打造安全体系保障健康网络

首页>>专题>>2006世界电信日专题>>产业前沿>>本页

打造安全体系保障健康网络
(2006-05-17 15:48:32)
随着通信行业的飞速发展，各种新兴通信技术不断涌现，在为传统电信网络带来新的发展机会的同时，也对网络安全性带来一定冲击。如何保证网络持续、安全、稳定的运行，为其终端用户提供高质量、高可靠性的通信业务，成为电信运营商保持可持续发展的首要任务。上海贝尔阿尔卡特致力提供完善的端到端的通信解决方案，以高可靠性、高安全性的通信网络，保障运营商业务的健康发展。安全可靠的IP承载网络 IP技术的诞生加速了互联网的发展，但IP技术固有的特性导致其在安全性方面仍然有很多问题需要解决。在网络IP化的演进中，上海贝尔阿尔卡特多个层面加强了IP的安全性。 * ACL过滤：上海贝尔阿尔卡特的IP解决方案能够支持线速的流量过滤，在端口上设置2000条过滤规则的情况下，7750SR的CPU负载低于30%，远远小于部分主要IP方案提供商70%的负载率。不仅如此，7750SR的过滤规则支持到第四层，为运营商更灵活的控制业务提供可能。 * DDoS防范：对于DDoS的防范，通常的做法是通过IDS配合ACL的方式来进行，但这种方式容易造成ACL日志过大，设备负载过高的负面效果，ASB的IP方案通过开启Netflow，根据DDoS发生攻击的特征（如某种特定流量TCP SYN、UDP SYN或者DNS流量会在短时间内突然增大等），在流量发生变化的早期就能够预测到攻击。并通过限制ICMP、UDP、TCP SYN的速率和地址过滤能够在不影响正常流量的情况下对DDoS进行防范。此外，还引入智能的路由平面切换技术，能够保证在主用路由引擎遭受攻击失效的情况下，备用引擎智能识别同类型的攻击流量，并平滑的接管主路由引擎的工作，从而实现不间断业务。先进的ASON智能光网络作为智能光网络市场的领先者，上海贝尔阿尔卡特提供全套的端到端的ASON智能光网络解决方案，具备大容量，高可靠性的特点，通过在核心层引入大容量的智能光网络设备实现灵活的组网、快速的端到端调度、强大的保护恢复能力、使得网络可以适合各种业务的网络生存需要。这种生存性最终体现在对业务质量或服务质量的保证。该方案还采用智能控制、多业务传送技术，具有全球领先的业务智能快速配置、多重故障快速保护和恢复机制，能使运营商的传送网络更易管理和维护，具有更高的安全性和快速满足多种新一代城域业务发展需求的能力。同时，新的网络将成为支撑城域以太网业务、IP、ATM和3G移动等多种新业务的综合传送网。 G速宽带，安全畅通上海贝尔阿尔卡特为满足100%三重播放业务的接入需求，基于纯IP技术设计的IP多业务接入平台ISAM7302，采用面向所有用户的、能够确保未来安全的多样化服务接入平台和线速服务提供的全面无阻塞内部架构。其丰富的接入技术手段，包括ADSL2+, VDSL2, GPON，可实现三重播放业务的快速部署，可持续发展的经济组网方案。随着三重播放业务的开展和全IP网络的演进，接入网络面临越来越多的安全隐患和网络攻击，如：DOS/TOS攻击所引发的广播风暴和信息窃取，非法接入用户的业务盗用和网络破坏等。上海贝尔阿尔卡特的IP多业务接入平台，直接接入终端用户，在提供高带宽接入同时，采用多种安全机制为以太接入网络和设备自身提供安全保障。安全化设计的移动软交换系统上海贝尔阿尔卡特设备和系统的研发阶段　安全性有着全面的考虑和设计。以移动软交换系统为例，我们通过采用多项技术来保证系统的安全性，如完善的系统架构及软硬件设计、完善的中间件系统及内部安全机制、IP网络的物理隔离、IP网络的逻辑隔离、用户准入和操作权限管理、关键数据加密等等。 1. 完善的系统架构及软硬件设计上海贝尔阿尔卡特的无线软交换（WSS）设备采用SUN的电信级平台和Solaris操作系统，相比Windows NT，该操作系统安全性、健壮性和可靠性优势为业界公认。此外，无线媒体网关（WMG）设备也采用专有电信级软硬平台，操作系统对外不可见，可以避免任何网络攻击。 2. 完善的中间件系统及内部安全机制 5020移动软交换系统中的WSS设备采用SUN的电信级服务器平台和Solaris操作系统。电信级服务器内部的双硬盘系统用于保护关键的配置、应用、计费和动态数据。在此架构之上，上海贝尔阿尔卡特通过完善的中间件系统提供全面的平台内部安全保障机制，如利用Heartbeat消息实时监控各板卡上核心进程和无线应用进程的执行状态；硬件故障或者核心进程出错时自动触发主备用倒换等。 3. IP网络的物理和逻辑隔离 5020移动软交换是一个内外隔离的系统，本身就具备了和外界IP网物理隔离的特性。对于计费、网管等与外网的接口，可以进一步进行物理隔离，即采用特定接口专门用于计费信息传送，网管系统连接，或Mc接口通信。此外，还可以采用逻辑隔离措施。可以利用防火墙和边缘路由器的IP Sec或MPLS VPN等功能进行逻辑隔离，保证系统和计费、网管信息的安全性。 4. 用户准入和操作权限管理该系统提供严格的用户管理功能。管理用户帐号，设定操作级别。根据操作用户的级别，严格限定操作权限。系统严格拒绝不合法用户的登陆。可以说，5020移动软交换在系统和IP网络的安全性方面进行了完善的设计，拥有全方位的安全机制，保障了网络的安全运营。