電信核心網絡與信息安全模型及安全提升方案研究

李力卡，陳慶年

（1.中國電信股份有限公司廣東研究院 廣州 510630；2.中國電信股份有限公司廣東分公司 廣州 510081）

1 引言

隨著近幾年電信技術發展和網絡演進，網絡的組織結構發生了巨大變化，完成了IP化、扁平化。這使運營商面臨新的網絡與信息安全的挑戰。如何分析評估目前的安全風險，抓住關鍵點并處理好網絡與信息安全的問題，使得安全機制螺旋上升而非持續惡化，是一個運營商值得深入研究的重要課題。

2 網絡安全基礎模型

為了達到安全防范的目標，需要建立合理的網絡安全模型描述以指導網絡安全工作的部署和管理。通過對安全基礎模型的研究，更好地了解安全動態過程的構成因素，指導構建合理而實用的安全策略體系。業界常用的網絡安全基礎模型有P2DR和APPDRR兩種。

2.1 P2DR模型

P2DR模型是最先發展起來的一個動態安全模型，根據P2DR模型,完整的網絡安全體系應當包括4個重要環節：安全策略（policy）、防護（protection）、檢測（detection）和響應（response）。防護、檢測和響應組成了一個完整的、動態的安全循環，在核心安全策略的指導下保證網絡系統的安全。

2.2 APPDRR模型

為了使DR模型能夠貼切地描述網絡安全的本質規律，人們對DR模型進行了修正和補充，在此基礎上提出了APPDRR模型如圖1所示。APPDRR模型認為網絡安全體系由風險評估（assessment）、安全策略（policy）、防護（protection）、檢測 （detection）、響應 （reaction）和恢復（restoration）6部分構成。首先通過風險評估，掌握網絡安全面臨的風險信息；其次網絡安全策略根據風險評估的結果和安全需求的變化而制定，具有原則性的指導地位，其后的檢測、響應諸環節都應在安全策略的基礎上展開；防護則體現了網絡靜態保護能力；檢測、響應、恢復3環節，體現了從發現到恢復的動態過程。APPDRR模型表明了網絡安全的相對性和動態螺旋上升的過程，通過6環節的循環流動，網絡安全逐漸地得以完善和提高，從而實現了最終安全目標。

圖1 APPDRR安全模型

3 關鍵風險評估

3.1 安全風險評估方法探討

核心網與信息安全風險評估可從網絡架構視角分為業務層面安全、網絡層面安全以及信息層面安全。目前業界運營商的核心網安全評估方式是以網絡例行巡檢、告警統計分析為主，加以定期的IT、IP設備安全漏洞掃描，采用傳統的運營分析手段、例行巡檢、故障分析等人工方法。

由于IP、IT設備的標準化安全防護測評方法、工具的專用性無法滿足核心網話音業務體系的安全風險評估需要，目前核心網及業務、信息安全尚缺乏體系化、標準化的測評體系與手段。

為提高中國電信風險評估的水平，建議中國電信研究建立核心、業務網絡與信息安全的相關KPI指標體系與評估方法，通過自動化綜合測評的手段，實現對現網及即將上線產品開展定期自動測評，以及時發現、有效控制各環節存在的安全風險。可以依靠設備本身的狀態、統計數據和告警，進一步利用信令監測系統、資源系統數據做更全面的自動運行質量綜合測評。

3.2 業務層關鍵安全風險

目前與中國電信話音業務緊密相關的業務平臺主要有SCP和AS兩種，采用INAP、WIN、NGN-SIP、IMS-SIP等協議觸發。業務層關鍵安全風險主要如下。

·平臺故障、承載網中斷退服等安全問題：系統保護、災難恢復需要加強。例如：移動網IVPN平臺中斷，IVPN用戶業務全阻，影響大，而隨著IVPN業務量發展迅速，平臺負荷過高風險更大。

·呼叫中心單點組網：呼叫中心話務量較大，一旦接入點不穩定或故障即全阻，需做好系統保護和自動檢測。

·短信業務安全：由于無線側尋呼信道承載有限，當大規模短信群發時，存在業務網絡與無線網絡的阻塞風險，需做好系統保護和自動檢測、響應控制。

3.3 網絡層關鍵安全風險

核心網的關鍵安全風險主要如下。

·設備容災組網風險：異地容災方案缺位、容災技術能力不足或配置策略不合理等風險，需要建立安全策略、啟動系統保護、快速檢測和災難恢復。

·接入安全風險：沒有在邊緣接入網絡配備必要的BAC、防火墻，需做好安全策略、系統防護、自動檢測和響應以及災難恢復。

·設備應急恢復能力不足：網元緊急中斷時不能通過其他保護設備應急恢復或Bypass放直，話務過載控制策略不生效，需做好災難恢復等。

·信令網異常：鏈路倒換失效，難以做到檢測、響應和恢復，情況包括過載、吊死、閃斷，影響面大，設備難以預警或及時告警，無理想應急手段。

3.4 信息層面關鍵安全風險

信息層面關鍵安全風險主要如下。

·碼號信息安全：迫切需要研究解決號碼信息安全危害問題，一是利用虛假號碼欺詐行為；二是移動用戶AKEY等五碼遭泄露，沒有全流程加密，可導致孖機；三是IMS賬號密碼明文管理易被盜，需做好安全策略、自動檢測與快速響應。

·非法套費安全風險：利用網絡漏洞、采用業務碼或國內區號套撥國際號碼的方式騙取費用，損害運營商利益，設備缺乏有效檢測和響應手段,需做好安全策略、自動檢測與快速響應。

·短信安全：缺乏統一的業務監控規范和完善的監控體系，特別對于省間的消息監控缺乏統一的協調處理，影響短信傳送，需要對安全策略、檢測方式方法進行優化。

4 網絡與信息安全總體對策

根據網絡安全模型APPDRR，結合以上風險評估情況，建議按以下方法、指導原則形成總體的安全對策及解決方案。

·安全策略：建立相應完善的安全策略，區分風險，根據6步循環，科學合理地為風險評估方法、保護、檢測、響應、恢復設計工作策略、條件，并能根據效果不斷調整優化策略。

·可靠保護：對系統保護缺失的設備應研究建立容災能力，如1+1、N+1、pool容災；解決路由迂回、單點故障的保護問題，確保有效運作。

·自動檢測：系統應支持快速的自動檢測機制，若對于系統難以檢測的風險或問題（如吊死、虛假號碼、套費），可完善其他輔助檢測手段或自動化工具，以在盡可能短時間發現問題。

·快速響應：為快速響應提供足夠資源和準確的信息，以建立便捷的響應操作方案。

·災難恢復：盡快應急疏通恢復業務，然后恢復系統。一是應建立完備的災難應急預案，二是面向大的業務風險，應重點建立災難恢復機制，如業務或網元的BYPASS、后備系統的最大限度接管。

此外，應注意根據不同層面網絡與設備技術特點、安全風險，制定適合其注重點的安全對策與動態安全行為。

·業務層面主要以IT設備為主IP設備為輔，主要注重IT設備、業務軟件與數據的保護、檢測、災難恢復。

·網絡層則主要以交換為主IP/IT設備為輔，關注交換設備、信令網絡的全網通達可靠性、實時性，側重安全策略、保護、檢測、響應和災難恢復全部環節。

·信息安全主要是確保用戶身份，傳遞信息內容的準確、合法、唯一性，注重信息保護、檢測與響應。

5 電信核心網絡與信息安全能力提升綜合解決方案及建議

根據以上對核心網的安全風險評估和總體安全對策，可以依據APPDRR網絡安全模型的保護、檢測、響應和恢復4個要素，研究提出核心網與信息安全的解決思路或方案，以達到提升核心網網絡與信息安全能力的目的。

5.1 業務層安全能力提升解決方案

業務層安全能力提升解決方案簡單介紹如下。

（1）優化改進系統容災機制

通過優化改進系統容災機制，增強智能業務觸發的旁路能力，業務在核心網可應急旁路疏通。

（2）呼叫中心方案基于云和IMS網絡優化

·方案一：PRA接入NGN疏通方案，發展擴容能力弱，受PRA接入端口、匯接局SS、DC1 SS資源限制，難以保證容災保護、應急恢復需要。

·方案二：采用面向IMS的云架構的呼叫中心，云具有很好擴展性和保護能力，同時徹底扁平化端到端直達，不受骨干SS資源影響，投資成本低。

（3）短信業務安全方案

通過信令監測系統實時提取用戶的位置信息（所處的LAC、BSC等信息），實現對短信下發的精確流控以及在短信中心上對MSC的流控，消除群發使無線網絡癱瘓的風險，提高無線網絡利用率。

5.2 網絡層安全能力提升解決方案

網絡層安全能力提升解決方案簡單介紹如下。

（1）保護方案

建立完善的系統保護體系，包括過載控制、話務控制、容災組網、容災技術、容災策略等。其中，異地容災組網與容災技術介紹如下：

·異地容災組網：采用雙歸屬、1+1/N+1等異地容災組網，對于IMS則推進pool組網。

·容災技術：制定與不斷完善N+1、pool等容災技術規范，應用相關技術，發現修補安全倒換業務中斷的漏洞，盡量做到零時無損接管。

（2）信令檢測能力提升方案

打造基于信令監測的預警系統，提升檢測與響應能力，建議研究建立基于SIP、WIN、INAP信令監測的網絡安全指標體系與預警系統，發現異常問題通過短信及時預警觸發業務安全預警短信，為加快響應能力可觸發關聯支撐系統自動啟動應急方案。主要解決以下問題。

·協議異常分析：可能包括SIP/WIN/INAP/MAP等協議，可檢測失敗碼分布異常、信令重傳、閃斷、響應延遲（吊死）、信令互通不規范、突發高峰或協議分組異常等情況。

·業務質量異常監測：業務KPI分析、系統吊死的超時響應。

·邊緣接入風險：DDoS攻擊告警。

·話務安全分析：與常規模型比對，過量預警。

（3）災難恢復

在災難發生后，盡快應急疏通恢復業務，然后恢復系統。

·業務應急疏通：啟用BYPASS技術快速放直業務，適用于單業務或單網元全阻，建議對業務網元SCP或AS、核心網關鍵網元如HLR、S-CSCF支持自動或手動BYPASS。

·話務應急疏通包括長途應急疏通和本地話務應急疏通。長途應急疏通：TDM長途中斷選擇NGN疏通，過網業務改就近過網策略，進一步研究IMS非本域長途話務應急解決方案。本地話務應急疏通：匯接層中斷時局內呼叫不出局或走備用匯接局。

·系統恢復：系統采用硬件冗余備份技術、數據異地冗余備份技術，利于系統快速恢復。

5.3 信息層面安全能力提升解決方案

信息安全主要是保證用戶身份、傳遞信息內容的準確、合法、唯一性，注重信息保護、檢測與響應。

（1）虛假主叫欺詐或孖機解決方案

·端局/專匯局側控制方案：端局支持主叫鑒權功能予以規范或攔截非法主叫、面向小交機部署信令監測系統，但方案實現難，代價高，目前老端局無法支持主叫鑒權功能，且存在平臺信令監測系統成本高的問題。

·基于核心層信令檢測系統的假主叫甄別方案：僅部署匯接層信令系統，根據話務路由與號碼模型、位置移動規則等，檢測虛假主叫甄別、孖機事件，進一步實現自動響應，包括對呼叫源回溯追蹤、向用戶發短信或呼叫告警。

（2）用戶賬號安全解決方案

采用用戶信息賬號加密保護機制，即統一規范加密存儲和加密傳送的手段與管控制度，嚴防泄露。主要包括：后臺到核心網元及終端系統，中間環節原則上不保存；嚴格管理用戶數據庫管理員賬號密碼，敏感信息修改查看權限專人管控；通過加強后臺管理，令泄漏的用戶信息被重用。

（3）非法套撥國際號碼騙費解決方案

·方案一：檢查核心網號碼轉接、業務平臺轉接的數據配置或軟件漏洞，防止高結算國際號碼的呼叫，但方案難度大，發現和響應周期長且成功率低。

·方案二：信令清洗方案，基于信令系統和后臺清洗平臺，根據被叫位長異常的號碼結構（包含國內區號、業務接入碼、國際區號的被叫），進行特征檢測和統計，主動給出告警，建議優選此方案。

（4）短信信息安全解決方案

·建議集團集中建立短消息監控配置管理系統、各省公司消息監控平臺上報系統的兩級體系，制定集團消息監控管理平臺和各省公司監控平臺的接口規范，以實現有效檢測。

·對非法內容進行攔截，同時可以通過標簽溯源短消息監控的平臺，便于監控的統一管理和維護。

6 結束語

核心業務網絡與信息安全是運營商必須正視并深入研究的課題。隨著網絡的演進和變化，安全風險越來越多，因此有必要重新審視核心業務網絡與信息安全面臨的新問題、新挑戰。本文結合國際通用的網絡安全基礎模型，從業務層面、網絡層面、信息等層面出發，提出了研究建立安全相關KPI指標體系與評估方法、自動化綜合測評的手段，開展針對性的安全機制優化方案，只要持續進行結構性優化改進，必能實現網絡與信息安全能力的不斷螺旋式上升，打造中國電信國際一流的安全核心網及安全運營能力。

1 潘潔,劉愛潔.基于APPDRR模型的網絡安全系統研究.電信工程技術與標準化,2009(7)

2 林柄梅,張建東,胡睿智.PDRR網絡安全模型.計算機光盤軟件與應用,2010(11)