移動互聯網演進 危機暗藏

移動互聯網出現至今，其演進過程總共經歷了三個階段：從最初的模擬無線通信到GSM無線通信再到3G無線通信，今天，我們已經進入3G移動互聯網時代。而移動互聯網在演進過程中伴隨如下特征。

網絡“ALL IP”

在2008年10月中國（北京）國際信息通信展上，華為、中興通訊、愛立信、上海貝爾和諾基亞西門子通信無一例外地展示了ALL-IP網絡解決方案。移動互聯網從最初2G網絡的核心網IP化，到今天3G接入網、核心網以及內容網絡的端到端IP化過程中，都在試圖成立移動互聯網的ALL-IP標準，移動互聯網全部IP化是最終的目標。

移動互聯網IP化后，出現了很多優(yōu)點，它提高了業(yè)務的豐富性、組網靈活性、系統(tǒng)的高擴展性以及業(yè)務和網絡的可管理性等，但是IP化也帶來一個很大的問題，就是它把基于IP的互聯網存在的安全威脅，全部引入到了移動互聯網中來。比如從前只在固網出現的DDoS攻擊、蠕蟲病毒、惡意網頁推送等，如今在我們的移動互聯網中也屢見不鮮。

終端“智能化”

單從手機看，無論是引領時尚潮流的“洋品牌”iPhone、黑霉，還是攻城掠地集萬千功能于一身的“國產貨”山寨機，提供的功能真可謂“應有盡有，無所不有”。之前，我們只能在計算機上完成的功能，現在智能終端幾乎都可以完成了。移動終端在實現智能化以后，會出現與我們的計算機終端一樣的安全威脅。針對無線終端的攻擊除了傳統(tǒng)的攻擊手段之外，也有其自身的特殊性。如針對手機操作系統(tǒng)的病毒攻擊，針對無線業(yè)務的木馬攻擊、惡意廣播的垃圾電話、基于彩信應用的蠕蟲、手機信息盜用等。

同時，在智能終端沖擊下，業(yè)務的管道化問題也需要特別重視。當手機智能化之后，在線視頻點播、P2P下載等數據業(yè)務會像在固網中一樣迅速膨脹，如果在移動互聯網中提供數據管道，那好比一個高速公路一樣，它不管進出的車輛是小車還是卡車，它只管按車的數量收費，而不是按車的大小收費。

比如，谷歌在2008年推出的手機地圖業(yè)務，用戶可以通過手機客戶端軟件，通過無線網絡，實時下載谷歌內容服務器上的地圖內容，在這類業(yè)務流量非常大的情況下，會給用戶造成費用壓力，也會造成運營商計費的壓力。如果運營商不能針對性地提供業(yè)務來滿足不同用戶的業(yè)務需求，那么最終將導致業(yè)務收入的流失。

帶寬趨“百兆”

3G標準規(guī)定提供超過1M的接入帶寬，未來可以提供幾十兆甚至百兆的接入帶寬。如此一來，首先是會對移動互聯網上現存的安全設備性能提出挑戰(zhàn)。第二點，伴隨著接入帶寬的提高，用戶會把無線上網卡插到計算機上去，體驗無線網絡，這樣會把計算機的安全威脅引入到無線網絡中，一旦終端受到了安全威脅，比如成為僵尸主機，那無線網絡受到的攻擊跟固網是一樣的。同時，無線資源對用戶數是有限制的，并且數據用戶的多少會影響語音業(yè)務的體驗。如果惡意用戶頻繁地去攻擊別人，或者是用一些垃圾流量去訪問別人，則會極大地占用無線資源。另外產生的一個問題就是計費問題，惡意的攻擊流量和垃圾流量也會導致用戶的計費信息增加，導致了用戶費用提升和滿意度下降。

總之，移動互聯網的發(fā)展帶來的安全問題很多：移動互聯網的ALL-IP化引入了IP互聯網的所有安全威脅；終端的智能化凸顯了管道化的業(yè)務安全問題；接入帶寬的提升加劇了有效資源的惡意利用。

安全策略多層面部署

2009年8月，工業(yè)和信息化部發(fā)布了《通信網絡安全防護監(jiān)督管理辦法(征求意見稿)》，征求意見稿提出，通信網絡運行單位規(guī)劃、設計、新建、改建通信網絡工程項目，應當同步規(guī)劃、設計、建設滿足通信網絡安全防護標準要求的通信網絡安全保障設施，并與主體工程同時進行驗收和投入運行。已經投入運行的通信網絡安全保障設施沒有滿足通信網絡安全防護標準要求的，通信網絡運行單位應當進行改建。

客戶需求和政策導向成為了移動互聯網安全問題的新挑戰(zhàn)，運營商需要緊緊圍繞“業(yè)務”中心，全方位多層次部署安全策略，并針對性地進行安全加固，才能打造出綠色、安全、和諧的移動互聯網世界（如圖1）。

設備層安全加固

設備層安全，主要指對承載業(yè)務的設備進行安全加固。目前移動互聯網的設備層主要可以分為：網元設備、操作系統(tǒng)、數據庫等幾部分。網元設備主要是指移動互聯網中的路由器、交換機、防火墻以及一些內容層設備，針對這些設備的自身安全，可以進行4A設置、ACL保護、廣播抑制等加固準則。操作系統(tǒng)的安全加固，主要通過最小化安裝、補丁管理 、安裝防病毒軟件等策略。在數據庫安全方面，目前更多是從數據可靠性來考慮，通過制定一系列安全備份原則，來保障數控庫的安全備份。

網絡層安全對策

應對網絡層的安全威脅，首先分析移動互聯網不同接口及不同的網絡層面存在的安全威脅，然后按照安全域劃分理論對移動互聯網劃分不同的安全域。

安全域主要根據風險級別和業(yè)務差異進行劃分，將同一網絡安全層次內服務器之間的連接控制在區(qū)域內部。根據劃分原則，無線網絡的安全區(qū)域可分為Gi域、Gp域、Gn域、Om域、Ga域、計費中心接口域等, 在不同的安全邊界，通過實施和部署不同的安全策略和設備來完成邊界的安全防護，最后進行相應的安全加固。

在網絡層的安全加固過程中，需要注意的是不能因為安全而安全，因為安全沒有最完美的情況，運營商的網絡是以收入為中心的網絡，所以安全實施也一定要基于業(yè)務可存活為基礎進行實施。

業(yè)務層安全策略

在業(yè)務安全問題上，需要重視以下三方面的問題：一是業(yè)務如何實現可視化，二是解決業(yè)務管道化問題，三是如何進行非法業(yè)務的有效管控。

相應的安全策略有：首先，在網絡當中，考慮對DPI系統(tǒng)的引進。安全問題一般在網絡層上分析，因為在應用層上很難看清楚。通過DPI系統(tǒng)則很好地把網絡流量可視化，能夠看清網絡中的業(yè)務流量和非法業(yè)務流量，通過細分流量和業(yè)務，可以有針對性地去開展業(yè)務，或屏蔽一些非法的業(yè)務，從而提升用戶的業(yè)務體驗。

在業(yè)務管道化以及對非法業(yè)務管控問題上，首先要對不同的流量進行區(qū)分，對于異常流量，比如手機僵尸網絡、手機病毒、手機垃圾彩信、垃圾郵件等，這些流量必須進行一定管控和清洗。而對于用戶常用的業(yè)務流量，則需要提升其體驗，可以通過細分業(yè)務來提供定制化套餐，例如QQ上網套餐、谷歌手機地圖套餐，甚至在線電視套餐等，通過基于業(yè)務、用戶、帶寬三個維度的包月業(yè)務模式，可以大大提升用戶對業(yè)務的體驗，以及加大用戶對業(yè)務的依賴，并且還可以提升增值業(yè)務的收入。

此外，對于影響業(yè)務利益以及業(yè)務濫用的一些業(yè)務，需要進行一定的管控。對于運營商而言，跟自營業(yè)務利益沖突的業(yè)務均可以列為管控業(yè)務的范疇。

管理層面安全對策

無線業(yè)務網絡通常在管理上都是采用帶外管理，但是帶外管理同樣也會引入安全威脅。管理層面的安全威脅點主要是非授權訪問、網絡層攻擊、管理信息泄漏/篡改等，相應的對策如圖2。

需要補充的是，很多本地網的業(yè)務系統(tǒng)MSC、MGW等，目前基本上都是通過DCN實現網管的，對于業(yè)務系統(tǒng)而言，DCN網絡及網管終端是不可信的，但是很多本地網在DCN和業(yè)務系統(tǒng)之間沒有進行安全手段隔離和加固，這是非常大的安全隱患，如果網管終端把安全威脅引入到業(yè)務系統(tǒng)，后果不堪設想，所以在進行管理安全分析時，一定要考慮業(yè)務系統(tǒng)和網管網絡的邊界隔離問題，在不可信區(qū)域邊界一定實施相應的安全隔離手段。

技術與安全意識缺一不可

凡事預則立，不預則廢。移動互聯網的安全防護，既需要吸取在固網安全上成熟的成功經驗，又應當考慮其自身特點。在大規(guī)模商用之初，統(tǒng)籌安排、靈活部署將為后續(xù)的業(yè)務發(fā)展打下良好的根基。此外，我們也應該看到，安全問題是無時不在、無處不在，技術手段只能被動防御。在此基礎上，只有提高網絡建設者和消費者的安全防護意識，做到技術和安全意識相結合，才能讓移動互聯網安全、平穩(wěn)地長期發(fā)展下去。

【編輯推薦】

1. 三網融合下寬帶接入網發(fā)展策略探討
2. 接入網建設和改造如何選擇適用技術
3. 有線無線完美結合 安防監(jiān)控行業(yè)大發(fā)展
4. 光纖到戶接入技術FTTH應用策略之無源光網絡
5. 嵌入式PON光鏈路層監(jiān)測 確保FTTH網絡高效運維