專網通信系統軟交換安全方案的思考

四川海格恒通專網科技有限公司 賴 宏

1.引言

軟交換系統的建設已經成為專網通信領域現代化建設與發展的必然趨勢，相對于公網通信而言，存在一定的特殊性，存在業主優先服務的特征。目前，專網通信軟交換系統在電力行業、水利工程建設行業、煤炭行業、交通行業等眾多行業領域中得到廣泛應用。因此，在當今高度重視網絡通信質量與安全的環境下，加強專網通信系統軟交換安全對專網通信系統整體的安全性存在至關重要的影響。

2.專網通信軟交換系統的相關概述

專網通信是基于公共網絡長期發展下無法進一步滿足行業生產、管理與發展需求下，基于信息技術、網絡技術、計算機技術等科學技術創新應用下，形成的滿足自身組織管理、安全生產以及營銷調度等工作需求的通信網絡[1]。基于專業通信網絡的發展專網通信系統建設與行業存在密切關聯性，側重于為行業提供專業性、個性化的服務。隨著IP PBX研究的不斷深入與完善，基于標準協議，如MGCP、H248等媒體網關控制協議，形成softswitching技術，即軟交換技術[2]。而軟交換技術的應用，使專網通信系統由電路交換向軟交換逐漸演變，形成軟交換系統。

3.專網通信軟交換系統的網絡安全域

隨著專網通信軟交換系統在各領域中的廣泛應用，軟交往網絡安全問題愈發凸顯，如何解決軟交換系統安全問題已經成為學術界、產業界關注的重點話題之一。由軟交換系統本質特征可知，軟交換網絡主要是由網絡設備、網管設備、運維設備以及軟交換終端等共同組成的。其中網管設備以及網絡運維多有應用專網通信軟交換系統企業專業工作人員負責管控與監督。在此背景下，受到多種因素的影響，專網通信軟交換安全無法得到有效保障。例如網絡病毒、惡意攻擊等網絡環境的影響，系統長期運行下設備損害的影響，軟交換系統自身存在的安全漏洞、軟交換系統中通信協議存在的影響以及監管過程中存在的用戶私密信息泄漏、信息監聽的影響[3]。基于此，為提升軟交換網絡安全性，通常情況下需將網絡進行安全區域劃分，針對不同區域安全需求，配設合理安全方案，提升專網通信軟交換系統應用安全性、穩定性與可靠性。

現階段，在專網通信軟交換系統中，可將網絡安全等級分為安全級、非安全級以及信任級三種類型。其中安全級主要表示網絡區域屬于安全區域，其設備風險發生概率較低，不易受到不安全因素的影響；非安全級主要是指該網絡區域屬于不安全區域，需要采用特定的方案與策略提升安全等級，實現區域安全保障；信任級則是指該網絡區域屬于不安全區域，但是存在一定的可信息性，能夠通過相對較小的代價基于相對安全的保障，設備間的通信存在較高可信性。基于此，根據專網通信系統軟交換網絡設備以及軟交換網絡終端所在具體位置進行分析，依據所在網絡安全域（圖1），將軟交換網絡存在的安全問題進行評估與分析，探究不同區域下軟交換的特點與要求，從而才能有針對性、目的性的對安全方案進行處理與改進。

圖1 專網軟交換安全域劃分圖

由上圖分析可知，在專網通信軟交換系統中，專網通信軟交換系統大致可分為以下幾個網絡區域：

第一，包括軟交換核心設備、運維設備與網管設備在內，需給予重點網絡安全保護的核心網絡區。該區域內的安全性取決于網絡環境與設備運行情況，屬于安全信任級。

第二，PSTN（公共開關電話網絡）接入區域。該部分雖然處于用戶接入網絡，但是由于采用的是“窄帶接入”法，其安全等級與窄帶PSTN網絡域安全等級一致，屬于網絡安全級。

第三，基于軟交換網絡終端與局域網以及外網進行連接的部分，即“局域網IP用戶接入域”與“廣域網IP用戶接入域”，容易受公共網絡環境的影響，故安全等級相對較低，屬于網絡非安全級。

4.專網通信系統軟交換安全方案

專網通信軟交換系統的安全需實現軟交換網絡中數據、資源的保密性、可信性、真實性、完整性以及包含性。因此，基于存在的軟交換安全問題，可建立P2DRR安全保護模型，并采用隔離、控制等技術進行進一步完善，形成專網通信系統軟交換安全方案。

4.1 核心網絡域的安全方案

由上述分析可知，專網通信軟交換系統中，核心網絡域屬于安全信任級，需采取一定的措施進行安全防護。在資料分析與工作經驗總結中，可知核心網絡域的安全影響因素主要在于網絡層、應用層的惡意攻擊，設備運行故障等等。對此，在進行安全防護時，可采用以下方法進行具體實踐。

首先，應用安全隔離技術進行安全防護。例如，在一定條件下，采用物理專網模式進行組網隔離，即通過布設專用的核心網承載軟交換業務實現隔離保護，其安全性較高；或采用邏輯專網模式進行組網隔離，即通過借助VLAN（虛擬局域網）、VPN（Virtual Private Network，虛擬專用網絡）等技術，在邏輯上實現軟交換服務與其他服務之間的隔離，其成本投入相對較低。在具體實踐過程中，可根據實際情況，合理選擇隔離模式把整安全防護需求的滿足。

其次，采用亢余法進行專網通信系統軟交換的安全防護。例如，在軟交換系統IP網建設過程中，注重互聯網組網結構的科學設置，通常情況下建議全網狀或半網狀的組網形式進行互聯網組網。與此同時，采用具有備份存儲功能的路由器，采用“雙歸屬”手段與網關設備、核心骨干網建立互聯。在此過程中。路由器之間需設置具有亢余性的多條通道，用以降低路由器故障或某線路故障對軟交換業務帶來不利影響。此外，在軟交換網絡的各層次中設置冗余部署交換設備，實現網絡安全的進一步提升。在此過程中需注意其與傳統網絡業務間的差異性，保證設備應用對各項業務需求的滿足。同時，可采用節點設備對稱連接、節點部署及時檢測、鏈路技術檢測、備用鏈路預設、基于IP、LDP、TE FRR等技術應用下的協議鏈路切換等實現網絡的各層次余部署交換設備作用的最大化發揮。

與此同時，為保證核心網絡域內軟交換設備的安全，可采用雙歸屬方案提升安全等級。針對具體設備，需根據具體情況進行具體分析。例如，注重通信級硬件平臺、電源運行、雙組機箱、單板熱插拔、設備網絡端口等的管理。就雙組機箱管理而言，保證機箱管理功能的健全，使機箱在整個系統運行中能夠正常工作，注重機箱的日常維修與養護。針對設備存在的問題能夠在第一時間發現故障點，探知故障產生原因。在此過程中，可通過建立機箱管理警報機制，針對可能存在的故障信息與故障恢復信息，建立數據庫（包括主用數據庫與備用數據庫），當主用數據庫發生故障時，能夠在第一時間切換到備用數據庫，保證系統運行的穩定與安全。

此外，建立多層次軟件管理機制，實現對專網通信軟交換系統中各軟交換模塊故障的技術檢測、防護與恢復。例如，借助防火墻技術，在計算機設備中配置防火墻軟件，實現對軟交換網絡終端病毒與黑客惡意攻擊的有效防治。與此同時，配設多等級負載光控機制，實現對軟交換超負載的有效管控，實現軟交換重要業務的安全性與可靠性。此外，注重系統協議保護，通過建立完善、科學的協議安全機制實現系統安全性的提升。如利用SCTP協議（stream control transmission protocol，流控制傳輸協議）實現對SCTP偶連的安全保護；針對MGCP、H248等協議，采用加密技術，提升系統協議安全性。也可以采用“會話邊緣控制網關技術”，借助SBC（會話邊緣控制器）進行網絡隔離，實現對特定協議下軟交換業務報文的過濾與對邊緣路由器的標記，提升網絡管理安全性；實現非標準消息向標準消息的轉變，保證異構網絡協議之間的有效互通。

4.2 IP用戶接入域的安全方案

由上述分析可知IP用戶接入域屬于非安全級，加強IP用戶接入域的安全管理，對提升網絡安全、設備安全、信息安全等皆具有重要意義。對此，針對IP用戶接入域，需根據行業專網通信軟交換系統具體情況，對不同網絡區域下的用戶接入進行安全管控。

例如，就電力行業專網通信軟交換系統而言，可采用以下兩種方法給予安全防護。其一，采用MPLS VPN（虛擬專用網絡）技術對VPN網絡進行安全保護。即，基于MPLS對IP數據集合進行標記，并形成新的MPLS數據集合，用以提升IP數據傳輸效率與質量。同時，在路徑轉發過程中，實現對MPLS數據集合上標記的讀取，實現IP地址的有效隔離，提升網絡安全性。其二，利用通信代理技術，借助呼叫號碼，基于歸屬代理與接入代理的管理，實現軟交換與網絡終端以及各終端之間通信的有效隔離，提升IP用戶接入域的安全性。

5.結論

總而言之，專網通信軟交換系統建設與運行的安全,對軟交換系統的推廣與應用存在直接影響。本文旨在通過對專網通信系統軟交換安全問題、安全策略與方案的研究，實現專網軟交換系統建設的優化發展，為相關制造商與學術研究提供有益參考。

[1]李炳林,卜憲德,郭云飛.電力軟交換系統安全問題及策略研究[J].計算機科學,2012,39S3:99-102.

[2]段普偉,朱煜.論軟交換系統在河南黃河通信專網中的應用[J].科技視界,2016,06:314.

[3]朱雪琴,王天峰,蒲晶晶.適用于電力通信專網的軟交換平臺探討[J].中國新通信,2016,1812:13.