软交换网络安全需求分析

8．6　软交换网络安全需求分析

根据软交换网络各部分的安全需求，可以将软交换网络划分为核心网、Internet接入网、支撑系统和第三方应用网络4个安全域，如图8．15所示。

图8．15　软交换网络安全域的划分

核心网安全域包括所有的软交换机，TG、AG、SG等网关，BGW类设备，关键业务平台（包括SHLR、号码转换平台等），软交换媒体服务器和应用服务器，开发给第三方业务接口的应用网关。Internet接入网安全域包括所有分配公网地址的SIP电话终端、IAD类设备、各类SIP接入的PC等。支撑系统安全域包括网管、计费和OSS等辅助运营系统。第三方应用网络安全域主要包括所有以开发业务接口方式接入的应用服务器，鉴于目前实际应用中很少涉及这种应用，这里不讨论该区域的安全需求。

每个安全域都有各自的组成和特点，因此每个安全域都有各自的安全需求。

（1）核心网安全域的安全需求。核心网安全域是软交换网络的安全核心。从现网情况来看，核心网的承载层一般都采用专用IP网和VPN方式组网，安全域内设备（包括各种AG）本身的管理和控制可以认为是安全的。核心网安全域的安全需求有：设备的可用性，即可以在各种情况下（包括设备故障、网络风暴、话务冲击等）保证设备和承载业务的正常运行；需要在核心网与其他网络连接处部署BGW和防火墙等设备进行内外网隔离；网络中的SS等设备需具备完善的设备认证和授信方式，防止非法登录；核心网节点间需采用心跳和媒体检测等方式进行状态检查，及时更新节点状态，保证业务正常；接入节点需具备带宽和业务管理能力，防止用户非法占用带宽和使用业务；核心网节点应具备对异常信令和消息的处理能力，防止人为攻击等造成节点瘫痪或过负。

（2）Internet接入网安全域的安全需求。Internet存在安全问题，当通过Internet提供软交换业务时，需要保证业务接入设备与软交换网络之间的通信安全。Internet接入网安全域的安全需求有：在SIP电话、软件电话等终端设备与Internet和软交换网络互连设备之间需要应用L2TP、IPSec等隧道技术；小容量AGW、IAD等通过Internet接入时，它们与Internet和软交换网络互连设备之间需要应用GRE、IPinIP、IPSec等隧道技术；需要完善的接入设备认证和授信手段，防止冒名使用。

（3）支撑系统安全域的安全需求。支撑系统主要包括网管、计费和OSS等系统。虽然支撑系统不向用户直接提供业务，且都在内网区域内，受攻击的可能性较小，但是其功能的特殊性且大多采用通用操作系统，因此必须保证其安全。支撑系统安全域的安全需求有：高强度的用户认证机制；重要系统需要进行物理隔离，并且网间需要部署功能强大的防火墙设备；需要优化系统安全策略。