NGN的安全

隨著信息產業的發展，信息技術逐漸主導國民經濟和社會的發展。世界各國都在積極應對信息化的挑戰和機遇。信息化、網路化正在全球範圍內形成一場新的技術、產業和社會革命。要發展信息化，就必須重視信息網路安全，它絕不僅是IT行業問題，而是一個社會問題以及包括多學科系統安全在內的工程問題，它直接關係到國家安全。NGN作為下一代通信網路，是未來信息傳遞的主要載體，而網路安全事關國家經濟、政治、文化和國防，因此在NGN研究中，安全將是最重要的課題之一。

1.NGN安全與經濟領域

隨著我國網上銀行的建設、電子商務的發展，無數財富將以比特的形式在網路上傳輸。

2.NGN安全與文化領域

當前網上聊天已成為一種重要的溝通手段，生存在網路中的虛擬社會已成為人們的第二生活方式，網路已成為繼報刊雜誌、廣播和電影電視後的重要媒體。

3.NGN安全與政府職能

當前我國正在大量建設電子政務網，也就是政府職能上網，在網上建立一個虛擬的政府，實現政府的部分職能性工作。

4.NGN安全與國防

隨著軍事國防信息化的發展，信息對抗已成為戰爭的一部分。大量的信息都可能在網路上傳輸。除泄密可能外，網路安全問題還可能導致指揮系統的癱瘓。

5.NGN安全與國家重要基礎設施

大多數國家重要基礎設施都依賴網路。網路癱瘓可能造成電網故障、機場封閉和鐵路停運等，進而引發更多更嚴重的問題。

就通信網路而言，NGN可能面臨如下安全威脅。

1.電磁安全

隨著偵聽技術的發展以及計算機處理能力的增強，電磁輻射可能引發安全問題。

2.設備安全

當前設備容量越來越大，技術越來越複雜，複雜的技術和設備更容易發生安全問題。

3.鏈路安全

通信光纜電纜敷設規範性有所下降。在跨越長江、黃河、淮河等幾條大江大河時，光纜基本都敷設並集中在鐵路橋上，可能出現“橋毀纜斷”導致通信中斷的嚴重局面。

4.通信基礎設施過於集中

國內幾個主要運營商在省會城市的長途通信局（站）採用綜合樓方式設定其通信基礎設施，在發生地震火災等突發事件時，極易產生通信大規模中斷的局面。

5.信令網安全

傳統電話網路的信令網曾經是一個封閉的網路，相對安全。然而隨著軟交換等技術的引入，信令網逐漸走向開放，增加了安全隱患的問題。

6.同步外安全

同步網路是當前SDH傳輸網路以及CDMA網路正常運行的重要保障。當前大量網路包括CDMA等的同步主要依賴GPS系統。如GPS系統出現問題，將對現有網路造成不可估量的損失。

7.網路遭受戰爭、自然災害

在網路遭受戰爭或自然災害時，網路節點可能會遭受毀滅性的打擊，導致鏈路大量中斷。

8.網路被流量衝擊

當網路受到流量衝擊時，可能產生雪崩效應，網路性能急劇下降甚至停止服務。網路流量衝擊可能因突發事件引起，也可能是受到惡意攻擊。

9.終端安全

典型的多業務終端是一個計算機，與傳統的專用傻終端例如電話相比，智慧型終端故障率以及配置難度都大大提高。

10.網路業務安全

多業務網路很少基於物理連線埠或者線路來區分用戶，因此業務被竊取時容易產生糾紛。

11.網路資源安全

多業務網路中，用戶惡意或無意濫用資源會嚴重威脅網路正常運行。

12.通信內容安全

網路傳輸的內容可能被非法竊取或被非法使用。

13.有害信息擴散

傳統電信網不負責信息內容是否違法。隨著新業務的開展，對於有害信息通過網路擴散傳播的問題應引起NGN的高度重視。

1.網路多業務影響網路安全

網路提供的多業務以及隨之而來的終端智慧型化為網路帶來了更多的安全隱患。

在傳統的電信網路上，大多數網路捆綁單一業務：電話網提供電話業務以及部分補充業務；DDN提供點到點數據專線以及虛擬專用網業務；同步網提供網路同步服務；信令網為電話網提供信令服務。即使是號稱多媒體網路的ATM也基本用作數據專線以及虛擬專用網。大多數用戶終端智慧型性較低，並且與網路信令隔離，因此一般不會影響網路安全。

2.多運營商競爭影響網路安全

多運營商競爭在開拓通信市場以及增加網路備份的同時也帶來了新的安全隱患。我國通信網路歷經了一個從單運營商走向多運營商的過程。在原有郵電部領導中國電信建立通信網路時，網路承載單一業務，支撐網統一設計，業務普遍開展，纜線敷設統一規劃，服務質量全程全網統一設計，電信業務與網路安全性基本滿足當時的需求。在當前多運營商競爭的環境下，我國網規模有了極大的增長，適應了國民經濟對通信網路的要求，但是也引入了一些對安全不利的因素。

3.網路規模和設備容量的擴大影響網路安全

網路規模和容量額不斷增加在帶來效益的同時也引起設備的複雜化以及管理的複雜化，隨之而來的便是為網路帶來更多的安全隱患。

隨著國民經濟的增長，通信需求不斷擴大。我國電信網路已發展成全球最大的固網和行動網路之一，運維一個如此巨大的網路沒有先例也沒有參照對象，極有可能出現一些意想不到的安全問題。隨著網路規模的擴大以及設備容量的擴大，設備越來越複雜，不可控因素隨之增加。在一個規模空前的網路上因網管操作失誤、用戶惡意攻擊、故障的不恰當處理等原因引起大量客戶無法正常使用的晶片大多數是國外產品，引進產品、晶片的安全性無法評估，因此，也使通信網路安全隱患難以預測。

4.管理比技術更影響網路安全

先進的安全技術和設備會因管理不善而崩潰，完善的管理可以在一定程度上消除技術落後打來的不利因素。因此就網路安全而言，管理比技術更重要。這裡所說的管理並不局限於一般所說的TNM電信網管或者網際網路的簡單網管，還包括管理制度、應急體系、運維規章、人員培訓、密鑰分發以及保密制度等方方面面。

5.新技術新業務新運營模式影響網路安全

新技術、新業務帶來的新的運營模式，在建立新的價值鏈的同時也會帶來新的安全隱患。

隨著IP網路的普遍套用，信息機密性、完整性和不可否認性成為網路安全的重要內容；隨著分組語音業務的開展，電信運營商必須關注來自IP網路的來源追查；隨著軟終端的出現，運營商必須從基本連線埠認證與計費擴展到基於用戶標識認證和計費；隨著簡訊業務的爆炸性發展，移動運營商必須關注惡意傳送以及簡訊詐欺；隨著電子郵件業務的發展，運營商必須關注垃圾郵件；隨著BBS的廣泛使用以及巨大的影響力，BBS的管理與監控已迫在眉睫。因此新技術新業務和新運營模式在為運營商帶來利潤增長點的同時，也為網路帶來了安全上的不確定性。

6.IP技術的使用影響網路安全

IP技術的使用一方面為產業帶來新業務、新活力，另一方面為網路帶來安全隱患。當前，IP技術套用廣泛，但IP並不是一個完美的網路層技術，也存在服務質量、安全、運營模式等問題，其中安全問題一直是最受關注的問題之一。IP網路的安全問題部分是因為計算機網路設計理念與電信網路設計理念有差異：計算機網路中不是問題的問題在電信網路中卻會成為嚴重的問題；另一方面，IP網路在電信中使用缺乏運營維護管理的經驗和手段。由於IP網路不能有效地對源地址進行檢驗，用戶終端可以偽造源地址對網路發起流量衝擊進而影響控制層面。

1.安全不是絕對的，安全威脅永遠存在

安全不是一種穩定的狀態，永遠不能認為採用了怎樣的安全措施就能使網路達到安全狀態。首先，付出資源、管理代價可以增加安全性，但是無論多少代價也不能做到永遠、絕對的安全。其次，安全是一個不穩定的狀態，隨著新技術的出現以及時間的推移，原本相對安全的措施和技術也會變得相對不安全。最後，安全技術和管理措施是有針對性、有範圍的，通常只對已知或所假想的安全威脅有效。安全技術和安全管理措施不確保對未知或未預想的安全威脅生效。

2.安全應作為基礎研究，需要長期努力

NGN安全研究範圍廣泛，涉及法律法規、技術標準、管理措施、網路規劃、網路設計、設備可靠性、業務特性、商業模式、纜線埋放、加密強度、加密算法以及有害信息定義等大量領域。因此安全研究不是一蹴而就，需要長期努力。安全投入本身不能產生直接效益，只能防止和減少因不安全因素而造成的損失。安全研究應當作為一項基礎研究，由國家、運營商和相關企業長期投入，共同努力。

3.安全需要付出代價，安全要求應當適度

NGNG安全是所有人都希望的，但不是所有人都能意識到達到一定的安全標準所需要付出的代價。為安全付出的代價可能是人力、物力、財力的投入，也可能是降低效率。因此安全要求應當適度，為機密性付出的代價大於因泄密可能受到的損失時，該安全要求便要求意義不大。在日常通話中能保證機密性當然理想，但是如需要增加幾倍的通話費用來增加機密性，相信大多數用戶都無法接受。

4.安全隱患有大有小，應分輕重緩急

當前NGN上存在大量已知的安全隱患，然而還有大量隱患是未知的。對於眾多的安全隱患，應當視可能造成的危害以及需要付出的成本，分輕重緩急分別加以解決。一般來說，可能大面積影響網路業務提供的安全隱患應當優先解決，例如影響同步網安全、網路路由協定正常運行的安全隱患等。對於不影響業務正常開展，或者只有較小可能影響少量用戶，同時需要資金、人員投入較多的安全隱患，例如無線接口用戶數據未加密等，可以稍稍延後解決。

5.安全不僅是技術問題，更重要的是管理

絕大多數安全隱患可以通過技術手段加以解決，但更重要的是加強管理。在當面技術條件下，任何安全技術都是需要人來參與的。通常這樣的管理機制是以日誌和審計作後盾，以降低效率作為代價。因此，沒有完善管理機制的網路不可能是安全的網路。此外，一些通過管理可以輕易解決的問題，可能需要極其複雜的技術手段才能解決。

6.安全問題有範圍，不是包羅萬象的

NGN安全有自身的範圍界定，並不是所有的問題都會影響NGN和信息安全。隨意擴展安全研究範圍，將大量與安全無關的課題歸結到NGN與信息安全的研究中，可能會失去重點，不利於安全研究與安全隱患的解決。例如，傳輸網路設計指標範圍內的誤碼與安全問題無關；同樣，IP網路上設計範圍內的丟包率、電話網上掉線率範圍內的掉線等都與NGN安全無關，用戶丟失密碼造成的損失也與網路安全無關。

7.網路安全不僅僅是定性的，還應當定量評估

當前計算機系統有安全等級評估標準，可以對其進行定量評估。長期以來，通信網路主要提供話音服務，對話音自身的信息安全以及內容是否合法並不關心。因此主要採用業務可用性以及設備可靠性來體現網路安全。但是，當前通信網路支撐著國家重要安全設施的正常運行，因此，網路安全有必要進行定量評估並劃分等級。不同的網路套用應當有其最低安全等級的要求。對所有通信都提供最高安全等級固然很好，但是為此付出幾倍甚至是幾十倍的成本代價，顯然不是公眾和運營商所期望的。

8.不同網路上關注的安全問題應當各有側重

傳統電信網路主要提供專線型的數據傳輸以及點到點的話音業務，因此傳統電信網主要關注的是網路自身的安全以及網路服務的安全。而網際網路是為教育科研設計的，服務可控性較差，並缺乏有效的商業模式，且其所具有的可大量傳遞數據信息並開展BBS以及點到多點、匿名傳送等業務的特性，也決定了網際網路應更關注服務的可控性以及網路上信息的安全。