軟交換網(wǎng)絡(luò)還是比較常用的，于是我研究了一下關(guān)于軟交換網(wǎng)絡(luò)的安全需求分析，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。在描述和分析軟交換網(wǎng)絡(luò)安全的過(guò)程中產(chǎn)生了“安全域”的概念，安全域是描述如何管理和控制網(wǎng)絡(luò)安全的模型，在一個(gè)安全域內(nèi)有相同的安全保護(hù)需求，可以實(shí)施相同的安全保護(hù)機(jī)制。

安全域之間根據(jù)不同的安全等級(jí)需求，可以在安全域邊界部署隔離、控制等安全策略。根據(jù)軟交換網(wǎng)絡(luò)各部分的安全需求，可以將軟交換網(wǎng)絡(luò)劃分為核心網(wǎng)、Internet接入網(wǎng)、支撐系統(tǒng)和第三方應(yīng)用網(wǎng)絡(luò)4個(gè)安全域，如圖1所示。

核心網(wǎng)安全域包括所有的軟交換機(jī)，TG、AG、SG等接入網(wǎng)關(guān)，BGW類設(shè)備，關(guān)鍵業(yè)務(wù)平臺(tái)（包括SHLR、號(hào)碼轉(zhuǎn)換平臺(tái)等），軟交換媒體服務(wù)器和應(yīng)用服務(wù)器，開(kāi)發(fā)給第三方業(yè)務(wù)接口的應(yīng)用網(wǎng)關(guān)。Internet接入網(wǎng)安全域包括所有分配公網(wǎng)地址的SIP電話終端、IAD類設(shè)備、各類SIP接入的PC等。支撐系統(tǒng)安全域包括網(wǎng)管、計(jì)費(fèi)和OSS等輔助運(yùn)營(yíng)系統(tǒng)。第三方應(yīng)用網(wǎng)絡(luò)安全域主要包括所有以開(kāi)發(fā)業(yè)務(wù)接口方式接入的應(yīng)用服務(wù)器，鑒于目前實(shí)際應(yīng)用中很少涉及到這種應(yīng)用，這里不討論該區(qū)域的安全需求。

各安全域的安全需求

（1）核心網(wǎng)安全域

核心網(wǎng)安全域是軟交換網(wǎng)絡(luò)的安全核心。從現(xiàn)網(wǎng)情況來(lái)看，核心網(wǎng)的承載層一般都采用專用IP網(wǎng)和VPN方式組網(wǎng)，安全域內(nèi)設(shè)備（包括各種AG）本身的管理和控制可以認(rèn)為是安全的。核心網(wǎng)安全域的安全需求有：設(shè)備的可用性，即可以在各種情況下（包括設(shè)備故障、網(wǎng)絡(luò)風(fēng)暴、話務(wù)沖擊等）保證設(shè)備和承載業(yè)務(wù)的正常運(yùn)行；需要在核心網(wǎng)與其他網(wǎng)絡(luò)連接處部署B(yǎng)GW和防火墻等設(shè)備進(jìn)行內(nèi)外網(wǎng)隔離；網(wǎng)絡(luò)中的SS等設(shè)備需具備完善的設(shè)備認(rèn)證和授信方式，防止非法登錄；核心網(wǎng)節(jié)點(diǎn)間需采用心跳和媒體檢測(cè)等方式進(jìn)行狀態(tài)檢查，及時(shí)更新節(jié)點(diǎn)狀態(tài)，保證業(yè)務(wù)正常；接入節(jié)點(diǎn)需具備帶寬和業(yè)務(wù)管理能力，防止用戶非法占用帶寬和使用業(yè)務(wù)；核心網(wǎng)節(jié)點(diǎn)應(yīng)具備對(duì)異常信令和消息的處理能力，防止人為攻擊等造成節(jié)點(diǎn)癱瘓或過(guò)負(fù)。

（2）Internet接入網(wǎng)安全域

Internet存在安全問(wèn)題，當(dāng)通過(guò)Internet提供軟交換業(yè)務(wù)時(shí)，需要保證業(yè)務(wù)接入設(shè)備與軟交換網(wǎng)絡(luò)之間的通信安全。Internet接入網(wǎng)安全域的安全需求有：在SIP電話、軟件電話等終端設(shè)備與Internet和軟交換網(wǎng)絡(luò)互聯(lián)設(shè)備之間需要應(yīng)用L2TP、IPSec等隧道技術(shù)；小容量AGW、IAD等通過(guò)Internet接入時(shí)，它們與Internet和軟交換網(wǎng)絡(luò)互聯(lián)設(shè)備之間需要應(yīng)用GRE、IPinIP、IPSec等隧道技術(shù)；需要完善的接入設(shè)備認(rèn)證和授信手段，防止冒名使用。

（3）支撐系統(tǒng)安全域

支撐系統(tǒng)主要包括網(wǎng)管、計(jì)費(fèi)和OSS等系統(tǒng)。雖然支撐系統(tǒng)不向用戶直接提供業(yè)務(wù)，且都在內(nèi)網(wǎng)區(qū)域內(nèi)，受攻擊的可能性較小，但其功能的特殊性且大多采用通用操作系統(tǒng)，因此必須保證其安全。支撐系統(tǒng)安全域的安全需求有：高強(qiáng)度的用戶認(rèn)證機(jī)制；重要系統(tǒng)需要進(jìn)行物理隔離，并且網(wǎng)間需要部署功能強(qiáng)大的防火墻設(shè)備；需要優(yōu)化系統(tǒng)安全策略。

軟交換網(wǎng)絡(luò)安全措施

（1）承載網(wǎng)層面

軟交換網(wǎng)絡(luò)的承載層現(xiàn)在除了用專網(wǎng)和MPLS VPN等手段進(jìn)行網(wǎng)絡(luò)隔離外，一些廠商采用在關(guān)鍵節(jié)點(diǎn)放置網(wǎng)絡(luò)探頭，以ping段包的形式進(jìn)行偵聽(tīng)等手段進(jìn)行網(wǎng)絡(luò)質(zhì)量監(jiān)控，目前這種方式有以下難題需要解決：一是ping包和軟交換消息包的長(zhǎng)度差異較大，在一定丟包率情況下無(wú)法滿足軟交換信令的要求；二是ping包的頻率不能設(shè)置太短，在承載網(wǎng)完全中斷情況下，可以準(zhǔn)確定位故障點(diǎn)，但是在閃斷或者網(wǎng)絡(luò)質(zhì)量不穩(wěn)定情況下，難以保證實(shí)時(shí)性業(yè)務(wù)的質(zhì)量和實(shí)現(xiàn)故障定位。

（2）網(wǎng)絡(luò)層面

在軟交換設(shè)計(jì)和規(guī)劃期間，應(yīng)該對(duì)軟交換網(wǎng)絡(luò)安全有全面考慮：承載網(wǎng)的安全，包括網(wǎng)絡(luò)隔離、防攻擊等；關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)的備份和用戶的業(yè)務(wù)歸屬；業(yè)務(wù)的合理配備和設(shè)置，盡量在分散和易管理間找到平衡。對(duì)于軟交換網(wǎng)絡(luò)特有的雙歸屬容災(zāi)應(yīng)該加以充分利用，彌補(bǔ)網(wǎng)絡(luò)安全漏洞，但需注意對(duì)雙歸屬機(jī)制進(jìn)行完善，包括網(wǎng)關(guān)的切換策略、軟交換的控制策略、心跳參數(shù)設(shè)置策略、容災(zāi)數(shù)據(jù)庫(kù)管理等。

（3）軟交換設(shè)備層面

軟交換設(shè)備的安全主要靠廠商的安全設(shè)計(jì)來(lái)保證，但同時(shí)應(yīng)該重視以下幾個(gè)方面：建立關(guān)鍵板件檢測(cè)制度和定期切換檢測(cè)制度，充分保證關(guān)鍵板件倒換成功；為了保證軟件版本和補(bǔ)丁的安全性，廠商應(yīng)建立軟件版本安全控制體系，運(yùn)營(yíng)商應(yīng)加強(qiáng)入網(wǎng)檢驗(yàn)制度和應(yīng)用流程管理，共同解決軟件的安全性和兼容性問(wèn)題；充分了解和用好設(shè)備的自保護(hù)措施，如軟交換的過(guò)負(fù)荷保護(hù)機(jī)制。

（4）管理層面

網(wǎng)絡(luò)安全工作是一個(gè)以管理為主的系統(tǒng)工程，靠的是“三分技術(shù)，七分管理”，因此必須制定一系列的安全管理制度、安全評(píng)估和風(fēng)險(xiǎn)處置手段、應(yīng)急預(yù)案等，這些措施應(yīng)覆蓋網(wǎng)絡(luò)安全的各個(gè)方面，達(dá)到能夠解決的安全問(wèn)題及時(shí)解決，可以減輕的安全問(wèn)題進(jìn)行加固，不能解決的問(wèn)題編制應(yīng)急預(yù)案減少安全威脅。與此同時(shí)，需要強(qiáng)有力的管理來(lái)保障這些制度和手段落到實(shí)處。

結(jié)束語(yǔ)

軟交換網(wǎng)絡(luò)是一個(gè)新的網(wǎng)絡(luò)，它不僅肩負(fù)著PSTN業(yè)務(wù)過(guò)渡的重任，還擔(dān)負(fù)著新業(yè)務(wù)和新網(wǎng)絡(luò)的未來(lái)，IP承載、網(wǎng)關(guān)多重歸屬、承載和業(yè)務(wù)分離、更加開(kāi)放的接口等新特性無(wú)一不對(duì)網(wǎng)絡(luò)安全提出了高要求，軟交換網(wǎng)絡(luò)安全將是一個(gè)需要長(zhǎng)期關(guān)注和研究的話題。