国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

NGN作為承載在分組網(wǎng)絡之上的下一代通信網(wǎng)絡，繼承了分組IP網(wǎng)絡的主要安全問題,包括黑客DOS攻擊、病毒蠕蟲木馬的入侵、非法掃描,信息盜取、電話盜聽,地址欺騙,信息騷擾等。

　　文/上海貝爾阿爾卡特股份有限公司 胡浩

　　一、NGN的安全威脅主要來自哪些方面?NGN的承載網(wǎng)——分組網(wǎng)絡是否是NGN安全性的決定因素?

　　(1) NGN作為承載在分組網(wǎng)絡之上的下一代通信網(wǎng)絡，繼承了分組IP網(wǎng)絡的主要安全問題,包括黑客DOS攻擊、病毒蠕蟲木馬的入侵、非法掃描,信息盜取、電話盜聽,地址欺騙,信息騷擾等。

　　(2) NGN核心系統(tǒng)位置相對集中,業(yè)務覆蓋面廣,NGN核心系統(tǒng)的安全成為NGN安全的重中之重。

　　(3) NGN終端多為有復雜操作系統(tǒng)的智能終端,接入的形式多種多樣,位置分散, 常與常規(guī)的數(shù)據(jù)終端同處于一個環(huán)境,使得終端系統(tǒng)遭到攻擊的可能性大大增加。

　　(4) IAD/IP Phone等終端及用戶通過冒用截獲的賬號進行非法接入,電話盜打,電話騷擾。

　　(5) NGN系統(tǒng)采用媒體流與控制分離的思路,客觀上增加了安全監(jiān)控的難度。

　　分組IP承載網(wǎng)絡是影響NGN安全性的重要方面,NGN網(wǎng)絡安全需要全方位的、整體的安全體系。

　　二、NGN與傳統(tǒng)電信網(wǎng)絡以及互聯(lián)網(wǎng)對安全的要求有何不同?能否描述一下安全的NGN環(huán)境應該達到何種效果?

　　1 NGN對安全的要求與傳統(tǒng)電信網(wǎng)絡對安全的要求不同

　　(1)傳統(tǒng)電信網(wǎng)絡強調(diào)網(wǎng)絡的可靠性和可用性，不強調(diào)網(wǎng)上應用的安全;NGN不僅要強調(diào)業(yè)務的可用性和可控性，還要強調(diào)承載網(wǎng)的可靠性和生存性，而且要保證信息傳遞的完整性、機密性和不可否認性。

　　(2) NGN系統(tǒng)按業(yè)務層、控制層、承載層進行分離,各層所有相關設備采用標準協(xié)議,同時NGN采用IP進行承載,這種開放性和公用性在一定程度上加大了NGN受到黑客或病毒程序的攻擊或干擾的概率，面臨如用戶仿冒、盜打、破壞服務、搶占資源等安全問題。

　　(3)傳統(tǒng)電信網(wǎng)對信令網(wǎng)的安全要求高,一般為獨立的信令網(wǎng),信令網(wǎng)的安全可靠保證了網(wǎng)絡的安全;NGN強調(diào)網(wǎng)絡融合,信令網(wǎng)與傳輸網(wǎng)用同一張網(wǎng)進行承載,承載網(wǎng)的安全變得非常重要。

　　(4)傳統(tǒng)電信網(wǎng)的傳輸采用TDM的專線,用戶之間采用面向連接的通道進行通信,其他用戶很難插入偷聽;NGN采用IP技術進行通信,由于IP的無連接性,及不對源地址進行認證的特性,黑客容易截取通話,盜用賬號,電話騷擾。

　　(5)由于傳統(tǒng)電信網(wǎng)用戶線TDM用戶速率的限制,及可以按照物理端口進行追溯跟蹤的特性,黑客很難對網(wǎng)絡系統(tǒng)進行DOS攻擊;NGN由于采用IP承載,按照用戶進行通信管理，黑客可以冒充其他帳戶,向網(wǎng)絡發(fā)送大量流量對NGN系統(tǒng)進行DOS攻擊。

　　2 NGN對安全的要求與互聯(lián)網(wǎng)對安全的要求不同

　　(1)一般來說，傳統(tǒng)互聯(lián)網(wǎng)運營商只提供網(wǎng)絡通路，不提供端到端的網(wǎng)絡安全服務，端到端的安全主要靠互聯(lián)網(wǎng)用戶自己解決;NGN系統(tǒng)由于強調(diào)為用戶提供的安全可靠的服務,必須要求網(wǎng)絡做到端到端的安全保證,如采用SIP加密,RTP加密,IPsec,VPN等通道安全措施,要求NGN終端在接入系統(tǒng)時,要進行身份認證,MAC地址,IP地址等物理屬性的檢查,用戶在使用NGN服務時,也必須進行帳戶的認證。

　　(2)互聯(lián)網(wǎng)業(yè)務基本上是一種基于“盡力而為”的機制,對業(yè)務的中斷不敏感，可以通過節(jié)點冗余、鏈路冗余、模塊冗余等方式，利用路由協(xié)議進行收斂，達到秒級的業(yè)務收斂時間，以保證服務的可靠性;而NGN承載的實時語音業(yè)務不允許出現(xiàn)業(yè)務中斷，要求承載網(wǎng)具有低于秒級的快速收斂能力，因此除了上述方式外，還必須強調(diào)系統(tǒng)設備具有高度可靠性,并且能夠利用MPLS 快速重路由, 路由協(xié)議快速收斂和網(wǎng)絡設備的不間斷服務NSR/NSS等技術實現(xiàn)毫秒級的鏈路和節(jié)點保護。軟交換系統(tǒng)、業(yè)務系統(tǒng)能夠做到異地冗災熱備,一個NGN核心系統(tǒng)的故障不會影響整個系統(tǒng)的大面積宕機。

　　(3)互聯(lián)網(wǎng)強調(diào)網(wǎng)絡設備自身的安全,采取路由協(xié)議加密,ACL等措施使得網(wǎng)絡設備不受攻擊;NGN除了要求網(wǎng)絡系統(tǒng)設備本身的安全以外,還要求NGN系統(tǒng)在核心設備的出口部署防火墻,入侵防護系統(tǒng)IPS、會話邊界控制器SBC等安全設備,以保護NGN核心設備的安全。

　　三、目前應該從哪些方面著手解決NGN的安全問題?

　　NGN的安全問題是軟交換商用過程中需要面對和解決的主要問題，目前而言，以下問題值得重視:

　　(1)跟蹤NGN系統(tǒng)面臨的不斷變化的各種安全威脅,啟用嚴格的網(wǎng)絡安全機制，系統(tǒng)關閉任何不使用的網(wǎng)絡服務，防止非法用戶通過非法的服務入侵設備;通過隔離、過濾、監(jiān)測、認證、加密等手段降低遭受攻擊的可能性，并檢測、記錄攻擊的發(fā)生，保證攻擊的可溯源性。

　　(2)制定NGN安全標準規(guī)范。由于各廠家在保證NGN安全方面的做法不盡相同,迫切需要有關部門能夠統(tǒng)一協(xié)調(diào),制定統(tǒng)一規(guī)范,以保證NGN系統(tǒng)在業(yè)務提供層面,在NGN信令層面,在IP承載層面,在終端層面等各個不同環(huán)節(jié)保證NGN系統(tǒng)的互聯(lián)戶通及NGN業(yè)務的安全提供。

　　(3)對NGN的協(xié)議安全進行深入研究。隨著NGN的日益普及,SIP、BICC、H248、Sigtran等NGN協(xié)議在IP承載網(wǎng)上進行傳輸時需要考慮相應的協(xié)議安全性、反攻擊性，需要對NGN協(xié)議的安全性進一步研究，防患于未然。

　　(4)關注NGN終端接入的安全。當前NGN核心系統(tǒng)的建設采用物理隔離，VPN邏輯隔離，以及采用防火墻等安全設備,安全基本上得到保證。在NGN終端層面，由于網(wǎng)絡接入形式多種多樣，面臨的安全風險很多，給NGN整個系統(tǒng)的安全帶來了隱患，所以需要業(yè)界建立標準的NGN終端接入安全體系。

　　四、在NGN網(wǎng)絡中，是否需要對不同業(yè)務劃分安全等級?劃分標準為何?

　　在NGN網(wǎng)絡中,運營商必須保證提供的各種業(yè)務的安全,可以把NGN系統(tǒng)設備,各種業(yè)務服務器歸屬于不同的安全域,不同的安全域?qū)獮椴煌陌踩燃?，安全等級的劃分保證了高級別安全域的系統(tǒng)設備與低等級系統(tǒng)的安全隔離。等級高的安全域可以訪問低等級的安全域，低等級的安全域不能直接訪問高等級的安全域，如果要訪問，必須經(jīng)過嚴格的狀態(tài)檢測。

　　安全級別的劃分可以根據(jù)系統(tǒng)設備的重要程度, 各種業(yè)務面臨的安全威脅的嚴重程度,進行安全級別的劃分,比如NGN系統(tǒng)可以把一些關鍵信令設備，重要的業(yè)務服務器放入信任區(qū)安全等級，而把Web門戶，測試終端，DNS/DHCP等設備放在半信任區(qū)，把一些外網(wǎng)設備如NGN終端，網(wǎng)管終端，SBC等放在非信任區(qū)安全等級。

　　對于不同的NGN業(yè)務,如語音業(yè)務,多媒體業(yè)務等可以根據(jù)用戶的SLA,用戶等級,業(yè)務特征劃分不同的QoS等級,以為高等級的業(yè)務提供在帶寬、時延、抖動、收斂時間、安全等方面提供不同的服務質(zhì)量保證,比如可以允許語音視頻等實時性要求高的業(yè)務分配確定的帶寬,而對實時性要求不高的數(shù)據(jù)業(yè)務,可以限制其訪問帶寬。至于QoS等級劃分，國際標準組織如ITU-T也有相應的推薦標準,一些運營商已經(jīng)有了自己的企業(yè)標準。

　　五、多媒體應用是NGN業(yè)務的一個主要代表，也是固網(wǎng)運營商大力發(fā)展的寬帶業(yè)務之一，目前對于承載在互聯(lián)網(wǎng)上的視頻業(yè)務安全威脅主要來自哪里?是否有適當?shù)膽獙Σ呗?

　　NGN視頻業(yè)務主要包括點對點視頻業(yè)務和多點視頻會議業(yè)務，對于點對點視頻業(yè)務,安全威脅與NGN語音基本上是一樣的，主要是受到DOS攻擊，病毒蠕蟲的影響,由于視頻業(yè)務對帶寬的敏感，很容易受到攻擊。多點視頻業(yè)務的安全威脅，主要來自于非法盜聽，視頻服務器的DOS攻擊。

　　采用SBC等設備作為軟交換協(xié)議應用層防火墻，具備入侵檢測、帶寬控制策略、保護會話不被竊取、防止RIP流擁塞和呼叫干擾等功能，可以使核心網(wǎng)設備免受惡意攻擊和突發(fā)的DOS攻擊，防止服務欺騙等其它類型的安全風險，提供進入權控制方法(Admission control policies)，可以控制并保障會話總數(shù)、會話帶寬以及會話類型。會話傳送質(zhì)量的保證還依賴兩端路由器中業(yè)務優(yōu)先級的正確設置，SBC支持數(shù)據(jù)包的有效處理，能夠清楚地標明QoS等級，減去邊緣路由器的工作量。

　　六、目前有哪些技術可以幫助實現(xiàn)NGN的安全性?這些技術的的演進過程以及方向?(最好可以詳細列舉)

　　目前用來解決NGN安全性的應對措施主要包括媒體流的加密傳送，SIP消息的加密，VPN技術，IPsec隧道技術,接入網(wǎng)的邏輯或物理隔離，終端的接入許可，帳戶密碼的加密認證,承載網(wǎng)的防偽裝技術與安全過濾，NGN核心的防火墻、入侵防護技術等等。

　　NGN的安全與其他業(yè)務一樣，不可能一蹴而就，需要不斷演進,其中一個重要的發(fā)展方向是NGN的安全更加強調(diào)用戶接入的安全，比如終端的網(wǎng)絡接入許可控制，針對每一用戶設置接入訪問控制列表，并限制用戶的訪問速度。

　　七、NGN作為下一代網(wǎng)絡的整體概念，其安全涉及面應該非常廣泛，目前是否有單位或組織進行NGN安全體系框架的研究和制定?目前我國政府、運營商或設備廠商已經(jīng)做了哪些工作?

　　目前在IMS相關標準組織中把NGN的安全做為單獨的課題進行研究，如ITU-T FGNGN在IMS體系架構中提出NGN安全架構，研究NGN安全的體系架構，研究提供端到端的安全機制，提供應用于多個管理域的安全解決方案。但還處于不斷發(fā)展當中。 IETF 對于NGN及安全方面主要關注于SIP協(xié)議、IPv6和網(wǎng)絡安全的研究。

　　我國相關廠家及研究機構專家近幾年對NGN領域的關注程度大大提高,ITU-TNGN會議我國專家參會人數(shù)以及提交的文稿數(shù)越來越多，并承擔了多個新建議草案的起草。作為NGN領域的重要設備制造商之一，上海貝爾阿爾卡特已向國際電信聯(lián)盟(ITU)提交了50余篇NGN標準文稿，均被采納，另外，上海貝爾阿爾卡特還負責主導和參與了20余項NGN國家標準的制定(已批準和發(fā)布)。