电信运营商业务网安全风险评估及防范措施探讨.docxVIP

电信运营商业务网安全风险评估 电信运营商业务网安全风险评估及 防范措施探讨 曹永刚 中国电信集团公司内蒙古分公司网络运行维护部工程师 摘 要 从网络运行维护的角度对运营商业务网络潜在的安全风险评估 、防范技术进 行 了 相 关 探讨，并具体分析了业务网安全风险防范技术及其应用方式 ，对提升业务网安全性具有现实意义。 关键词 业务网 安全风险 评估 防范 引言 为突出。 下面就业务网全开放和半开放系统日常运维 中涉及网络 、 服务器、 应用、 终端、 承载等各个 层 面 常 见的安全风险进行分析。 1 随着电信运营商 3G 业务的快速推广，业务平台数 量、规模剧增，加之业务网承载 IP 化，业务网安全问题， 也伴随着业务的发展而不断涌现， 并且有愈演愈烈的 趋势。 严重地影响了平台的稳定性和对用户的服务质 量。 对电信运营商而言，如何在网络发展的同时进行安 全风险评估和防范，成为一个急待解决的问题。 从 2008 年到 2012 年， 中国电信业务网已完成大 规模部署 ， 而且业务和规模还在快 速 增 长 ， 在 集 团 和 省 内两个层面 进 行 ， 全 集 团 业 务 有 189 邮 箱 ， 天 翼 视 讯 ， 天 翼 空 间 ， 天 翼 阅 读 ，NMSC，ISAG-ROUER， 彩 铃 平台等，设备数量上千台。 各省业务网平台有：ISMP， ISAG，WAP 网 关 ，MMSC， 短 信 业 务 网 关 ， 彩 铃 平 台 ， IVR，UDB 平台等，数量也在几十个不等，一些大的省 网有上百个平台，几千台设备。 准确、系统、全面的评 估业务网内部的安全风险以及与 IT 域、承载网、核心 网、支撑网、以及 SP 网络、用户网络之间的安全风险， 并进行有效的防范 ， 搭 建全网安全 体 系 ， 已 成 为 当 前 运维中的热点难点问题。 网络层面安全风险 目前，智能终端通过拨号，经分组网到 AAA 认证 后 PDSN 分配 IP 地址， 进而访问各业务平台业务，通 常分组网与业务网之间通过 IP 网直接互通，期间访问 缺乏防护措施，使得用户利用电信业务网络设备安全 漏洞成为可能。 从业务网与公网出口进来的 DDoS 攻击、黑客入 侵攻击、蠕虫病毒等如果在 IP 承载网层面没有有效阻 止，当前业务网层面的软硬防火墙等手段对此类攻击 无能为力，最终影响整个业务平台的正常访问。 随着业务的增长，各类业务平台越来越多，大多为 全开放或半开放系统， 各平台都采用了一些安全防护 措施，但这样独立设置安全防护系统存在投资大、漏洞 多、安全策略统一性差、运维效率低成本高的问题。 业务平台边界不清,业务平台与其他业务平台、IT 域、承载网、 核心网、 支撑网、 以及 SP 网络、 用户网络 间存在互联互通 ， 之间互联并未进行严格 的 访问控 制， 存在随意访问业务平台内部设 备 的 风 险 ， 一 旦 某 个系统发生安全事件 ， 可能扩 散到 其 他 系 统 ， 影 响 整 个业务网安全稳定运行。 2.2 应用层面安全风险 应用软件、业务流程、管理等漏洞，引发业务非法 订购问题，主要方式有，绕开业务流程非法订购，绕开 监控的非法订购，比如不经过 ISMP 订购、不经过计费 订购、欺骗订购、模拟订购等。 2.1 目前业务网络中的安全风险 2 随着业务网络承载 IP 化，目前运营商业务网络中 常见安全风险主要来至互联网。 业务网承载了多种业 务平台， 依据业务平台与互联网的 关 联 度 不 同 ， 可 以 将业务平台分为三大类 ： 全开放系 统 、 半 封 闭 系 统 和 全封闭平台，全开发和半封闭系统面临的安全威胁最 ·41· □TELECOMMUNICATIONS NETW □TELECOMMUNICATIONS NETWORK TECHNOLOGY No.2 DEVELOPING STRATEGY 滥用业务，通过盗用端口模拟业务逻辑或者调用 业务进程，非法使用业务资源，如群发短信，PUSH，彩 信泛滥导致短信网关，WAP 网关拥塞， 甚至导致基站 拥塞影响基础的语音业务。 随着用户接入方式的多样化，对用户管控更加困 难，如何加强用户的标示、认证、业务授权和统一管理 已成为业务网面临的安全问题。 2.3 服务器和终端安全风险 服务器的安全配置不当，比如部分系统存在弱口 令， 存在非法登陆的安全隐患 ； 有些登陆 页 面 没 有 采 用登陆验证码等防范口令破解的措施；大量服务器对 外开放不必要的端口和服务，不必要的端口和服务开 放可被利用非法访问系统等。 操作系统、 数据库漏洞库更新不 及 时 ， 或 担 心 影 响上层应用长期不更新。 终端安全管理问题较多，如移动存储介质的安全 管理不到位 ， 可导致系