NGN面对的安全威胁是什么?
1.从Internet上继承下来的威胁
在NGN中,负责传输数据这部分系统称为“核心传输网”。核心传输网沿用了在Internet上使用的IP技术。IP即Internet Protocol(因特网协议),是Internet技术体系的主要组成部分。而IP技术本身具有较多的安全缺陷,NGN采用这种技术,自然也继承了这些安全缺陷。在Internet中适用的攻击手法,理论上在NGN中都适用。采用IP技术带来的灵活性、开放性是显著的,但继承下来的安全缺陷对NGN来说也是严峻的。因此,病毒、木马、黑客攻击等这些威胁仍会困扰NGN。
2.网络融合互通带来的新问题
除了Internet继承下来的威胁外,NGN中还存在一些由于网络融合互通带来的新的问题。
传统的电信网络,如固定电话网或GSM移动电话网,是一个封闭的环境。外部的攻击者很难进入系统进行攻击。因此在封闭性不被打破的条件下,传统电信网是安全的网络,是可信任的网络。用户在使用时有很好的安全感,不会有随时随地受到安全威胁的感觉。在长期的使用实践中,除了内部人员作案之外,传统电信网的确也几乎没有出现安全上的问题,用户可以放心使用。但随着网络向NGN的过渡和演进,这些封闭的环境将慢慢变得开放了。一方面,这种开放性使得外部的攻击者有了可乘之机;另一方面,由于传统电信网的封闭性,一些设计上的缺陷被封闭的环境掩盖起来,而这些缺陷在相对开放的环境下就极有可能显现出来。目前,经过研究已经证实了传统的固定电话网采用的七号信令系统确实存在安全缺陷,难以在完全开放的环境中承受黑客的各种攻击。可以预见,随着网络的融合,传统电信网络的安全缺陷会逐步显现出来。
3.可能遭受的攻击方式
■用户的账户被盗
在传统的电信网中,用户不用考虑账户被盗的问题,除非用户的电话被人盗用或者手机失窃。在NGN中,由于网络支持用户的普遍移动性和接入多样性,也就是说,用户可以在不同的地方,不同的设备上使用自己的账户享受服务。这种机制类似于登陆电子邮箱的“账户名”和“密码”。这些账户信息需要在网络终端和网络上传递,如果黑客利用某种手段得到这些信息,将带给用户巨大的损失。黑客可以利用偷窃的账户进行“免费通话”,而受害用户将承担话费。
■伪装欺骗
黑客可以冒充成合法的用户进入网络进行攻击,甚至可以冒充成网络中的设备来欺骗用户,为用户提供“网络服务”从而得到用户的账户信息或者其他的隐私信息。这些攻击在传统的电信网中都是无法实现的,但在NGN中,由于IP技术的采用,都具有实现的可能性。
■业务扰乱
黑客有可能直接利用智能的NGN终端就对网络发出攻击,一旦攻击成功,就会使得某一区域的用户受到影响。黑客还有可能发动大规模的骚扰电话,严重影响用户的日常生活。
以上仅列举几种NGN中可能存在的典型的攻击方式。随着网络的发展,技术的进步,黑客的手段也必定会层出不穷。NGN的互通性、开放性在为用户带来前所未有的使用体验的同时,也为黑客提供了一个很好的“舞台”。
保护NGN安全有哪些措施?
面临着诸多的安全问题,需要未雨绸缪,防患于未然。在NGN发展演进的过程中就要积极地制定安全措施和相关标准,研究可行的有效的安全机制。
建立一套安全防御系统,必须考虑以下三个问题:
需要哪些保护,防止哪些威胁;
需要保护的网络设备的类型;
需要保护的网络活动的类型。
这三个问题可以归结为安全尺度、安全层面、安全平台。在具体制定安全策略时,应综合考虑这三个方面。
1.NGN中安全机制的基本要求
■NGN安全应该支持协同性,特别是在不同NGN安全机制之间。这就是说,安全机制不能是孤立的,应该是一个相互协同的有机统一的系统。
■主要管理功能必须可用。
■NGN应该提供与其他网络和用户建立信任关系的可能。也就是说NGN应该能够鉴别一个单独用户或者另外一个网络的合法身份,从而可以进行正常的通信。
■鉴权和授权应该在服务层和传输层同时使用。即,用户到网络、网络到用户和网络到网络都应该可以完成相互的鉴别,以防止非法的欺骗行为。
■网络运营商出于安全考虑,会尽量限制用户了解到网络的结构和资源,因为这些信息对于攻击者来说非常重要。NGN的结构设计应该考虑到这些因素。
■NGN应该可以不同的网络区域有着不同的安全要求级别,而不会相互影响。比如,政府机要部门对网络安全的要求要比普通民用高,但它们之间不会相互影响和牵制。
■NGN应该提供安全方法来阻碍不必要的信息在网络上传送,节省网络资源。
■NGN网络管理资源(OSS-Operation Support System、数据库)的安全应该得到保障。
■NGN应该有能力支持确保通信完整性的服务,即确保通信的内容在传送过程中不被攻击者修改。
■NGN应该有能力提供通信保密性的服务,避免用户通信内容泄漏,侵害用户隐私。
■NGN应该有能力支持确保来源鉴定的服务,即认清信息来源者的真正身份,防止攻击者欺骗。
■安全功能应该安装在网络之间的交界处,并且可以控制网络之间的通信。这样可以实现一些功能,例如根据一定的规则对流通于网络之间的信息进行过滤。
2.NGN安全防御框架
■端用户平台安全
用户终端安全平台着重于考虑与用户访问和使用网络服务提供者相关的安全问题。这个平台也代表实际的用户的使用。
■控制平台安全
用于保护网络中信息的有效传递,服务和应用等行为的安全。包括机器间信息的传递,从而使得这些设备(路由器、交换机)可以决定在传输网络中最佳的路由或交换信息。
■管理平台安全
该平台保护网元、传输设备、办公备份系统和数据中心的操作、管理、维护和配置(OAM&P)功能。管理平台支持容错、性能、管理、供应和安全功能(FCAPS)。
