由于NGN和3G核心网的开放性和IP化,安全威胁正在向电信核心网渗透。专家指出,建立更具体系的安全机制,同时应用新的通道与身份认证技术,是今后维护电信网络安全的主要策略。
近年来,日益严重的网络安全问题越来越受到人们的关注,僵尸主机正在与蠕虫、病毒和攻击行为等结合起来,对公共网络造成越来越严重的威胁;同时,互联网的安全问题除了威胁到公众用户外,也在越来越多地波及到其承载者。在这样的背景下,对于作为基础网络运营者的电信运营商而言,其核心网络和业务网络的安全问题也变得越来越严峻。
安全机制替代传统策略
记者在与应用
开发商、电信运营支撑系统集成商的交流中了解到,对于负责开发小型应用程序、网络元素和BSS/OSS系统的各类供应商而言,他们通常将特色和功能的开发能力视为核心竞争元素。
而在电信运营商方面,北京邮电大学通信网络综合实验室的研究员柯平告诉记者,电信运营商虽然其深知安全性是一项重要要求,但在传统思路上并不将安全性视为基础架构核心能力的组成部分。然而,在现今网络演进提速和安全威胁加剧的背景下,电信运营商如果想要确保其基础架构投资得到保护,恐怕需要改变传统思路,确立以安全为中心的思想,从而指导其开展网络架构及其相关元素的开发工作。
针对电信网络发展中需要面对的这些安全挑战,柯平指出,应该通过建立一整套不同于传统方式的全面安全监控机制来应对。“预防远远比治理更有效。”他认为,具体来讲,安全机制中应该包含以下元素:跟踪NGN系统面临的不断变化的各种安全威胁,启用严格的网络安全机制,系统关闭任何不使用的网络服务,防止非法用户通过非法的服务入侵设备;通过隔离、过滤、监测、认证、加密等手段降低遭受攻击的可能性,并检测、记录攻击的发生,保证攻击的可溯源性。
开放性带来风险
事实上,安全问题一直以来都是困扰着电信运营商的一大痛处,爆发性的蠕虫与病毒侵袭、大流量分布式拒绝服务(DDOS)攻击、垃圾流量以及专门针对电信支撑和业务系统的攻击等,时刻都在给电信运营商网络安全带来巨大的挑战。如何采取层次化的安全防护措施,构筑电信网络安全体系,保障电信运营骨干网络、支撑网络及其承载业务的安全性,是电信运营商始终需要面对的课题。
而随着当前网络向NGN和3G的演进以及电信和互联网业务的多样化与融合化,电信网络安全问题正在凸显出来。NGN的主要组件包括面向服务的架构(SOA)和3GPPIP多媒体子系统(IMS)。SOA是一个由服务交付平台(SDP)组成的应用程序层,IMS是一种智能通用控制层,旨在交付标准统一的通信和展现型服务。中国电信集团网络安全实验室主任金华敏指出,尽管SOA和IMS相结合,能将电信服务提供商的基础架构组织成为松散耦合的可互换智能模块,从而提供灵活而快速的服务,降低新业务服务的运营成本;但同时,这种架构的开放性也给电信运营商带来了更多的安全隐患。因为在这种开放架构下,应用开发商合作伙伴以及互动性业务会对电信核心网和数据库专网进行更多的接入,这会使得电信运营商的3G无线网络和NGNIP网络基础架构容易受到新漏洞和风险的影响。
新技术组合出击
目前很多安全产品厂商已经将针对NGN与3G核心网安全漏洞的全面监测与治理机制纳入到其电信网络安全解决方案的设计中,主张通过各自的安全性评测方法来指导网络管理、渗透测试、集成工程设计、事故取证和事故响应,从而识别和验证网络、系统及应用程序漏洞,杜绝这些漏洞可能会招致的外部或内部的未授权访问。记者了解到,目前赛门铁克、华为、Juniper、联想网域等厂商均已推出了相关解决方案和服务。
此外,认证技术则是今后维护电信网络安全的另一种专