骨干网安全
骨干网的安全同城域传输网的安全一样,有异常流量策略解决方案,有深度服务监控解决方案。和城域传输网不同,骨干网需要解决PS域的安全问题。
PS域的GTP协议采用明文传输,缺乏认证和完整性检查;PS连接互联网、企业用户、漫游合作 伙伴和GRX网络,具备开放性;手机越来越智能,操作系统复杂,可自由安装软件,病毒和蠕虫肆意传播变成可能;同时PS承载的业务多种多样,用户数量也巨 大,负载也极其高。这样的现状让PS域不得不面对很多安全威胁。
PDN网络开放,不可控,拥有很多专业的攻击者,主要攻击手段为DDoS、 超额计费和系统入侵,主要攻击对象是GGSN和移动终端。漫游网络中GRX网络不可控,采用GTP协议,易受到超额计费、GTP欺骗、DDoS和截获用户 数据攻击,主要攻击对象是移动终端和GGSN。网管网络易于获取较高权限,且采用通用操作系统,带宽充足、设备性能优良,因此易受到系统入侵、数据篡改和 木马攻击,主要攻击对象是数据库和网元。终端网络的用户不可控,用户缺少安全意识,且手机多功能化、智能化,因此易受到蠕虫、病毒和DDoS攻击,攻击的 对象是移动终端和网元。
针对PS域中4类具有代表性的攻击:DDoS,超额计费,GTP欺骗和蠕虫攻击,可部署华为赛门铁克PS域安全解决方案。
华为赛门铁克PS域整体解决方案,具有超强的兼容性和深度融合能力,高性能、高安全性、高可靠性,采用NP + 多核 + 分布式架构的防火墙产品,支持GTP协议和DPI,具备独有的DDoS防护能力,能够对PS域进行2~7层的全方位立体防护。
华为赛门铁克PS域安全解决方案通过在PS域内部和PDN边界部署高性能防火墙,防御来自 PDN网络的攻击。两台防火墙之间进行隧道拆除通知。能够抗击DDoS攻击,如SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等;能够杜绝超额计费发生;且解决性能瓶颈,最高吞吐可达到80G;提高并发连接能力达3200万,每秒新建最高可达到200万个连接; 并实现VPN安全加密。
为了进一步加强DDoS的抵御能力,可在PDN和PS域之间部署华为赛门铁克的流量清洗方案。
华为赛门铁克PS域安全解决方案通过在PS域与漫游网络之间部署高性能防火墙,防御来自漫游网 络的攻击。该防火墙可防范各种DDoS攻击,保护PS域网元;过滤异常GTP报文(包括GTP-in-GTP);防止基于GTP隧道状态的攻击;防止超额 计费(Overbilling);阻止非法接入;支持GTPv0、GTPv1和GTP’;支持路由和透明模式,实现灵活组网;支持GTP隧道的双机热备。
华为赛门铁克PS域安全解决方案通过划分网管网络的安全域,然后在PS域和网管网络之间部署防 火墙,防御来自网管网络攻击。该方案可实现IPSec、SSL、SSH、HTTPS等加密手段,保护数据传输过程安全可靠;实现不同安全域之间的隔离;实 现细致的安全策略定制;虚拟防火墙技术为客户节省成本;可以对管理员的违规操作进行追溯(安全日志审计,Elog);同时,可抵御外来DOS/DDoS攻 击,保护核心服务器。
华为赛门铁克PS域安全解决方案通过在GGSN与PDN网络之间部署高性能防火墙,防御来自终端网络的攻击。该方案中,移动终端在PS内不直接通信,而是通过防火墙进行通信,避免蠕虫爆发;避免针对网元的攻击;节省带宽资源;抵御来自Internet的各种攻击。
PS域安全解决方案对PS域进行全方位防护,形成2~7层的立体式防护网。华为赛门铁克针对PS域安全解决方案提供从低端到高端的全线安全产品,这使得PS安全解决方案具有超强的兼容性和深度融合。
PS域解决方案已经成为华为重点发展的解决方案,并在将来提供可实现增值服务的安全解决方案,帮助运营商打造PS域安全的价值链。
五、服务控制层安全
服务控制层安全包括IMS安全方案和IPTV安全方案。
IMS安全解决方案遵从ITU-T X.805,实现端到端的IMS安全。IMS安全威胁主要来自:更加智能化的IMS终端具备了更加强大的对通信网络进行攻击的能力,IMS网络的开放性同 时也使终端更容易攻击网络设备,随着接入带宽限制的不断突破,其对IMS核心网络的保护作用也在逐部减缩,IMS融合固定、移动网络,使IMS承担着更多 的与其他网络互联的需求,所以来自互联网的各类攻击也极大的威胁着IMS网络的安全。华为赛门铁克IMS端到端安全解决方案在设备安全方面,进行系统加 固,服务控制和攻击保护,在网络安全方面网络域隔离,拓扑隐藏,安全传输通道,加密和完整性保护,网络接入认证。在业务安全方面保护业务量安全,防信令攻 击和业务认证和授权。在用户平面安全方面,有设备安全方案,用户认证方案,业务鉴权方案和用户流安全方案。在控制平面安全解决方案方面有安全传输通 道,SIP信令防DOS方案,接入域信令保护。在管理平面安全解决方案有认证权限控制方案,管理通道安全和计费安全。这些方案构成了立体的多维的安全防护 网。
IPTV是网络中重要的应用,其运行安全由华为赛门铁克的安全域设计来保障。华为赛门铁克的IPTV安全域模型如下:
IPTV安全域模型共11个考虑点,通过对这11个点的安全分析,制定合理的安全策略,从而确保IPTV的安全。
六、端到端的安全服务与QoS
端到端的安全服务与QoS包括两个方案,其一是IP VPN解决方案。其二是IDC的安全增值服务。IP VPN解决方案提供IPSec的安全营运。华为赛门铁克IDC SAUP (Security Ability Upgrade Program) 安全能力提升计划是为了应对IDC的变化趋势,推出的安全增值服务。
IDC SAUP 核心思想是:“需求分类,按需满足”,IDC SAUP 实现安全需求与安全能力对应,建设和提升安全能力的参考方法,通过安全能力的系统化建设来实现IDC商业价值的持续提升。
IDC SAUP 基于管理层认知、安全部门地位、安全问题处理、建设成本及改进等内容,将安全能力划分为具有层次和递进关系的5 个阶段:
1. 不确定期:不知道为什么会有安全问题;
2. 觉醒期:经常疑问“是不是一定会有安全问题?”;
3. 启蒙期:管理层的承诺,及改进活动,能发现并解决安全问题;
4. 智慧期:安全预防已经成为日常工作的一部分;
5. 确定期:知道为什么会没有安全问题;
在划分安全能力阶段以后,下一步的目标就是将IDC 价值定位与安全能力相对应,然后实现每阶段安全能力的建设和提升。
IDC 价值定位在不断变化,从产品展示到业务发布,再到战略应用平台,每个阶段都呈现特定的安全状态与需求。IDC SAUP 建议从业务价值和安全需求两个纬度出发,基于有效的安全战略将核心价值与安全方法进行有效耦合,满足客户的动态、个性化安全需求,实现IDC 安全能力的持续创新与适应。
IDC SAUP 作为衡量和建设安全能力的参考方法,目的是帮助IDC运营商识别业务现状与对安全能力之间的关系,识别随业务发展可能出现的安全威胁,并基于业界最佳实践 对可采取的安全策略和安全方法提出建议,实现分阶段、可预测的安全能力的系统化建设,最终实现IDC 商业价值的持续提升。
七、运营支撑系统安全
营运支撑系统安全分包括移动通信O&M安全解决方案和支撑网安全解决方案。
O&M安全解决方案通过对威胁和攻击的阻隔,实现O&M网络资产的安全目标。
在O&M分层分区安全解决方案中,采用了立体的防护体系。例如在边界部署防火墙,在网络中部署IDS/IPS,对终端实现访问控制,VLAN(IPSec VPN)+MPLS VPN实现数据流安全隔离等。
支撑网安全解决方案即是DCN的安全解决方案。DCN(Data Commucation Network)已发展成为运营商内部运营支撑网和企业信息化综合系统的内部数据公共网络承载平台。DCN由于长期的建设,存在很多共性问题,组网方式随 意性强,缺乏统一规划:上一套系统建一个网络,仅考虑单一业务子网的网络通讯需要;网络区域之间边界不清晰,互连互通没有统一控制规范;安全防护手段部署 原则不明确,已有设备也没有很好的发挥作用;网络资源比较分散:关键数据分散管理,部分通讯资源无法共享;网络层次不清晰,扩展性差;因此DCN无法有效 隔离不同业务领域,跨业务领域的非授权互访难于发现和控制,无法有效控制网络病毒的发作区域和影响,不能及时的发现安全事件和响应,第三方维护人员大量参 与生产系统维护时的没有访问控制和授权,管理员密码和权限的难以管理,关键服务器、信息资产的缺乏重点防护。