié)議SNEP 提供點(diǎn)到點(diǎn)通信認(rèn)證、數(shù)據(jù)機(jī)密性、完整性和新鮮性等安全服務(wù),子協(xié)議μTESLA提供對(duì)廣播消息的數(shù)據(jù)認(rèn)證服務(wù)。但目前主要針對(duì)某個(gè)領(lǐng)域解決特定的安全問題,遠(yuǎn)未形成物聯(lián)網(wǎng)安全防護(hù)體系,更無法與相互配合形成統(tǒng)一的物聯(lián)網(wǎng)安全防護(hù)體系。

物聯(lián)網(wǎng)應(yīng)用和行業(yè)緊密相關(guān),有特殊的安全需求,作為運(yùn)營(yíng)商,應(yīng)提供基礎(chǔ)安全服務(wù),解決物聯(lián)網(wǎng)中共性的安全問題,例如構(gòu)建物聯(lián)網(wǎng)安全管理平臺(tái),為物聯(lián)網(wǎng)應(yīng)用提供安全基礎(chǔ)支撐環(huán)境,重點(diǎn)提供認(rèn)證、加密等安全通信服務(wù),并解決節(jié)點(diǎn)監(jiān)控與管理、網(wǎng)絡(luò)安全狀態(tài)監(jiān)控、網(wǎng)絡(luò)故障修復(fù)、安全策略分發(fā)等問題。

4.2 云計(jì)算安全

云計(jì)算的虛擬化、多租戶和動(dòng)態(tài)性不僅加重了傳統(tǒng)的安全問題,同時(shí)也引入了一些新的安全問題。云計(jì)算系統(tǒng)的安全防護(hù)應(yīng)重點(diǎn)考慮如下方面:

(1)數(shù)據(jù)安全和隱私保護(hù)。由于虛擬技術(shù)、數(shù)據(jù)遷移、業(yè)務(wù)遷移等多個(gè)因素綜合導(dǎo)致數(shù)據(jù)保護(hù)將面臨更大的挑戰(zhàn),應(yīng)通過管理和技術(shù)手段,解決用戶隱私數(shù)據(jù)保護(hù)和數(shù)據(jù)內(nèi)容安全問題。



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉