总之,移动互联网的发展带来的安全问题很多:移动互联网的ALL-IP化引入了IP互联网的所有安全威胁;终端的智能化凸显了管道化的业务安全问题;接入带宽的提升加剧了有效资源的恶意利用。
安全策略多层面部署
2009年8月,工业和信息化部发布了《通信网络安全防护监督管理办法(征求意见稿)》,征求意见稿提出,通信网络运行单位规划、设计、新建、改建通信网络工程项目,应当同步规划、设计、建设满足通信网络安全防护标准要求的通信网络安全保障设施,并与主体工程同时进行验收和投入运行。已经投入运行的通信网络安全保障设施没有满足通信网络安全防护标准要求的,通信网络运行单位应当进行改建。
客户需求和政策导向成为了移动互联网安全问题的新挑战,运营商需要紧紧围绕“业务”中心,全方位多层次部署安全策略,并针对性地进行安全加固,才能打造出绿色、安全、和谐的移动互联网世界(如图1)。
设备层安全加固
设备层安全,主要指对承载业务的设备进行安全加固。目前移动互联网的设备层主要可以分为:网元设备、操作系统、数据库等几部分。网元设备主要是指移动互联网中的路由器、交换机、防火墙以及一些内容层设备,针对这些设备的自身安全,可以进行4A设置、ACL保护、广播抑制等加固准则。操作系统的安全加固,主要通过最小化安装、补丁管理 、安装防病毒软件等策略。在数据库安全方面,目前更多是从数据可靠性来考虑,通过制定一系列安全备份原则,来保障数控库的安全备份。
网络层安全对策
应对网络层的安全威胁,首先分析移动互联网不同接口及不同的网络层面存在的安全威胁,然后按照安全域划分理论对移动互联网划分不同的安全域。
安全域主要根据风险级别和业务差异进行划分,将同一网络安全层次内服务器之间的连接控制在区域内部。根据划分原则,无线网络的安全区域可分为Gi域、Gp域、Gn域、Om域、Ga域、计费中心接口域等, 在不同的安全边界,通过实施和部署不同的安全策略和设备来完成边界的安全防护,最后进行相应的安全加固。
在网络层的安全加固过程中,需要注意的是不能因为安全而安全,因为安全没有最完美的情况,运营商的网络是以收入为中心的网络,所以安全实施也一定要基于业务可存活为基础进行实施。
业务层安全策略
在业务安全问题上,需要重视以下三方面的问题:一是业务如何实现可视化,二是解决业务管道化问题,三是如何进行非法业务的有效管控。
相应的安全策略有:首先,在网络当中,考虑对DPI系统的引进。安全问题一般在网络层上分析,因为在应用层上很难看清楚。通过DPI系统则很好地把网络流量可视化,能够看清网络中的业务流量和非法业务流量,通过细分流量和业务,可以有针对性地去开展业务,或屏蔽一些非法的业务,从而提升用户的业务体验。
在业务管道化以及对非法业务管控问题上,首先要对不同的流量进行区分,对于异常流量,比如手机僵尸网络、手机病毒、手机垃圾彩信、垃圾邮件等,这些流量必须进行一定管控和清洗。而对于用户常用的业务流量,则需要提升其体验,可以通过细分业务来提供定制化套餐,例如QQ上网套餐、谷歌手机地图套餐,甚至在线电视套餐等,通过基于业务、用户、带宽三个维度的包月业务模式,可以大大提升用户对业务的体验,以及加大用户对业务的依赖,并且还可以提升增值业务的收入。
此外,对于影响业务利益以及业务滥用的一些业务,需要进行一定的管控。对于运营商而言,跟自营业务利益冲突的业务均可以列为管控业务的范畴。
