胡浩 2006/05/18

一、NGN的安全威脅主要來自哪些方面?NGN的承載網——分組網絡是否是NGN安全性的決定因素?

1. NGN作為承載在分組網絡之上的下一代通信網絡，繼承了分組IP網絡的主要安全問題,包括黑客DOS攻擊、病毒蠕蟲木馬的入侵、非法掃描,信息盜取、電話盜聽,地址欺騙,信息騷擾等。


2. NGN終端多為有復雜操作系統(tǒng)的智能終端,接入的形式多種多樣,位置分散, 常與常規(guī)的數據終端同處于一個環(huán)境,使得終端系統(tǒng)遭到攻擊的可能性大大增加。


3. NGN系統(tǒng)采用媒體流與控制分離的思路,客觀上增加了安全監(jiān)控的難度。

　　分組IP承載網絡是影響NGN安全性的重要方面,NGN網絡安全需要全方位的、整體的安全體系。
二、NGN與傳統(tǒng)電信網絡以及互聯網對安全的要求有何不同?能否描述一下安全的NGN環(huán)境應該達到何種效果?
1. NGN對安全的要求與傳統(tǒng)電信網絡對安全的要求不同 　　

1. 傳統(tǒng)電信網絡強調網絡的可靠性和可用性，不強調網上應用的安全;NGN不僅要強調業(yè)務的可用性和可控性，還要強調承載網的可靠性和生存性，而且要保證信息傳遞的完整性、機密性和不可否認性。


2. NGN系統(tǒng)按業(yè)務層、控制層、承載層進行分離,各層所有相關設備采用標準協議,同時NGN采用IP進行承載,這種開放性和公用性在一定程度上加大了NGN受到黑客或病毒程序的攻擊或干擾的概率，面臨如用戶仿冒、盜打、破壞服務、搶占資源等安全問題。


3. 傳統(tǒng)電信網對信令網的安全要求高,一般為獨立的信令網,信令網的安全可靠保證了網絡的安全;NGN強調網絡融合,信令網與傳輸網用同一張網進行承載,承載網的安全變得非常重要。


4. 傳統(tǒng)電信網的傳輸采用TDM的專線,用戶之間采用面向連接的通道進行通信,其他用戶很難插入偷聽;NGN采用IP技術進行通信,由于IP的無連接性,及不對源地址進行認證的特性,黑客容易截取通話,盜用帳號,電話騷擾。


5. 由于傳統(tǒng)電信網用戶線TDM用戶速率的限制,及可以按照物理端口進行追溯跟蹤的特性,黑客很難對網絡系統(tǒng)進行DOS攻擊;NGN由于采用IP承載,按照用戶進行通信管理，黑客可以冒充其他帳戶,向網絡發(fā)送大量流量對NGN系統(tǒng)進行DOS攻擊。

2 NGN對安全的要求與互聯網對安全的要求不同 　　

1. 一般來說，傳統(tǒng)互聯網運營商只提供網絡通路，不提供端到端的網絡安全服務，端到端的安全主要靠互聯網用戶自己解決;NGN系統(tǒng)由于強調為用戶提供的安全可靠的服務,必須要求網絡做到端到端的安全保證,如采用SIP加密,RTP加密,IPsec,VPN等通道安全措施,要求NGN終端在接入系統(tǒng)時,要進行身份認證,MAC地址,IP地址等物理屬性的檢查,用戶在使用NGN服務時,也必須進行帳戶的認證。


2. 互聯網業(yè)務基本上是一種基于“盡力而為”的機制,對業(yè)務的中斷不敏感，可以通過節(jié)點冗余、鏈路冗余、模塊冗余等方式，利用路由協議進行收斂，達到秒級的業(yè)務收斂時間，以保證服務的可靠性;而NGN承載的實時語音業(yè)務不允許出現業(yè)務中斷，要求承載網具有低于秒級的快速收斂能力，因此除了上述方式外，還必須強調系統(tǒng)設備具有高度可靠性,并且能夠利用MPLS 快速重路由, 路由協議快速收斂和網絡設備的不間斷服務NSR/NSS等技術實現毫秒級的鏈路和節(jié)點保護。軟交換系統(tǒng)、業(yè)務系統(tǒng)能夠做到異地冗災熱備,一個NGN核心系統(tǒng)的故障不會影響整個系統(tǒng)的大面積宕機。


3. 互聯網強調網絡設備自身的安全,采取路由協議加密,ACL等措施使得網絡設備不受攻擊;NGN除了要求網絡系統(tǒng)設備本身的安全以外,還要求NGN系統(tǒng)在核心設備的出口部署防火墻,入侵防護系統(tǒng)IPS、會話邊界控制器SBC等安全設備,以保護NGN核心設備的安全。

三、目前應該從哪些方面著手解決NGN的安全問題?
　　NGN的安全問題是軟交換商用過程中需要面對和解決的主要問題，目前而言，以下問題值得重視:

1. 跟蹤NGN系統(tǒng)面臨的不斷變化的各種安全威脅,啟用嚴格的網絡安全機制，系統(tǒng)關閉任何不使用的網絡服務，防止非法用戶通過非法的服務入侵設備;通過隔離、過濾、監(jiān)測、認證、加密等手段降低遭受攻擊的可能性，并檢測、記錄攻擊的發(fā)生，保證攻擊的可溯源性。


　　安全級別的劃分可以根據系統(tǒng)設備的重要程度, 各種業(yè)務面臨的安全威脅的嚴重程度,進行安全級別的劃分,比如NGN系統(tǒng)可以把一些關鍵信令設備，重要的業(yè)務服務器放入信任區(qū)安全等級，而把Web門戶，測試終端，DNS/DHCP等設備放在半信任區(qū)，把一些外網設備如NGN終端，網管終端，SBC等放在非信任區(qū)安全等級。
　　對于不同的NGN業(yè)務,如語音業(yè)務,多媒體業(yè)務等可以根據用戶的SLA,用戶等級,業(yè)務特征劃分不同的QoS等級,以為高等級的業(yè)務提供在帶寬、時延、抖動、收斂時間、安全等方面提供不同的服務質量保證,比如可以允許語音視頻等實時性要求高的業(yè)務分配確定的帶寬,而對實時性要求不高的數據業(yè)務,可以限制其訪問帶寬。至于QoS等級劃分，國際標準組織如ITU-T也有相應的推薦標準,一些運營商已經有了自己的企業(yè)標準。
五、多媒體應用是NGN業(yè)務的一個主要代表，也是固網運營商大力發(fā)展的寬帶業(yè)務之一，目前對于承載在互聯網上的視頻業(yè)務安全威脅主要來自哪里?是否有適當的應對策略?
　　NGN視頻業(yè)務主要包括點對點視頻業(yè)務和多點視頻會議業(yè)務，對于點對點視頻業(yè)務,安全威脅與NGN語音基本上是一樣的，主要是受到DOS攻擊，病毒蠕蟲的影響,由于視頻業(yè)務對帶寬的敏感，很容易受到攻擊。多點視頻業(yè)務的安全威脅，主要來自于非法盜聽，視頻服務器的DOS攻擊。
　　采用SBC等設備作為軟交換協議應用層防火墻，具備入侵檢測、帶寬控制策略、保護會話不被竊取、防止RIP流擁塞和呼叫干擾等功能，可以使核心網設備免受惡意攻擊和突發(fā)的DOS攻擊，防止服務欺騙等其它類型的安全風險，提供進入權控制方法(Admission control policies)，可以控制并保障會話總數、會話帶寬以及會話類型。會話傳送質量的保證還依賴兩端路由器中業(yè)務優(yōu)先級的正確設置，SBC支持數據包的有效處理，能夠清楚地標明QoS等級，減去邊緣路由器的工作量。
六、目前有哪些技術可以幫助實現NGN的安全性?這些技術的的演進過程以及方向?(最好可以詳細列舉)
　　目前用來解決NGN安全性的應對措施主要包括媒體流的加密傳送，SIP消息的加密，VPN技術，IPsec隧道技術,接入網的邏輯或物理隔離，終端的接入許可，帳戶密碼的加密認證,承載網的防偽裝技術與安全過濾，NGN核心的防火墻、入侵防護技術等等。
　　NGN的安全與其他業(yè)務一樣，不可能一蹴而就，需要不斷演進,其中一個重要的發(fā)展方向是NGN的安全更加強調用戶接入的安全，比如終端的網絡接入許可控制，針對每一用戶設置接入訪問控制列表，并限制用戶的訪問速度。
七、NGN作為下一代網絡的整體概念，其安全涉及面應該非常廣泛，目前是否有單位或組織進行NGN安全體系框架的研究和制定?目前我國政府、運營商或設備廠商已經做了哪些工作?
　　目前在IMS相關標準組織中把NGN的安全做為單獨的課題進行研究，如ITU-T FGNGN在IMS體系架構中提出NGN安全架構，研究NGN安全的體系架構，研究提供端到端的安全機制，提供應用于多個管理域的安全解決方案。但還處于不斷發(fā)展當中。 IETF 對于NGN及安全方面主要關注于SIP協議、IPv6和網絡安全的研究。
　　我國相關廠家及研究機構專家近幾年對NGN領域的關注程度大大提高,ITU-TNGN會議我國專家參會人數以及提交的文稿數越來越多，并承擔了多個新建議草案的起草。作為NGN領域的重要設備制造商之一，上海貝爾阿爾卡特已向國際電信聯盟(ITU)提交了50余篇NGN標準文稿，均被采納，另外，上海貝爾阿爾卡特還負責主導和參與了20余項NGN國家標準的制定(已批準和發(fā)布)。

ChinaByte(e.chinabyte.com)