目前不少電信運營商在考慮軟交換、3G等業(yè)務的承載時，往往一開始就將眼光投向目前已經建成并正在運營的公眾互聯(lián)網絡，這種想法一旦付諸實施將給電信業(yè)務的開展留下巨大的安全隱患�，F(xiàn)有的公眾互聯(lián)網絡為了迎合互聯(lián)網絡開放性和端到端透明的需要，業(yè)務流、信令和控制流、網絡和業(yè)務管理流在同一網絡空間承載，導致電信運營商的網元設備、業(yè)務系統(tǒng)和管理系統(tǒng)等對用戶可見，這就給惡意用戶對這些設備和系統(tǒng)的攻擊創(chuàng)造了條件，一旦攻擊成功將可能影響某一電信業(yè)務甚至一系列電信業(yè)務的提供。同時，公眾互聯(lián)網絡上頻發(fā)的大規(guī)模異常攻擊流量以及垃圾郵件、虛假地址流量等垃圾流量，都在大量擠占網絡帶寬，將直接影響語音等電信業(yè)務的服務質量。鑒于上述種種安全風險，運營商需從平面分離控制及帶寬管理等方面著手，建設一張安全的電信IP承載網絡，以滿足電信網絡IP化的要求。
網絡平面的邏輯分離
　　首先，應在目前IP網絡架構下實現(xiàn)各電信業(yè)務的業(yè)務平面、控制平面、管理平面的邏輯分離，其中互聯(lián)網業(yè)務平面主要承載互聯(lián)網業(yè)務流，互聯(lián)網控制平面承載IP路由控制信息，互聯(lián)網管理平面承載互聯(lián)網業(yè)務的認證、計費、網管信息；軟交換業(yè)務平面主要承載語音流、媒體流，軟交換控制平面承載信令流，軟交換管理平面承載相應的認證、計費信息等。通過平面的邏輯分離，一方面使電信運營商的關鍵業(yè)務系統(tǒng)和管理系統(tǒng)對用戶不再直接可見，有效避免惡意用戶對這些設備和系統(tǒng)的攻擊；另一方面可限制安全問題的影響范圍，即某個電信業(yè)務存在的安全問題不會擴散影響至其它電信業(yè)務，例如互聯(lián)網用戶將無法直接攻擊軟交換、3G等業(yè)務。
　　不同平面的邏輯分離可通過以MPLSVPN為主，VLAN、專線接入為輔的方式實現(xiàn)�？紤]具體實施難度，互聯(lián)網業(yè)務平面和互聯(lián)網控制平面可直接承載在IP網絡上，互聯(lián)網管理平面、軟交換業(yè)務平面、軟交換控制平面、軟交換管理平面等分別承載于不同的MPLSVPN中。核心設備，如TG、SG、SS等，可用光纖/SDH/MSTP等方式通過就近的PE接入相應的VPN。大客戶終端可通過獨立專線或原有專線中新增的邏輯通道接入VPN。對于公眾散戶終端，可為其互聯(lián)網業(yè)務流量和軟交換業(yè)務流量等分配不同的VLANID，進而將不同的流量引到相應的VPN。
平面內的安全保護
　　其次，在對各平面邏輯隔離形成不同的安全區(qū)域后，應該根據各域的特點輔以相應的安全保護和控制措施。
　　業(yè)務平面實現(xiàn)用戶終端接入，因此該平面防護的主要目標是加強用戶認證，防止非授權用戶接入網絡，譬如在軟交換業(yè)務邊緣接入控制設備BAC上設置訪問控制列表，對未注冊用戶發(fā)送的信息進行丟棄等。同時需要加強業(yè)務和網絡資源使用的控制能力，避免部分用戶產生的大量垃圾流量影響正常用戶的網絡使用，例如對于用戶私自架設SMTP郵件服務器濫發(fā)垃圾郵件的行為，可通過在用戶的接入點設置過濾規(guī)則來進行全網邊緣化控制，防范垃圾郵件流量穿透至大網。
　　控制平面承載了信令流和IP路由信息等，保障控制平面的安全是其它平面能夠正常工作的基礎。控制平面防護主要應加強網元設備之間的信令和路由控制信息的認證及控制，避免受到虛假信令和路由信息的干擾。以互聯(lián)網控制平面防護為例，應選用具有鄰居認證的網絡路由協(xié)議，并在實際使用中啟用路由認證機制，以確保系統(tǒng)接受的所有路由更新都來自正確的鄰居；同時需要加強路由的保密性，盡量避免對外部自治系統(tǒng)宣告關鍵系統(tǒng)的地址空間，實施路由保護。
　　管理平面的防護目標是保護各網元設備和系統(tǒng)的安全性，減少其受到網絡攻擊或被入侵的可能性。具體防護措施可包括：加強網元設備和系統(tǒng)的安全配置，關閉可能會給系統(tǒng)帶來安全風險的網絡服務；實施對設備和系統(tǒng)的訪問控制，限制遠程訪問的終端地址范圍，并對遠程訪問通信進行安全加密；構建統(tǒng)一認證鑒權系統(tǒng)，加強設備和應用的身份認證和授權；加強網絡管理和業(yè)務終端的終端安全管理。
平面間的訪問控制
　　再次，在互聯(lián)網絡/軟交換/3G不同業(yè)務之間或同一業(yè)務不同平面之間，由于業(yè)務要求需要進行信息交互時，為保證網絡的安全性，應盡量僅實現(xiàn)在應用層的有限互聯(lián)，避免在網絡層的直接互聯(lián)，并輔以相應的訪問控制策略。訪問控制策略的設置應遵循最小化原則，即平面間只開放所需的最小互訪權限；要嚴格限制互聯(lián)網業(yè)務平面等低安全級別平面到其它高安全級別平面的訪問，防止互聯(lián)網攻擊者借此互訪通道入侵軟交換/3G等關鍵業(yè)務系統(tǒng)。以軟交換為例，部分的軟交換業(yè)務平臺有著接收來自互聯(lián)網的業(yè)務定制或配置的需求，需要將來自互聯(lián)網的業(yè)務信息傳入軟交換業(yè)務平臺，在這種情況下，為避免平臺直接與互聯(lián)網相連所帶來的風險，可將兩者之間的訪問規(guī)則設置為只允許該業(yè)務平臺到互聯(lián)網的應用層連接，由業(yè)務平臺定期讀取互聯(lián)網業(yè)務定制請求。
啟用帶寬管理機制
　　最后，在同一物理網絡承載互聯(lián)網絡/軟交換/3G等不同業(yè)務的情況下，需要實施不同業(yè)務之間以及同一業(yè)務不同流量平面的帶寬管理機制，避免某一業(yè)務、某一平面發(fā)生的大規(guī)模異常流量等安全問題給其他業(yè)務和平面造成影響�？紤]流量的QoS等級劃分，管理和控制信息安全是保障業(yè)務正常運作的關鍵，因此管理平面和控制平面應賦予比業(yè)務平面更高的QoS等級；在不同業(yè)務平面之間，軟交換、3G承載了語音等實時性要求較高的業(yè)務，因此軟交換和3G等業(yè)務應賦予比互聯(lián)業(yè)務更高的QoS等級。
　　QoS可采用DiffServ模型實現(xiàn)對流量的分類、標記、隊列調度和擁塞管理。接入層面可通過專線或CoS區(qū)分機制來實現(xiàn)分類和標記，例如對SS、TG等核心系統(tǒng)以及大客戶終端等，可使用專線方式完成不同業(yè)務的分類和標記。在隊列調度和擁塞管理方面，針對時延敏感的語音流、關鍵的信令流，應考慮通過優(yōu)先級隊列策略保證其帶寬資源，而對于其他流量可采用加權公平隊列策略（WFQ）。這樣一方面使重要的業(yè)務流和控制流有良好的帶寬保證，另一方面也可以使其他流量得到公平的帶寬保證。在通過隊列管理各個業(yè)務流量的同時，可輔以帶寬限制手段，對DDOS流量加以壓制，降低其對正常業(yè)務流的影響。
　　綜上所述，隨著電信網絡IP化后NGN、3G承載逐步轉向IP網絡，作為業(yè)務承載核心的電信IP網絡，必須對網絡安全問題進行周密的考慮，只要在網絡改造或網絡設計和實施上充分考慮以上的各點要求，真正實現(xiàn)電信網絡安全將不再遙不可及。

中國信息產業(yè)網(www.cnii.com.cn)