四川海格恒通專網(wǎng)科技有限公司 賴 宏

1.引言

軟交換系統(tǒng)的建設(shè)已經(jīng)成為專網(wǎng)通信領(lǐng)域現(xiàn)代化建設(shè)與發(fā)展的必然趨勢，相對于公網(wǎng)通信而言，存在一定的特殊性，存在業(yè)主優(yōu)先服務(wù)的特征。目前，專網(wǎng)通信軟交換系統(tǒng)在電力行業(yè)、水利工程建設(shè)行業(yè)、煤炭行業(yè)、交通行業(yè)等眾多行業(yè)領(lǐng)域中得到廣泛應(yīng)用。因此，在當今高度重視網(wǎng)絡(luò)通信質(zhì)量與安全的環(huán)境下，加強專網(wǎng)通信系統(tǒng)軟交換安全對專網(wǎng)通信系統(tǒng)整體的安全性存在至關(guān)重要的影響。

2.專網(wǎng)通信軟交換系統(tǒng)的相關(guān)概述

專網(wǎng)通信是基于公共網(wǎng)絡(luò)長期發(fā)展下無法進一步滿足行業(yè)生產(chǎn)、管理與發(fā)展需求下，基于信息技術(shù)、網(wǎng)絡(luò)技術(shù)、計算機技術(shù)等科學(xué)技術(shù)創(chuàng)新應(yīng)用下，形成的滿足自身組織管理、安全生產(chǎn)以及營銷調(diào)度等工作需求的通信網(wǎng)絡(luò)[1]?；趯I(yè)通信網(wǎng)絡(luò)的發(fā)展專網(wǎng)通信系統(tǒng)建設(shè)與行業(yè)存在密切關(guān)聯(lián)性，側(cè)重于為行業(yè)提供專業(yè)性、個性化的服務(wù)。隨著IP PBX研究的不斷深入與完善，基于標準協(xié)議，如MGCP、H248等媒體網(wǎng)關(guān)控制協(xié)議，形成softswitching技術(shù)，即軟交換技術(shù)[2]。而軟交換技術(shù)的應(yīng)用，使專網(wǎng)通信系統(tǒng)由電路交換向軟交換逐漸演變，形成軟交換系統(tǒng)。

3.專網(wǎng)通信軟交換系統(tǒng)的網(wǎng)絡(luò)安全域

隨著專網(wǎng)通信軟交換系統(tǒng)在各領(lǐng)域中的廣泛應(yīng)用，軟交往網(wǎng)絡(luò)安全問題愈發(fā)凸顯，如何解決軟交換系統(tǒng)安全問題已經(jīng)成為學(xué)術(shù)界、產(chǎn)業(yè)界關(guān)注的重點話題之一。由軟交換系統(tǒng)本質(zhì)特征可知，軟交換網(wǎng)絡(luò)主要是由網(wǎng)絡(luò)設(shè)備、網(wǎng)管設(shè)備、運維設(shè)備以及軟交換終端等共同組成的。其中網(wǎng)管設(shè)備以及網(wǎng)絡(luò)運維多有應(yīng)用專網(wǎng)通信軟交換系統(tǒng)企業(yè)專業(yè)工作人員負責管控與監(jiān)督。在此背景下，受到多種因素的影響，專網(wǎng)通信軟交換安全無法得到有效保障。例如網(wǎng)絡(luò)病毒、惡意攻擊等網(wǎng)絡(luò)環(huán)境的影響，系統(tǒng)長期運行下設(shè)備損害的影響，軟交換系統(tǒng)自身存在的安全漏洞、軟交換系統(tǒng)中通信協(xié)議存在的影響以及監(jiān)管過程中存在的用戶私密信息泄漏、信息監(jiān)聽的影響[3]。基于此，為提升軟交換網(wǎng)絡(luò)安全性，通常情況下需將網(wǎng)絡(luò)進行安全區(qū)域劃分，針對不同區(qū)域安全需求，配設(shè)合理安全方案，提升專網(wǎng)通信軟交換系統(tǒng)應(yīng)用安全性、穩(wěn)定性與可靠性。

現(xiàn)階段，在專網(wǎng)通信軟交換系統(tǒng)中，可將網(wǎng)絡(luò)安全等級分為安全級、非安全級以及信任級三種類型。其中安全級主要表示網(wǎng)絡(luò)區(qū)域?qū)儆诎踩珔^(qū)域，其設(shè)備風險發(fā)生概率較低，不易受到不安全因素的影響；非安全級主要是指該網(wǎng)絡(luò)區(qū)域?qū)儆诓话踩珔^(qū)域，需要采用特定的方案與策略提升安全等級，實現(xiàn)區(qū)域安全保障；信任級則是指該網(wǎng)絡(luò)區(qū)域?qū)儆诓话踩珔^(qū)域，但是存在一定的可信息性，能夠通過相對較小的代價基于相對安全的保障，設(shè)備間的通信存在較高可信性。基于此，根據(jù)專網(wǎng)通信系統(tǒng)軟交換網(wǎng)絡(luò)設(shè)備以及軟交換網(wǎng)絡(luò)終端所在具體位置進行分析，依據(jù)所在網(wǎng)絡(luò)安全域（圖1），將軟交換網(wǎng)絡(luò)存在的安全問題進行評估與分析，探究不同區(qū)域下軟交換的特點與要求，從而才能有針對性、目的性的對安全方案進行處理與改進。

圖1 專網(wǎng)軟交換安全域劃分圖

由上圖分析可知，在專網(wǎng)通信軟交換系統(tǒng)中，專網(wǎng)通信軟交換系統(tǒng)大致可分為以下幾個網(wǎng)絡(luò)區(qū)域：

第一，包括軟交換核心設(shè)備、運維設(shè)備與網(wǎng)管設(shè)備在內(nèi)，需給予重點網(wǎng)絡(luò)安全保護的核心網(wǎng)絡(luò)區(qū)。該區(qū)域內(nèi)的安全性取決于網(wǎng)絡(luò)環(huán)境與設(shè)備運行情況，屬于安全信任級。

第二，PSTN（公共開關(guān)電話網(wǎng)絡(luò)）接入?yún)^(qū)域。該部分雖然處于用戶接入網(wǎng)絡(luò)，但是由于采用的是“窄帶接入”法，其安全等級與窄帶PSTN網(wǎng)絡(luò)域安全等級一致，屬于網(wǎng)絡(luò)安全級。

第三，基于軟交換網(wǎng)絡(luò)終端與局域網(wǎng)以及外網(wǎng)進行連接的部分，即“局域網(wǎng)IP用戶接入域”與“廣域網(wǎng)IP用戶接入域”，容易受公共網(wǎng)絡(luò)環(huán)境的影響，故安全等級相對較低，屬于網(wǎng)絡(luò)非安全級。

4.專網(wǎng)通信系統(tǒng)軟交換安全方案

專網(wǎng)通信軟交換系統(tǒng)的安全需實現(xiàn)軟交換網(wǎng)絡(luò)中數(shù)據(jù)、資源的保密性、可信性、真實性、完整性以及包含性。因此，基于存在的軟交換安全問題，可建立P2DRR安全保護模型，并采用隔離、控制等技術(shù)進行進一步完善，形成專網(wǎng)通信系統(tǒng)軟交換安全方案。

4.1 核心網(wǎng)絡(luò)域的安全方案

由上述分析可知，專網(wǎng)通信軟交換系統(tǒng)中，核心網(wǎng)絡(luò)域?qū)儆诎踩湃渭?，需采取一定的措施進行安全防護。在資料分析與工作經(jīng)驗總結(jié)中，可知核心網(wǎng)絡(luò)域的安全影響因素主要在于網(wǎng)絡(luò)層、應(yīng)用層的惡意攻擊，設(shè)備運行故障等等。對此，在進行安全防護時，可采用以下方法進行具體實踐。

首先，應(yīng)用安全隔離技術(shù)進行安全防護。例如，在一定條件下，采用物理專網(wǎng)模式進行組網(wǎng)隔離，即通過布設(shè)專用的核心網(wǎng)承載軟交換業(yè)務(wù)實現(xiàn)隔離保護，其安全性較高；或采用邏輯專網(wǎng)模式進行組網(wǎng)隔離，即通過借助VLAN（虛擬局域網(wǎng)）、VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）等技術(shù)，在邏輯上實現(xiàn)軟交換服務(wù)與其他服務(wù)之間的隔離，其成本投入相對較低。在具體實踐過程中，可根據(jù)實際情況，合理選擇隔離模式把整安全防護需求的滿足。

其次，采用亢余法進行專網(wǎng)通信系統(tǒng)軟交換的安全防護。例如，在軟交換系統(tǒng)IP網(wǎng)建設(shè)過程中，注重互聯(lián)網(wǎng)組網(wǎng)結(jié)構(gòu)的科學(xué)設(shè)置，通常情況下建議全網(wǎng)狀或半網(wǎng)狀的組網(wǎng)形式進行互聯(lián)網(wǎng)組網(wǎng)。與此同時，采用具有備份存儲功能的路由器，采用“雙歸屬”手段與網(wǎng)關(guān)設(shè)備、核心骨干網(wǎng)建立互聯(lián)。在此過程中。路由器之間需設(shè)置具有亢余性的多條通道，用以降低路由器故障或某線路故障對軟交換業(yè)務(wù)帶來不利影響。此外，在軟交換網(wǎng)絡(luò)的各層次中設(shè)置冗余部署交換設(shè)備，實現(xiàn)網(wǎng)絡(luò)安全的進一步提升。在此過程中需注意其與傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)間的差異性，保證設(shè)備應(yīng)用對各項業(yè)務(wù)需求的滿足。同時，可采用節(jié)點設(shè)備對稱連接、節(jié)點部署及時檢測、鏈路技術(shù)檢測、備用鏈路預(yù)設(shè)、基于IP、LDP、TE FRR等技術(shù)應(yīng)用下的協(xié)議鏈路切換等實現(xiàn)網(wǎng)絡(luò)的各層次余部署交換設(shè)備作用的最大化發(fā)揮。

與此同時，為保證核心網(wǎng)絡(luò)域內(nèi)軟交換設(shè)備的安全，可采用雙歸屬方案提升安全等級。針對具體設(shè)備，需根據(jù)具體情況進行具體分析。例如，注重通信級硬件平臺、電源運行、雙組機箱、單板熱插拔、設(shè)備網(wǎng)絡(luò)端口等的管理。就雙組機箱管理而言，保證機箱管理功能的健全，使機箱在整個系統(tǒng)運行中能夠正常工作，注重機箱的日常維修與養(yǎng)護。針對設(shè)備存在的問題能夠在第一時間發(fā)現(xiàn)故障點，探知故障產(chǎn)生原因。在此過程中，可通過建立機箱管理警報機制，針對可能存在的故障信息與故障恢復(fù)信息，建立數(shù)據(jù)庫（包括主用數(shù)據(jù)庫與備用數(shù)據(jù)庫），當主用數(shù)據(jù)庫發(fā)生故障時，能夠在第一時間切換到備用數(shù)據(jù)庫，保證系統(tǒng)運行的穩(wěn)定與安全。

此外，建立多層次軟件管理機制，實現(xiàn)對專網(wǎng)通信軟交換系統(tǒng)中各軟交換模塊故障的技術(shù)檢測、防護與恢復(fù)。例如，借助防火墻技術(shù)，在計算機設(shè)備中配置防火墻軟件，實現(xiàn)對軟交換網(wǎng)絡(luò)終端病毒與黑客惡意攻擊的有效防治。與此同時，配設(shè)多等級負載光控機制，實現(xiàn)對軟交換超負載的有效管控，實現(xiàn)軟交換重要業(yè)務(wù)的安全性與可靠性。此外，注重系統(tǒng)協(xié)議保護，通過建立完善、科學(xué)的協(xié)議安全機制實現(xiàn)系統(tǒng)安全性的提升。如利用SCTP協(xié)議（stream control transmission protocol，流控制傳輸協(xié)議）實現(xiàn)對SCTP偶連的安全保護；針對MGCP、H248等協(xié)議，采用加密技術(shù)，提升系統(tǒng)協(xié)議安全性。也可以采用“會話邊緣控制網(wǎng)關(guān)技術(shù)”，借助SBC（會話邊緣控制器）進行網(wǎng)絡(luò)隔離，實現(xiàn)對特定協(xié)議下軟交換業(yè)務(wù)報文的過濾與對邊緣路由器的標記，提升網(wǎng)絡(luò)管理安全性；實現(xiàn)非標準消息向標準消息的轉(zhuǎn)變，保證異構(gòu)網(wǎng)絡(luò)協(xié)議之間的有效互通。

4.2 IP用戶接入域的安全方案

由上述分析可知IP用戶接入域?qū)儆诜前踩?，加強IP用戶接入域的安全管理，對提升網(wǎng)絡(luò)安全、設(shè)備安全、信息安全等皆具有重要意義。對此，針對IP用戶接入域，需根據(jù)行業(yè)專網(wǎng)通信軟交換系統(tǒng)具體情況，對不同網(wǎng)絡(luò)區(qū)域下的用戶接入進行安全管控。

例如，就電力行業(yè)專網(wǎng)通信軟交換系統(tǒng)而言，可采用以下兩種方法給予安全防護。其一，采用MPLS VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)對VPN網(wǎng)絡(luò)進行安全保護。即，基于MPLS對IP數(shù)據(jù)集合進行標記，并形成新的MPLS數(shù)據(jù)集合，用以提升IP數(shù)據(jù)傳輸效率與質(zhì)量。同時，在路徑轉(zhuǎn)發(fā)過程中，實現(xiàn)對MPLS數(shù)據(jù)集合上標記的讀取，實現(xiàn)IP地址的有效隔離，提升網(wǎng)絡(luò)安全性。其二，利用通信代理技術(shù)，借助呼叫號碼，基于歸屬代理與接入代理的管理，實現(xiàn)軟交換與網(wǎng)絡(luò)終端以及各終端之間通信的有效隔離，提升IP用戶接入域的安全性。

5.結(jié)論

總而言之，專網(wǎng)通信軟交換系統(tǒng)建設(shè)與運行的安全,對軟交換系統(tǒng)的推廣與應(yīng)用存在直接影響。本文旨在通過對專網(wǎng)通信系統(tǒng)軟交換安全問題、安全策略與方案的研究，實現(xiàn)專網(wǎng)軟交換系統(tǒng)建設(shè)的優(yōu)化發(fā)展，為相關(guān)制造商與學(xué)術(shù)研究提供有益參考。

[1]李炳林,卜憲德,郭云飛.電力軟交換系統(tǒng)安全問題及策略研究[J].計算機科學(xué),2012,39S3:99-102.

[2]段普偉,朱煜.論軟交換系統(tǒng)在河南黃河通信專網(wǎng)中的應(yīng)用[J].科技視界,2016,06:314.

[3]朱雪琴,王天峰,蒲晶晶.適用于電力通信專網(wǎng)的軟交換平臺探討[J].中國新通信,2016,1812:13.