NGN的安全问题和应对策略.docVIP

　　NGN的安全问题和应对策略～教育资源库 　　一、NGN的安全威胁主要来自哪些方面?NGN的承载网分组网络是否是NGN安全性的决定因素? 　　(1) NGN作为承载在分组网络之上的下一代通信网络，继承了分组IP网络的主要安全问题,包括黑客DOS攻击、病毒蠕虫木马的入侵、非法扫描,信息盗取、盗听,地址欺骗,信息骚扰等。　 　　(2) NGN核心系统位置相对集中,业务覆盖面广,NGN核心系统的安全成为NGN安 全的重中之重。 　　(3) NGN终端多为有复杂操作系统的智能终端,接入的形式多种多样,位置分散, 常与常规的数据终端同处于一个环境,使得终端系统遭到攻击的可能性大大增加。 　　(4) IAD/IP Phone等终端及用户通过冒用截获的帐号进行非法接入,盗打,骚扰。 　　(5) NGN系统采用媒体流与控制分离的思路,客观上增加了安全监控的难度。 　　分组IP承载网络是影响NGN安全性的重要方面,NGN网络安全需要全方位的、整体的安全体系。 　　二、NGN与传统电信网络以及互联网对安全的要求有何不同?能否描述一下安全的NGN环境应该达到何种效果? 　　1 NGN对安全的要求与传统电信网络对安全的要求不同 　　(1)传统电信网络强调网络的可靠性和可用性，不强调网上应用的安全;NGN不仅要强调业务的可用性和可控性，还要强调承载网的可靠性和生存性，而且要保证信息传递的完整性、机密性和不可否认性。 　　(2) NGN系统按业务层、控制层、承载层进行分离,各层所有相关设备采用标准协议,同时NGN采用IP进行承载,这种开放性和公用性在一定程度上加大了NGN受到黑客或病毒程序的攻击或干扰的概率，面临如用户仿冒、盗打、破坏服务、抢占资源等安全问题。 　　(3)传统电信网对信令网的安全要求高,一般为独立的信令网,信令网的安全可靠保证了网络的安全;NGN强调网络融合,信令网与传输网用同一张网进行承载,承载网的安全变得非常重要。 　　(4)传统电信网的传输采用TDM的专线,用户之间采用面向连接的通道进行通信,其他用户很难插入偷听;NGN采用IP技术进行通信,由于IP的无连接性,及不对源地址进行认证的特性,黑客容易截取通话,盗用帐号,骚扰。 　　(5)由于传统电信网用户线TDM用户速率的限制,及可以按照物理端口进行追溯跟踪的特性,黑客很难对网络系统进行DOS攻击;NGN由于采用IP承载,按照用户进行通信管理，黑客可以冒充其他帐户,向网络发送大量流量对NGN系统进行DOS攻击。 　　2 NGN对安全的要求与互联网对安全的要求不同 　　(1)一般来说，传统互联网运营商只提供网络通路，不提供端到端的网络安全服务，端到端的安全主要靠互联网用户自己解决;NGN系统由于强调为用户提供的安全可靠的服务,必须要求网络做到端到端的安全保证,如采用SIP加密,RTP加密,IPsec,VPN等通道安全措施,要求NGN终端在接入系统时,要进行身份认证,MAC地址,IP地址等物理属性的检查,用户在使用NGN服务时,也必须进行帐户的认证。 　　(2)互联网业务基本上是一种基于尽力而为的机制,对业务的中断不敏感，可以通过节点冗余、链路冗余、模块冗余等方式，利用路由协议进行收敛，达到秒级的业务收敛时间，以保证服务的可靠性;而NGN承载的实时语音业务不允许出现业务中断，要求承载网具有低于秒级的快速收敛能力，因此除了上述方式外，还必须强调系统设备具有高度可靠性,并且能够利用MPLS 快速重路由, 路由协议快速收敛和网络设备的不间断服务NSR/NSS等技术实现毫秒级的链路和节点保护。软交换系统、业务系统能够做到异地冗灾热备,一个NGN核心系统的故障不会影响整个系统的大面积宕机。 　　(3)互联网强调网络设备自身的安全,采取路由协议加密,ACL等措施使得网络设备不受攻击;NGN除了要求网络系统设备本身的安全以外,还要求NGN系统在核心设备的出口部署防火墙,入侵防护系统IPS、会话边界控制器SBC等安全设备,以保护NGN核心设备的安全。 　　三、目前应该从哪些方面着手解决NGN的安全问题? 　　NGN的安全问题是软交换商用过程中需要面对和解决的主要问题，目前而言，以下问题值得重视: 　　(1)跟踪NGN系统面临的不断变化的各种安全威胁,启用严格的网络安全机制，系统关闭任何不使用的网络服务，防止非法用户通过非法的服务入侵设备;通过隔离、过滤、监测、认证、加密等手段降低遭受攻击的可能性，并检测、记录攻击的发生，保证攻击的可溯源性。 　　(2)制定NGN安全标准规范。由于各厂家在保证NGN安全方面的做法不尽相同,迫切需要有关部门能够统一协调,制定统一规范,以保证NGN系统在业务提供层面,在NGN信令层面,在IP承载层面