GSM交換網(wǎng)元安全接入平臺(tái)設(shè)計(jì)初探

韓秀華

（中國聯(lián)合網(wǎng)絡(luò)通信有限公司大慶市分公司，黑龍江 大慶 163000）

1 引言

基于TCP/IP協(xié)議交換設(shè)備的出現(xiàn)，導(dǎo)致了現(xiàn)有GSM移動(dòng)通信網(wǎng)的安全問題日益突出。為了滿足不斷變化和發(fā)展的GSM移動(dòng)通信網(wǎng)安全管理需求，提高的服務(wù)水平和服務(wù)質(zhì)量，××公司決定進(jìn)行交換網(wǎng)元安全接入平臺(tái)的建設(shè)。

2 設(shè)計(jì)遵循的安全標(biāo)準(zhǔn)

2.1 ISO標(biāo)準(zhǔn)：

設(shè)計(jì)標(biāo)準(zhǔn)（ISO15408、ISO17799、ISO7498-2）

實(shí)施標(biāo)準(zhǔn)（SSE-CMM、ISO9001）

2.2 GB 標(biāo)準(zhǔn)：

《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

《開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)》

《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》

《商用密碼管理?xiàng)l例》

《計(jì)算機(jī)病毒防治管理辦法》

《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》

《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》

《中華人民共和國計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)條例》

《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》

《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》

《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》

2.3 安全定律

安全是動(dòng)態(tài)的；

安全＝產(chǎn)品＋服務(wù)；

安全管理保障安全產(chǎn)品和安全服務(wù)效率的最大發(fā)揮；

安全的非絕對(duì)性決定了安全建設(shè)的長期性；

基于統(tǒng)一安全策略的可持續(xù)改進(jìn)的整體安全防御體系保障安全。

3 設(shè)計(jì)原則

在本設(shè)計(jì)中遵循以下幾個(gè)原則：

①先進(jìn)性原則。在本設(shè)計(jì)中推薦的安全產(chǎn)品均采用先進(jìn)的、開放的系統(tǒng)結(jié)構(gòu)；采用先進(jìn)的計(jì)算機(jī)技術(shù)；采用先進(jìn)的現(xiàn)代管理技術(shù)，以保證系統(tǒng)的科學(xué)性。

②高可靠性原則。在本設(shè)計(jì)中推薦的安全產(chǎn)品的不間斷運(yùn)行與服務(wù)均達(dá)到電信級(jí)的要求，具有極高的可靠性，采用的容錯(cuò)設(shè)計(jì)可以確保系統(tǒng)的可靠性和穩(wěn)定性。

③開放性原則。在本設(shè)計(jì)中推薦的安全產(chǎn)品是構(gòu)建在完善的系統(tǒng)平臺(tái)基礎(chǔ)上的，考慮了升級(jí)和個(gè)性化服務(wù)。遵循開放性和標(biāo)準(zhǔn)化基本原則，所選用的硬件設(shè)備、軟件等都遵循了相應(yīng)的國際標(biāo)準(zhǔn)，從而保證了系統(tǒng)具有互操作性和開放性。各系統(tǒng)之間采用優(yōu)化的原則，使各系統(tǒng)之間更好地配合，達(dá)到最佳的應(yīng)用效果。

④安全性原則。在系統(tǒng)建設(shè)時(shí)通過安全技術(shù)保證網(wǎng)絡(luò)的安全性、數(shù)據(jù)的安全性、用戶訪問的安全性，在技術(shù)保障的同時(shí)，從管理層面加強(qiáng)安全性管理。

⑤可管理性原則。采用集中式的管理可以節(jié)約資金、人力的投入，為用戶提供更大的自由發(fā)揮的空間，同時(shí)也使管理變得簡單，有利于在出現(xiàn)問題時(shí)，能夠用最短的時(shí)間檢查出問題并及時(shí)解決。

⑥可擴(kuò)展性原則。在本設(shè)計(jì)中推薦的安全產(chǎn)品具有很好的升級(jí)能力，適應(yīng)科學(xué)技術(shù)高速發(fā)展的需要。在必要時(shí)可以采用新的技術(shù)和設(shè)備對(duì)整個(gè)系統(tǒng)進(jìn)行升級(jí)，滿足應(yīng)用系統(tǒng)不斷增長的需要。

⑦經(jīng)濟(jì)性原則。在本設(shè)計(jì)中針對(duì)××公司網(wǎng)絡(luò)的現(xiàn)狀和業(yè)務(wù)特點(diǎn)采取有效的措施和實(shí)施方案以合理的利用投資、規(guī)避投資風(fēng)險(xiǎn)。

4 ××公司GSM移動(dòng)通信網(wǎng)絡(luò)建設(shè)

4.1 ××公司GSM移動(dòng)通信網(wǎng)絡(luò)現(xiàn)狀

××公司網(wǎng)管系統(tǒng)交換網(wǎng)是建立在DCN基礎(chǔ)上的，每個(gè)交換局網(wǎng)元接入點(diǎn)由1臺(tái)Cisco 3640路由器和1臺(tái)Cisco 2950交換機(jī)組成，為本地交換局網(wǎng)元接入GSM移動(dòng)通信網(wǎng)的網(wǎng)管系統(tǒng)提供路由和鏈路。具體網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

4.2 本期安全建設(shè)目標(biāo)

①實(shí)現(xiàn)終端安全接入策略：a.對(duì)GSM移動(dòng)通信網(wǎng)互聯(lián)接口的風(fēng)險(xiǎn)進(jìn)行整合，在邊緣接入?yún)^(qū)采取訪問控制策略，防止非法用戶終端接入到網(wǎng)管系統(tǒng)和GSM網(wǎng)元中。在GSM移動(dòng)通信網(wǎng)網(wǎng)管系統(tǒng)服務(wù)器區(qū)安裝入侵監(jiān)測系統(tǒng)（IDS），根據(jù)IDS提供的日志信息及時(shí)發(fā)現(xiàn)可能的入侵威脅。b.防止廠家維護(hù)人員私自把便攜機(jī)接入到GSM移動(dòng)通信網(wǎng)和網(wǎng)管系統(tǒng)中。制定相應(yīng)的網(wǎng)絡(luò)信息安全方針、標(biāo)準(zhǔn)、制度、規(guī)范和指南。c.對(duì)終端的安全狀況進(jìn)行檢測，并實(shí)時(shí)監(jiān)控和采集用戶涉及主機(jī)安全的行為記錄。同時(shí)通過與接入設(shè)備的聯(lián)動(dòng)，限制不符合安全要求的終端的訪問網(wǎng)絡(luò)。d.對(duì)本地直連終端進(jìn)行安全加固：對(duì)本地網(wǎng)管系統(tǒng)或操作交換網(wǎng)元的直連終端要部署網(wǎng)絡(luò)防病毒系統(tǒng)和訪問控制策略。對(duì)于控制系統(tǒng)生產(chǎn)應(yīng)用的終端實(shí)施安全加固策略。e.通過禁用數(shù)據(jù)接入交換機(jī)端口禁止非授權(quán)終端接入，防止廠家直接用便攜機(jī)接入交換網(wǎng)元維護(hù)。f.對(duì)接入GSM移動(dòng)通信網(wǎng)和網(wǎng)管系統(tǒng)中的終端，能夠根據(jù)其IP地址等信息限定其訪問范圍。g.對(duì)遠(yuǎn)程撥號(hào)接入終端進(jìn)行訪問控制：遠(yuǎn)程撥號(hào)接入終端接入網(wǎng)管系統(tǒng)和GSM網(wǎng)元之前，必須經(jīng)過中心網(wǎng)管系統(tǒng)接入認(rèn)證服務(wù)器認(rèn)證之后，才能訪問經(jīng)授權(quán)的特定的本地交換網(wǎng)元和網(wǎng)管系統(tǒng)。撥號(hào)設(shè)備能實(shí)現(xiàn)基于SMS短信等方式的二次口令登陸認(rèn)證。

②實(shí)施終端自身管理：a.實(shí)現(xiàn)windows主機(jī)的安全特性加固，提高主機(jī)安全性。主要從系統(tǒng)補(bǔ)丁、系統(tǒng)服務(wù)定制、系統(tǒng)端口過濾、訪問控制規(guī)劃、注冊(cè)表安全、安全校驗(yàn)和審核幾部分實(shí)現(xiàn)安全控制。b.對(duì)接入GSM移動(dòng)通信網(wǎng)和網(wǎng)管系統(tǒng)中的終端進(jìn)行安全防護(hù)，對(duì)未通過身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，避免不安全用戶終端給GSM移動(dòng)通信網(wǎng)和網(wǎng)管系統(tǒng)帶來安全威脅。

③實(shí)現(xiàn)網(wǎng)管系統(tǒng)集中互聯(lián)網(wǎng)管理：a.各市縣的網(wǎng)管VPN終端只能通過網(wǎng)管中心的互聯(lián)網(wǎng)接口（建議為代理方式）實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)的訪問，并禁止各縣分公司網(wǎng)管終端直接對(duì)互聯(lián)網(wǎng)的接入。b.代理方式可以滿足各市縣網(wǎng)管終端對(duì)于互聯(lián)網(wǎng)訪問的需求，如登陸EOMS系統(tǒng)處理業(yè)務(wù)工單、升級(jí)操作系統(tǒng)補(bǔ)丁和防病毒軟件等。c.部署互聯(lián)網(wǎng)訪問控制策略。防止通過網(wǎng)管終端處理與工作無關(guān)的業(yè)務(wù)。

5 結(jié)束語

隨著移動(dòng)通信技術(shù)的不斷發(fā)展，新的技術(shù)、新的設(shè)備、新的業(yè)務(wù)不斷出現(xiàn)，使得GSM移動(dòng)通信網(wǎng)的維護(hù)和管理變得日趨復(fù)雜。同時(shí)隨著GSM移動(dòng)通信網(wǎng)體系架構(gòu)的演變，核心網(wǎng)絡(luò)設(shè)備逐漸由電路交換向IP交換演進(jìn)。大量基于TCP/IP協(xié)議的交換設(shè)備底層操作系統(tǒng)采用Windows NT，網(wǎng)絡(luò)傳輸協(xié)議采用TCP/IP協(xié)議。由于Windows NT平臺(tái)的自身缺陷以及TCP/IP協(xié)議本身的脆弱性，很容易導(dǎo)致GSM移動(dòng)通信網(wǎng)網(wǎng)元設(shè)備受到病毒的攻擊感染，造成系統(tǒng)宕機(jī)。通信是國民經(jīng)濟(jì)的基礎(chǔ)設(shè)施，是為社會(huì)和人民生活服務(wù)的公用事業(yè)。通過GSM交換網(wǎng)元安全接入平臺(tái)的建立，將對(duì)移動(dòng)運(yùn)營企業(yè)工作效率的提高、業(yè)務(wù)流程的優(yōu)化和規(guī)范以及網(wǎng)絡(luò)維護(hù)管理水平的全面提升做出重要的貢獻(xiàn)。

[1]MechaelPalmer,RobertBruceSinclair.局域網(wǎng)與廣域網(wǎng)設(shè)計(jì)與實(shí)現(xiàn).清華大學(xué)出版社，2000年

[2]ManiSubramanian.網(wǎng)絡(luò)管理.清華大學(xué)出版社，2000年