通信網絡安全防護—互聯網安全防護

互聯網（CMNet）是完全開放的IP網絡。面臨的主要安全風險來自用戶、互聯伙伴的帶有拒絕服務攻擊性質的安全事件，包括利用路由器漏洞的安全攻擊，分布式大流量攻擊，蠕蟲病毒、虛假路由、釣魚攻擊、P2P濫用等。

互聯網上的安全事件會影響直接或間接連接互聯網的業務系統。因此，針對互聯網，應重點做好以下幾方面安全措施：

（1）流量控制系統：在互聯網的國際出入口、網間接口、骨干網接口的合適位置部署流量控制系統，具備對各種業務流量帶寬進行控制的能力，防止P2P等業務濫用。

（2）流量清洗系統：在互聯網骨干網、網間等接口部署異常流量清洗系統，用于發現對特定端口、特定協議等的攻擊行為并進行阻斷，防止或減緩拒絕服務攻擊發生的可能性。

（3）惡意代碼監測系統：在骨干網接口、網間接口、IDC和重要系統的前端部署惡意代碼監測系統，具備對蠕蟲、木馬和僵尸網絡的監測能力。

（4）路由安全監測：對互聯網關鍵基礎設施重要組成的BGP路由系統進行監測，防止惡意的路由宣告、攔截或篡改BGP路由的事件發生。

（5）重點完善DNS安全監控和防護手段，針對異常流量以及DNS欺騙攻擊的特點，對DNS服務器健康情況、DNS負載均衡設備、DNS系統解析情況等進行監控，及時發現并解決安全問題。

通信網絡安全防護—移動互聯網安全防護

移動互聯網把移動通信網作為接入網絡，包括移動通信網絡接入、公眾互聯網服務、移動互聯網終端。移動互聯網面臨的安全威脅主要來自終端、網絡和業務。終端的智能化帶來的威脅主要是手機病毒和惡意代碼引起的破壞終端功能、竊取用戶信息、濫用網絡資源、非法惡意訂購等。

網絡的安全威脅主要包括非法接入網絡、進行拒絕服務攻擊、跟蹤竊聽空口傳輸的信息、濫用網絡服務等。業務層面的安全威脅包括非法訪問業務、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露等。

針對以上安全威脅，應在終端側和網絡側進行安全防護。

（1）在終端側，主要增強終端自身的安全功能，終端應具有身份認證、業務應用的訪問控制能力，同時要安裝手機防病毒軟件。

（2）在網絡側，針對協議漏洞或網絡設備自身漏洞，首先要對網絡設備進行安全評估和加固，確保系統自身安全。其次，針對網絡攻擊和業務層面的攻擊，應在移動互聯網的互聯邊界和核心節點部署流量分析、流量清洗設備，識別出正常業務流量、異常攻擊流量等內容，實現對DDoS攻擊的防護。

針對手機惡意代碼導致的濫發彩信、非法聯網、惡意下載、惡意訂購等行為，應在網絡側部署惡意代碼監測系統。在GGSN上的Gn和Gp口通過分光把數據包采集到手機惡意代碼監測系統進行掃描分析，同時可以從彩信中心獲取數據，對彩信及附件進行掃描分析，從而實現對惡意代碼的監測和攔截（見圖1）。

圖1　在網絡側部署惡意代碼監測系統

通信網絡的安全防護措施還不止本文介紹的兩種，我們還會在以后的文章中繼續向大家介紹，請感興趣的朋友關注：淺析通信網絡的安全防護措施 下篇

【編輯推薦】

1. 淺談多重威脅企業網絡安全
2. 淺析中小企業如何應對網絡安全威脅
3. 警惕黑客攻擊你必須知道的藍牙安全知識
4. 企業里網絡安全：認識服務器的安全維護
5. 新一代互聯網：網絡跨時代的升級與變革