2G(GSM)网络经过十年的建设和发展,基本满足了用户对移动通话及窄带数据业务的需求,但与互联网宽带应用相比,带宽过小,速度过慢,无法为用户提供丰富多彩的移动多媒体业务。随着第三代移动通信网络技术的发展,移动终端功能的增强和移动业务应用内容的丰富,各种无线应用将极大地丰富我们的日常工作和生活,也将为国家信息化战略提供强大的技术支撑,为各3G运营企业移动数据业务的发展提供坚实的网络基础。3G网络的发展对网络安全提出了新的挑战。
第三代移动通信系统(3G)面临的安全问题
3G网络从核心网上看,实际上就是IP网络。从2G网络到3G网络,实际上就是从封闭的、基于电路交换的系统向开放的基于IP技术的网络转变,3G网络的控制信令和数据传输已经越来越依赖IP网络。因此,3G网络与以前的移动通信网络相比,更具有IP网络的特征,移动通信正在演变为IP网络上的一种特殊应用。IP网络的开放性带来的安全问题也就是3G网络面临的主要安全问题:
1. IP网络的漏洞很明显,针对漏洞攻击的目的性越来越强,时间越来越短,企业面临的风险随之提高,这些变化给电信运营企业带来的风险不断增多。
2. IP网上,病毒攻击产生的蔓延时间越来越短,如何保障3G网络免受病毒影响,已经成为运营商向3G过渡必须要正视的问题。
3. 3G用户使用的移动终端越来越IP化。从功能上看,3G手机实际上就是数据终端,具有数据终端的基本特征,再接入到以IP技术为核心的3G网络,将有更多机会感染病毒或被黑客程序侵入。终端越智能,功能越复杂,其安全漏洞必然越多,被病毒感染或被黑客攻陷的可能性也就越大。这些终端在自身存在危险的同时,对3G网络的威胁也越来越大。
4.3G网的一个重要特点是3G终端的永远在线。这样就不可避免地直接面临各种安全威胁,被病毒感染或被黑客入侵后更不易被发现和处理,即使处理也将是一个长期、巨大的工程。这类终端设备上的安全漏洞隐蔽性更强,持续危害时间更长。
5.3G可以为用户提供2Mbps以上的接入速率,同时在信号覆盖区域实现软切换,接入速率的提高和接入地点、应用的不停变换导致网络各种参数不断变化,使得对移动终端的安全监控和管理更为困难。一旦移动终端成为病毒和黑客程序的发源地或中继站,接入网和核心网以及3G网络承载的业务系统将直接面临安全威胁。
6.由于对于3G的安全目标及相关工作规范的滞后,3G网络安全管理人员和相关制度也相对短缺,3G规范中对安全的描述和要求明显不足。对于3G网络的安全要求的缺失将会给今后的网络运行留下众多隐患。
7.伴随网络融合(三网合一)趋势的加深、电信业务的日益复杂,3G网络将面临着比以往任何时候都要严峻的威胁。
3G安全目标
对于承载着海量应用的电信网络而言,任何一个网络信息安全漏洞被利用和攻击,都可能对其承载业务造成灾难性的影响。由于电信对整个社会发展影响的日益加深,从普遍服务作用来看,通过保证电信网络的安全进而保障国家和社会的安全与稳定无疑是基础电信运营商义不容辞的义务。
根据CDMA网络结构,3G系统网络安全层面可以分为网络层和应用层两个主要部分(图1):对3G中的用户设备(UE)、无线接入网络(RAN)、核心网络(CN)和业务网络(Service)的保护分别可以纳入这两个层次。在3G系统中,它们具有各自不同的作用,对网络安全的影响和要求也各不相同。
从电信运营商的角度理解,3G网络安全工作至少要包括以下内容:
1. 保证3G网络及其承载的业务系统提供持续服务的能力;保障对构成电信网络的所有设施、系统,以及系统所处理的数据处于正常工作状态。
2. 保障3G网络上的应用信息(用户信息、资料、各种交易)在可控的范围内传播,即有效的控制信息传播的范围和途径,防止重要信息未经授权泄露给电信企业外部的组织或人员,保障信息资产机密、完整、可用。
3G安全体系建设思路
1.提高网络自身的强壮性,保障网络对安全事件有足够的容灾能力。
互联网发展的基础是灵活开放的IP协议,依据IP协议产生的网络和通信设备以及相关应用,为今天互联网业务迅速普及奠定了基础。但也正是这种开放性,使其成为电信级运营网络后,安全可靠性薄弱和服务质量无法保障的问题逐步显现出来,同时由于互联网安全技术标准欠缺,很多互联网系统和设备难以达到传统电信级的稳定性。
网络自身的强壮性是运营商网络提供持续服务的基础。对于互联网网络安全,较其他传统网络的技术标准来看,目前IP网络的安全技术标准处于比较原始的状态,可操作性不是很理想,技术防范体系还不健全,终端管理没有统一规范,安全域划分没有统一原则。运营商如何从设备可靠性和组网稳定性入手来提高网络防范风险的能力,成为3G网络安全的首要问题。
2.做好终端接入管理,将终端风险控制在一定程度内。
从互联网运营经验来看,80%的网络安全风险来自业务终端,业务终端管理是3G安全体系中的重要部分。用户终端设备在3G网络安全体系中是受保护的对象,是重要的信息资产,同时更是病毒源和攻击源,是需要重点防范的对象。
在3G网络中,面对数以亿计的终端,按照传统方法,通过有限的入侵检测和流量、协议过滤设备进行保护,无疑是杯水车薪。 3G用户终端设备的安全保障,将主要依赖终端本身的安全功能,这也是安全域划分的基本目标。与2G用户终端认证工作相似,对于3G终端也要进行安全认证,通过在线方式对安全状态进行调查和评估,对符合要求的终端允许接入,对不符合要求的终端限制使用功能,只允许访问特定有限资源,尽可能地把安全性不完善、可能对网络产生威胁的终端在3G网络接入层就进行控制,以实现主动的安全防御。
3.对应用层做好隔离与保护。
在3G系统中,除提供传统的话音业务外,电子商务、电子贸易、网络服务等新型业务将成为3G的重要业务发展点,因而3G将更多地考虑在应用层提供安全保护机制。
在3G系统中,安全问题的重点已经从物理层转移到网络层和应用层,从传统语音通信安全为核心转移到IP网络和应用安全为核心。按照业务应用的内容划分逻辑专网是对3G网络进行安全管理的基本要求,也是必然要求。
逻辑专网划定后,根据不同业务专网SLA要求,进行加密、认证、边界保护等面向应用层的安全手段部署。 在强健而灵活的安全体系中,安全措施的部署要实现集中化管理,便于SOC(安全中心)可以迅速掌握各种事件、漏洞,迅速有效地部署安全措施并进行预警,确保因安全事件而产生的后果可以在影响范围层面得到有效控制。逻辑专网(安全域)的划分是”边缘部署、集中管理“方式的非常好的基础。
结束语
相对于第二代移动通信系统,对于3G系统的安全应该给予足够的重视。在进行3G系统安全体系建设时,不但要继承第二代移动通信系统中的安全管理理念和已被证明是必须的和稳健的安全手段,而且还要根据3G网络IP化的实际技术要求,不断增加有针对性的安全措施来弥补目前IP网络安全体系的缺陷。随着3G网络大规模建设的到来,各运营商必须同步设计、同步建设、同步运行3G网络安全体系,保障网络优质、高效、安全运行,业务及时、顺利推出。