GSM交换网元安全接入平台的设计初探.docVIP

GSM交换网元安全接入平台的设计初探 　　摘要：基于TCP／IP协议交换设备的出现，导致了现有GSM移动通信网的安全问题日益突出。为了满足不断变化和发展的GSM移动通信网安全管理需求，提高服务水平和服务质量，xx公司决定进行交换网元安全接入平台的建设。本文就GSM交换网元安全接入平台的设计和实现，对平台的设计要求，设计原则及设计目标做了探讨。 　　关键词：移动通信网；交换网；设计 　　中图分类号：TP392　文献标识码：A 　　 　　1　引言 　　 　　基于TCP／IP协议交换设备的出现，导致了现有GSM移动通信网的安全问题日益突出。为了满足不断变化和发展的GSM移动通信网安全管理需求，提高的服务水平和服务质量，××公司决定进行交换网元安全接入平台的建设。 　　 　　2　设计遵循的安全标准 　　 　　2.1ISO标准： 　　设计标准(ISO15408、ISO17799、ISO7498－2) 　　实施标准(SSE－CMM、ISO9001) 　　2.2GB标准： 　　《计算机网络系统安全保护等级划分准则》 　　《开放系统互连基本参考模型第2部分安全体系结构》 　　《信息技术安全技术信息技术安全性评估准则》 　　《商用密码管理条例》 　　《计算机病毒防治管理办法》 　　《计算机网络系统国际联网保密管理规定》 　　《计算机信息网络国际联网安全保护管理办法》 　　《中华人民共和国计算机网络系统安全保护条例》 　　《中华人民共和国计算机信息网络国际联网管理暂行规定》 　　《计算机网络系统安全专用产品检测和销售许可证管理办法》 　　《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 　　2.3安全定律 　　安全是动态的； 　　安全=产品+服务； 　　安全管理保障安全产品和安全服务效率的最大发挥； 　　安全的非绝对性决定了安全建设的长期性； 　　基于统一安全策略的可持续改进的整体安全防御体系保障安全。 　　 　　3　设计原则 　　 　　在本设计中遵循以下几个原则： 　　①先进性原则。在本设计中推荐的安全产品均采用先进的、开放的系统结构；采用先进的计算机技术；采用先进的现代管理技术，以保证系统的科学性。 　　②高可靠性原则。在本设计中推荐的安全产品的不间断运行与服务均达到电信级的要求，具有极高的可靠性，采用的容错设计可以确保系统的可靠性和稳定性。 　　③开放性原则。在本设计中推荐的安全产品是构建在完善的系统平台基础上的，考虑了升级和个性化服务。遵循开放性和标准化基本原则，所选用的硬件设备、软件等都遵循了相应的国际标准，从而保证了系统具有互操作性和开放性。各系统之间采用优化的原则，使各系统之间更好地配合，达到最佳的应用效果。 　　④安全性原则。在系统建设时通过安全技术保证网络的安全性、数据的安全性、用户访问的安全性，在技术保障的同时，从管理层面加强安全性管理。 　　⑤可管理性原则。采用集中式的管理可以节约资金、人力的投入，为用户提供更大的自由发挥的空间，同时也使管理变得简单，有利于在出现问题时，能够用最短的时间检查出问题并及时解决。 　　⑥可扩展性原则。在本设计中推荐的安全产品具有很好的升级能力，适应科学技术高速发展的需要。在必要时可以采用新的技术和设备对整个系统进行升级，满足应用系统不断增长的需要。 　　⑦经济性原则。在本设计中针对××公司网络的现状和业务特点采取有效的措施和实施方案以合理的利用投资、规避投资风险。 　　 　　4　××公司GSM移动通信网络建设 　　 　　4.1××公司GSM移动通信网络现状 　　xx公司网管系统交换网是建立在DCN基础上的，每个交换局网元接入点由1台Cisco3640路由器和1台Cisco 2950交换机组成，为本地交换局网元接入GSM移动通信网的网管系统提供路由和链路。具体网络拓扑如下： 　　 　　4.2本期安全建设目标 　　①实现终端安全接入策略：a对GSM移动通信网互联接口的风险进行整合，在边缘接入区采取访问控制策略，防止非法用户终端接入到网管系统和GSM网元中。在GSM移动通信网网管系统服务器区安装入侵监测系统(IDS)，根据IDS提供的日志信息及时发现可能的入侵威胁。b防止厂家维护人员私自把便携机接入到GSM移动通信网和网管系统中。制定相应的网络信息安全方针、标准、制度、规范和指南。c对终端的安全状况进行检测，并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动，限制不符合安全要求的终端的访问网络。d对本地直连终端进行安全加固：对本地网管系统或操作交换网元的直连终端要部署网络防病毒系统和访问控制策略。对于控制系统生产应用的终端实施安全加固策略。e通过禁用数据接入交换机端口禁止