運營商移動網絡安全建設思路探討
一. 概述
電信運營商3G業務的推廣,開啟了移動互聯網手機推廣的新篇章。當前,傳統固網電信運營商正在熱火朝天的進行移動網絡的改造和建設,為大規模的業務上線做著積極準備,隨之而來的網絡安全建設也需要同步展開。傳統的電信網絡主要以專有協議、專有網絡為主,現在移動網絡從承載平臺、業務系統到后臺的支撐系統都越來越多地轉移到了IP承載網絡,與互聯網的結合也越來越緊密,因此互聯網中大量存在的安全風險都將對運營商的移動網絡形成威脅,也必然會對運營商的移動互聯網戰略造成影響。如何在網絡發展的同時進行安全體系的建設,降低安全風險成為一個急待解決的問題,本文從運營商移動網絡及相關業務系統現狀出發,基于對運營商網絡安全建設的長期積累,對移動網絡安全建設進行探討。
二. 移動網絡及業務系統介紹
電信運營商移動網絡由無線網、核心網、承載網、業務網、支撐網和傳輸網等網絡系統構成。先簡單了解一下各個網絡系統的基本情況,然后再針對IP網絡層面的安全問題進行重點分析,主要包括業務網、承載網和支撐網,本文不涉及無線網和傳輸網部分的安全問題。
核心網由電路域和分組域組成,電路域負責話音業務的承載和控制,主要網元包括移動交換中心、媒體網關、歸屬位置寄存器/鑒權中心;分組域負責數據業務的承載和控制,主要網元包括分組數據服務節點(PDSN)、AAA、DNS等,PDSN負責管理用戶通信狀態,轉發用戶數據。通常,PDSN 集中設置在省會城市,實現對所有分組業務用戶的接入。
業務網負責業務邏輯和業務數據處理,在全國和省級兩個層面進行建設,全國層面業務包括:彩鈴平臺、流媒體平臺、郵箱平臺、BREW下載平臺等,省級層面業務包括:WAP網關、短信平臺、彩信平臺、IVR等,由省移動業務管理平臺統一進行業務管理。
承載網負責跨地市或跨省業務數據的承載,通過CE+IP承載網方式組網,CE負責移動網絡核心網元匯聚,IP承載網負責各業務VPN的長途承載。各個系統通過承載網實現互聯互通,IP承載網為每個系統分配單獨的VPN,為每個系統提供獨立的邏輯通道,比如RP網絡VPN、PI網絡VPN、C網軟交換VPN等。
支撐網為電信業務的開展提供運行維護和管理決策支持,支撐網主要包括業務支撐系統、網管系統、企業信息化系統,三個支撐系統在網絡的縱向連接上均是三級結構:集團公司-省公司-地市分公司,各支撐系統在三級結構的承載層面,基本上都考慮了相互隔離。三個支撐系統之間存在一定的互聯需求,如網管系統、業務支撐系統均與企業信息化系統有連接,主要實現網管系統、業務支撐系統的相關信息向MIS開放,同時,業務支撐系統、網管系統的維護人員也需要訪問企業信息化系統。其中業務支撐系統和網管系統之間的結合是最為緊密的。
三. 移動網絡面臨的安全風險
移動網絡承載了多種業務系統,而且各種業務系統具有各自的特點,依據業務系統與互聯網的關聯度不同,可以將移動網絡的業務系統分為三大類:全開放系統、半封閉系統和全封閉系統,全開放系統指完全在互聯網承載的系統,如郵箱業務;半封閉系統指在私網進行承載,同時與互聯網連接的系統,如彩鈴系統;全封閉系統指無需與互聯網連接的系統,如智能網。從安全威脅的角度分析,全開發和半封閉系統面臨的安全威脅最為突出,因此在本章節中重點進行分析,首先分析一下業務網面臨的安全分析:
1)智能終端帶來威脅,智能終端發起經由核心網進入業務系統的攻擊,通常核心網與業務網利用網絡設備直接連接,沒有任何安全防護。
2)來自于互聯網的威脅,從業務系統互聯網出口進入的黑客入侵攻擊、大規模拒絕服務攻擊(DDoS)等,網絡層網關類訪問控制設備對此類攻擊無能為力,最終影響整個業務平臺的正常訪問。
3)業務非法訂閱問題,主要方式包括:不遵循業務流程的非法訂購行為,無法進行監控的非法訂購,比如不經過WAP網關的訂閱、不經過計費網關的訂閱、SP/CP模擬用戶進行訂購等。
4)濫用業務,通過盜用端口模擬業務邏輯或者調用業務進程,非法使用業務資源。如WAP業務中曾經泛濫的PUSH群發。
5)業務系統通常與其它業務系統、支撐系統或者第三方接入平臺互聯互通,業務系統之間互聯并未進行嚴格的訪問控制,可能造成各業務平臺之間的隨意訪問,影響業務平臺安全。
支撐網面臨的安全威脅如下:
1)業務系統之間的邊界不清
業務系統分期建設,業務系統之間的隔離還是通過系統在自身邊界處通過網絡設備ACL和防火墻訪問控制實現。策略的統一性非常差,且不便于運營商的運維部門統一管理。一旦有新的業務系統建立或者某個重要系統升級,則相關系統的管理維護人員需要大量修改訪問控制策略,甚至有的維護人員為了減輕維護的工作量直接配置十分寬松的訪問控制策略,根本無法起到業務系統之間嚴格按需互訪的目的。一旦某個系統發生安全事件,可能直接擴散到其他重要的業務系統中,從而影響的支撐網全網穩定運行。
2)與互聯網存在多個出口
隨著業務和管理發展的需要,各支撐系統(網管系統、業務支撐系統、企業信息化系統)與互聯網的互聯需求越來越多,各類支撐系統通常都存在互聯網接口,各接口都采用了一些安全防護措施,但這樣獨立設置安全防護系統存在投資大、漏洞多、安全策略不統一,安全建設投入和管理成本越來越高的問題。
3)終端安全帶來的安全隱患
支撐網中繁雜而瑣碎的安全問題,大都來自網絡內部,主要是補丁升級與病毒庫更新不及時、蠕蟲病毒利用漏洞傳播、移動電腦設備隨意接入等由終端帶來的安全隱患。。
4)遠程維護存在安全隱患
支撐網中存在大量的遠程維護需求,核心設備一般由運維人員遠端登錄維護,遇到出現問題的緊急情況會提供網絡通道由廠商技術人員遠程登錄解決。遠程維護的接入控制通常沒有進行統一,存在多個遠程維護的接口,維護的方式也多種多樣。一旦被惡意使用者通過弱口令、控制終端入侵等方式,遠程登錄到支撐網中,將給支撐網網絡造成不可估量的損失和極其嚴重的后果。
承載網面臨的主要威脅來自于大流量的沖擊,比如P2P應用消耗大量的骨干網帶寬。對于流量消耗型的業務,按時長計費是用戶愿意接受的方式;而長期在線型小流量的業務,按流量計費是用戶愿意接受的方式。運營商移動互聯網已經開始按時長計費的嘗試,對于大流量的沖擊應該研究防護的手段。#p#
四. 移動網絡安全建設思路探討
4.1 基于業務的安全評估
全面、系統地分析業務系統面臨的風險,能很好的為設計符合業務特點的安全方案打下良好基礎。調研是安全評估的基礎,那么如何基于業務需求來開展調研呢?
首先準確、全面的把握評估的目標業務是什么,這需要站在企業組織的業務使命、業務戰略的高度,了解業務,了解達成或實現業務戰略的一系列的業務流程,以及與業務流程正常實現、運作的相關IT系統,并了解組織的未來發展、規劃情況,以全面、有效地把握業務現狀、業務發展情況。
其次,從管理角度對企業組織結構、部門及崗位職責、人員配置情況進行了解,再根據部門職責,了解其管理制度、流程,并分析貫穿管理體系及具體管理流程的管控措施設計及落實情況,并與既定規范標準、規范相比較,分析存在的差距與不足。
再次,從技術角度充分、準確的把握IT系統對業務流程的支持、承載情況,了解系統承擔的業務使命和業務功能(和管理控制功能),了解系統結構、網絡結構、應用結構,明確人員及訪問方式,根據業務功能梳理和刻畫IT流程,了解、分析貫穿IT流程數據處理活動,并對數據處理活動進行分析歸納信息安全威脅、安全風險和安全需求,分析現有安全措施對安全需求匹配程度,評價保證等級和能力。
最后,對管理和IT系統調研結果進行匯總、分析,形成基于業務的安全評估報告,使整體安全建設能基于業務需求為出發點,為后續的安全建設提供指導依據。
4.2 業務系統安全承載
移動網絡的業務系統利用IP承載網進行承載,在IP承載網上為每個業務系統分配單獨的VPN通道,對各個業務系統進行了隔離承載,避免業務系統之間互相干擾。業務系統安全承載面臨的最大風險是大流量沖擊和大規模的DDoS攻擊。對于DDoS攻擊的防護可以通過在承載網部署流量分析系統和異常流量清洗系統對大規模攻擊行為進行監控。對于大流量沖擊可以利用深度包檢測系統對業務流進行識別和控制。
4.3 安全域劃分和邊界整合
業務網、核心網、互聯網、支撐系統、第三方接入系統等系統之間具有網絡互聯和數據交換,如何保障系統之間的安全隔離,降低安全風險影響的范圍,可以通過劃分安全域及邊界整合的方式進行控制。針對運營商網絡的特性可以將業務系統劃分以下為四類主要的安全域:核心數據域、內部互聯接口域、互聯網接口域和網絡交換域等。
核心數據域:本區域僅和該業務系統其它安全子域直接互聯,不與任何外部網絡直接互聯,該業務系統中資產價值最高的設備如數據庫及存儲位于本區域,外部不能通過互聯網直接訪問該區域內設備。
內部互聯接口域:本區域放置的設備和公司內部網絡互聯,如與支撐系統、其它業務系統或第三方互聯的設備。
互聯網接口域:本區域和互聯網直接連接,主要放置互聯網直接訪問的設備。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用。
網絡交換域:負責連接核心數據區、內部互聯接口區和外部互聯接口區等安全域。
安全域劃分完成以后,我們會發現業務系統有很多互聯接口,這通常是由于大多數業務系統都是分期單獨建設,為了達到業務系統之間的互聯互通而造成的。為了降低業務系統之間的邊界接口,增加接口的安全可控性,需要通過邊界整合將不同系統的相同類型安全域整合形成大的安全域,比如統一辦公系統的互聯網邊界、統一數據業務系統的互聯網邊界、統一計費系統與網管系統的邊界,以便于安全管理和維護。
4.4 網元自身的安全建設
通過安全域的劃分與邊界整合后,實現了不同類系統之間的隔離,控制了安全風險的影響范圍,下一步就是提高系統中的網元自身的安全。網元自身的安全主要包括兩個方面:
安全配置:通常是由于配置不當或人為的疏忽造成,主要包括了賬號、口令、授權、日志、IP通信等方面內容,反映了系統有關人引起的安全脆弱性。
安全漏洞:通常是屬于系統自身的問題引起的安全風險,一般包括了登錄漏洞、緩沖區溢出、信息泄漏、蠕蟲后門、意外情況處置錯誤等,反映了系統自身的安全脆弱性。
安全配置類威脅產生的主要原因在于移動網絡建設過程中缺乏一套完善的系統安全配置指導規范,各系統承建廠商按照各自標準和經驗進行建設,從而造成同樣的網絡設備、主機系統、數據庫等系統配置參差不齊,往往帶來許多安全隱患。為了解決這一問題,我們首先可以制訂標準化一系列的系統安全規范,包括網絡設備、主機系統、應用系統、數據庫系統等設備、系統的安全配置和漏洞修補規范。接著對業務網、承載網、支撐網依據安全規范進行安全整改,對于新建的系統在割接上線之前進行安全測試,如果不符合安全配置規范則進行相應的整改后方可上線運行。
4.5 安全技術防護手段
在安全評估的基礎上,基于安全域劃分和邊界整合后,體系化的進行安全技術體系的建設是提高整體安全性的必要手段。安全管理雖然強調“七分管理,三分技術”,但技術防護手段不可或缺。在多業務環境中,要統籌考慮不同系統的安全保護,需要獨立配置的就獨立配置,如防病毒 系統的客戶端、關鍵網段的入侵檢測;需要集中建設的要集中建設,如防火墻、IDS、防病毒的控制端以及賬號口令管理(AAAA)系統、域管理系統等,避免分系統進行安全建設帶來的投資浪費、管理困難、效益低下的問題。同時,在信息安全領域,目前的攻擊手法已經融合了多種技術,比如蠕蟲融合了緩沖區溢出、網絡掃描和病毒感染技術,如果依賴于安全產品的孤軍作戰,就無法有效地查殺病毒、無法阻止病毒的傳播。
安全技術控制措施多種多樣,并且在不斷的演化與發展,使得企業時常會感到困擾,很難清晰了解適合自身安全需求的模塊有哪些,其實只需將這些技術模塊進行合理的歸類,并與企業的不同保護階段的要求相對應,就能夠清晰了解并進行合理的規劃選擇。
 |
| 圖 安全技術及控制措施 |
在安全技術體系中,將多種安全技術相結合,首先從技術體系劃分上,各類安全技術控制模塊可以被分為7個大類:準備、預防、檢測、保護、響應、監控、評價等,在整個安全系統運轉中,各司其職。進而結合階段性維度,根據不同業務系統的特點,分解到“基本保護階段”、“中度保護階段”、“深度保護階段”,從而明確劃分了技術手段的同時,也針對不同建設的階段需求,提供有計劃的、持續深入的技術保護。
4.6 安全管理建設
安全管理建設包括組織、流程、制度等方面的內容,建立專職的安全隊伍,從事具體的安全工作,在集團層面設置安全主管機構,各省級公司設置專職的安全部門和安全專員員。結合電信運營商的運維體系,梳理安全工作流程,將安全工作體現在網絡與信息系統生命周期中的規劃、設計、開發等各個階段,保證安全工作的最終落地。
遵循和參考國際國內信息安全管理標準、國家法律法規和行業規范的基礎上,闡述安全管理體系建設的目的、適用范圍、安全定義、體系結構、安全原則、關鍵性成功因素和聲明等內容,在技術和管理各方面的安全工作具有通用指導性。完善安全管理制度,根據電信運營商的業務正常運行和發展需求,綜合各方面的有關要求,提出公司的信息安全策略、方針,對信息安全保障體系建設和完善提供指引。
五. 移動網絡安全建設實踐
目前運營商移動網絡的建設正如火如荼,市場營銷部門緊迫的希望將業務盡早推向市場,可是在業務和網絡建設過程中也不可忽視安全方面的建設,在系統規劃和建設階段同步考慮安全問題可以很大程度上降低系統上線后的整體安全風險和運維成本。
為了保障業務的平穩安全運營,電信運營商開展了大量的安全建設,下面我們介紹一下某運營商移動網絡建設的思路。該運營商在接收移動網絡以后展開了大量的業務系統的擴容建設工作,對業務系統的承載網絡實現了割接,利用單一IP承載網實現多個業務系統的承載,利用VPN隧道將多個業務系統進行隔離。安全建設工作與網絡和業務系統的建設同步開展,安全建設的首要工作是安全評估,通過評估了解網絡和業務系統的安全狀況,評估主要內容包括:識別關鍵業務、關鍵業務流程;通過技術手段、調研訪談等形式識別系統所存在的各種技術、管理以及架構上的脆弱性,從而識別可能被各種威脅源利用的弱點;在脆弱性識別和分析的基礎上,對可能面臨的威脅進行可能性分析;分析業務和信息資產遭到破壞后所造成的影響。在安全評估的基礎上,對業務網和支撐網進行安全域劃分和邊界整合,并且利用相應的安全技術防護手段進一步增強系統的安全性。
“專攻術業,成就所托”。綠盟科技一直以“巨人背后的專家”為己任,致力于網絡安全事業,經過幾年的快速發展,已成長為面向國際市場的網絡安全解決方案供應商。成立至今已先后發現Microsoft、Sun、Cisco 等廠商的系統漏洞達40余個,建立并維護著全球最大的中文漏洞庫(已經成為業界廣泛參考的標準)。專注于多個安全領域進行了深入的基礎性研究,并大量應用于安全產品的研發和安全服務的提供中,在多項權威機構測試和用戶評選中獲得高度評價和認同。我們相信,憑借長期的安全研究積累、對行業的深刻理解、成熟的安全產品、持續的安全服務經驗能夠為運營商的安全建設提供值得信賴的安全保障。同時,我們也希望能繼續保持與運營商在網絡安全方面的長期合作,共同為電信的網絡安全事業貢獻力量。
