NGN的安全题目和应对策略_路由技术

8677yhtty

NGN的安全威胁主要来自哪些方面？NGN的承载网——分组网络是否是NGN安全性的决定因素？　　　　（1） NGN作为承载在分组网络之上的下一代通讯网络，继续了分组IP网络的主要安全题目，包括黑客DOS攻击、病毒蠕虫木马的入侵、非法扫描，信息盗取、电话盗听，地址欺骗，信息骚扰等。　　　　　　（2） NGN核心系统位置相对集中，业务覆盖面广，NGN核心系统的安全成为NGN安 全的重中之重。　　　　（3） NGN终端多为有复杂操纵系统的智能终端，接入的形式多种多样，位置分散， 常与常规的数据终端同处于一个环境，使得终端系统遭到攻击的可能性大大增加。　　　　（4） IAD/IP Phone等终端及用户通过冒用截获的帐号进行非法接入，电话盗打，电话骚扰。　　　　（5） NGN系统采用媒体流与控制分离的思路，客观上增加了安全监控的难度。　　　　分组IP承载网络是影响NGN安全性的重要方面，NGN网络安全需要全方位的、整体的安全体系。　　　　二、NGN与传统电信网络以及互联网对安全的要求有何不同？能否描述一下安全的NGN环境应该达到何种效果？　　　　1 NGN对安全的要求与传统电信网络对安全的要求不同　　　　（1）传统电信网络夸大网络的可靠性和可用性，不夸大网上应用的安全；NGN不仅要夸大业务的可用性和可控性，还要夸大承载网的可靠性和生存性，而且要保证信息传递的完整性、机密性和不可否认性。　　　　（2） NGN系统按业务层、控制层、承载层进行分离，各层所有相关设备采用标准协议，同时NGN采用IP进行承载，这种开放性和公用性在一定程度上加大了NGN受到黑客或病毒程序的攻击或干扰的概率，面临如用户仿冒、盗打、破坏服务、抢占资源等安全题目。　　　　（3）传统电信网对信令网的安全要求高，一般为独立的信令网，信令网的安全可靠保证了网络的安全；NGN夸大网络融合，信令网与传输网用同一张网进行承载，承载网的安全变得非常重要。　　　　（4）传统电信网的传输采用TDM的专线，用户之间采用面向连接的通道进行通讯，其他用户很难插入偷听；NGN采用IP技术进行通讯，由于IP的无连接性，及不对源地址进行认证的特性，黑客轻易截取通话，盗用帐号，电话骚扰。　　　　（5）由于传统电信网用户线TDM用户速率的限制，及可以按照物理端口进行追溯跟踪的特性，黑客很难对网络系统进行DOS攻击；NGN由于采用IP承载，按照用户进行通讯治理，黑客可以冒充其他帐户，向网络发送大量流量对NGN系统进行DOS攻击。　　　　2 NGN对安全的要求与互联网对安全的要求不同　　　　（1）一般来说，传统互联网运营商只提供网络通路，不提供端到真个网络安全服务，端到真个安全主要靠互联网用户自己解决；NGN系统由于夸大为用户提供的安全可靠的服务，必须要求网络做到端到真个安全保证，如采用SIP加密，RTP加密，IPsec，VPN等通道安全措施，要求NGN终端在接入系统时，要进行身份认证，MAC地址，IP地址等物理属性的检查，用户在使用NGN服务时，也必须进行帐户的认证。　　　　（2）互联网业务基本上是一种基于“尽力而为”的机制，对业务的中断不敏感，可以通过节点冗余、链路冗余、模块冗余等方式，利用路由协议进行收敛，达到秒级的业务收敛时间，以保证服务的可靠性；而NGN承载的实时语音业务不答应出现业务中断，要求承载网具有低于秒级的快速收敛能力，因此除了上述方式外，还必须夸大系统设备具有高度可靠性，并且能够利用MPLS 快速重路由， 路由协议快速收敛和网络设备的不中断服务NSR/NSS等技术实现毫秒级的链路和节点保护。软交换系统、业务系统能够做到异地冗灾热备，一个NGN核心系统的故障不会影响整个系统的大面积宕机。　　　　（3）互联网夸大网络设备自身的安全，采取路由协议加密，ACL等措施使得网络设备不受攻击；NGN除了要求网络系统设备本身的安全以外，还要求NGN系统在核心设备的出口部署防火墙，入侵防护系统IPS、会话边界控制器SBC等安全设备，以保护NGN核心设备的安全。　　　　三、目前应该从哪些方面着手解决NGN的安全题目？　　　　NGN的安全题目是软交换商用过程中需要面对和解决的主要题目，目前而言，以下题目值得重视：　　　　（1）跟踪NGN系统面临的不断变化的各种安全威胁，启用严格的网络安全机制，系统封闭任何不使用的网络服务，防止非法用户通过非法的服务入侵设备；通过隔离、过滤、监测、认证、加密等手段降低遭受攻击的可能性，并检测、记录攻击的发生，保证攻击的可溯源性。　　　　（2）制定NGN安全标准规范。由于各厂家在保证NGN安全方面的做法不尽相同，迫切需要有关部分能够同一协调，制定同一规范，以保证NGN系统在业务提供层面，在NGN信令层面，在IP承载层面，在终端层面等各个不同环节保证NGN系统的互联户通及NGN业务的安全提供。　　　　（3）对NGN的协议安全进行深入研究。随着NGN的日益普及，SIP、BICC、H248、Sigtran等NGN协议在IP承载网上进行传输时需要考虑相应的协议安全性、***击性，需要对NGN协议的安全性进一步研究，防患于未然。　　　　（4）关注NGN终端接入的安全。当前NGN核心系统的建设采用物理隔离，VPN逻辑隔离，以及采用防火墙等安全设备，安全基本上得到保证。在NGN终端层面，由于网络接入形式多种多样，面临的安全风险很多，给NGN整个系统的安全带来了隐患，所以需要业界建立标准的NGN终端接入安全体系。　　　　四、在NGN网络中，是否需要对不同业务划分安全等级？划分标准为何？　　　　在NGN网络中，运营商必须保证提供的各种业务的安全，可以把NGN系统设备，各种业务服务器归属于不同的安全域，不同的安全域对应为不同的安全等级，安全等级的划分保证了高级别安全域的系统设备与低等级系统的安全隔离。等级高的安全域可以访问低等级的安全域，低等级的安全域不能直接访问高等级的安全域，假如要访问，必须经过严格的状态检测。　　　　安全级别的划分可以根据系统设备的重要程度， 各种业务面临的安全威胁的严重程度，进行安全级别的划分，比如NGN系统可以把一些关键信令设备，重要的业务服务器放入信任区安全等级，而把Web门户，测试终端，DNS/DHCP等设备放在半信任区，把一些外网设备如NGN终端，网管终端，SBC等放在非信任区安全等级。　　　　对于不同的NGN业务，如语音业务，多媒体业务等可以根据用户的SLA，用户等级，业务特征划分不同的QoS等级，以为高等级的业务提供在带宽、时延、抖动、收敛时间、安全等方面提供不同的服务质量保证，比如可以答应语音视频等实时性要求高的业务分配确定的带宽，而对实时性要求不高的      1/2 12下一页尾页