3G網(wǎng)絡(luò)與信息安全體系建設(shè)思路

申請免費試用、咨詢電話：400-8352-114

一、引言

2G（GSM）網(wǎng)絡(luò)經(jīng)過十年的建設(shè)和發(fā)展，基本滿足了用戶對移動通話及窄帶數(shù)據(jù)業(yè)務(wù)的需求，但與互聯(lián)網(wǎng)寬帶應(yīng)用相比，帶寬過小，速度過慢，無法為用戶提供豐富多彩的移動多媒體業(yè)務(wù)。隨著第三代移動通信網(wǎng)絡(luò)技術(shù)的發(fā)展，移動終端功能的增強和移動業(yè)務(wù)應(yīng)用內(nèi)容的豐富，各種無線應(yīng)用將極大地豐富我們的日常工作和生活，也將為國家信息化戰(zhàn)略提供強大的技術(shù)支撐，為各3G運營企業(yè)移動數(shù)據(jù)業(yè)務(wù)的發(fā)展提供堅實的網(wǎng)絡(luò)基礎(chǔ)。3G網(wǎng)絡(luò)的發(fā)展對網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。

二、第三代移動通信系統(tǒng)（3G）面臨的安全問題

3G網(wǎng)絡(luò)從核心網(wǎng)上看，實際上就是IP網(wǎng)絡(luò)。從2G網(wǎng)絡(luò)到3G網(wǎng)絡(luò)，實際上就是從封閉的、基于電路交換的系統(tǒng)向開放的基于IP技術(shù)的網(wǎng)絡(luò)轉(zhuǎn)變，3G網(wǎng)絡(luò)的控制信令和數(shù)據(jù)傳輸已經(jīng)越來越依賴IP網(wǎng)絡(luò)。因此，3G網(wǎng)絡(luò)與以前的移動通信網(wǎng)絡(luò)相比，更具有IP網(wǎng)絡(luò)的特征，移動通信正在演變?yōu)镮P網(wǎng)絡(luò)上的一種特殊應(yīng)用。IP網(wǎng)絡(luò)的開放性帶來的安全問題也就是3G網(wǎng)絡(luò)面臨的主要安全問題：

1. IP網(wǎng)絡(luò)的漏洞很明顯，針對漏洞攻擊的目的性越來越強，時間越來越短，企業(yè)面臨的風險隨之提高，這些變化給電信運營企業(yè)帶來的風險不斷增多。

2. IP網(wǎng)上，病毒攻擊產(chǎn)生的蔓延時間越來越短，如何保障3G網(wǎng)絡(luò)免受病毒影響，已經(jīng)成為運營商向3G過渡必須要正視的問題。

3. 3G用戶使用的移動終端越來越IP化。從功能上看，3G手機實際上就是數(shù)據(jù)終端，具有數(shù)據(jù)終端的基本特征，再接入到以IP技術(shù)為核心的3G網(wǎng)絡(luò)，將有更多機會感染病毒或被黑客程序侵入。終端越智能，功能越復雜，其安全漏洞必然越多，被病毒感染或被黑客攻陷的可能性也就越大。這些終端在自身存在危險的同時，對3G網(wǎng)絡(luò)的威脅也越來越大。

4.3G網(wǎng)的一個重要特點是3G終端的永遠在線。這樣就不可避免地直接面臨各種安全威脅，被病毒感染或被黑客入侵后更不易被發(fā)現(xiàn)和處理，即使處理也將是一個長期、巨大的工程。這類終端設(shè)備上的安全漏洞隱蔽性更強，持續(xù)危害時間更長。

5.3G可以為用戶提供2Mbps以上的接入速率，同時在信號覆蓋區(qū)域?qū)崿F(xiàn)軟切換，接入速率的提高和接入地點、應(yīng)用的不停變換導致網(wǎng)絡(luò)各種參數(shù)不斷變化，使得對移動終端的安全監(jiān)控和管理更為困難。一旦移動終端成為病毒和黑客程序的發(fā)源地或中繼站，接入網(wǎng)和核心網(wǎng)以及3G網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)將直接面臨安全威脅。

6.由于對于3G的安全目標及相關(guān)工作規(guī)范的滯后，3G網(wǎng)絡(luò)安全管理人員和相關(guān)制度也相對短缺，3G規(guī)范中對安全的描述和要求明顯不足。對于3G網(wǎng)絡(luò)的安全要求的缺失將會給今后的網(wǎng)絡(luò)運行留下眾多隱患。

7.伴隨網(wǎng)絡(luò)融合（三網(wǎng)合一）趨勢的加深、電信業(yè)務(wù)的日益復雜，3G網(wǎng)絡(luò)將面臨著比以往任何時候都要嚴峻的威脅。

三、3G安全目標

對于承載著海量應(yīng)用的電信網(wǎng)絡(luò)而言，任何一個網(wǎng)絡(luò)信息安全漏洞被利用和攻擊，都可能對其承載業(yè)務(wù)造成災難性的影響。由于電信對整個社會發(fā)展影響的日益加深，從普遍服務(wù)作用來看，通過保證電信網(wǎng)絡(luò)的安全進而保障國家和社會的安全與穩(wěn)定無疑是基礎(chǔ)電信運營商義不容辭的義務(wù)。

根據(jù)CDMA網(wǎng)絡(luò)結(jié)構(gòu)，3G系統(tǒng)網(wǎng)絡(luò)安全層面可以分為網(wǎng)絡(luò)層和應(yīng)用層兩個主要部分（圖1）：對3G中的用戶設(shè)備（UE）、無線接入網(wǎng)絡(luò)（RAN）、核心網(wǎng)絡(luò)（CN）和業(yè)務(wù)網(wǎng)絡(luò)（Service）的保護分別可以納入這兩個層次。在3G系統(tǒng)中，它們具有各自不同的作用，對網(wǎng)絡(luò)安全的影響和要求也各不相同。

從電信運營商的角度理解，3G網(wǎng)絡(luò)安全工作至少要包括以下內(nèi)容：

1. 保證3G網(wǎng)絡(luò)及其承載的業(yè)務(wù)系統(tǒng)提供持續(xù)服務(wù)的能力；保障對構(gòu)成電信網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)，以及系統(tǒng)所處理的數(shù)據(jù)處于正常工作狀態(tài)。

2. 保障3G網(wǎng)絡(luò)上的應(yīng)用信息（用戶信息、資料、各種交易）在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍和途徑，防止重要信息未經(jīng)授權(quán)泄露給電信企業(yè)外部的組織或人員，保障信息資產(chǎn)機密、完整、可用。

四、3G安全體系建設(shè)思路

1.提高網(wǎng)絡(luò)自身的強壯性，保障網(wǎng)絡(luò)對安全事件有足夠的容災能力。

互聯(lián)網(wǎng)發(fā)展的基礎(chǔ)是靈活開放的IP協(xié)議，依據(jù)IP協(xié)議產(chǎn)生的網(wǎng)絡(luò)和通信設(shè)備以及相關(guān)應(yīng)用，為今天互聯(lián)網(wǎng)業(yè)務(wù)迅速普及奠定了基礎(chǔ)。但也正是這種開放性，使其成為電信級運營網(wǎng)絡(luò)后，安全可靠性薄弱和服務(wù)質(zhì)量無法保障的問題逐步顯現(xiàn)出來，同時由于互聯(lián)網(wǎng)安全技術(shù)標準欠缺，很多互聯(lián)網(wǎng)系統(tǒng)和設(shè)備難以達到傳統(tǒng)電信級的穩(wěn)定性。

網(wǎng)絡(luò)自身的強壯性是運營商網(wǎng)絡(luò)提供持續(xù)服務(wù)的基礎(chǔ)。對于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全，較其他傳統(tǒng)網(wǎng)絡(luò)的技術(shù)標準來看，目前IP網(wǎng)絡(luò)的安全技術(shù)標準處于比較原始的狀態(tài)，可操作性不是很理想，技術(shù)防范體系還不健全，終端管理沒有統(tǒng)一規(guī)范，安全域劃分沒有統(tǒng)一原則。運營商如何從設(shè)備可靠性和組網(wǎng)穩(wěn)定性入手來提高網(wǎng)絡(luò)防范風險的能力，成為3G網(wǎng)絡(luò)安全的首要問題。

2.做好終端接入管理，將終端風險控制在一定程度內(nèi)。

從互聯(lián)網(wǎng)運營經(jīng)驗來看，80%的網(wǎng)絡(luò)安全風險來自業(yè)務(wù)終端，業(yè)務(wù)終端管理是3G安全體系中的重要部分。用戶終端設(shè)備在3G網(wǎng)絡(luò)安全體系中是受保護的對象，是重要的信息資產(chǎn)，同時更是病毒源和攻擊源，是需要重點防范的對象。

在3G網(wǎng)絡(luò)中，面對數(shù)以億計的終端，按照傳統(tǒng)方法，通過有限的入侵檢測和流量、協(xié)議過濾設(shè)備進行保護，無疑是杯水車薪。 3G用戶終端設(shè)備的安全保障，將主要依賴終端本身的安全功能，這也是安全域劃分的基本目標。與2G用戶終端認證工作相似，對于3G終端也要進行安全認證，通過在線方式對安全狀態(tài)進行調(diào)查和評估，對符合要求的終端允許接入，對不符合要求的終端限制使用功能，只允許訪問特定有限資源，盡可能地把安全性不完善、可能對網(wǎng)絡(luò)產(chǎn)生威脅的終端在3G網(wǎng)絡(luò)接入層就進行控制，以實現(xiàn)主動的安全防御。

3.對應(yīng)用層做好隔離與保護。

在3G系統(tǒng)中，除提供傳統(tǒng)的話音業(yè)務(wù)外，電子商務(wù)、電子貿(mào)易、網(wǎng)絡(luò)服務(wù)等新型業(yè)務(wù)將成為3G的重要業(yè)務(wù)發(fā)展點，因而3G將更多地考慮在應(yīng)用層提供安全保護機制。

在3G系統(tǒng)中，安全問題的重點已經(jīng)從物理層轉(zhuǎn)移到網(wǎng)絡(luò)層和應(yīng)用層，從傳統(tǒng)語音通信安全為核心轉(zhuǎn)移到IP網(wǎng)絡(luò)和應(yīng)用安全為核心。按照業(yè)務(wù)應(yīng)用的內(nèi)容劃分邏輯專網(wǎng)是對3G網(wǎng)絡(luò)進行安全管理的基本要求，也是必然要求。

邏輯專網(wǎng)劃定后，根據(jù)不同業(yè)務(wù)專網(wǎng)SLA要求，進行加密、認證、邊界保護等面向應(yīng)用層的安全手段部署。 在強健而靈活的安全體系中，安全措施的部署要實現(xiàn)集中化管理，便于SOC（安全中心）可以迅速掌握各種事件、漏洞，迅速有效地部署安全措施并進行預警，確保因安全事件而產(chǎn)生的后果可以在影響范圍層面得到有效控制。邏輯專網(wǎng)（安全域）的劃分是”邊緣部署、集中管理“方式的最佳基礎(chǔ)。

五、結(jié)束語

相對于第二代移動通信系統(tǒng)，對于3G系統(tǒng)的安全應(yīng)該給予足夠的重視。在進行3G系統(tǒng)安全體系建設(shè)時，不但要繼承第二代移動通信系統(tǒng)中的安全管理理念和已被證明是必須的和穩(wěn)健的安全手段，而且還要根據(jù)3G網(wǎng)絡(luò)IP化的實際技術(shù)要求，不斷增加有針對性的安全措施來彌補目前IP網(wǎng)絡(luò)安全體系的缺陷。隨著3G網(wǎng)絡(luò)大規(guī)模建設(shè)的到來，各運營商必須同步設(shè)計、同步建設(shè)、同步運行3G網(wǎng)絡(luò)安全體系，保障網(wǎng)絡(luò)優(yōu)質(zhì)、高效、安全運行，業(yè)務(wù)及時、順利推出。