互聯網(CMNet)是完全開放的IP網絡。面臨的主要安全風險來自用戶、互聯伙伴的帶有拒絕服務攻擊性質的安全事件,包括利用路由器漏洞的安全攻擊,分布式大流量攻擊,蠕蟲病毒、虛假路由、釣魚攻擊、P2P濫用等。
互聯網上的安全事件會影響直接或間接連接互聯網的業務系統。因此,針對互聯網,應重點做好以下幾方面安全措施:
(1)流量控制系統:在互聯網的國際出入口、網間接口、骨干網接口的合適位置部署流量控制系統,具備對各種業務流量帶寬進行控制的能力,防止P2P等業務濫用。
(2)流量清洗系統:在互聯網骨干網、網間等接口部署異常流量清洗系統,用于發現對特定端口、特定協議等的攻擊行為并進行阻斷,防止或減緩拒絕服務攻擊發生的可能性。
(3)惡意代碼監測系統:在骨干網接口、網間接口、IDC和重要系統的前端部署惡意代碼監測系統,具備對蠕蟲、木馬和僵尸網絡的監測能力。
(4)路由安全監測:對互聯網關鍵基礎設施重要組成的BGP路由系統進行監測,防止惡意的路由宣告、攔截或篡改BGP路由的事件發生。
(5)重點完善DNS安全監控和防護手段,針對異常流量以及DNS欺騙攻擊的特點,對DNS服務器健康情況、DNS負載均衡設備、DNS系統解析情況等進行監控,及時發現并解決安全問題。
通信網絡安全防護—移動互聯網安全防護
移動互聯網把移動通信網作為接入網絡,包括移動通信網絡接入、公眾互聯網服務、移動互聯網終端。移動互聯網面臨的安全威脅主要來自終端、網絡和業務。終端的智能化帶來的威脅主要是手機病毒和惡意代碼引起的破壞終端功能、竊取用戶信息、濫用網絡資源、非法惡意訂購等。
網絡的安全威脅主要包括非法接入網絡、進行拒絕服務攻擊、跟蹤竊聽空口傳輸的信息、濫用網絡服務等。業務層面的安全威脅包括非法訪問業務、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露等。
針對以上安全威脅,應在終端側和網絡側進行安全防護。
(1)在終端側,主要增強終端自身的安全功能,終端應具有身份認證、業務應用的訪問控制能力,同時要安裝手機防病毒軟件。
(2)在網絡側,針對協議漏洞或網絡設備自身漏洞,首先要對網絡設備進行安全評估和加固,確保系統自身安全。其次,針對網絡攻擊和業務層面的攻擊,應在移動互聯網的互聯邊界和核心節點部署流量分析、流量清洗設備,識別出正常業務流量、異常攻擊流量等內容,實現對DDoS攻擊的防護。
針對手機惡意代碼導致的濫發彩信、非法聯網、惡意下載、惡意訂購等行為,應在網絡側部署惡意代碼監測系統。在GGSN上的Gn和Gp口通過分光把數據包采集到手機惡意代碼監測系統進行掃描分析,同時可以從彩信中心獲取數據,對彩信及附件進行掃描分析,從而實現對惡意代碼的監測和攔截(見圖1)。
圖1 在網絡側部署惡意代碼監測系統
通信網絡的安全防護措施還不止本文介紹的兩種,我們還會在以后的文章中繼續向大家介紹,請感興趣的朋友關注:淺析通信網絡的安全防護措施 下篇
通信網絡安全防護—核心網安全防護
(1)軟交換網安全防護。軟交換網需要重點防范來自內部的風險,如維護終端、現場支持、支撐系統接入帶來的安全問題。重點防護措施可以包括:在軟交換網和網管、計費網絡的連接邊界,設置安全訪問策略,禁止越權訪問。根據需要,在網絡邊界部署防病毒網關類產品,以避免蠕蟲病毒的蔓延;維測終端、反牽終端安裝網絡版防病毒軟件,并專用于設備維護。
(2)GPRS核心網安全防護。GPRS系統面臨來自GPRS用戶、互聯伙伴和內部的安全風險。GPRS安全防護措施對GPRS網絡劃分了多個安全域,例如Gn安全域、Gi安全域、Gp安全域等,各安全域之間VLAN或防火墻實現與互聯網的隔離;省際Gn域互聯、Gp域與其它PLMN GRPS網絡互連、以及Gn與Gi域互聯時,均應設置防火墻,并配置合理的防火墻策略。
(3)3G核心網安全防護:3G核心網不僅在分組域采用IP技術,電路域核心網也將采用IP技術在核心網元間傳輸媒體流及信令信息,因此IP網絡的風險也逐步引入到3G核心網之中。由于3G核心網的重要性和復雜性,可以對其PS域網絡和CS域網絡分別劃分安全域并進行相應的防護。例如對CS域而言,可以劃分信令域、媒體域、維護OM域、計費域等。
對于PS域可以分為Gn/Gp域,Gi域,Gom維護域、計費域等;對劃分的安全域分別進行安全威脅分析并進行針對性的防護。重要安全域中的網元之間要做到雙向認證、數據一致性檢查,同時對不同安全域要做到隔離,并在安全域之間進行相應的訪問控制。
通信網絡安全防護—支撐網絡安全防護
支撐網絡包括網管支撐系統、業務支撐系統和管理支撐系統。支撐網絡中有大量的IT設備、終端,面臨的安全威脅主要包括病毒、木馬、非授權的訪問或越權使用、信息泄密、數據完整性破壞、系統可用性被破壞等。
支撐網絡安全防護的基礎是做好安全域劃分、系統自身安全和增加基礎安全防護手段。同時,通過建立4A系統,對內部維護人員和廠家人員操作網絡、業務系統、網管系統、業務支撐系統、OA系統等的全過程實施管控。對支撐系統進行區域劃分,進行層次化、有重點的保護是保證系統安全的有效手段。
安全域劃分遵循集中化防護和分等級防護原則,整合各系統分散的防護邊界,形成數個大的安全域,內部分區控制、外部整合邊界,并以此為基礎集中部署安全域內各系統共享的安全技術防護手段,實現重兵把守、縱深防護。
4A系統為用戶訪問資源、進行維護操作提供了便捷、高效、可靠的途徑,并對操作維護過程進行實時日志審計,同時也為加強企業內部網絡與信息安全控制、滿足相關法案審計要求提供技術保證。圖2為維護人員通過登錄4A系統后訪問后臺設備的示意圖。
4A系統作為用戶訪問后臺系統的惟一入口,可以實現對系統維護人員、用戶的統一接入訪問控制、授權和操作行為審計。對于防止違規訪問敏感信息系統和在訪問之后進行審計提供非常重要的管控手段。
?
健康風險評估技術規范
醫療技術風險預警機制
市場監管總局的建立與政府質量管理職能
質量體系認證后常有的十大頑癥
中暑事故安全隱患排查方案
中毒事故安全隱患排查方案
大氣污染與人類健康
安全生產明白卡(煙草企業)
淺談食品安全的重要性
我國安全生產的基本方針是什么?
生產車間安全常識
車間內安全通道的寬度是多少?
食品安全突發事件應急處置方案
食堂安全隱患及防范措施
冬季安全生產注意事項
城市污水處理廠的安全生產