(2)Internet接入网安全域
Internet存在安全问题,当通过Internet提供软交换业务时,需要保证业务接入设备与软交换网络之间的通信安全。Internet接入网安全域的安全需求有:在SIP电话、软件电话等终端设备与Internet和软交换网络互联设备之间需要应用L2TP、IPSec等隧道技术;小容量AGW、IAD等通过Internet接入时,它们与Internet和软交换网络互联设备之间需要应用GRE、IPinIP、IPSec等隧道技术;需要完善的接入设备认证和授信手段,防止冒名使用。
(3)支撑系统安全域
支撑系统主要包括网管、计费和OSS等系统。虽然支撑系统不向用户直接提供业务,且都在内网区域内,受攻击的可能性较小,但其功能的特殊性且大多采用通用操作系统,因此必须保证其安全。支撑系统安全域的安全需求有:高强度的用户认证机制;重要系统需要进行物理隔离,并且网间需要部署功能强大的防火墙设备;需要优化系统安全策略。
软交换网络安全措施
(1)承载网层面
软交换网络的承载层现在除了用专网和MPLSVPN等手段进行网络隔离外,一些厂商采用在关键节点放置网络探头,以ping段包的形式进行侦听等手段进行网络质量监控,目前这种方式有以下难题需要解决:一是ping包和软交换消息包的长度差异较大,在一定丢包率情况下无法满足软交换信令的要求;二是ping包的频率不能设置太短,在承载网完全中断情况下,可以准确定位故障点,但是在闪断或者网络质量不稳定情况下,难以保证实时性业务的质量和实现故障定位。
(2)网络层面
在软交换设计和规划期间,应该对软交换网络安全有全面考虑:承载网的安全,包括网络隔离、防攻击等;关键业务节点的备份和用户的业务归属;业务的合理配备和设置,尽量在分散和易管理间找到平衡。
对于软交换网络特有的双归属容灾应该加以充分利用,弥补网络安全漏洞,但需注意对双归属机制进行完善,包括网关的切换策略、软交换的控制策略、心跳参数设置策略、容灾数据库管理等。