3G網(wǎng)絡(luò)與信息安全體系建設(shè)思路

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

一、引言

2G（GSM）網(wǎng)絡(luò)經(jīng)過(guò)十年的建設(shè)和發(fā)展，基本滿足了用戶對(duì)移動(dòng)通話及窄帶數(shù)據(jù)業(yè)務(wù)的需求，但與互聯(lián)網(wǎng)寬帶應(yīng)用相比，帶寬過(guò)小，速度過(guò)慢，無(wú)法為用戶提供豐富多彩的移動(dòng)多媒體業(yè)務(wù)。隨著第三代移動(dòng)通信網(wǎng)絡(luò)技術(shù)的發(fā)展，移動(dòng)終端功能的增強(qiáng)和移動(dòng)業(yè)務(wù)應(yīng)用內(nèi)容的豐富，各種無(wú)線應(yīng)用將極大地豐富我們的日常工作和生活，也將為國(guó)家信息化戰(zhàn)略提供強(qiáng)大的技術(shù)支撐，為各3G運(yùn)營(yíng)企業(yè)移動(dòng)數(shù)據(jù)業(yè)務(wù)的發(fā)展提供堅(jiān)實(shí)的網(wǎng)絡(luò)基礎(chǔ)。3G網(wǎng)絡(luò)的發(fā)展對(duì)網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。

二、第三代移動(dòng)通信系統(tǒng)（3G）面臨的安全問(wèn)題

3G網(wǎng)絡(luò)從核心網(wǎng)上看，實(shí)際上就是IP網(wǎng)絡(luò)。從2G網(wǎng)絡(luò)到3G網(wǎng)絡(luò)，實(shí)際上就是從封閉的、基于電路交換的系統(tǒng)向開放的基于IP技術(shù)的網(wǎng)絡(luò)轉(zhuǎn)變，3G網(wǎng)絡(luò)的控制信令和數(shù)據(jù)傳輸已經(jīng)越來(lái)越依賴IP網(wǎng)絡(luò)。因此，3G網(wǎng)絡(luò)與以前的移動(dòng)通信網(wǎng)絡(luò)相比，更具有IP網(wǎng)絡(luò)的特征，移動(dòng)通信正在演變?yōu)镮P網(wǎng)絡(luò)上的一種特殊應(yīng)用。IP網(wǎng)絡(luò)的開放性帶來(lái)的安全問(wèn)題也就是3G網(wǎng)絡(luò)面臨的主要安全問(wèn)題：

1. IP網(wǎng)絡(luò)的漏洞很明顯，針對(duì)漏洞攻擊的目的性越來(lái)越強(qiáng)，時(shí)間越來(lái)越短，企業(yè)面臨的風(fēng)險(xiǎn)隨之提高，這些變化給電信運(yùn)營(yíng)企業(yè)帶來(lái)的風(fēng)險(xiǎn)不斷增多。

2. IP網(wǎng)上，病毒攻擊產(chǎn)生的蔓延時(shí)間越來(lái)越短，如何保障3G網(wǎng)絡(luò)免受病毒影響，已經(jīng)成為運(yùn)營(yíng)商向3G過(guò)渡必須要正視的問(wèn)題。

3. 3G用戶使用的移動(dòng)終端越來(lái)越IP化。從功能上看，3G手機(jī)實(shí)際上就是數(shù)據(jù)終端，具有數(shù)據(jù)終端的基本特征，再接入到以IP技術(shù)為核心的3G網(wǎng)絡(luò)，將有更多機(jī)會(huì)感染病毒或被黑客程序侵入。終端越智能，功能越復(fù)雜，其安全漏洞必然越多，被病毒感染或被黑客攻陷的可能性也就越大。這些終端在自身存在危險(xiǎn)的同時(shí)，對(duì)3G網(wǎng)絡(luò)的威脅也越來(lái)越大。

4.3G網(wǎng)的一個(gè)重要特點(diǎn)是3G終端的永遠(yuǎn)在線。這樣就不可避免地直接面臨各種安全威脅，被病毒感染或被黑客入侵后更不易被發(fā)現(xiàn)和處理，即使處理也將是一個(gè)長(zhǎng)期、巨大的工程。這類終端設(shè)備上的安全漏洞隱蔽性更強(qiáng)，持續(xù)危害時(shí)間更長(zhǎng)。

5.3G可以為用戶提供2Mbps以上的接入速率，同時(shí)在信號(hào)覆蓋區(qū)域?qū)崿F(xiàn)軟切換，接入速率的提高和接入地點(diǎn)、應(yīng)用的不停變換導(dǎo)致網(wǎng)絡(luò)各種參數(shù)不斷變化，使得對(duì)移動(dòng)終端的安全監(jiān)控和管理更為困難。一旦移動(dòng)終端成為病毒和黑客程序的發(fā)源地或中繼站，接入網(wǎng)和核心網(wǎng)以及3G網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)將直接面臨安全威脅。

6.由于對(duì)于3G的安全目標(biāo)及相關(guān)工作規(guī)范的滯后，3G網(wǎng)絡(luò)安全管理人員和相關(guān)制度也相對(duì)短缺，3G規(guī)范中對(duì)安全的描述和要求明顯不足。對(duì)于3G網(wǎng)絡(luò)的安全要求的缺失將會(huì)給今后的網(wǎng)絡(luò)運(yùn)行留下眾多隱患。

7.伴隨網(wǎng)絡(luò)融合（三網(wǎng)合一）趨勢(shì)的加深、電信業(yè)務(wù)的日益復(fù)雜，3G網(wǎng)絡(luò)將面臨著比以往任何時(shí)候都要嚴(yán)峻的威脅。

三、3G安全目標(biāo)

對(duì)于承載著海量應(yīng)用的電信網(wǎng)絡(luò)而言，任何一個(gè)網(wǎng)絡(luò)信息安全漏洞被利用和攻擊，都可能對(duì)其承載業(yè)務(wù)造成災(zāi)難性的影響。由于電信對(duì)整個(gè)社會(huì)發(fā)展影響的日益加深，從普遍服務(wù)作用來(lái)看，通過(guò)保證電信網(wǎng)絡(luò)的安全進(jìn)而保障國(guó)家和社會(huì)的安全與穩(wěn)定無(wú)疑是基礎(chǔ)電信運(yùn)營(yíng)商義不容辭的義務(wù)。

根據(jù)CDMA網(wǎng)絡(luò)結(jié)構(gòu)，3G系統(tǒng)網(wǎng)絡(luò)安全層面可以分為網(wǎng)絡(luò)層和應(yīng)用層兩個(gè)主要部分（圖1）：對(duì)3G中的用戶設(shè)備（UE）、無(wú)線接入網(wǎng)絡(luò)（RAN）、核心網(wǎng)絡(luò)（CN）和業(yè)務(wù)網(wǎng)絡(luò)（Service）的保護(hù)分別可以納入這兩個(gè)層次。在3G系統(tǒng)中，它們具有各自不同的作用，對(duì)網(wǎng)絡(luò)安全的影響和要求也各不相同。

從電信運(yùn)營(yíng)商的角度理解，3G網(wǎng)絡(luò)安全工作至少要包括以下內(nèi)容：

1. 保證3G網(wǎng)絡(luò)及其承載的業(yè)務(wù)系統(tǒng)提供持續(xù)服務(wù)的能力；保障對(duì)構(gòu)成電信網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)，以及系統(tǒng)所處理的數(shù)據(jù)處于正常工作狀態(tài)。

2. 保障3G網(wǎng)絡(luò)上的應(yīng)用信息（用戶信息、資料、各種交易）在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍和途徑，防止重要信息未經(jīng)授權(quán)泄露給電信企業(yè)外部的組織或人員，保障信息資產(chǎn)機(jī)密、完整、可用。

四、3G安全體系建設(shè)思路

1.提高網(wǎng)絡(luò)自身的強(qiáng)壯性，保障網(wǎng)絡(luò)對(duì)安全事件有足夠的容災(zāi)能力。

互聯(lián)網(wǎng)發(fā)展的基礎(chǔ)是靈活開放的IP協(xié)議，依據(jù)IP協(xié)議產(chǎn)生的網(wǎng)絡(luò)和通信設(shè)備以及相關(guān)應(yīng)用，為今天互聯(lián)網(wǎng)業(yè)務(wù)迅速普及奠定了基礎(chǔ)。但也正是這種開放性，使其成為電信級(jí)運(yùn)營(yíng)網(wǎng)絡(luò)后，安全可靠性薄弱和服務(wù)質(zhì)量無(wú)法保障的問(wèn)題逐步顯現(xiàn)出來(lái)，同時(shí)由于互聯(lián)網(wǎng)安全技術(shù)標(biāo)準(zhǔn)欠缺，很多互聯(lián)網(wǎng)系統(tǒng)和設(shè)備難以達(dá)到傳統(tǒng)電信級(jí)的穩(wěn)定性。

網(wǎng)絡(luò)自身的強(qiáng)壯性是運(yùn)營(yíng)商網(wǎng)絡(luò)提供持續(xù)服務(wù)的基礎(chǔ)。對(duì)于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全，較其他傳統(tǒng)網(wǎng)絡(luò)的技術(shù)標(biāo)準(zhǔn)來(lái)看，目前IP網(wǎng)絡(luò)的安全技術(shù)標(biāo)準(zhǔn)處于比較原始的狀態(tài)，可操作性不是很理想，技術(shù)防范體系還不健全，終端管理沒(méi)有統(tǒng)一規(guī)范，安全域劃分沒(méi)有統(tǒng)一原則。運(yùn)營(yíng)商如何從設(shè)備可靠性和組網(wǎng)穩(wěn)定性入手來(lái)提高網(wǎng)絡(luò)防范風(fēng)險(xiǎn)的能力，成為3G網(wǎng)絡(luò)安全的首要問(wèn)題。

2.做好終端接入管理，將終端風(fēng)險(xiǎn)控制在一定程度內(nèi)。

從互聯(lián)網(wǎng)運(yùn)營(yíng)經(jīng)驗(yàn)來(lái)看，80%的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來(lái)自業(yè)務(wù)終端，業(yè)務(wù)終端管理是3G安全體系中的重要部分。用戶終端設(shè)備在3G網(wǎng)絡(luò)安全體系中是受保護(hù)的對(duì)象，是重要的信息資產(chǎn)，同時(shí)更是病毒源和攻擊源，是需要重點(diǎn)防范的對(duì)象。

在3G網(wǎng)絡(luò)中，面對(duì)數(shù)以億計(jì)的終端，按照傳統(tǒng)方法，通過(guò)有限的入侵檢測(cè)和流量、協(xié)議過(guò)濾設(shè)備進(jìn)行保護(hù)，無(wú)疑是杯水車薪。 3G用戶終端設(shè)備的安全保障，將主要依賴終端本身的安全功能，這也是安全域劃分的基本目標(biāo)。與2G用戶終端認(rèn)證工作相似，對(duì)于3G終端也要進(jìn)行安全認(rèn)證，通過(guò)在線方式對(duì)安全狀態(tài)進(jìn)行調(diào)查和評(píng)估，對(duì)符合要求的終端允許接入，對(duì)不符合要求的終端限制使用功能，只允許訪問(wèn)特定有限資源，盡可能地把安全性不完善、可能對(duì)網(wǎng)絡(luò)產(chǎn)生威脅的終端在3G網(wǎng)絡(luò)接入層就進(jìn)行控制，以實(shí)現(xiàn)主動(dòng)的安全防御。

3.對(duì)應(yīng)用層做好隔離與保護(hù)。

在3G系統(tǒng)中，除提供傳統(tǒng)的話音業(yè)務(wù)外，電子商務(wù)、電子貿(mào)易、網(wǎng)絡(luò)服務(wù)等新型業(yè)務(wù)將成為3G的重要業(yè)務(wù)發(fā)展點(diǎn)，因而3G將更多地考慮在應(yīng)用層提供安全保護(hù)機(jī)制。

在3G系統(tǒng)中，安全問(wèn)題的重點(diǎn)已經(jīng)從物理層轉(zhuǎn)移到網(wǎng)絡(luò)層和應(yīng)用層，從傳統(tǒng)語(yǔ)音通信安全為核心轉(zhuǎn)移到IP網(wǎng)絡(luò)和應(yīng)用安全為核心。按照業(yè)務(wù)應(yīng)用的內(nèi)容劃分邏輯專網(wǎng)是對(duì)3G網(wǎng)絡(luò)進(jìn)行安全管理的基本要求，也是必然要求。

邏輯專網(wǎng)劃定后，根據(jù)不同業(yè)務(wù)專網(wǎng)SLA要求，進(jìn)行加密、認(rèn)證、邊界保護(hù)等面向應(yīng)用層的安全手段部署。 在強(qiáng)健而靈活的安全體系中，安全措施的部署要實(shí)現(xiàn)集中化管理，便于SOC（安全中心）可以迅速掌握各種事件、漏洞，迅速有效地部署安全措施并進(jìn)行預(yù)警，確保因安全事件而產(chǎn)生的后果可以在影響范圍層面得到有效控制。邏輯專網(wǎng)（安全域）的劃分是”邊緣部署、集中管理“方式的最佳基礎(chǔ)。

五、結(jié)束語(yǔ)

相對(duì)于第二代移動(dòng)通信系統(tǒng)，對(duì)于3G系統(tǒng)的安全應(yīng)該給予足夠的重視。在進(jìn)行3G系統(tǒng)安全體系建設(shè)時(shí)，不但要繼承第二代移動(dòng)通信系統(tǒng)中的安全管理理念和已被證明是必須的和穩(wěn)健的安全手段，而且還要根據(jù)3G網(wǎng)絡(luò)IP化的實(shí)際技術(shù)要求，不斷增加有針對(duì)性的安全措施來(lái)彌補(bǔ)目前IP網(wǎng)絡(luò)安全體系的缺陷。隨著3G網(wǎng)絡(luò)大規(guī)模建設(shè)的到來(lái)，各運(yùn)營(yíng)商必須同步設(shè)計(jì)、同步建設(shè)、同步運(yùn)行3G網(wǎng)絡(luò)安全體系，保障網(wǎng)絡(luò)優(yōu)質(zhì)、高效、安全運(yùn)行，業(yè)務(wù)及時(shí)、順利推出。