一。 概述
电信运营商3G业务的推广,开启了移动互联网手机推广的新篇章。当前,传统固网电信运营商正在热火朝天的进行移动网络的改造和建设,为大规模的业务上线做着积极准备,随之而来的网络安全建设也需要同步展开。传统的电信网络主要以专有协议、专有网络为主,现在移动网络从承载平台、业务系统到后台的支撑系统都越来越多地转移到了IP承载网络,与互联网的结合也越来越紧密,因此互联网中大量存在的安全风险都将对运营商的移动网络形成威胁,也必然会对运营商的移动互联网战略造成影响。如何在网络发展的同时进行安全体系的建设,降低安全风险成为一个急待解决的问题,本文从运营商移动网络及相关业务系统现状出发,基于对运营商网络安全建设的长期积累,对移动网络安全建设进行探讨。
二。 移动网络及业务系统介绍
电信运营商移动网络由无线网、核心网、承载网、业务网、支撑网和传输网等网络系统构成。先简单了解一下各个网络系统的基本情况,然后再针对IP网络层面的安全问题进行重点分析,主要包括业务网、承载网和支撑网,本文不涉及无线网和传输网部分的安全问题。
核心网由电路域和分组域组成,电路域负责话音业务的承载和控制,主要网元包括移动交换中心、媒体网关、归属位置寄存器/鉴权中心;分组域负责数据业务的承载和控制,主要网元包括分组数据服务节点(PDSN)、AAA、DNS等,PDSN负责管理用户通信状态,转发用户数据。通常,PDSN 集中设置在省会城市,实现对所有分组业务用户的接入。
业务网负责业务逻辑和业务数据处理,在全国和省级两个层面进行建设,全国层面业务包括:彩铃平台、流媒体平台、邮箱平台、BREW下载平台等,省级层面业务包括:WAP网关、短信平台、彩信平台、IVR等,由省移动业务管理平台统一进行业务管理。
承载网负责跨地市或跨省业务数据的承载,通过CE+IP承载网方式组网,CE负责移动网络核心网元汇聚,IP承载网负责各业务VPN的长途承载。各个系统通过承载网实现互联互通,IP承载网为每个系统分配单独的VPN,为每个系统提供独立的逻辑通道,比如RP网络VPN、PI网络VPN、C网软交换VPN等。
支撑网为电信业务的开展提供运行维护和管理决策支持,支撑网主要包括业务支撑系统、网管系统、企业信息化系统,三个支撑系统在网络的纵向连接上均是三级结构:集团公司-省公司-地市分公司,各支撑系统在三级结构的承载层面,基本上都考虑了相互隔离。三个支撑系统之间存在一定的互联需求,如网管系统、业务支撑系统均与企业信息化系统有连接,主要实现网管系统、业务支撑系统的相关信息向MIS开放,同时,业务支撑系统、网管系统的维护人员也需要访问企业信息化系统。其中业务支撑系统和网管系统之间的结合是最为紧密的。
三。 移动网络面临的安全风险
移动网络承载了多种业务系统,而且各种业务系统具有各自的特点,依据业务系统与互联网的关联度不同,可以将移动网络的业务系统分为三大类:全开放系统、半封闭系统和全封闭系统,全开放系统指完全在互联网承载的系统,如邮箱业务;半封闭系统指在私网进行承载,同时与互联网连接的系统,如彩铃系统; 全封闭系统指无需与互联网连接的系统,如智能网。从安全威胁的角度分析,全开发和半封闭系统面临的安全威胁最为突出,因此在本章节中重点进行分析,首先分析一下业务网面临的安全分析:
1)智能终端带来威胁,智能终端发起经由核心网进入业务系统的攻击,通常核心网与业务网利用网络设备直接连接,没有任何安全防护。
2)来自于互联网的威胁,从业务系统互联网出口进入的黑客入侵攻击、大规模拒绝服务攻击(DDoS)等,网络层网关类访问控制设备对此类攻击无能为力,最终影响整个业务平台的正常访问。
3)业务非法订阅问题,主要方式包括:不遵循业务流程的非法订购行为,无法进行监控的非法订购,比如不经过WAP网关的订阅、不经过计费网关的订阅、SP/CP模拟用户进行订购等。
4)滥用业务,通过盗用端口模拟业务逻辑或者调用业务进程,非法使用业务资源。如WAP业务中曾经泛滥的PUSH群发。
5)业务系统通常与其它业务系统、支撑系统或者第三方接入平台互联互通,业务系统之间互联并未进行严格的访问控制,可能造成各业务平台之间的随意访问,影响业务平台安全。
支撑网面临的安全威胁如下:
1)业务系统之间的边界不清
业务系统分期建设,业务系统之间的隔离还是通过系统在自身边界处通过网络设备ACL和防火墙访问控制实现。策略的统一性非常差,且不便于运营商的运维部门统一管理。一旦有新的业务系统建立或者某个重要系统升级,则相关系统的管理维护人员需要大量修改访问控制策略,甚至有的维护人员为了减轻维护的工作量直接配置十分宽松的访问控制策略,根本无法起到业务系统之间严格按需互访的目的。一旦某个系统发生安全事件,可能直接扩散到其他重要的业务系统中,从而影响的支撑网全网稳定运行。
2)与互联网存在多个出口
随着业务和管理发展的需要,各支撑系统(网管系统、业务支撑系统、企业信息化系统)与互联网的互联需求越来越多,各类支撑系统通常都存在互联网接口,各接口都采用了一些安全防护措施,但这样独立设置安全防护系统存在投资大、漏洞多、安全策略不统一,安全建设投入和管理成本越来越高的问题。
3)终端安全带来的安全隐患
支撑网中繁杂而琐碎的安全问题,大都来自网络内部,主要是补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播、移动电脑设备随意接入等由终端带来的安全隐患。。
4)远程维护存在安全隐患
支撑网中存在大量的远程维护需求,核心设备一般由运维人员远端登录维护,遇到出现问题的紧急情况会提供网络通道由厂商技术人员远程登录解决。远程维护的接入控制通常没有进行统一,存在多个远程维护的接口,维护的方式也多种多样。一旦被恶意使用者通过弱口令、控制终端入侵等方式,远程登录到支撑网中,将给支撑网网络造成不可估量的损失和极其严重的后果。
承载网面临的主要威胁来自于大流量的冲击,比如P2P应用消耗大量的骨干网带宽。对于流量消耗型的业务,按时长计费是用户愿意接受的方式;而长期在线型小流量的业务,按流量计费是用户愿意接受的方式。运营商移动互联网已经开始按时长计费的尝试,对于大流量的冲击应该研究防护的手段。
四。 移动网络安全建设思路探讨
4.1 基于业务的安全评估
全面、系统地分析业务系统面临的风险,能很好的为设计符合业务特点的安全方案打下良好基础。调研是安全评估的基础,那么如何基于业务需求来开展调研呢?
首先准确、全面的把握评估的目标业务是什么,这需要站在企业组织的业务使命、业务战略的高度,了解业务,了解达成或实现业务战略的一系列的业务流程,以及与业务流程正常实现、运作的相关IT系统,并了解组织的未来发展、规划情况,以全面、有效地把握业务现状、业务发展情况。
其次,从管理角度对企业组织结构、部门及岗位职责、人员配置情况进行了解,再根据部门职责,了解其管理制度、流程,并分析贯穿管理体系及具体管理流程的管控措施设计及落实情况,并与既定规范标准、规范相比较,分析存在的差距与不足。
再次,从技术角度充分、准确的把握IT系统对业务流程的支持、承载情况,了解系统承担的业务使命和业务功能(和管理控制功能),了解系统结构、网络结构、应用结构,明确人员及访问方式,根据业务功能梳理和刻画IT流程,了解、分析贯穿IT流程数据处理活动,并对数据处理活动进行分析归纳信息安全威胁、安全风险和安全需求,分析现有安全措施对安全需求匹配程度,评价保证等级和能力。
最后,对管理和IT系统调研结果进行汇总、分析,形成基于业务的安全评估报告,使整体安全建设能基于业务需求为出发点,为后续的安全建设提供指导依据。
4.2 业务系统安全承载
移动网络的业务系统利用IP承载网进行承载,在IP承载网上为每个业务系统分配单独的VPN通道,对各个业务系统进行了隔离承载,避免业务系统之间互相干扰。业务系统安全承载面临的最大风险是大流量冲击和大规模的DDoS攻击。对于DDoS攻击的防护可以通过在承载网部署流量分析系统和异常流量清洗系统对大规模攻击行为进行监控。对于大流量冲击可以利用深度包检测系统对业务流进行识别和控制。
4.3 安全域划分和边界整合
业务网、核心网、互联网、支撑系统、第三方接入系统等系统之间具有网络互联和数据交换,如何保障系统之间的安全隔离,降低安全风险影响的范围,可以通过划分安全域及边界整合的方式进行控制。针对运营商网络的特性可以将业务系统划分以下为四类主要的安全域:核心数据域、内部互联接口域、互联网接口域和网络交换域等。
核心数据域:本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联,该业务系统中资产价值最高的设备如数据库及存储位于本区域,外部不能通过互联网直接访问该区域内设备。
内部互联接口域:本区域放置的设备和公司内部网络互联,如与支撑系统、其它业务系统或第三方互联的设备。
互联网接口域:本区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。
网络交换域:负责连接核心数据区、内部互联接口区和外部互联接口区等安全域。
安全域划分完成以后,我们会发现业务系统有很多互联接口,这通常是由于大多数业务系统都是分期单独建设,为了达到业务系统之间的互联互通而造成的。为了降低业务系统之间的边界接口,增加接口的安全可控性,需要通过边界整合将不同系统的相同类型安全域整合形成大的安全域,比如统一办公系统的互联网边界、统一数据业务系统的互联网边界、统一计费系统与网管系统的边界,以便于安全管理和维护。
4.4 网元自身的安全建设
通过安全域的划分与边界整合后,实现了不同类系统之间的隔离,控制了安全风险的影响范围,下一步就是提高系统中的网元自身的安全。网元自身的安全主要包括两个方面:
安全配置:通常是由于配置不当或人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统有关人引起的安全脆弱性。
安全漏洞:通常是属于系统自身的问题引起的安全风险,一般包括了登录漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。
安全配置类威胁产生的主要原因在于移动网络建设过程中缺乏一套完善的系统安全配置指导规范,各系统承建厂商按照各自标准和经验进行建设,从而造成同样的网络设备、主机系统、数据库等系统配置参差不齐,往往带来许多安全隐患。为了解决这一问题,我们首先可以制订标准化一系列的系统安全规范,包括网络设备、主机系统、应用系统、数据库系统等设备、系统的安全配置和漏洞修补规范。接着对业务网、承载网、支撑网依据安全规范进行安全整改,对于新建的系统在割接上线之前进行安全测试,如果不符合安全配置规范则进行相应的整改后方可上线运行。
4.5 安全技术防护手段
在安全评估的基础上,基于安全域划分和边界整合后,体系化的进行安全技术体系的建设是提高整体安全性的必要手段。安全管理虽然强调“七分管理,三分技术”,但技术防护手段不可或缺。在多业务环境中,要统筹考虑不同系统的安全保护,需要独立配置的就独立配置,如防病毒系统的客户端、关键网段的入侵检测;需要集中建设的要集中建设,如防火墙、 IDS、防病毒的控制端以及账号口令管理(AAAA)系统、域管理系统等,避免分系统进行安全建设带来的投资浪费、管理困难、效益低下的问题。同时,在信息安全领域,目前的攻击手法已经融合了多种技术,比如蠕虫融合了缓冲区溢出、网络扫描和病毒感染技术,如果依赖于安全产品的孤军作战,就无法有效地查杀病毒、无法阻止病毒的传播。
安全技术控制措施多种多样,并且在不断的演化与发展,使得企业时常会感到困扰,很难清晰了解适合自身安全需求的模块有哪些,其实只需将这些技术模块进行合理的归类,并与企业的不同保护阶段的要求相对应,就能够清晰了解并进行合理的规划选择。
在安全技术体系中,将多种安全技术相结合,首先从技术体系划分上,各类安全技术控制模块可以被分为7个大类:准备、预防、检测、保护、响应、监控、评价等,在整个安全系统运转中,各司其职。进而结合阶段性维度,根据不同业务系统的特点,分解到“基本保护阶段”、“中度保护阶段”、“深度保护阶段”,从而明确划分了技术手段的同时,也针对不同建设的阶段需求,提供有计划的、持续深入的技术保护。
4.6 安全管理建设
安全管理建设包括组织、流程、制度等方面的内容,建立专职的安全队伍,从事具体的安全工作,在集团层面设置安全主管机构,各省级公司设置专职的安全部门和安全专员员。结合电信运营商的运维体系,梳理安全工作流程,将安全工作体现在网络与信息系统生命周期中的规划、设计、开发等各个阶段,保证安全工作的最终落地。
遵循和参考国际国内信息安全管理标准、国家法律法规和行业规范的基础上,阐述安全管理体系建设的目的、适用范围、安全定义、体系结构、安全原则、关键性成功因素和声明等内容,在技术和管理各方面的安全工作具有通用指导性。完善安全管理制度,根据电信运营商的业务正常运行和发展需求,综合各方面的有关要求,提出公司的信息安全策略、方针,对信息安全保障体系建设和完善提供指引。
五。 移动网络安全建设实践
目前运营商移动网络的建设正如火如荼,市场营销部门紧迫的希望将业务尽早推向市场,可是在业务和网络建设过程中也不可忽视安全方面的建设,在系统规划和建设阶段同步考虑安全问题可以很大程度上降低系统上线后的整体安全风险和运维成本。
为了保障业务的平稳安全运营,电信运营商开展了大量的安全建设,下面我们介绍一下某运营商移动网络建设的思路。该运营商在接收移动网络以后展开了大量的业务系统的扩容建设工作,对业务系统的承载网络实现了割接,利用单一IP承载网实现多个业务系统的承载,利用VPN隧道将多个业务系统进行隔离。安全建设工作与网络和业务系统的建设同步开展,安全建设的首要工作是安全评估,通过评估了解网络和业务系统的安全状况,评估主要内容包括:识别关键业务、关键业务流程;通过技术手段、调研访谈等形式识别系统所存在的各种技术、管理以及架构上的脆弱性,从而识别可能被各种威胁源利用的弱点;在脆弱性识别和分析的基础上,对可能面临的威胁进行可能性分析;分析业务和信息资产遭到破坏后所造成的影响。在安全评估的基础上,对业务网和支撑网进行安全域划分和边界整合,并且利用相应的安全技术防护手段进一步增强系统的安全性。
