软交换网络安全需求分析
在描述和分析软交换网络安全的过程中产生了“安全域”的概念,安全域是描述如何管理和控制网络安全的模型,在一个安全域内有相同的安全保护需求,可以实施相同的安全保护机制。安全域之间根据不同的安全等级需求,可以在安全域边界部署隔离、控制等安全策略。
根据软交换网络各部分的安全需求,可以将软交换网络划分为核心网、Internet接入网、支撑系统和第三方应用网络4个安全域,如图1所示。
核心网安全域包括所有的软交换机,TG、AG、SG等接入网关,BGW类设备,关键业务平台(包括SHLR、号码转换平台等),软交换媒体服务器和应用服务器,开发给第三方业务接口的应用网关。Internet接入网安全域包括所有分配公网地址的SIP电话终端、IAD类设备、各类SIP接入的PC等。支撑系统安全域包括网管、计费和OSS等辅助运营系统。第三方应用网络安全域主要包括所有以开发业务接口方式接入的应用服务器,鉴于目前实际应用中很少涉及到这种应用,这里不讨论该区域的安全需求。
各安全域的安全需求
(1)核心网安全域
核心网安全域是软交换网络的安全核心。从现网情况来看,核心网的承载层一般都采用专用IP网和VPN方式组网,安全域内设备(包括各种AG)本身的管理和控制可以认为是安全的。核心网安全域的安全需求有:设备的可用性,即可以在各种情况下(包括设备故障、网络风暴、话务冲击等)保证设备和承载业务的正常运行;需要在核心网与其他网络连接处部署BGW和防火墙等设备进行内外网隔离;网络中的SS等设备需具备完善的设备认证和授信方式,防止非法登录;核心网节点间需采用心跳和媒体检测等方式进行状态检查,及时更新节点状态,保证业务正常;接入节点需具备带宽和业务管理能力,防止用户非法占用带宽和使用业务;核心网节点应具备对异常信令和消息的处理能力,防止人为攻击等造成节点瘫痪或过负。