韓秀華

（中國聯(lián)合網(wǎng)絡(luò)通信有限公司大慶市分公司，黑龍江 大慶 163000）

1 引言

基于TCP/IP協(xié)議交換設(shè)備的出現(xiàn)，導(dǎo)致了現(xiàn)有GSM移動通信網(wǎng)的安全問題日益突出。為了滿足不斷變化和發(fā)展的GSM移動通信網(wǎng)安全管理需求，提高的服務(wù)水平和服務(wù)質(zhì)量，××公司決定進行交換網(wǎng)元安全接入平臺的建設(shè)。

2 設(shè)計遵循的安全標準

2.1 ISO標準：

設(shè)計標準（ISO15408、ISO17799、ISO7498-2）

實施標準（SSE-CMM、ISO9001）

2.2 GB 標準：

《計算機網(wǎng)絡(luò)系統(tǒng)安全保護等級劃分準則》

《開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)》

《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則》

《商用密碼管理條例》

《計算機病毒防治管理辦法》

《計算機網(wǎng)絡(luò)系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》

《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》

《中華人民共和國計算機網(wǎng)絡(luò)系統(tǒng)安全保護條例》

《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》

《計算機網(wǎng)絡(luò)系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》

《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》

2.3 安全定律

安全是動態(tài)的；

安全＝產(chǎn)品＋服務(wù)；

安全管理保障安全產(chǎn)品和安全服務(wù)效率的最大發(fā)揮；

安全的非絕對性決定了安全建設(shè)的長期性；

基于統(tǒng)一安全策略的可持續(xù)改進的整體安全防御體系保障安全。

3 設(shè)計原則

在本設(shè)計中遵循以下幾個原則：

①先進性原則。在本設(shè)計中推薦的安全產(chǎn)品均采用先進的、開放的系統(tǒng)結(jié)構(gòu)；采用先進的計算機技術(shù)；采用先進的現(xiàn)代管理技術(shù)，以保證系統(tǒng)的科學(xué)性。

②高可靠性原則。在本設(shè)計中推薦的安全產(chǎn)品的不間斷運行與服務(wù)均達到電信級的要求，具有極高的可靠性，采用的容錯設(shè)計可以確保系統(tǒng)的可靠性和穩(wěn)定性。

③開放性原則。在本設(shè)計中推薦的安全產(chǎn)品是構(gòu)建在完善的系統(tǒng)平臺基礎(chǔ)上的，考慮了升級和個性化服務(wù)。遵循開放性和標準化基本原則，所選用的硬件設(shè)備、軟件等都遵循了相應(yīng)的國際標準，從而保證了系統(tǒng)具有互操作性和開放性。各系統(tǒng)之間采用優(yōu)化的原則，使各系統(tǒng)之間更好地配合，達到最佳的應(yīng)用效果。

④安全性原則。在系統(tǒng)建設(shè)時通過安全技術(shù)保證網(wǎng)絡(luò)的安全性、數(shù)據(jù)的安全性、用戶訪問的安全性，在技術(shù)保障的同時，從管理層面加強安全性管理。

⑤可管理性原則。采用集中式的管理可以節(jié)約資金、人力的投入，為用戶提供更大的自由發(fā)揮的空間，同時也使管理變得簡單，有利于在出現(xiàn)問題時，能夠用最短的時間檢查出問題并及時解決。

⑥可擴展性原則。在本設(shè)計中推薦的安全產(chǎn)品具有很好的升級能力，適應(yīng)科學(xué)技術(shù)高速發(fā)展的需要。在必要時可以采用新的技術(shù)和設(shè)備對整個系統(tǒng)進行升級，滿足應(yīng)用系統(tǒng)不斷增長的需要。

⑦經(jīng)濟性原則。在本設(shè)計中針對××公司網(wǎng)絡(luò)的現(xiàn)狀和業(yè)務(wù)特點采取有效的措施和實施方案以合理的利用投資、規(guī)避投資風(fēng)險。

4 ××公司GSM移動通信網(wǎng)絡(luò)建設(shè)

4.1 ××公司GSM移動通信網(wǎng)絡(luò)現(xiàn)狀

××公司網(wǎng)管系統(tǒng)交換網(wǎng)是建立在DCN基礎(chǔ)上的，每個交換局網(wǎng)元接入點由1臺Cisco 3640路由器和1臺Cisco 2950交換機組成，為本地交換局網(wǎng)元接入GSM移動通信網(wǎng)的網(wǎng)管系統(tǒng)提供路由和鏈路。具體網(wǎng)絡(luò)拓撲如下：

4.2 本期安全建設(shè)目標

①實現(xiàn)終端安全接入策略：a.對GSM移動通信網(wǎng)互聯(lián)接口的風(fēng)險進行整合，在邊緣接入?yún)^(qū)采取訪問控制策略，防止非法用戶終端接入到網(wǎng)管系統(tǒng)和GSM網(wǎng)元中。在GSM移動通信網(wǎng)網(wǎng)管系統(tǒng)服務(wù)器區(qū)安裝入侵監(jiān)測系統(tǒng)（IDS），根據(jù)IDS提供的日志信息及時發(fā)現(xiàn)可能的入侵威脅。b.防止廠家維護人員私自把便攜機接入到GSM移動通信網(wǎng)和網(wǎng)管系統(tǒng)中。制定相應(yīng)的網(wǎng)絡(luò)信息安全方針、標準、制度、規(guī)范和指南。c.對終端的安全狀況進行檢測，并實時監(jiān)控和采集用戶涉及主機安全的行為記錄。同時通過與接入設(shè)備的聯(lián)動，限制不符合安全要求的終端的訪問網(wǎng)絡(luò)。d.對本地直連終端進行安全加固：對本地網(wǎng)管系統(tǒng)或操作交換網(wǎng)元的直連終端要部署網(wǎng)絡(luò)防病毒系統(tǒng)和訪問控制策略。對于控制系統(tǒng)生產(chǎn)應(yīng)用的終端實施安全加固策略。e.通過禁用數(shù)據(jù)接入交換機端口禁止非授權(quán)終端接入，防止廠家直接用便攜機接入交換網(wǎng)元維護。f.對接入GSM移動通信網(wǎng)和網(wǎng)管系統(tǒng)中的終端，能夠根據(jù)其IP地址等信息限定其訪問范圍。g.對遠程撥號接入終端進行訪問控制：遠程撥號接入終端接入網(wǎng)管系統(tǒng)和GSM網(wǎng)元之前，必須經(jīng)過中心網(wǎng)管系統(tǒng)接入認證服務(wù)器認證之后，才能訪問經(jīng)授權(quán)的特定的本地交換網(wǎng)元和網(wǎng)管系統(tǒng)。撥號設(shè)備能實現(xiàn)基于SMS短信等方式的二次口令登陸認證。

②實施終端自身管理：a.實現(xiàn)windows主機的安全特性加固，提高主機安全性。主要從系統(tǒng)補丁、系統(tǒng)服務(wù)定制、系統(tǒng)端口過濾、訪問控制規(guī)劃、注冊表安全、安全校驗和審核幾部分實現(xiàn)安全控制。b.對接入GSM移動通信網(wǎng)和網(wǎng)管系統(tǒng)中的終端進行安全防護，對未通過身份認證或不符合安全策略的用戶終端進行網(wǎng)絡(luò)隔離，并幫助終端進行安全修復(fù)，避免不安全用戶終端給GSM移動通信網(wǎng)和網(wǎng)管系統(tǒng)帶來安全威脅。

③實現(xiàn)網(wǎng)管系統(tǒng)集中互聯(lián)網(wǎng)管理：a.各市縣的網(wǎng)管VPN終端只能通過網(wǎng)管中心的互聯(lián)網(wǎng)接口（建議為代理方式）實現(xiàn)對互聯(lián)網(wǎng)的訪問，并禁止各縣分公司網(wǎng)管終端直接對互聯(lián)網(wǎng)的接入。b.代理方式可以滿足各市縣網(wǎng)管終端對于互聯(lián)網(wǎng)訪問的需求，如登陸EOMS系統(tǒng)處理業(yè)務(wù)工單、升級操作系統(tǒng)補丁和防病毒軟件等。c.部署互聯(lián)網(wǎng)訪問控制策略。防止通過網(wǎng)管終端處理與工作無關(guān)的業(yè)務(wù)。

5 結(jié)束語

隨著移動通信技術(shù)的不斷發(fā)展，新的技術(shù)、新的設(shè)備、新的業(yè)務(wù)不斷出現(xiàn)，使得GSM移動通信網(wǎng)的維護和管理變得日趨復(fù)雜。同時隨著GSM移動通信網(wǎng)體系架構(gòu)的演變，核心網(wǎng)絡(luò)設(shè)備逐漸由電路交換向IP交換演進。大量基于TCP/IP協(xié)議的交換設(shè)備底層操作系統(tǒng)采用Windows NT，網(wǎng)絡(luò)傳輸協(xié)議采用TCP/IP協(xié)議。由于Windows NT平臺的自身缺陷以及TCP/IP協(xié)議本身的脆弱性，很容易導(dǎo)致GSM移動通信網(wǎng)網(wǎng)元設(shè)備受到病毒的攻擊感染，造成系統(tǒng)宕機。通信是國民經(jīng)濟的基礎(chǔ)設(shè)施，是為社會和人民生活服務(wù)的公用事業(yè)。通過GSM交換網(wǎng)元安全接入平臺的建立，將對移動運營企業(yè)工作效率的提高、業(yè)務(wù)流程的優(yōu)化和規(guī)范以及網(wǎng)絡(luò)維護管理水平的全面提升做出重要的貢獻。

[1]MechaelPalmer,RobertBruceSinclair.局域網(wǎng)與廣域網(wǎng)設(shè)計與實現(xiàn).清華大學(xué)出版社，2000年

[2]ManiSubramanian.網(wǎng)絡(luò)管理.清華大學(xué)出版社，2000年