3G網(wǎng)絡與信息安全體系建設思路

申請免費試用、咨詢電話：400-8352-114

一、引言

2G（GSM）網(wǎng)絡經(jīng)過十年的建設和發(fā)展，基本滿足了用戶對移動通話及窄帶數(shù)據(jù)業(yè)務的需求，但與互聯(lián)網(wǎng)寬帶應用相比，帶寬過小，速度過慢，無法為用戶提供豐富多彩的移動多媒體業(yè)務。隨著第三代移動通信網(wǎng)絡技術的發(fā)展，移動終端功能的增強和移動業(yè)務應用內(nèi)容的豐富，各種無線應用將極大地豐富我們的日常工作和生活，也將為國家信息化戰(zhàn)略提供強大的技術支撐，為各3G運營企業(yè)移動數(shù)據(jù)業(yè)務的發(fā)展提供堅實的網(wǎng)絡基礎。3G網(wǎng)絡的發(fā)展對網(wǎng)絡安全提出了新的挑戰(zhàn)。

二、第三代移動通信系統(tǒng)（3G）面臨的安全問題

3G網(wǎng)絡從核心網(wǎng)上看，實際上就是IP網(wǎng)絡。從2G網(wǎng)絡到3G網(wǎng)絡，實際上就是從封閉的、基于電路交換的系統(tǒng)向開放的基于IP技術的網(wǎng)絡轉變，3G網(wǎng)絡的控制信令和數(shù)據(jù)傳輸已經(jīng)越來越依賴IP網(wǎng)絡。因此，3G網(wǎng)絡與以前的移動通信網(wǎng)絡相比，更具有IP網(wǎng)絡的特征，移動通信正在演變?yōu)镮P網(wǎng)絡上的一種特殊應用。IP網(wǎng)絡的開放性帶來的安全問題也就是3G網(wǎng)絡面臨的主要安全問題：

1. IP網(wǎng)絡的漏洞很明顯，針對漏洞攻擊的目的性越來越強，時間越來越短，企業(yè)面臨的風險隨之提高，這些變化給電信運營企業(yè)帶來的風險不斷增多。

2. IP網(wǎng)上，病毒攻擊產(chǎn)生的蔓延時間越來越短，如何保障3G網(wǎng)絡免受病毒影響，已經(jīng)成為運營商向3G過渡必須要正視的問題。

3. 3G用戶使用的移動終端越來越IP化。從功能上看，3G手機實際上就是數(shù)據(jù)終端，具有數(shù)據(jù)終端的基本特征，再接入到以IP技術為核心的3G網(wǎng)絡，將有更多機會感染病毒或被黑客程序侵入。終端越智能，功能越復雜，其安全漏洞必然越多，被病毒感染或被黑客攻陷的可能性也就越大。這些終端在自身存在危險的同時，對3G網(wǎng)絡的威脅也越來越大。

4.3G網(wǎng)的一個重要特點是3G終端的永遠在線。這樣就不可避免地直接面臨各種安全威脅，被病毒感染或被黑客入侵后更不易被發(fā)現(xiàn)和處理，即使處理也將是一個長期、巨大的工程。這類終端設備上的安全漏洞隱蔽性更強，持續(xù)危害時間更長。

5.3G可以為用戶提供2Mbps以上的接入速率，同時在信號覆蓋區(qū)域實現(xiàn)軟切換，接入速率的提高和接入地點、應用的不停變換導致網(wǎng)絡各種參數(shù)不斷變化，使得對移動終端的安全監(jiān)控和管理更為困難。一旦移動終端成為病毒和黑客程序的發(fā)源地或中繼站，接入網(wǎng)和核心網(wǎng)以及3G網(wǎng)絡承載的業(yè)務系統(tǒng)將直接面臨安全威脅。

6.由于對于3G的安全目標及相關工作規(guī)范的滯后，3G網(wǎng)絡安全管理人員和相關制度也相對短缺，3G規(guī)范中對安全的描述和要求明顯不足。對于3G網(wǎng)絡的安全要求的缺失將會給今后的網(wǎng)絡運行留下眾多隱患。

7.伴隨網(wǎng)絡融合（三網(wǎng)合一）趨勢的加深、電信業(yè)務的日益復雜，3G網(wǎng)絡將面臨著比以往任何時候都要嚴峻的威脅。

三、3G安全目標

對于承載著海量應用的電信網(wǎng)絡而言，任何一個網(wǎng)絡信息安全漏洞被利用和攻擊，都可能對其承載業(yè)務造成災難性的影響。由于電信對整個社會發(fā)展影響的日益加深，從普遍服務作用來看，通過保證電信網(wǎng)絡的安全進而保障國家和社會的安全與穩(wěn)定無疑是基礎電信運營商義不容辭的義務。

根據(jù)CDMA網(wǎng)絡結構，3G系統(tǒng)網(wǎng)絡安全層面可以分為網(wǎng)絡層和應用層兩個主要部分（圖1）：對3G中的用戶設備（UE）、無線接入網(wǎng)絡（RAN）、核心網(wǎng)絡（CN）和業(yè)務網(wǎng)絡（Service）的保護分別可以納入這兩個層次。在3G系統(tǒng)中，它們具有各自不同的作用，對網(wǎng)絡安全的影響和要求也各不相同。

從電信運營商的角度理解，3G網(wǎng)絡安全工作至少要包括以下內(nèi)容：

1. 保證3G網(wǎng)絡及其承載的業(yè)務系統(tǒng)提供持續(xù)服務的能力；保障對構成電信網(wǎng)絡的所有設施、系統(tǒng)，以及系統(tǒng)所處理的數(shù)據(jù)處于正常工作狀態(tài)。

2. 保障3G網(wǎng)絡上的應用信息（用戶信息、資料、各種交易）在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍和途徑，防止重要信息未經(jīng)授權泄露給電信企業(yè)外部的組織或人員，保障信息資產(chǎn)機密、完整、可用。

四、3G安全體系建設思路

1.提高網(wǎng)絡自身的強壯性，保障網(wǎng)絡對安全事件有足夠的容災能力。

互聯(lián)網(wǎng)發(fā)展的基礎是靈活開放的IP協(xié)議，依據(jù)IP協(xié)議產(chǎn)生的網(wǎng)絡和通信設備以及相關應用，為今天互聯(lián)網(wǎng)業(yè)務迅速普及奠定了基礎。但也正是這種開放性，使其成為電信級運營網(wǎng)絡后，安全可靠性薄弱和服務質(zhì)量無法保障的問題逐步顯現(xiàn)出來，同時由于互聯(lián)網(wǎng)安全技術標準欠缺，很多互聯(lián)網(wǎng)系統(tǒng)和設備難以達到傳統(tǒng)電信級的穩(wěn)定性。

網(wǎng)絡自身的強壯性是運營商網(wǎng)絡提供持續(xù)服務的基礎。對于互聯(lián)網(wǎng)網(wǎng)絡安全，較其他傳統(tǒng)網(wǎng)絡的技術標準來看，目前IP網(wǎng)絡的安全技術標準處于比較原始的狀態(tài)，可操作性不是很理想，技術防范體系還不健全，終端管理沒有統(tǒng)一規(guī)范，安全域劃分沒有統(tǒng)一原則。運營商如何從設備可靠性和組網(wǎng)穩(wěn)定性入手來提高網(wǎng)絡防范風險的能力，成為3G網(wǎng)絡安全的首要問題。

2.做好終端接入管理，將終端風險控制在一定程度內(nèi)。

從互聯(lián)網(wǎng)運營經(jīng)驗來看，80%的網(wǎng)絡安全風險來自業(yè)務終端，業(yè)務終端管理是3G安全體系中的重要部分。用戶終端設備在3G網(wǎng)絡安全體系中是受保護的對象，是重要的信息資產(chǎn)，同時更是病毒源和攻擊源，是需要重點防范的對象。

在3G網(wǎng)絡中，面對數(shù)以億計的終端，按照傳統(tǒng)方法，通過有限的入侵檢測和流量、協(xié)議過濾設備進行保護，無疑是杯水車薪。 3G用戶終端設備的安全保障，將主要依賴終端本身的安全功能，這也是安全域劃分的基本目標。與2G用戶終端認證工作相似，對于3G終端也要進行安全認證，通過在線方式對安全狀態(tài)進行調(diào)查和評估，對符合要求的終端允許接入，對不符合要求的終端限制使用功能，只允許訪問特定有限資源，盡可能地把安全性不完善、可能對網(wǎng)絡產(chǎn)生威脅的終端在3G網(wǎng)絡接入層就進行控制，以實現(xiàn)主動的安全防御。

3.對應用層做好隔離與保護。

在3G系統(tǒng)中，除提供傳統(tǒng)的話音業(yè)務外，電子商務、電子貿(mào)易、網(wǎng)絡服務等新型業(yè)務將成為3G的重要業(yè)務發(fā)展點，因而3G將更多地考慮在應用層提供安全保護機制。

在3G系統(tǒng)中，安全問題的重點已經(jīng)從物理層轉移到網(wǎng)絡層和應用層，從傳統(tǒng)語音通信安全為核心轉移到IP網(wǎng)絡和應用安全為核心。按照業(yè)務應用的內(nèi)容劃分邏輯專網(wǎng)是對3G網(wǎng)絡進行安全管理的基本要求，也是必然要求。

邏輯專網(wǎng)劃定后，根據(jù)不同業(yè)務專網(wǎng)SLA要求，進行加密、認證、邊界保護等面向應用層的安全手段部署。 在強健而靈活的安全體系中，安全措施的部署要實現(xiàn)集中化管理，便于SOC（安全中心）可以迅速掌握各種事件、漏洞，迅速有效地部署安全措施并進行預警，確保因安全事件而產(chǎn)生的后果可以在影響范圍層面得到有效控制。邏輯專網(wǎng)（安全域）的劃分是”邊緣部署、集中管理“方式的最佳基礎。

五、結束語

相對于第二代移動通信系統(tǒng)，對于3G系統(tǒng)的安全應該給予足夠的重視。在進行3G系統(tǒng)安全體系建設時，不但要繼承第二代移動通信系統(tǒng)中的安全管理理念和已被證明是必須的和穩(wěn)健的安全手段，而且還要根據(jù)3G網(wǎng)絡IP化的實際技術要求，不斷增加有針對性的安全措施來彌補目前IP網(wǎng)絡安全體系的缺陷。隨著3G網(wǎng)絡大規(guī)模建設的到來，各運營商必須同步設計、同步建設、同步運行3G網(wǎng)絡安全體系，保障網(wǎng)絡優(yōu)質(zhì)、高效、安全運行，業(yè)務及時、順利推出。