通信網(wǎng)絡(luò)安全防護(hù)—互聯(lián)網(wǎng)安全防護(hù)

互聯(lián)網(wǎng)（CMNet）是完全開(kāi)放的IP網(wǎng)絡(luò)。面臨的主要安全風(fēng)險(xiǎn)來(lái)自用戶(hù)、互聯(lián)伙伴的帶有拒絕服務(wù)攻擊性質(zhì)的安全事件，包括利用路由器漏洞的安全攻擊，分布式大流量攻擊，蠕蟲(chóng)病毒、虛假路由、釣魚(yú)攻擊、P2P濫用等。

互聯(lián)網(wǎng)上的安全事件會(huì)影響直接或間接連接互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)。因此，針對(duì)互聯(lián)網(wǎng)，應(yīng)重點(diǎn)做好以下幾方面安全措施：

（1）流量控制系統(tǒng)：在互聯(lián)網(wǎng)的國(guó)際出入口、網(wǎng)間接口、骨干網(wǎng)接口的合適位置部署流量控制系統(tǒng)，具備對(duì)各種業(yè)務(wù)流量帶寬進(jìn)行控制的能力，防止P2P等業(yè)務(wù)濫用。

（2）流量清洗系統(tǒng)：在互聯(lián)網(wǎng)骨干網(wǎng)、網(wǎng)間等接口部署異常流量清洗系統(tǒng)，用于發(fā)現(xiàn)對(duì)特定端口、特定協(xié)議等的攻擊行為并進(jìn)行阻斷，防止或減緩拒絕服務(wù)攻擊發(fā)生的可能性。

（3）惡意代碼監(jiān)測(cè)系統(tǒng)：在骨干網(wǎng)接口、網(wǎng)間接口、IDC和重要系統(tǒng)的前端部署惡意代碼監(jiān)測(cè)系統(tǒng)，具備對(duì)蠕蟲(chóng)、木馬和僵尸網(wǎng)絡(luò)的監(jiān)測(cè)能力。

（4）路由安全監(jiān)測(cè)：對(duì)互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施重要組成的BGP路由系統(tǒng)進(jìn)行監(jiān)測(cè)，防止惡意的路由宣告、攔截或篡改BGP路由的事件發(fā)生。

（5）重點(diǎn)完善DNS安全監(jiān)控和防護(hù)手段，針對(duì)異常流量以及DNS欺騙攻擊的特點(diǎn)，對(duì)DNS服務(wù)器健康情況、DNS負(fù)載均衡設(shè)備、DNS系統(tǒng)解析情況等進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)并解決安全問(wèn)題。

通信網(wǎng)絡(luò)安全防護(hù)—移動(dòng)互聯(lián)網(wǎng)安全防護(hù)

移動(dòng)互聯(lián)網(wǎng)把移動(dòng)通信網(wǎng)作為接入網(wǎng)絡(luò)，包括移動(dòng)通信網(wǎng)絡(luò)接入、公眾互聯(lián)網(wǎng)服務(wù)、移動(dòng)互聯(lián)網(wǎng)終端。移動(dòng)互聯(lián)網(wǎng)面臨的安全威脅主要來(lái)自終端、網(wǎng)絡(luò)和業(yè)務(wù)。終端的智能化帶來(lái)的威脅主要是手機(jī)病毒和惡意代碼引起的破壞終端功能、竊取用戶(hù)信息、濫用網(wǎng)絡(luò)資源、非法惡意訂購(gòu)等。

網(wǎng)絡(luò)的安全威脅主要包括非法接入網(wǎng)絡(luò)、進(jìn)行拒絕服務(wù)攻擊、跟蹤竊聽(tīng)空口傳輸?shù)男畔?、濫用網(wǎng)絡(luò)服務(wù)等。業(yè)務(wù)層面的安全威脅包括非法訪(fǎng)問(wèn)業(yè)務(wù)、非法訪(fǎng)問(wèn)數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個(gè)人隱私和敏感信息的泄露等。

針對(duì)以上安全威脅，應(yīng)在終端側(cè)和網(wǎng)絡(luò)側(cè)進(jìn)行安全防護(hù)。

（1）在終端側(cè)，主要增強(qiáng)終端自身的安全功能，終端應(yīng)具有身份認(rèn)證、業(yè)務(wù)應(yīng)用的訪(fǎng)問(wèn)控制能力，同時(shí)要安裝手機(jī)防病毒軟件。

（2）在網(wǎng)絡(luò)側(cè)，針對(duì)協(xié)議漏洞或網(wǎng)絡(luò)設(shè)備自身漏洞，首先要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全評(píng)估和加固，確保系統(tǒng)自身安全。其次，針對(duì)網(wǎng)絡(luò)攻擊和業(yè)務(wù)層面的攻擊，應(yīng)在移動(dòng)互聯(lián)網(wǎng)的互聯(lián)邊界和核心節(jié)點(diǎn)部署流量分析、流量清洗設(shè)備，識(shí)別出正常業(yè)務(wù)流量、異常攻擊流量等內(nèi)容，實(shí)現(xiàn)對(duì)DDoS攻擊的防護(hù)。

針對(duì)手機(jī)惡意代碼導(dǎo)致的濫發(fā)彩信、非法聯(lián)網(wǎng)、惡意下載、惡意訂購(gòu)等行為，應(yīng)在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測(cè)系統(tǒng)。在GGSN上的Gn和Gp口通過(guò)分光把數(shù)據(jù)包采集到手機(jī)惡意代碼監(jiān)測(cè)系統(tǒng)進(jìn)行掃描分析，同時(shí)可以從彩信中心獲取數(shù)據(jù)，對(duì)彩信及附件進(jìn)行掃描分析，從而實(shí)現(xiàn)對(duì)惡意代碼的監(jiān)測(cè)和攔截（見(jiàn)圖1）。

圖1　在網(wǎng)絡(luò)側(cè)部署惡意代碼監(jiān)測(cè)系統(tǒng)

通信網(wǎng)絡(luò)的安全防護(hù)措施還不止本文介紹的兩種，我們還會(huì)在以后的文章中繼續(xù)向大家介紹，請(qǐng)感興趣的朋友關(guān)注：淺析通信網(wǎng)絡(luò)的安全防護(hù)措施 下篇

【編輯推薦】

1. 淺談多重威脅企業(yè)網(wǎng)絡(luò)安全
2. 淺析中小企業(yè)如何應(yīng)對(duì)網(wǎng)絡(luò)安全威脅
3. 警惕黑客攻擊你必須知道的藍(lán)牙安全知識(shí)
4. 企業(yè)里網(wǎng)絡(luò)安全：認(rèn)識(shí)服務(wù)器的安全維護(hù)
5. 新一代互聯(lián)網(wǎng)：網(wǎng)絡(luò)跨時(shí)代的升級(jí)與變革