中国电信股份有限公司江苏分公司操作维护中心 向九松 柏 林 钱 琰 季鸿宇

0 引言

C网承载网与传统承载网络相比，产生网络安全的两个最重要的原因是网络开放性和终端智能化。由于IP网络的开放性，一方面给承载网带来了业务上的灵活性和扩展性，极大地提高了网络效率，另一方面也给承载网带来了许多难以预计的恶意攻击和外界干扰。电信运营商时刻都面临账号被盗用、服务被破坏、资源被抢占、设备瘫痪等严重安全威胁；终端智能化在带来业务灵活性的同时也使终端具备了产生安全攻击的强大能力，这种攻击能够延伸到其他终端、业务系统甚至网络设备。C网承载网的安全风险从短期看，会影响到运营商净收入减少、维护成本上升、客户满意度下降、管理重点偏移；从长期看，将影响到运营商客户流失、竞争力降低、品牌价值下降、内部士气不振。因此，提升C网承载网安全防御水平刻不容缓。

1 承载网安全问题对C网业务的影响

中国电信CDMA（码分多址）网主要由C网承载网、终端用户、业务平台、业务支撑系统、无线、核心网等重要部分组成，这些子系统纵向与横向之间，进行数据信息交换和资源共享，相互提供服务，互相补充，形成CDMA运营、管理、服务的统一整体。C网承载网作为这些子系统之间的基础承载载体，一旦承载网出现安全问题，将会对C网业务产生以下几方面影响。

1.1 对运营商造成的影响

1）破坏设备程序及数据:通过承载网设备远程加载或数据配置流程的漏洞破坏设备，导致设备无法正常运行，进而导致整个网络无法正常运行；

2）业务盗用:未经授权使用3G业务，如通过非法手段绕过AAA（鉴权、授权、计费）/AN（接入网）AAA认证，直接发起3G上网连接、篡改用户计费信息等，导致运营商收人流失；

3）带宽盗用:利用承载网设备端口连接用户私有的数据网络，造成运营商数据业务收入流失并影响C网业务质量；

4）DoS（拒绝服务）攻击:黑客通过网络层或应用层发起大流量的攻击，致使真实业务数据被大量垃圾流量所淹没，进而使承载网设备无法响应正常用户的业务请求或降低业务的品质。

1.2 对用户造成的影响

1）账号被盗用:用户账号被他人盗用，致使产生高额通信费用；

2）信息被监听:非法监听其他呼叫的信息或媒体流内容；

3）个人隐私被窃取:黑客通过木马程序、钓鱼网站等手段窃取用户的个人隐私。

2 构建C网承载网安全防御策略思路

2.1 实施业务隔离

要建立安全的承载网保障机制，首先要实现关键业务的安全隔离。出于业务融合、建设成本、网络安全等因素综合考虑，目前通常采用物理网络隔离加逻辑网络隔离的方式。由于MPLSVPN（多协议标签交换虚拟专用网）具有较强的业务融合能力及灵活的业务扩展能力，尤其在安全方面，MPLSVPN相对于其他VPN而言具有路由安全隔离、隐藏MPLS核心结构、抗攻击性强、易于抵御标记欺骗等优势，MPLSVPN技术在现网环境中得到了广泛的应用。

以中国电信某省C网承载网为例，该省C网承载网络采用CN2+（下一代承载网）融合CE（用户边缘设备）的组网方式，负责承载CDMA移动网络无线接入网元、核心网电路域网元、核心网分组域网元、移动业务平台和网管系统等，为其提供互联互通、Internet访问等服务。为了确保网络安全，承载网根据业务特性划分了若干VPN，如移动软交换VPN、增值业务VPN、无线接入RP（汇聚点）VPN、网管VPN等等，具体拓扑如图1所示。

通过MPLSVPN传送数据提高了用户信息在IP网络上传送的安全性，但这种安全性也是相对而言的，需要采用必要的技术措施来保障。所以在部署MPLSVPN时，有以下两点需要注意:

1）防止标签欺骗:在MPLS网络中，包的转发不再是基于IP目的地址，而是基于PE（网络边界设备）路由器预先添加的标记，理论上有可能出现MPLS包的标记欺骗。因此出于安全考虑，PE路由器应该不接受来自CE路由器的任何标记，同时要做好MPLS标记的整体规划工作，便于后期定期开展网络设备标签转发的定期检查工作。

2）防止VPN之间的路由泄漏:PE路由器之间通过MP-BGP（多协议扩展边界网关协议）交换路由信息，PE路由器之间路由信息的传送要经过一个或多个P（供应商）路由器，非法用户有可能采用源地址欺骗等手段要求与PE路由器建立连接MP-BGP并交换VPN路由信息。因此，PE路由器在另外一个对等体通信时，应该部署相应的验证策略，如BGP邻居的MD5（消息摘要算法）认证等。另外，由于3G业务需要，承载网的部分VPN需要进行部分互通，例如为了满足接入认证需要，无线接入VPN需要与AAAVPN进行互通，这种VPN之间的互通就造成了VPN路由泄漏的可能。所以在进行数据配置时，必须对互通VPN路由条目进行严格控制，合理规划MPLSVPN的RT（路由目标）属性。

2.2 承载网自身的安全保护策略

如图2所示，可以根据C网IP综合承载网的网络架构及业务特性，将承载网的安全域逻辑划分为控制平面、数据转发层面、管理平面等三大安全层面，每个安全层面部署不同的安全策略。具体如下:

1）控制平面:控制平面防护的主要目标是保证设备系统资源的可用性和路由的安全性，使得路由器可以正常的实现路由交换、更新。具体策略包括设置路由密码认证、通过设置白名单方式控制路由的发布、规范路由参数的配置，等等。

2）转发平面:在数据转发平面的主要安全策略是对异常流量进行控制，防止网络蠕虫和拒绝服务攻击流量在CDMA网络的泛滥，造成网络的拥塞或不可用。具体策略包括对典型异常流量的过滤、部署URPF（单播反向路径检查）策略预防地址伪造攻击等内容。

3）管理平面:管理平面防护的主要目的是保护路由器远程管理及本地服务的安全性，减少网元设备受到网络攻击或者被入侵的可能性。具体包括:强化设备密码管理，关闭无用的系统服务；通过部署ACL（访问控制列表）和SNMP（简单网络管理协议）密码，确保SNMP的安全；通过部署一次性口令认证系统以及设备访问控制提升远程终端访问安全；其他诸如NTP（网络时间协议）、Syslog（系统日志）、Netflow等应用的安全控制，等等。

2.3 承载业务的保护

在业务安全方面，除了业务平台应该具备必要的安全手段外，承载网络本身应该能够协助业务层面提供有效的安全保障机制。具体包括以下几个方面:

1）限制访问范围:承载网应该根据业务需求严格限定访问范围，例如允许哪些网段访问、只允许那种类型的数据报文通过等等；

2）针对关键应用部署QoS（服务质量）策略:3G网络的特点确实就是IP化，这就导致CDMA网络无法像传统交换网络一样形成完全封闭的网络，这就给外界的黑客从发起DoS攻击创造了可能。在带宽有限的条件下，应该通过部署基于MPLS的QoS策略，优先保障关键应用的数据流量，如信令流、语音媒体流等等；

3）加强对非可信网元的接入管理:因业务合作需要，有时承载网需要为第三方的网络设备提供接入，此时需要部署专门的安全防护设备，同时在承载网设备部署最为严格的安全策略。

2.4 强化网络预警与攻击溯源

为了确保承载网安全，当承载网络遭受异常攻击时能及时得到处理，避免C网业务因恶意攻击遭受影响。一方面，需要加强对承载网流量、设备性能、业务状况等内容的监控，另一方面，需要运用实时安全监控技术，实时检查网络数据流并将其与系统入侵特征数据库的数据相比较，一旦发现有被攻击的迹象，立即根据事先所定义的动作做出反应，例如自动启动异常报文过滤机制、立即用短信通知网络维护人员等等。

安全攻击的溯源就是在发生安全事件或者出现安全问题时，能够根据相关有效信息定位到导致安全事件或者发起攻击的来源，甚至“顺藤摸瓜”找到攻击者。传统的网络在响应方面只能被动地实施安全补救措施，而不能主动地进行反击。要建立新一代具备安全动态防御能力的承载网，需要加强对威胁攻击的有效反击，因此调查取证、攻击溯源便成为有效反击的首要步骤和关键环节。

3 加强网络管理，避免安全事件

随着3G网络规模的扩大以及设备容量的扩大，设备越来越复杂，不可控因素随之增加。对网络安全而言，管理和技术同样重要，即使是先进的安全技术和设备也会可能因管理不善而崩溃。这种案例比比皆是，可以说内部人员的安全意识和安全管理的重要性一点也不亚于使用各种复杂而昂贵的网络技术。因此在运营商内部建立一套有效的安全管理制度是确保网络安全运行的关键手段。这里所说的管理并不局限于技术层面的管理，还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。完善的管理可以在一定程度上消除技术落后带来的不利因素。

4 结束语

随着3G业务的迅猛发展，NGN（下一代网络）、IMS（IP多媒体子系统）业务与3G融合越来越紧密，如何更好地解决C网承载网的安全问题，成为关乎电信业务是否能正常运营，用户对电信服务是否满意，未来网络能否健康发展的关键问题之一。本文仅在业务隔离、业务保障、网络自身安全等方面进行了初步的探索，还有很多诸如承载网IPv6演进、智能管道等课题需要去进一步深入研究，希望通过这些有益的探索，不断提升C网承载网服务能力，为打造一张优质、安全、高效的3G网络贡献一份力量。