电信核心网络与信息安全模型及安全提升方案研究

李力卡，陈庆年

（1.中国电信股份有限公司广东研究院 广州 510630；2.中国电信股份有限公司广东分公司 广州 510081）

1 引言

随着近几年电信技术发展和网络演进，网络的组织结构发生了巨大变化，完成了IP化、扁平化。这使运营商面临新的网络与信息安全的挑战。如何分析评估目前的安全风险，抓住关键点并处理好网络与信息安全的问题，使得安全机制螺旋上升而非持续恶化，是一个运营商值得深入研究的重要课题。

2 网络安全基础模型

为了达到安全防范的目标，需要建立合理的网络安全模型描述以指导网络安全工作的部署和管理。通过对安全基础模型的研究，更好地了解安全动态过程的构成因素，指导构建合理而实用的安全策略体系。业界常用的网络安全基础模型有P2DR和APPDRR两种。

2.1 P2DR模型

P2DR模型是最先发展起来的一个动态安全模型，根据P2DR模型,完整的网络安全体系应当包括4个重要环节：安全策略（policy）、防护（protection）、检测（detection）和响应（response）。防护、检测和响应组成了一个完整的、动态的安全循环，在核心安全策略的指导下保证网络系统的安全。

2.2 APPDRR模型

为了使DR模型能够贴切地描述网络安全的本质规律，人们对DR模型进行了修正和补充，在此基础上提出了APPDRR模型如图1所示。APPDRR模型认为网络安全体系由风险评估（assessment）、安全策略（policy）、防护（protection）、检测 （detection）、响应 （reaction）和恢复（restoration）6部分构成。首先通过风险评估，掌握网络安全面临的风险信息；其次网络安全策略根据风险评估的结果和安全需求的变化而制定，具有原则性的指导地位，其后的检测、响应诸环节都应在安全策略的基础上展开；防护则体现了网络静态保护能力；检测、响应、恢复3环节，体现了从发现到恢复的动态过程。APPDRR模型表明了网络安全的相对性和动态螺旋上升的过程，通过6环节的循环流动，网络安全逐渐地得以完善和提高，从而实现了最终安全目标。

图1 APPDRR安全模型

3 关键风险评估

3.1 安全风险评估方法探讨

核心网与信息安全风险评估可从网络架构视角分为业务层面安全、网络层面安全以及信息层面安全。目前业界运营商的核心网安全评估方式是以网络例行巡检、告警统计分析为主，加以定期的IT、IP设备安全漏洞扫描，采用传统的运营分析手段、例行巡检、故障分析等人工方法。

由于IP、IT设备的标准化安全防护测评方法、工具的专用性无法满足核心网话音业务体系的安全风险评估需要，目前核心网及业务、信息安全尚缺乏体系化、标准化的测评体系与手段。

为提高中国电信风险评估的水平，建议中国电信研究建立核心、业务网络与信息安全的相关KPI指标体系与评估方法，通过自动化综合测评的手段，实现对现网及即将上线产品开展定期自动测评，以及时发现、有效控制各环节存在的安全风险。可以依靠设备本身的状态、统计数据和告警，进一步利用信令监测系统、资源系统数据做更全面的自动运行质量综合测评。

3.2 业务层关键安全风险

目前与中国电信话音业务紧密相关的业务平台主要有SCP和AS两种，采用INAP、WIN、NGN-SIP、IMS-SIP等协议触发。业务层关键安全风险主要如下。

·平台故障、承载网中断退服等安全问题：系统保护、灾难恢复需要加强。例如：移动网IVPN平台中断，IVPN用户业务全阻，影响大，而随着IVPN业务量发展迅速，平台负荷过高风险更大。

·呼叫中心单点组网：呼叫中心话务量较大，一旦接入点不稳定或故障即全阻，需做好系统保护和自动检测。

·短信业务安全：由于无线侧寻呼信道承载有限，当大规模短信群发时，存在业务网络与无线网络的阻塞风险，需做好系统保护和自动检测、响应控制。

3.3 网络层关键安全风险

核心网的关键安全风险主要如下。

·设备容灾组网风险：异地容灾方案缺位、容灾技术能力不足或配置策略不合理等风险，需要建立安全策略、启动系统保护、快速检测和灾难恢复。

·接入安全风险：没有在边缘接入网络配备必要的BAC、防火墙，需做好安全策略、系统防护、自动检测和响应以及灾难恢复。

·设备应急恢复能力不足：网元紧急中断时不能通过其他保护设备应急恢复或Bypass放直，话务过载控制策略不生效，需做好灾难恢复等。

·信令网异常：链路倒换失效，难以做到检测、响应和恢复，情况包括过载、吊死、闪断，影响面大，设备难以预警或及时告警，无理想应急手段。

3.4 信息层面关键安全风险

信息层面关键安全风险主要如下。

·码号信息安全：迫切需要研究解决号码信息安全危害问题，一是利用虚假号码欺诈行为；二是移动用户AKEY等五码遭泄露，没有全流程加密，可导致孖机；三是IMS账号密码明文管理易被盗，需做好安全策略、自动检测与快速响应。

·非法套费安全风险：利用网络漏洞、采用业务码或国内区号套拨国际号码的方式骗取费用，损害运营商利益，设备缺乏有效检测和响应手段,需做好安全策略、自动检测与快速响应。

·短信安全：缺乏统一的业务监控规范和完善的监控体系，特别对于省间的消息监控缺乏统一的协调处理，影响短信传送，需要对安全策略、检测方式方法进行优化。

4 网络与信息安全总体对策

根据网络安全模型APPDRR，结合以上风险评估情况，建议按以下方法、指导原则形成总体的安全对策及解决方案。

·安全策略：建立相应完善的安全策略，区分风险，根据6步循环，科学合理地为风险评估方法、保护、检测、响应、恢复设计工作策略、条件，并能根据效果不断调整优化策略。

·可靠保护：对系统保护缺失的设备应研究建立容灾能力，如1+1、N+1、pool容灾；解决路由迂回、单点故障的保护问题，确保有效运作。

·自动检测：系统应支持快速的自动检测机制，若对于系统难以检测的风险或问题（如吊死、虚假号码、套费），可完善其他辅助检测手段或自动化工具，以在尽可能短时间发现问题。

·快速响应：为快速响应提供足够资源和准确的信息，以建立便捷的响应操作方案。

·灾难恢复：尽快应急疏通恢复业务，然后恢复系统。一是应建立完备的灾难应急预案，二是面向大的业务风险，应重点建立灾难恢复机制，如业务或网元的BYPASS、后备系统的最大限度接管。

此外，应注意根据不同层面网络与设备技术特点、安全风险，制定适合其注重点的安全对策与动态安全行为。

·业务层面主要以IT设备为主IP设备为辅，主要注重IT设备、业务软件与数据的保护、检测、灾难恢复。

·网络层则主要以交换为主IP/IT设备为辅，关注交换设备、信令网络的全网通达可靠性、实时性，侧重安全策略、保护、检测、响应和灾难恢复全部环节。

·信息安全主要是确保用户身份，传递信息内容的准确、合法、唯一性，注重信息保护、检测与响应。

5 电信核心网络与信息安全能力提升综合解决方案及建议

根据以上对核心网的安全风险评估和总体安全对策，可以依据APPDRR网络安全模型的保护、检测、响应和恢复4个要素，研究提出核心网与信息安全的解决思路或方案，以达到提升核心网网络与信息安全能力的目的。

5.1 业务层安全能力提升解决方案

业务层安全能力提升解决方案简单介绍如下。

（1）优化改进系统容灾机制

通过优化改进系统容灾机制，增强智能业务触发的旁路能力，业务在核心网可应急旁路疏通。

（2）呼叫中心方案基于云和IMS网络优化

·方案一：PRA接入NGN疏通方案，发展扩容能力弱，受PRA接入端口、汇接局SS、DC1 SS资源限制，难以保证容灾保护、应急恢复需要。

·方案二：采用面向IMS的云架构的呼叫中心，云具有很好扩展性和保护能力，同时彻底扁平化端到端直达，不受骨干SS资源影响，投资成本低。

（3）短信业务安全方案

通过信令监测系统实时提取用户的位置信息（所处的LAC、BSC等信息），实现对短信下发的精确流控以及在短信中心上对MSC的流控，消除群发使无线网络瘫痪的风险，提高无线网络利用率。

5.2 网络层安全能力提升解决方案

网络层安全能力提升解决方案简单介绍如下。

（1）保护方案

建立完善的系统保护体系，包括过载控制、话务控制、容灾组网、容灾技术、容灾策略等。其中，异地容灾组网与容灾技术介绍如下：

·异地容灾组网：采用双归属、1+1/N+1等异地容灾组网，对于IMS则推进pool组网。

·容灾技术：制定与不断完善N+1、pool等容灾技术规范，应用相关技术，发现修补安全倒换业务中断的漏洞，尽量做到零时无损接管。

（2）信令检测能力提升方案

打造基于信令监测的预警系统，提升检测与响应能力，建议研究建立基于SIP、WIN、INAP信令监测的网络安全指标体系与预警系统，发现异常问题通过短信及时预警触发业务安全预警短信，为加快响应能力可触发关联支撑系统自动启动应急方案。主要解决以下问题。

·协议异常分析：可能包括SIP/WIN/INAP/MAP等协议，可检测失败码分布异常、信令重传、闪断、响应延迟（吊死）、信令互通不规范、突发高峰或协议分组异常等情况。

·业务质量异常监测：业务KPI分析、系统吊死的超时响应。

·边缘接入风险：DDoS攻击告警。

·话务安全分析：与常规模型比对，过量预警。

（3）灾难恢复

在灾难发生后，尽快应急疏通恢复业务，然后恢复系统。

·业务应急疏通：启用BYPASS技术快速放直业务，适用于单业务或单网元全阻，建议对业务网元SCP或AS、核心网关键网元如HLR、S-CSCF支持自动或手动BYPASS。

·话务应急疏通包括长途应急疏通和本地话务应急疏通。长途应急疏通：TDM长途中断选择NGN疏通，过网业务改就近过网策略，进一步研究IMS非本域长途话务应急解决方案。本地话务应急疏通：汇接层中断时局内呼叫不出局或走备用汇接局。

·系统恢复：系统采用硬件冗余备份技术、数据异地冗余备份技术，利于系统快速恢复。

5.3 信息层面安全能力提升解决方案

信息安全主要是保证用户身份、传递信息内容的准确、合法、唯一性，注重信息保护、检测与响应。

（1）虚假主叫欺诈或孖机解决方案

·端局/专汇局侧控制方案：端局支持主叫鉴权功能予以规范或拦截非法主叫、面向小交机部署信令监测系统，但方案实现难，代价高，目前老端局无法支持主叫鉴权功能，且存在平台信令监测系统成本高的问题。

·基于核心层信令检测系统的假主叫甄别方案：仅部署汇接层信令系统，根据话务路由与号码模型、位置移动规则等，检测虚假主叫甄别、孖机事件，进一步实现自动响应，包括对呼叫源回溯追踪、向用户发短信或呼叫告警。

（2）用户账号安全解决方案

采用用户信息账号加密保护机制，即统一规范加密存储和加密传送的手段与管控制度，严防泄露。主要包括：后台到核心网元及终端系统，中间环节原则上不保存；严格管理用户数据库管理员账号密码，敏感信息修改查看权限专人管控；通过加强后台管理，令泄漏的用户信息被重用。

（3）非法套拨国际号码骗费解决方案

·方案一：检查核心网号码转接、业务平台转接的数据配置或软件漏洞，防止高结算国际号码的呼叫，但方案难度大，发现和响应周期长且成功率低。

·方案二：信令清洗方案，基于信令系统和后台清洗平台，根据被叫位长异常的号码结构（包含国内区号、业务接入码、国际区号的被叫），进行特征检测和统计，主动给出告警，建议优选此方案。

（4）短信信息安全解决方案

·建议集团集中建立短消息监控配置管理系统、各省公司消息监控平台上报系统的两级体系，制定集团消息监控管理平台和各省公司监控平台的接口规范，以实现有效检测。

·对非法内容进行拦截，同时可以通过标签溯源短消息监控的平台，便于监控的统一管理和维护。

6 结束语

核心业务网络与信息安全是运营商必须正视并深入研究的课题。随着网络的演进和变化，安全风险越来越多，因此有必要重新审视核心业务网络与信息安全面临的新问题、新挑战。本文结合国际通用的网络安全基础模型，从业务层面、网络层面、信息等层面出发，提出了研究建立安全相关KPI指标体系与评估方法、自动化综合测评的手段，开展针对性的安全机制优化方案，只要持续进行结构性优化改进，必能实现网络与信息安全能力的不断螺旋式上升，打造中国电信国际一流的安全核心网及安全运营能力。

1 潘洁,刘爱洁.基于APPDRR模型的网络安全系统研究.电信工程技术与标准化,2009(7)

2 林柄梅,张建东,胡睿智.PDRR网络安全模型.计算机光盘软件与应用,2010(11)