通信网络安全防护—互联网安全防护

互联网（CMNet）是完全开放的IP网络。面临的主要安全风险来自用户、互联伙伴的带有拒绝服务攻击性质的安全事件，包括利用路由器漏洞的安全攻击，分布式大流量攻击，蠕虫病毒、虚假路由、钓鱼攻击、P2P滥用等。

互联网上的安全事件会影响直接或间接连接互联网的业务系统。因此，针对互联网，应重点做好以下几方面安全措施：

（1）流量控制系统：在互联网的国际出入口、网间接口、骨干网接口的合适位置部署流量控制系统，具备对各种业务流量带宽进行控制的能力，防止P2P等业务滥用。

（2）流量清洗系统：在互联网骨干网、网间等接口部署异常流量清洗系统，用于发现对特定端口、特定协议等的攻击行为并进行阻断，防止或减缓拒绝服务攻击发生的可能性。

（3）恶意代码监测系统：在骨干网接口、网间接口、IDC和重要系统的前端部署恶意代码监测系统，具备对蠕虫、木马和僵尸网络的监测能力。

（4）路由安全监测：对互联网关键基础设施重要组成的BGP路由系统进行监测，防止恶意的路由宣告、拦截或篡改BGP路由的事件发生。

（5）重点完善DNS安全监控和防护手段，针对异常流量以及DNS欺骗攻击的特点，对DNS服务器健康情况、DNS负载均衡设备、DNS系统解析情况等进行监控，及时发现并解决安全问题。

通信网络安全防护—移动互联网安全防护

移动互联网把移动通信网作为接入网络，包括移动通信网络接入、公众互联网服务、移动互联网终端。移动互联网面临的安全威胁主要来自终端、网络和业务。终端的智能化带来的威胁主要是手机病毒和恶意代码引起的破坏终端功能、窃取用户信息、滥用网络资源、非法恶意订购等。

网络的安全威胁主要包括非法接入网络、进行拒绝服务攻击、跟踪窃听空口传输的信息、滥用网络服务等。业务层面的安全威胁包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露等。

针对以上安全威胁，应在终端侧和网络侧进行安全防护。

（1）在终端侧，主要增强终端自身的安全功能，终端应具有身份认证、业务应用的访问控制能力，同时要安装手机防病毒软件。

（2）在网络侧，针对协议漏洞或网络设备自身漏洞，首先要对网络设备进行安全评估和加固，确保系统自身安全。其次，针对网络攻击和业务层面的攻击，应在移动互联网的互联边界和核心节点部署流量分析、流量清洗设备，识别出正常业务流量、异常攻击流量等内容，实现对DDoS攻击的防护。

针对手机恶意代码导致的滥发彩信、非法联网、恶意下载、恶意订购等行为，应在网络侧部署恶意代码监测系统。在GGSN上的Gn和Gp口通过分光把数据包采集到手机恶意代码监测系统进行扫描分析，同时可以从彩信中心获取数据，对彩信及附件进行扫描分析，从而实现对恶意代码的监测和拦截（见图1）。

图1　在网络侧部署恶意代码监测系统

通信网络的安全防护措施还不止本文介绍的两种，我们还会在以后的文章中继续向大家介绍，请感兴趣的朋友关注：浅析通信网络的安全防护措施 下篇