3G安全体系建设思路

　　1.提高网络自身的强壮性，保障网络对安全事件有足够的容灾能力。

　　互联网发展的基础是灵活开放的IP协议，依据IP协议产生的网络和通信设备以及相关应用，为今天互联网业务迅速普及奠定了基础。但也正是这种开放性，使其成为电信级运营网络后，安全可靠性薄弱和服务质量无法保障的问题逐步显现出来，同时由于互联网安全技术标准欠缺，很多互联网系统和设备难以达到传统电信级的稳定性。

　　网络自身的强壮性是运营商网络提供持续服务的基础。对于互联网网络安全，较其他传统网络的技术标准来看，目前IP网络的安全技术标准处于比较原始的状态，可操作性不是很理想，技术防范体系还不健全，终端管理没有统一规范，安全域划分没有统一原则。运营商如何从设备可靠性和组网稳定性入手来提高网络防范风险的能力，成为3G网络安全的首要问题。

　　2.做好终端接入管理，将终端风险控制在一定程度内。

　　从互联网运营经验来看，80%的网络安全风险来自业务终端，业务终端管理是3G安全体系中的重要部分。用户终端设备在3G网络安全体系中是受保护的对象，是重要的信息资产，同时更是病毒源和攻击源，是需要重点防范的对象。

　　在3G网络中，面对数以亿计的终端，按照传统方法，通过有限的入侵检测和流量、协议过滤设备进行保护，无疑是杯水车薪。 3G用户终端设备的安全保障，将主要依赖终端本身的安全功能，这也是安全域划分的基本目标。与2G用户终端认证工作相似，对于3G终端也要进行安全认证，通过在线方式对安全状态进行调查和评估，对符合要求的终端允许接入，对不符合要求的终端限制使用功能，只允许访问特定有限资源，尽可能地把安全性不完善、可能对网络产生威胁的终端在3G网络接入层就进行控制，以实现主动的安全防御。

　　3.对应用层做好隔离与保护。

　　在3G系统中，除提供传统的话音业务外，电子商务、电子贸易、网络服务等新型业务将成为3G的重要业务发展点，因而3G将更多地考虑在应用层提供安全保护机制。

　　在3G系统中，安全问题的重点已经从物理层转移到网络层和应用层，从传统语音通信安全为核心转移到IP网络和应用安全为核心。按照业务应用的内容划分逻辑专网是对3G网络进行安全管理的基本要求，也是必然要求。

　　逻辑专网划定后，根据不同业务专网SLA要求，进行加密、认证、边界保护等面向应用层的安全手段部署。 在强健而灵活的安全体系中，安全措施的部署要实现集中化管理，便于SOC(安全中心)可以迅速掌握各种事件、漏洞，迅速有效地部署安全措施并进行预警，确保因安全事件而产生的后果可以在影响范围层面得到有效控制。逻辑专网(安全域)的划分是”边缘部署、集中管理“方式的非常好的基础。