變革電信網(wǎng)網(wǎng)絡(luò)安全框架

變革中的電信網(wǎng)安全

　　全球電信業(yè)在經(jīng)過(guò)了前幾年的沉悶、甚至衰退后，3G等各種寬帶數(shù)據(jù)業(yè)務(wù)開(kāi)始日趨活躍、需求明顯升溫，越來(lái)越多的運(yùn)營(yíng)商開(kāi)始從幾年前的巨額債務(wù)中解脫出來(lái)，投入到新一輪的電信基礎(chǔ)設(shè)施投資建設(shè)活動(dòng)中。

　　電信網(wǎng)從原來(lái)“電路交換為王”的話音業(yè)務(wù)正在全面轉(zhuǎn)向話音、數(shù)據(jù)、多媒體、視頻、電子商務(wù)等綜合業(yè)務(wù)的通用平臺(tái)。新一代電信網(wǎng)絡(luò)平臺(tái)呈現(xiàn)出承載網(wǎng)的寬帶化、業(yè)務(wù)網(wǎng)的綜合化與個(gè)性化，支撐網(wǎng)的面向服務(wù)架構(gòu)和業(yè)務(wù)流程重構(gòu)等顯著特點(diǎn)。其中，IP技術(shù)成為電信網(wǎng)絡(luò)中的關(guān)鍵技術(shù)，IP業(yè)務(wù)成為典型網(wǎng)絡(luò)中的關(guān)鍵、基礎(chǔ)業(yè)務(wù)。

　　電信網(wǎng)的分組化(IP化)將會(huì)給電信業(yè)帶來(lái)深刻的影響。電信網(wǎng)的IP化并不意味著現(xiàn)在的互聯(lián)網(wǎng)將取代電信網(wǎng)，因?yàn)楝F(xiàn)有IP網(wǎng)從設(shè)計(jì)理念到實(shí)際交付的服務(wù)水平等都證明它不適合與全面承載電信業(yè)務(wù)�，F(xiàn)有IP技術(shù)必須在安全、服務(wù)質(zhì)量、業(yè)務(wù)模型、可管理和可運(yùn)營(yíng)方面迅速提高，才可以滿足電信業(yè)務(wù)的需要，其中安全又是最為運(yùn)營(yíng)商、社會(huì)和用戶最為關(guān)心的方面之一。

　　電信網(wǎng)絡(luò)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，承擔(dān)大范圍內(nèi)的公眾電信業(yè)務(wù)的網(wǎng)絡(luò)，規(guī)模大，結(jié)構(gòu)復(fù)雜，可靠性和安全性要求極高。ITU-T、IETF等國(guó)際標(biāo)準(zhǔn)組織在專注于電信網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)的發(fā)展過(guò)程中越來(lái)越重視其中的安全保障能力，提出了一系列的框架、推薦標(biāo)準(zhǔn)和技術(shù)規(guī)范等，努力從技術(shù)角度提高電信網(wǎng)的安全性。

　　電信網(wǎng)絡(luò)往往是最先進(jìn)的IT技術(shù)和產(chǎn)品的集大成者，傳輸、交換、應(yīng)用、服務(wù)、存儲(chǔ)、數(shù)據(jù)處理等方面都在各個(gè)行業(yè)處于領(lǐng)先地位。除了普通企業(yè)面臨的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境內(nèi)的威脅外，電信企業(yè)還必須考慮光纖傳輸、交換等電信基礎(chǔ)設(shè)施的安全性以及VoIP、IPTV、多媒體等電信業(yè)務(wù)相關(guān)的安全威脅。

電信網(wǎng)威脅綜述

　　傳統(tǒng)上對(duì)于電信網(wǎng)絡(luò)的安全考慮往往是面向其中的計(jì)算機(jī)和其它IT設(shè)備，以及路由器和交換機(jī)等設(shè)備自身的安全問(wèn)題。誠(chéng)然，針對(duì)這些承擔(dān)“輔助”和“支撐”任務(wù)的IT組件的安全保護(hù)依然非常重要，但是，對(duì)于NGN和下一代基于IP技術(shù)的電信網(wǎng)來(lái)說(shuō)，安全威脅和相應(yīng)的控制都有了更新的含義。

　　通常，普通TCP/IP網(wǎng)絡(luò)面臨的安全威脅包括內(nèi)部誤用和濫用、拒絕服務(wù)攻擊、外部入侵、病毒和蠕蟲(chóng)、以及其它各種災(zāi)難和事故。

　　以NGN為例，NGN已經(jīng)成為下一代電信網(wǎng)的基礎(chǔ)框架，它包括了軟交換協(xié)議、IPv6、ENUM等多種協(xié)議標(biāo)準(zhǔn)體系。在此框架內(nèi)，IP技術(shù)將得到廣泛應(yīng)用，負(fù)責(zé)承載包括話音之內(nèi)的各種業(yè)務(wù)，其中的信令和管理信息也將與業(yè)務(wù)數(shù)據(jù)一起共用底層媒體。這時(shí)，不但　　IP網(wǎng)中存在的各種安全威脅和脆弱性都將被繼承到NGN網(wǎng)絡(luò)中，并且增加了其它以前不曾面對(duì)的新的威脅。

　　*由于語(yǔ)音收入依然占據(jù)運(yùn)營(yíng)商收入的主要地位，當(dāng)媒體服務(wù)器遭受拒絕服務(wù)攻擊而失去響應(yīng)時(shí)的損失，將會(huì)遠(yuǎn)遠(yuǎn)大于當(dāng)前互聯(lián)網(wǎng)時(shí)代遭受的拒絕服務(wù)攻擊；

　　*隨著IP語(yǔ)音業(yè)務(wù)的開(kāi)展，電信運(yùn)營(yíng)商必須關(guān)注來(lái)自IP網(wǎng)絡(luò)的來(lái)源追查和內(nèi)容分析；

　　*用戶對(duì)于語(yǔ)音保密方面的擔(dān)憂和體驗(yàn)，成為是否最終選擇使用業(yè)務(wù)的重要考量；

　　*隨著語(yǔ)音郵件業(yè)務(wù)的迅速發(fā)展，運(yùn)營(yíng)商必須投入大量精力和資源用以管理控制騷擾、惡意、反動(dòng)、詐騙等網(wǎng)絡(luò)活動(dòng)；

　　*由于基礎(chǔ)設(shè)施層面的PKI/KMI建設(shè)不足，可能會(huì)造成運(yùn)營(yíng)商側(cè)的網(wǎng)元設(shè)備被滲透入侵，導(dǎo)致用戶的通話被跟蹤、劫持、記錄等；

　　*考慮到這些附加的安全威脅，單純從操作系統(tǒng)角度進(jìn)行安全防護(hù)是不夠的，必須重新看待并研究下一代電信網(wǎng)的安全威脅，加強(qiáng)業(yè)務(wù)網(wǎng)絡(luò)自身的安全防護(hù)，充分利用并發(fā)展基礎(chǔ)設(shè)施和業(yè)務(wù)網(wǎng)絡(luò)中設(shè)計(jì)的安全機(jī)制。這樣，基于分組的下一代電信網(wǎng)才能更為健壯的順利發(fā)展。

電信網(wǎng)脆弱性

　　網(wǎng)絡(luò)安全威脅和防范一直是電信運(yùn)營(yíng)商十分關(guān)注的話題。包括ITU-T、IETF、TMForum等在內(nèi)的許多國(guó)際電信組織都開(kāi)始重新評(píng)估以前設(shè)計(jì)的許多標(biāo)準(zhǔn)、規(guī)范、架構(gòu)等，在所有重要的標(biāo)準(zhǔn)體系中都加入了審慎的安全考慮，以避免出現(xiàn)類似像802.11b出現(xiàn)的WEP漏洞。

　　ITU-T在其安全手冊(cè)中明確提出，電信網(wǎng)絡(luò)中存在的安全脆弱性可以分為下面四類：

　　*預(yù)測(cè)未來(lái)威脅的困難。技術(shù)環(huán)境的變化難以預(yù)測(cè)，例如七號(hào)信令系統(tǒng)設(shè)計(jì)上的運(yùn)行環(huán)境是有專業(yè)維護(hù)的隔離網(wǎng)絡(luò)，沒(méi)有設(shè)計(jì)認(rèn)證、加密、反重發(fā)、抗抵賴等安全手段�，F(xiàn)在復(fù)雜的網(wǎng)絡(luò)連接可能會(huì)使七號(hào)信令系統(tǒng)通過(guò)多層潛在通道與外網(wǎng)相聯(lián)，從而使威脅源得以攻擊、甚至控制信令系統(tǒng)。

　　*設(shè)計(jì)和規(guī)范型弱點(diǎn)。協(xié)議設(shè)計(jì)中的錯(cuò)誤或疏忽使其天生脆弱。例如IEEE802.11b中出現(xiàn)的WEP漏洞直接動(dòng)搖了運(yùn)營(yíng)商對(duì)于該標(biāo)準(zhǔn)服務(wù)的信心。

　　*實(shí)現(xiàn)型弱點(diǎn)。大部分的安全脆弱性來(lái)源于此。電信設(shè)備廠商、集成商和運(yùn)營(yíng)商的軟件中心在開(kāi)發(fā)和實(shí)現(xiàn)過(guò)程中不可避免地會(huì)出現(xiàn)各種缺陷和漏洞，這些脆弱性有可能會(huì)被各種威脅源利用。

　　*運(yùn)行和配置型弱點(diǎn)。由于配置不當(dāng)，導(dǎo)致網(wǎng)元或網(wǎng)元之間的通信不符合安全策略的要求。例如SIP服務(wù)器和軟終端之間沒(méi)有建立認(rèn)證和加密機(jī)制，導(dǎo)致呼叫被假冒和竊聽(tīng)等。

　　其中第一類和第二類可以通過(guò)國(guó)際標(biāo)準(zhǔn)組織的努力逐步減小；第三類弱點(diǎn)需要依賴電信設(shè)備(硬件、軟件)供應(yīng)商和集成商提高系統(tǒng)開(kāi)發(fā)和項(xiàng)目實(shí)施過(guò)程中的安全風(fēng)險(xiǎn)管理；第四類弱點(diǎn)則需要運(yùn)營(yíng)商自身的運(yùn)行維護(hù)部門加強(qiáng)安全風(fēng)險(xiǎn)管理水平，從策略、組織、技術(shù)和運(yùn)營(yíng)等四個(gè)方面建設(shè)并逐步完善安全管理體系。

ITU-T安全框架

　　針對(duì)前面提出的電信網(wǎng)威脅和安全脆弱性，加強(qiáng)其設(shè)計(jì)、建設(shè)和運(yùn)行過(guò)程中的安全保護(hù)，ITU-T在其建議書(shū)X.805中定義了分布式應(yīng)用實(shí)現(xiàn)端到端安全的體系和尺度的框架，如附圖3所示。這是一個(gè)通用的框架，其基本的原則及定義適用于所用電信網(wǎng)絡(luò)和應(yīng)用。

　　ITU-T定義的安全框架由平面軸、層次軸、維度軸組成。其中的平面軸主要闡述網(wǎng)絡(luò)中實(shí)施的活動(dòng)的安全，它包括管理、控制和最終用戶等三個(gè)平面；層次軸主要闡述對(duì)構(gòu)成端到端網(wǎng)絡(luò)的網(wǎng)絡(luò)元素和系統(tǒng)的要求，它包括基礎(chǔ)設(shè)施、業(yè)務(wù)和應(yīng)用三個(gè)層次；維度軸包括訪問(wèn)控制、認(rèn)證、不可否認(rèn)、數(shù)據(jù)保密性、通信安全、數(shù)據(jù)完整性、可用性和隱私等八個(gè)安全維度，主要定義由平面和層次構(gòu)成的3x3矩陣中的每個(gè)單元中適合的安全防治措施。

　　管理平面關(guān)注運(yùn)行、管理、維護(hù)和提供服務(wù)活動(dòng)，如向某個(gè)用戶或網(wǎng)絡(luò)提供服務(wù)。控制層面與獨(dú)立于網(wǎng)絡(luò)所用的媒介和技術(shù)的端到端通信的建立(和修改)方面的信令有關(guān)。最終用戶方面討論用戶訪問(wèn)和使用網(wǎng)絡(luò)的安全，也包括保護(hù)用戶數(shù)據(jù)流。

　　基礎(chǔ)設(shè)施層包括網(wǎng)絡(luò)傳輸設(shè)施和單獨(dú)的網(wǎng)絡(luò)元素。屬于基礎(chǔ)設(shè)施層的組件的例子有路由器、交換機(jī)和服務(wù)器以及其間的通信鏈路。服務(wù)層討論提供給用戶的網(wǎng)絡(luò)服務(wù)的安全。這些服務(wù)從基礎(chǔ)連接性服務(wù)(例如租用線服務(wù))延伸到增值服務(wù)(例如即時(shí)消息)。應(yīng)用層討論用戶使用的基于網(wǎng)絡(luò)的應(yīng)用的要求。這些應(yīng)用可能很簡(jiǎn)單(例如電子郵件)，也有可能很復(fù)雜，定義這些層的好處之一是在不同應(yīng)用提供端到端安全時(shí)允許重復(fù)使用。每一層的弱點(diǎn)不同，因此針對(duì)性措施也根據(jù)每層需求來(lái)定義。

　　安全性是業(yè)界對(duì)基于分組的下一代電信網(wǎng)技術(shù)的最為擔(dān)憂的問(wèn)題之一。只有很好地解決面臨的安全威脅，IP技術(shù)才能順利地?fù)?dān)負(fù)起電信網(wǎng)的核心業(yè)務(wù)。