四川海格恒通专网科技有限公司 赖 宏
软交换系统的建设已经成为专网通信领域现代化建设与发展的必然趋势,相对于公网通信而言,存在一定的特殊性,存在业主优先服务的特征。目前,专网通信软交换系统在电力行业、水利工程建设行业、煤炭行业、交通行业等众多行业领域中得到广泛应用。因此,在当今高度重视网络通信质量与安全的环境下,加强专网通信系统软交换安全对专网通信系统整体的安全性存在至关重要的影响。
专网通信是基于公共网络长期发展下无法进一步满足行业生产、管理与发展需求下,基于信息技术、网络技术、计算机技术等科学技术创新应用下,形成的满足自身组织管理、安全生产以及营销调度等工作需求的通信网络[1]。基于专业通信网络的发展专网通信系统建设与行业存在密切关联性,侧重于为行业提供专业性、个性化的服务。随着IP PBX研究的不断深入与完善,基于标准协议,如MGCP、H248等媒体网关控制协议,形成softswitching技术,即软交换技术[2]。而软交换技术的应用,使专网通信系统由电路交换向软交换逐渐演变,形成软交换系统。
随着专网通信软交换系统在各领域中的广泛应用,软交往网络安全问题愈发凸显,如何解决软交换系统安全问题已经成为学术界、产业界关注的重点话题之一。由软交换系统本质特征可知,软交换网络主要是由网络设备、网管设备、运维设备以及软交换终端等共同组成的。其中网管设备以及网络运维多有应用专网通信软交换系统企业专业工作人员负责管控与监督。在此背景下,受到多种因素的影响,专网通信软交换安全无法得到有效保障。例如网络病毒、恶意攻击等网络环境的影响,系统长期运行下设备损害的影响,软交换系统自身存在的安全漏洞、软交换系统中通信协议存在的影响以及监管过程中存在的用户私密信息泄漏、信息监听的影响[3]。基于此,为提升软交换网络安全性,通常情况下需将网络进行安全区域划分,针对不同区域安全需求,配设合理安全方案,提升专网通信软交换系统应用安全性、稳定性与可靠性。
现阶段,在专网通信软交换系统中,可将网络安全等级分为安全级、非安全级以及信任级三种类型。其中安全级主要表示网络区域属于安全区域,其设备风险发生概率较低,不易受到不安全因素的影响;非安全级主要是指该网络区域属于不安全区域,需要采用特定的方案与策略提升安全等级,实现区域安全保障;信任级则是指该网络区域属于不安全区域,但是存在一定的可信息性,能够通过相对较小的代价基于相对安全的保障,设备间的通信存在较高可信性。基于此,根据专网通信系统软交换网络设备以及软交换网络终端所在具体位置进行分析,依据所在网络安全域(图1),将软交换网络存在的安全问题进行评估与分析,探究不同区域下软交换的特点与要求,从而才能有针对性、目的性的对安全方案进行处理与改进。
图1 专网软交换安全域划分图
由上图分析可知,在专网通信软交换系统中,专网通信软交换系统大致可分为以下几个网络区域:
第一,包括软交换核心设备、运维设备与网管设备在内,需给予重点网络安全保护的核心网络区。该区域内的安全性取决于网络环境与设备运行情况,属于安全信任级。
第二,PSTN(公共开关电话网络)接入区域。该部分虽然处于用户接入网络,但是由于采用的是“窄带接入”法,其安全等级与窄带PSTN网络域安全等级一致,属于网络安全级。
第三,基于软交换网络终端与局域网以及外网进行连接的部分,即“局域网IP用户接入域”与“广域网IP用户接入域”,容易受公共网络环境的影响,故安全等级相对较低,属于网络非安全级。
专网通信软交换系统的安全需实现软交换网络中数据、资源的保密性、可信性、真实性、完整性以及包含性。因此,基于存在的软交换安全问题,可建立P2DRR安全保护模型,并采用隔离、控制等技术进行进一步完善,形成专网通信系统软交换安全方案。
由上述分析可知,专网通信软交换系统中,核心网络域属于安全信任级,需采取一定的措施进行安全防护。在资料分析与工作经验总结中,可知核心网络域的安全影响因素主要在于网络层、应用层的恶意攻击,设备运行故障等等。对此,在进行安全防护时,可采用以下方法进行具体实践。
首先,应用安全隔离技术进行安全防护。例如,在一定条件下,采用物理专网模式进行组网隔离,即通过布设专用的核心网承载软交换业务实现隔离保护,其安全性较高;或采用逻辑专网模式进行组网隔离,即通过借助VLAN(虚拟局域网)、VPN(Virtual Private Network,虚拟专用网络)等技术,在逻辑上实现软交换服务与其他服务之间的隔离,其成本投入相对较低。在具体实践过程中,可根据实际情况,合理选择隔离模式把整安全防护需求的满足。
其次,采用亢余法进行专网通信系统软交换的安全防护。例如,在软交换系统IP网建设过程中,注重互联网组网结构的科学设置,通常情况下建议全网状或半网状的组网形式进行互联网组网。与此同时,采用具有备份存储功能的路由器,采用“双归属”手段与网关设备、核心骨干网建立互联。在此过程中。路由器之间需设置具有亢余性的多条通道,用以降低路由器故障或某线路故障对软交换业务带来不利影响。此外,在软交换网络的各层次中设置冗余部署交换设备,实现网络安全的进一步提升。在此过程中需注意其与传统网络业务间的差异性,保证设备应用对各项业务需求的满足。同时,可采用节点设备对称连接、节点部署及时检测、链路技术检测、备用链路预设、基于IP、LDP、TE FRR等技术应用下的协议链路切换等实现网络的各层次余部署交换设备作用的最大化发挥。
与此同时,为保证核心网络域内软交换设备的安全,可采用双归属方案提升安全等级。针对具体设备,需根据具体情况进行具体分析。例如,注重通信级硬件平台、电源运行、双组机箱、单板热插拔、设备网络端口等的管理。就双组机箱管理而言,保证机箱管理功能的健全,使机箱在整个系统运行中能够正常工作,注重机箱的日常维修与养护。针对设备存在的问题能够在第一时间发现故障点,探知故障产生原因。在此过程中,可通过建立机箱管理警报机制,针对可能存在的故障信息与故障恢复信息,建立数据库(包括主用数据库与备用数据库),当主用数据库发生故障时,能够在第一时间切换到备用数据库,保证系统运行的稳定与安全。
此外,建立多层次软件管理机制,实现对专网通信软交换系统中各软交换模块故障的技术检测、防护与恢复。例如,借助防火墙技术,在计算机设备中配置防火墙软件,实现对软交换网络终端病毒与黑客恶意攻击的有效防治。与此同时,配设多等级负载光控机制,实现对软交换超负载的有效管控,实现软交换重要业务的安全性与可靠性。此外,注重系统协议保护,通过建立完善、科学的协议安全机制实现系统安全性的提升。如利用SCTP协议(stream control transmission protocol,流控制传输协议)实现对SCTP偶连的安全保护;针对MGCP、H248等协议,采用加密技术,提升系统协议安全性。也可以采用“会话边缘控制网关技术”,借助SBC(会话边缘控制器)进行网络隔离,实现对特定协议下软交换业务报文的过滤与对边缘路由器的标记,提升网络管理安全性;实现非标准消息向标准消息的转变,保证异构网络协议之间的有效互通。
由上述分析可知IP用户接入域属于非安全级,加强IP用户接入域的安全管理,对提升网络安全、设备安全、信息安全等皆具有重要意义。对此,针对IP用户接入域,需根据行业专网通信软交换系统具体情况,对不同网络区域下的用户接入进行安全管控。
例如,就电力行业专网通信软交换系统而言,可采用以下两种方法给予安全防护。其一,采用MPLS VPN(虚拟专用网络)技术对VPN网络进行安全保护。即,基于MPLS对IP数据集合进行标记,并形成新的MPLS数据集合,用以提升IP数据传输效率与质量。同时,在路径转发过程中,实现对MPLS数据集合上标记的读取,实现IP地址的有效隔离,提升网络安全性。其二,利用通信代理技术,借助呼叫号码,基于归属代理与接入代理的管理,实现软交换与网络终端以及各终端之间通信的有效隔离,提升IP用户接入域的安全性。
总而言之,专网通信软交换系统建设与运行的安全,对软交换系统的推广与应用存在直接影响。本文旨在通过对专网通信系统软交换安全问题、安全策略与方案的研究,实现专网软交换系统建设的优化发展,为相关制造商与学术研究提供有益参考。
[1]李炳林,卜宪德,郭云飞.电力软交换系统安全问题及策略研究[J].计算机科学,2012,39S3:99-102.
[2]段普伟,朱煜.论软交换系统在河南黄河通信专网中的应用[J].科技视界,2016,06:314.
[3]朱雪琴,王天峰,蒲晶晶.适用于电力通信专网的软交换平台探讨[J].中国新通信,2016,1812:13.