電信通信網絡安全策略分析

劉倩 張欣 路廣輝 楊雪凌 劉婷婷

（中國信息通信研究院 100191）

電信通信網絡安全策略分析

劉倩 張欣 路廣輝 楊雪凌 劉婷婷

（中國信息通信研究院 100191）

網絡安全歷來是中國通信安全領域的重點，通過若干年的探索，通信安全領域取得了一定的成績。然而，近段時間以來，隨著移動通信網絡管理系統以及網絡間的業務激增，互聯網接口也隨之增加，這對通信網絡安全來說是一次不小的挑戰。從某類角度來看，信息安全是確保電信通信網絡安全的重要保障，而當前中國電信通信行業的迅猛發展，以及無線接入網的運用都給網絡安全防范增加了難度。筆者在下文中將探討電信通信網絡安全策略。

電信通信；網絡安全；策略；解析

伴隨科學技術的進步，電信通信業務范疇擴大。在這樣的背景下，唯有縮減接口的數目，讓系統接口作業標準化，方可確保網絡安全。另外，電信通信網絡與互聯網間的關系越來越密切，針對無線網絡應用的情況，如何有針對性地化解網絡安全難題，推動電信網絡的建設，是未來一段時期內電信通信網絡領域面臨的主要課題。

1 通信網絡安全的內涵

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶發的或者惡意的原由而被損壞、變更、泄密，系統持續可靠地完成常規運轉，網絡服務不間斷。而在人為破壞的情況下，電信網絡不能完成常規工作。另外還包含身份認證安全、訪問控制技術與管理安全等等。

2 通信網絡安全的現狀

當前，我國的電信運營商較為看重網絡安全的構建，幾個規模運營商都根據自身的網絡特征、業務特征構建了網絡安全保障系統。

2.1 中國電信

中國電信的網絡安全意識在我國電信領域最先形成。其構建了網絡安全基礎支撐的媒介，即通常所說的SOC媒介，通過該媒介，實現了多渠道保障，并構建了完備的技術管理系統。當前，SOC媒介業已處于系統構建的試點時期。在該系統中，若干個模塊共同作業，來對網絡安全狀態進行監督，完善網絡安全處理工作的流程，還包含垃圾電郵的獨自處置功能等。

2.2 中國移動與中國網通

中國移動的網絡與信息安全保障體系NISS，對于涉及公司的所有信息資產，包括通信網、業務支撐系統、網絡部、市場部、財務部、研發部、人力等各種重要信息進行保護。這個系統在2005年8月份，狙擊波病毒來襲的時候發揮了重要作用。

中國網通的網絡安全建設重點在其寬帶網絡建設上。其建立的信息安全管理體系（ISMS），包括組織管理、技術保障、運作保障三個子體系，在網絡層面上對總部大網進行保護。

網絡安全并非絕對的——網絡開放互聯、設施引入、高端技術引進、生態災難以及突發情況等，極易導致網絡安全問題。如果電信網絡從封閉的、以電路交換為核心的體系向以開放的、IP數據為核心的體系過渡，那么安全方面的保障工作就更為困難。

因此，要制定電信通信網絡安全策略，而確保業務詐騙、垃圾電郵、違反互聯網法的SP活動等盡可能少出現，也是安全防護的重點。當今時代，網絡襲擊較為普遍，而約束攻擊行為并規范網絡秩序也是極為關鍵的。

3 通信網絡安全問題的防護策略

3.1 評估網絡的安全性

在網絡信息安全的評估中，諸多標準化機構在安全需要的前提下進行需求服務評估、安全技術體制研發評估，并訂立了一系列準則。在筆者所翻閱過的這部分準則中，涉及電信網絡的安全性評估的論述不多，在全球范圍內通常是大規模的電信運營企業內部的安全評估準則，抑或某類團體（比如NRIC）對網絡安全的某類特殊區域的定性評估準則。

而27號文件的頒布，在中國各階層引發了熱議，帶動了網絡安全性評估活動的深入開展。當前，我國的許多企事業單位能夠對信息體系作出安全評估。

隨著技術的進步，目前出現了聚類算法，其是將數據分成幾組或幾類的流程，并讓同類數據具備極高的相似度，而相異組內的數據是不類似的。聚類算法中，一項聚類內的全部對象常常被看做單個對象來實施處置或解析。

3.2 分析網絡安全存在的威脅與風險

3.2.1 電腦中毒頻繁與木馬的騷擾

隨著中國電信通信網絡的演變，對應的通信網網管、增值業務網網管等體系開始逐漸涌現，這致使網絡終端的數量激增。另外，在各類網管終端缺少安全防護的環境中，局域網的進入變得更為容易；然而網管終端被木馬和病毒襲擊的可能性大，其會通過局域網傳遞到網元，讓網元的安全受到威脅。

3.2.2 產生假冒攻擊現象

在電信移動通信網絡中，網絡終端與網絡控制中心可以對身份進行認證，再使用無線信道傳播，這容易給犯罪分子可乘之機，而且一些襲擊人會運用截取的假身份肆意攻擊他人網絡，或運用假冒網絡終端基站第一時間截取客戶的身份訊息，導致不同程度的損失。

另外，還有私密信息泄露等風險與威脅，此處不再一一贅述。

3.3 運用網絡安全技術

筆者在此只簡述密鑰管理技術：TMN多安全域安全系統構造中的全部認證技術均要用到公鑰技術。所以，要借助第三方公鑰管理預案來實現密鑰管理。第三方公鑰管理預案要兼備跨安全域可信交換特性，例如運用公鑰基礎設備PKI實現高技術含量、自動化的密鑰管理。

另外，像它類的轉換服務元素可以對整體的ROSE PDU實施密鑰處理以及簽字處理。在協議棧內，運用安全轉換服務元素能夠在CMIP數據傳送時期構建GSS-API安全上下文，并實現對ROSEPDU的安全防護。在構建關聯階段，安全上下文能夠通過ACSE內的Authentication數據傳送GSS-API形成token。

4 結束語

綜上，有關電信網絡安全防護的策略，還需要不斷完善。在研討電信網絡安全性階段，在已有的技術系統/網絡狀態的前提下，能夠發現特性相異或難度不一的基礎類安全風險，怎樣化解風險是未來一段時期內的主要課題。

[1]嚴晗.基于IEEE 802.11i協議標準的WLAN電信級應用安全系統設計[J].電信工程技術與標準化，2015（10）：28～33.

[2]鄔雪艷.用信息通信技術打造安全智慧新交通——2013世界電信和信息社會日大會報道[J].通信世界，2013（14）：16.

[3]工業和信息化部關于加強電信和互聯網行業網絡安全工作的指導意見[J].中國通信，2014，11（10）：159～160.

[4]廖凌.基于動力環境集中監控系統的電信本地網綜合安保系統的思考[J].科技創新與應用，2013（21）：68.

TN915.08

A

1004-7344（2016）17-0254-01

2016-5-18

劉倩（1983-），女，漢族，北京人，初級，研究方向為電信通信。