李力卡，陳慶年

（1.中國電信股份有限公司廣東研究院 廣州 510630；2.中國電信股份有限公司廣東分公司 廣州 510081）

1 引言

隨著近幾年電信技術(shù)發(fā)展和網(wǎng)絡(luò)演進(jìn)，網(wǎng)絡(luò)的組織結(jié)構(gòu)發(fā)生了巨大變化，完成了IP化、扁平化。這使運(yùn)營商面臨新的網(wǎng)絡(luò)與信息安全的挑戰(zhàn)。如何分析評估目前的安全風(fēng)險(xiǎn)，抓住關(guān)鍵點(diǎn)并處理好網(wǎng)絡(luò)與信息安全的問題，使得安全機(jī)制螺旋上升而非持續(xù)惡化，是一個(gè)運(yùn)營商值得深入研究的重要課題。

2 網(wǎng)絡(luò)安全基礎(chǔ)模型

為了達(dá)到安全防范的目標(biāo)，需要建立合理的網(wǎng)絡(luò)安全模型描述以指導(dǎo)網(wǎng)絡(luò)安全工作的部署和管理。通過對安全基礎(chǔ)模型的研究，更好地了解安全動態(tài)過程的構(gòu)成因素，指導(dǎo)構(gòu)建合理而實(shí)用的安全策略體系。業(yè)界常用的網(wǎng)絡(luò)安全基礎(chǔ)模型有P2DR和APPDRR兩種。

2.1 P2DR模型

P2DR模型是最先發(fā)展起來的一個(gè)動態(tài)安全模型，根據(jù)P2DR模型,完整的網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括4個(gè)重要環(huán)節(jié)：安全策略（policy）、防護(hù)（protection）、檢測（detection）和響應(yīng)（response）。防護(hù)、檢測和響應(yīng)組成了一個(gè)完整的、動態(tài)的安全循環(huán)，在核心安全策略的指導(dǎo)下保證網(wǎng)絡(luò)系統(tǒng)的安全。

2.2 APPDRR模型

為了使DR模型能夠貼切地描述網(wǎng)絡(luò)安全的本質(zhì)規(guī)律，人們對DR模型進(jìn)行了修正和補(bǔ)充，在此基礎(chǔ)上提出了APPDRR模型如圖1所示。APPDRR模型認(rèn)為網(wǎng)絡(luò)安全體系由風(fēng)險(xiǎn)評估（assessment）、安全策略（policy）、防護(hù)（protection）、檢測 （detection）、響應(yīng) （reaction）和恢復(fù)（restoration）6部分構(gòu)成。首先通過風(fēng)險(xiǎn)評估，掌握網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)信息；其次網(wǎng)絡(luò)安全策略根據(jù)風(fēng)險(xiǎn)評估的結(jié)果和安全需求的變化而制定，具有原則性的指導(dǎo)地位，其后的檢測、響應(yīng)諸環(huán)節(jié)都應(yīng)在安全策略的基礎(chǔ)上展開；防護(hù)則體現(xiàn)了網(wǎng)絡(luò)靜態(tài)保護(hù)能力；檢測、響應(yīng)、恢復(fù)3環(huán)節(jié)，體現(xiàn)了從發(fā)現(xiàn)到恢復(fù)的動態(tài)過程。APPDRR模型表明了網(wǎng)絡(luò)安全的相對性和動態(tài)螺旋上升的過程，通過6環(huán)節(jié)的循環(huán)流動，網(wǎng)絡(luò)安全逐漸地得以完善和提高，從而實(shí)現(xiàn)了最終安全目標(biāo)。

圖1 APPDRR安全模型

3 關(guān)鍵風(fēng)險(xiǎn)評估

3.1 安全風(fēng)險(xiǎn)評估方法探討

核心網(wǎng)與信息安全風(fēng)險(xiǎn)評估可從網(wǎng)絡(luò)架構(gòu)視角分為業(yè)務(wù)層面安全、網(wǎng)絡(luò)層面安全以及信息層面安全。目前業(yè)界運(yùn)營商的核心網(wǎng)安全評估方式是以網(wǎng)絡(luò)例行巡檢、告警統(tǒng)計(jì)分析為主，加以定期的IT、IP設(shè)備安全漏洞掃描，采用傳統(tǒng)的運(yùn)營分析手段、例行巡檢、故障分析等人工方法。

由于IP、IT設(shè)備的標(biāo)準(zhǔn)化安全防護(hù)測評方法、工具的專用性無法滿足核心網(wǎng)話音業(yè)務(wù)體系的安全風(fēng)險(xiǎn)評估需要，目前核心網(wǎng)及業(yè)務(wù)、信息安全尚缺乏體系化、標(biāo)準(zhǔn)化的測評體系與手段。

為提高中國電信風(fēng)險(xiǎn)評估的水平，建議中國電信研究建立核心、業(yè)務(wù)網(wǎng)絡(luò)與信息安全的相關(guān)KPI指標(biāo)體系與評估方法，通過自動化綜合測評的手段，實(shí)現(xiàn)對現(xiàn)網(wǎng)及即將上線產(chǎn)品開展定期自動測評，以及時(shí)發(fā)現(xiàn)、有效控制各環(huán)節(jié)存在的安全風(fēng)險(xiǎn)?？梢砸揽吭O(shè)備本身的狀態(tài)、統(tǒng)計(jì)數(shù)據(jù)和告警，進(jìn)一步利用信令監(jiān)測系統(tǒng)、資源系統(tǒng)數(shù)據(jù)做更全面的自動運(yùn)行質(zhì)量綜合測評。

3.2 業(yè)務(wù)層關(guān)鍵安全風(fēng)險(xiǎn)

目前與中國電信話音業(yè)務(wù)緊密相關(guān)的業(yè)務(wù)平臺主要有SCP和AS兩種，采用INAP、WIN、NGN-SIP、IMS-SIP等協(xié)議觸發(fā)。業(yè)務(wù)層關(guān)鍵安全風(fēng)險(xiǎn)主要如下。

·平臺故障、承載網(wǎng)中斷退服等安全問題：系統(tǒng)保護(hù)、災(zāi)難恢復(fù)需要加強(qiáng)。例如：移動網(wǎng)IVPN平臺中斷，IVPN用戶業(yè)務(wù)全阻，影響大，而隨著IVPN業(yè)務(wù)量發(fā)展迅速，平臺負(fù)荷過高風(fēng)險(xiǎn)更大。

·呼叫中心單點(diǎn)組網(wǎng)：呼叫中心話務(wù)量較大，一旦接入點(diǎn)不穩(wěn)定或故障即全阻，需做好系統(tǒng)保護(hù)和自動檢測。

·短信業(yè)務(wù)安全：由于無線側(cè)尋呼信道承載有限，當(dāng)大規(guī)模短信群發(fā)時(shí)，存在業(yè)務(wù)網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的阻塞風(fēng)險(xiǎn)，需做好系統(tǒng)保護(hù)和自動檢測、響應(yīng)控制。

3.3 網(wǎng)絡(luò)層關(guān)鍵安全風(fēng)險(xiǎn)

核心網(wǎng)的關(guān)鍵安全風(fēng)險(xiǎn)主要如下。

·設(shè)備容災(zāi)組網(wǎng)風(fēng)險(xiǎn)：異地容災(zāi)方案缺位、容災(zāi)技術(shù)能力不足或配置策略不合理等風(fēng)險(xiǎn)，需要建立安全策略、啟動系統(tǒng)保護(hù)、快速檢測和災(zāi)難恢復(fù)。

·接入安全風(fēng)險(xiǎn)：沒有在邊緣接入網(wǎng)絡(luò)配備必要的BAC、防火墻，需做好安全策略、系統(tǒng)防護(hù)、自動檢測和響應(yīng)以及災(zāi)難恢復(fù)。

·設(shè)備應(yīng)急恢復(fù)能力不足：網(wǎng)元緊急中斷時(shí)不能通過其他保護(hù)設(shè)備應(yīng)急恢復(fù)或Bypass放直，話務(wù)過載控制策略不生效，需做好災(zāi)難恢復(fù)等。

·信令網(wǎng)異常：鏈路倒換失效，難以做到檢測、響應(yīng)和恢復(fù)，情況包括過載、吊死、閃斷，影響面大，設(shè)備難以預(yù)警或及時(shí)告警，無理想應(yīng)急手段。

3.4 信息層面關(guān)鍵安全風(fēng)險(xiǎn)

信息層面關(guān)鍵安全風(fēng)險(xiǎn)主要如下。

·碼號信息安全：迫切需要研究解決號碼信息安全危害問題，一是利用虛假號碼欺詐行為；二是移動用戶AKEY等五碼遭泄露，沒有全流程加密，可導(dǎo)致孖機(jī)；三是IMS賬號密碼明文管理易被盜，需做好安全策略、自動檢測與快速響應(yīng)。

·非法套費(fèi)安全風(fēng)險(xiǎn)：利用網(wǎng)絡(luò)漏洞、采用業(yè)務(wù)碼或國內(nèi)區(qū)號套撥國際號碼的方式騙取費(fèi)用，損害運(yùn)營商利益，設(shè)備缺乏有效檢測和響應(yīng)手段,需做好安全策略、自動檢測與快速響應(yīng)。

·短信安全：缺乏統(tǒng)一的業(yè)務(wù)監(jiān)控規(guī)范和完善的監(jiān)控體系，特別對于省間的消息監(jiān)控缺乏統(tǒng)一的協(xié)調(diào)處理，影響短信傳送，需要對安全策略、檢測方式方法進(jìn)行優(yōu)化。

4 網(wǎng)絡(luò)與信息安全總體對策

根據(jù)網(wǎng)絡(luò)安全模型APPDRR，結(jié)合以上風(fēng)險(xiǎn)評估情況，建議按以下方法、指導(dǎo)原則形成總體的安全對策及解決方案。

·安全策略：建立相應(yīng)完善的安全策略，區(qū)分風(fēng)險(xiǎn)，根據(jù)6步循環(huán)，科學(xué)合理地為風(fēng)險(xiǎn)評估方法、保護(hù)、檢測、響應(yīng)、恢復(fù)設(shè)計(jì)工作策略、條件，并能根據(jù)效果不斷調(diào)整優(yōu)化策略。

·可靠保護(hù)：對系統(tǒng)保護(hù)缺失的設(shè)備應(yīng)研究建立容災(zāi)能力，如1+1、N+1、pool容災(zāi)；解決路由迂回、單點(diǎn)故障的保護(hù)問題，確保有效運(yùn)作。

·自動檢測：系統(tǒng)應(yīng)支持快速的自動檢測機(jī)制，若對于系統(tǒng)難以檢測的風(fēng)險(xiǎn)或問題（如吊死、虛假號碼、套費(fèi)），可完善其他輔助檢測手段或自動化工具，以在盡可能短時(shí)間發(fā)現(xiàn)問題。

·快速響應(yīng)：為快速響應(yīng)提供足夠資源和準(zhǔn)確的信息，以建立便捷的響應(yīng)操作方案。

·災(zāi)難恢復(fù)：盡快應(yīng)急疏通恢復(fù)業(yè)務(wù)，然后恢復(fù)系統(tǒng)。一是應(yīng)建立完備的災(zāi)難應(yīng)急預(yù)案，二是面向大的業(yè)務(wù)風(fēng)險(xiǎn)，應(yīng)重點(diǎn)建立災(zāi)難恢復(fù)機(jī)制，如業(yè)務(wù)或網(wǎng)元的BYPASS、后備系統(tǒng)的最大限度接管。

此外，應(yīng)注意根據(jù)不同層面網(wǎng)絡(luò)與設(shè)備技術(shù)特點(diǎn)、安全風(fēng)險(xiǎn)，制定適合其注重點(diǎn)的安全對策與動態(tài)安全行為。

·業(yè)務(wù)層面主要以IT設(shè)備為主IP設(shè)備為輔，主要注重IT設(shè)備、業(yè)務(wù)軟件與數(shù)據(jù)的保護(hù)、檢測、災(zāi)難恢復(fù)。

·網(wǎng)絡(luò)層則主要以交換為主IP/IT設(shè)備為輔，關(guān)注交換設(shè)備、信令網(wǎng)絡(luò)的全網(wǎng)通達(dá)可靠性、實(shí)時(shí)性，側(cè)重安全策略、保護(hù)、檢測、響應(yīng)和災(zāi)難恢復(fù)全部環(huán)節(jié)。

·信息安全主要是確保用戶身份，傳遞信息內(nèi)容的準(zhǔn)確、合法、唯一性，注重信息保護(hù)、檢測與響應(yīng)。

5 電信核心網(wǎng)絡(luò)與信息安全能力提升綜合解決方案及建議

根據(jù)以上對核心網(wǎng)的安全風(fēng)險(xiǎn)評估和總體安全對策，可以依據(jù)APPDRR網(wǎng)絡(luò)安全模型的保護(hù)、檢測、響應(yīng)和恢復(fù)4個(gè)要素，研究提出核心網(wǎng)與信息安全的解決思路或方案，以達(dá)到提升核心網(wǎng)網(wǎng)絡(luò)與信息安全能力的目的。

5.1 業(yè)務(wù)層安全能力提升解決方案

業(yè)務(wù)層安全能力提升解決方案簡單介紹如下。

（1）優(yōu)化改進(jìn)系統(tǒng)容災(zāi)機(jī)制

通過優(yōu)化改進(jìn)系統(tǒng)容災(zāi)機(jī)制，增強(qiáng)智能業(yè)務(wù)觸發(fā)的旁路能力，業(yè)務(wù)在核心網(wǎng)可應(yīng)急旁路疏通。

（2）呼叫中心方案基于云和IMS網(wǎng)絡(luò)優(yōu)化

·方案一：PRA接入NGN疏通方案，發(fā)展擴(kuò)容能力弱，受PRA接入端口、匯接局SS、DC1 SS資源限制，難以保證容災(zāi)保護(hù)、應(yīng)急恢復(fù)需要。

·方案二：采用面向IMS的云架構(gòu)的呼叫中心，云具有很好擴(kuò)展性和保護(hù)能力，同時(shí)徹底扁平化端到端直達(dá)，不受骨干SS資源影響，投資成本低。

（3）短信業(yè)務(wù)安全方案

通過信令監(jiān)測系統(tǒng)實(shí)時(shí)提取用戶的位置信息（所處的LAC、BSC等信息），實(shí)現(xiàn)對短信下發(fā)的精確流控以及在短信中心上對MSC的流控，消除群發(fā)使無線網(wǎng)絡(luò)癱瘓的風(fēng)險(xiǎn)，提高無線網(wǎng)絡(luò)利用率。

5.2 網(wǎng)絡(luò)層安全能力提升解決方案

網(wǎng)絡(luò)層安全能力提升解決方案簡單介紹如下。

（1）保護(hù)方案

建立完善的系統(tǒng)保護(hù)體系，包括過載控制、話務(wù)控制、容災(zāi)組網(wǎng)、容災(zāi)技術(shù)、容災(zāi)策略等。其中，異地容災(zāi)組網(wǎng)與容災(zāi)技術(shù)介紹如下：

·異地容災(zāi)組網(wǎng)：采用雙歸屬、1+1/N+1等異地容災(zāi)組網(wǎng)，對于IMS則推進(jìn)pool組網(wǎng)。

·容災(zāi)技術(shù)：制定與不斷完善N+1、pool等容災(zāi)技術(shù)規(guī)范，應(yīng)用相關(guān)技術(shù)，發(fā)現(xiàn)修補(bǔ)安全倒換業(yè)務(wù)中斷的漏洞，盡量做到零時(shí)無損接管。

（2）信令檢測能力提升方案

打造基于信令監(jiān)測的預(yù)警系統(tǒng)，提升檢測與響應(yīng)能力，建議研究建立基于SIP、WIN、INAP信令監(jiān)測的網(wǎng)絡(luò)安全指標(biāo)體系與預(yù)警系統(tǒng)，發(fā)現(xiàn)異常問題通過短信及時(shí)預(yù)警觸發(fā)業(yè)務(wù)安全預(yù)警短信，為加快響應(yīng)能力可觸發(fā)關(guān)聯(lián)支撐系統(tǒng)自動啟動應(yīng)急方案。主要解決以下問題。

·協(xié)議異常分析：可能包括SIP/WIN/INAP/MAP等協(xié)議，可檢測失敗碼分布異常、信令重傳、閃斷、響應(yīng)延遲（吊死）、信令互通不規(guī)范、突發(fā)高峰或協(xié)議分組異常等情況。

·業(yè)務(wù)質(zhì)量異常監(jiān)測：業(yè)務(wù)KPI分析、系統(tǒng)吊死的超時(shí)響應(yīng)。

·邊緣接入風(fēng)險(xiǎn)：DDoS攻擊告警。

·話務(wù)安全分析：與常規(guī)模型比對，過量預(yù)警。

（3）災(zāi)難恢復(fù)

在災(zāi)難發(fā)生后，盡快應(yīng)急疏通恢復(fù)業(yè)務(wù)，然后恢復(fù)系統(tǒng)。

·業(yè)務(wù)應(yīng)急疏通：啟用BYPASS技術(shù)快速放直業(yè)務(wù)，適用于單業(yè)務(wù)或單網(wǎng)元全阻，建議對業(yè)務(wù)網(wǎng)元SCP或AS、核心網(wǎng)關(guān)鍵網(wǎng)元如HLR、S-CSCF支持自動或手動BYPASS。

·話務(wù)應(yīng)急疏通包括長途應(yīng)急疏通和本地話務(wù)應(yīng)急疏通。長途應(yīng)急疏通：TDM長途中斷選擇NGN疏通，過網(wǎng)業(yè)務(wù)改就近過網(wǎng)策略，進(jìn)一步研究IMS非本域長途話務(wù)應(yīng)急解決方案。本地話務(wù)應(yīng)急疏通：匯接層中斷時(shí)局內(nèi)呼叫不出局或走備用匯接局。

·系統(tǒng)恢復(fù)：系統(tǒng)采用硬件冗余備份技術(shù)、數(shù)據(jù)異地冗余備份技術(shù)，利于系統(tǒng)快速恢復(fù)。

5.3 信息層面安全能力提升解決方案

信息安全主要是保證用戶身份、傳遞信息內(nèi)容的準(zhǔn)確、合法、唯一性，注重信息保護(hù)、檢測與響應(yīng)。

（1）虛假主叫欺詐或?qū)I機(jī)解決方案

·端局/專匯局側(cè)控制方案：端局支持主叫鑒權(quán)功能予以規(guī)范或攔截非法主叫、面向小交機(jī)部署信令監(jiān)測系統(tǒng)，但方案實(shí)現(xiàn)難，代價(jià)高，目前老端局無法支持主叫鑒權(quán)功能，且存在平臺信令監(jiān)測系統(tǒng)成本高的問題。

·基于核心層信令檢測系統(tǒng)的假主叫甄別方案：僅部署匯接層信令系統(tǒng)，根據(jù)話務(wù)路由與號碼模型、位置移動規(guī)則等，檢測虛假主叫甄別、孖機(jī)事件，進(jìn)一步實(shí)現(xiàn)自動響應(yīng)，包括對呼叫源回溯追蹤、向用戶發(fā)短信或呼叫告警。

（2）用戶賬號安全解決方案

采用用戶信息賬號加密保護(hù)機(jī)制，即統(tǒng)一規(guī)范加密存儲和加密傳送的手段與管控制度，嚴(yán)防泄露。主要包括：后臺到核心網(wǎng)元及終端系統(tǒng)，中間環(huán)節(jié)原則上不保存；嚴(yán)格管理用戶數(shù)據(jù)庫管理員賬號密碼，敏感信息修改查看權(quán)限專人管控；通過加強(qiáng)后臺管理，令泄漏的用戶信息被重用。

（3）非法套撥國際號碼騙費(fèi)解決方案

·方案一：檢查核心網(wǎng)號碼轉(zhuǎn)接、業(yè)務(wù)平臺轉(zhuǎn)接的數(shù)據(jù)配置或軟件漏洞，防止高結(jié)算國際號碼的呼叫，但方案難度大，發(fā)現(xiàn)和響應(yīng)周期長且成功率低。

·方案二：信令清洗方案，基于信令系統(tǒng)和后臺清洗平臺，根據(jù)被叫位長異常的號碼結(jié)構(gòu)（包含國內(nèi)區(qū)號、業(yè)務(wù)接入碼、國際區(qū)號的被叫），進(jìn)行特征檢測和統(tǒng)計(jì)，主動給出告警，建議優(yōu)選此方案。

（4）短信信息安全解決方案

·建議集團(tuán)集中建立短消息監(jiān)控配置管理系統(tǒng)、各省公司消息監(jiān)控平臺上報(bào)系統(tǒng)的兩級體系，制定集團(tuán)消息監(jiān)控管理平臺和各省公司監(jiān)控平臺的接口規(guī)范，以實(shí)現(xiàn)有效檢測。

·對非法內(nèi)容進(jìn)行攔截，同時(shí)可以通過標(biāo)簽溯源短消息監(jiān)控的平臺，便于監(jiān)控的統(tǒng)一管理和維護(hù)。

6 結(jié)束語

核心業(yè)務(wù)網(wǎng)絡(luò)與信息安全是運(yùn)營商必須正視并深入研究的課題。隨著網(wǎng)絡(luò)的演進(jìn)和變化，安全風(fēng)險(xiǎn)越來越多，因此有必要重新審視核心業(yè)務(wù)網(wǎng)絡(luò)與信息安全面臨的新問題、新挑戰(zhàn)。本文結(jié)合國際通用的網(wǎng)絡(luò)安全基礎(chǔ)模型，從業(yè)務(wù)層面、網(wǎng)絡(luò)層面、信息等層面出發(fā)，提出了研究建立安全相關(guān)KPI指標(biāo)體系與評估方法、自動化綜合測評的手段，開展針對性的安全機(jī)制優(yōu)化方案，只要持續(xù)進(jìn)行結(jié)構(gòu)性優(yōu)化改進(jìn)，必能實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全能力的不斷螺旋式上升，打造中國電信國際一流的安全核心網(wǎng)及安全運(yùn)營能力。

1 潘潔,劉愛潔.基于APPDRR模型的網(wǎng)絡(luò)安全系統(tǒng)研究.電信工程技術(shù)與標(biāo)準(zhǔn)化,2009(7)

2 林柄梅,張建東,胡睿智.PDRR網(wǎng)絡(luò)安全模型.計(jì)算機(jī)光盤軟件與應(yīng)用,2010(11)