專網(wǎng)通信系統(tǒng)軟交換安全方案的思考

四川海格恒通專網(wǎng)科技有限公司 賴 宏

1.引言

軟交換系統(tǒng)的建設(shè)已經(jīng)成為專網(wǎng)通信領(lǐng)域現(xiàn)代化建設(shè)與發(fā)展的必然趨勢，相對于公網(wǎng)通信而言，存在一定的特殊性，存在業(yè)主優(yōu)先服務(wù)的特征。目前，專網(wǎng)通信軟交換系統(tǒng)在電力行業(yè)、水利工程建設(shè)行業(yè)、煤炭行業(yè)、交通行業(yè)等眾多行業(yè)領(lǐng)域中得到廣泛應(yīng)用。因此，在當(dāng)今高度重視網(wǎng)絡(luò)通信質(zhì)量與安全的環(huán)境下，加強(qiáng)專網(wǎng)通信系統(tǒng)軟交換安全對專網(wǎng)通信系統(tǒng)整體的安全性存在至關(guān)重要的影響。

2.專網(wǎng)通信軟交換系統(tǒng)的相關(guān)概述

專網(wǎng)通信是基于公共網(wǎng)絡(luò)長期發(fā)展下無法進(jìn)一步滿足行業(yè)生產(chǎn)、管理與發(fā)展需求下，基于信息技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)等科學(xué)技術(shù)創(chuàng)新應(yīng)用下，形成的滿足自身組織管理、安全生產(chǎn)以及營銷調(diào)度等工作需求的通信網(wǎng)絡(luò)[1]?；趯I(yè)通信網(wǎng)絡(luò)的發(fā)展專網(wǎng)通信系統(tǒng)建設(shè)與行業(yè)存在密切關(guān)聯(lián)性，側(cè)重于為行業(yè)提供專業(yè)性、個(gè)性化的服務(wù)。隨著IP PBX研究的不斷深入與完善，基于標(biāo)準(zhǔn)協(xié)議，如MGCP、H248等媒體網(wǎng)關(guān)控制協(xié)議，形成softswitching技術(shù)，即軟交換技術(shù)[2]。而軟交換技術(shù)的應(yīng)用，使專網(wǎng)通信系統(tǒng)由電路交換向軟交換逐漸演變，形成軟交換系統(tǒng)。

3.專網(wǎng)通信軟交換系統(tǒng)的網(wǎng)絡(luò)安全域

隨著專網(wǎng)通信軟交換系統(tǒng)在各領(lǐng)域中的廣泛應(yīng)用，軟交往網(wǎng)絡(luò)安全問題愈發(fā)凸顯，如何解決軟交換系統(tǒng)安全問題已經(jīng)成為學(xué)術(shù)界、產(chǎn)業(yè)界關(guān)注的重點(diǎn)話題之一。由軟交換系統(tǒng)本質(zhì)特征可知，軟交換網(wǎng)絡(luò)主要是由網(wǎng)絡(luò)設(shè)備、網(wǎng)管設(shè)備、運(yùn)維設(shè)備以及軟交換終端等共同組成的。其中網(wǎng)管設(shè)備以及網(wǎng)絡(luò)運(yùn)維多有應(yīng)用專網(wǎng)通信軟交換系統(tǒng)企業(yè)專業(yè)工作人員負(fù)責(zé)管控與監(jiān)督。在此背景下，受到多種因素的影響，專網(wǎng)通信軟交換安全無法得到有效保障。例如網(wǎng)絡(luò)病毒、惡意攻擊等網(wǎng)絡(luò)環(huán)境的影響，系統(tǒng)長期運(yùn)行下設(shè)備損害的影響，軟交換系統(tǒng)自身存在的安全漏洞、軟交換系統(tǒng)中通信協(xié)議存在的影響以及監(jiān)管過程中存在的用戶私密信息泄漏、信息監(jiān)聽的影響[3]?；诖耍瑸樘嵘浗粨Q網(wǎng)絡(luò)安全性，通常情況下需將網(wǎng)絡(luò)進(jìn)行安全區(qū)域劃分，針對不同區(qū)域安全需求，配設(shè)合理安全方案，提升專網(wǎng)通信軟交換系統(tǒng)應(yīng)用安全性、穩(wěn)定性與可靠性。

現(xiàn)階段，在專網(wǎng)通信軟交換系統(tǒng)中，可將網(wǎng)絡(luò)安全等級分為安全級、非安全級以及信任級三種類型。其中安全級主要表示網(wǎng)絡(luò)區(qū)域?qū)儆诎踩珔^(qū)域，其設(shè)備風(fēng)險(xiǎn)發(fā)生概率較低，不易受到不安全因素的影響；非安全級主要是指該網(wǎng)絡(luò)區(qū)域?qū)儆诓话踩珔^(qū)域，需要采用特定的方案與策略提升安全等級，實(shí)現(xiàn)區(qū)域安全保障；信任級則是指該網(wǎng)絡(luò)區(qū)域?qū)儆诓话踩珔^(qū)域，但是存在一定的可信息性，能夠通過相對較小的代價(jià)基于相對安全的保障，設(shè)備間的通信存在較高可信性?；诖?，根據(jù)專網(wǎng)通信系統(tǒng)軟交換網(wǎng)絡(luò)設(shè)備以及軟交換網(wǎng)絡(luò)終端所在具體位置進(jìn)行分析，依據(jù)所在網(wǎng)絡(luò)安全域（圖1），將軟交換網(wǎng)絡(luò)存在的安全問題進(jìn)行評估與分析，探究不同區(qū)域下軟交換的特點(diǎn)與要求，從而才能有針對性、目的性的對安全方案進(jìn)行處理與改進(jìn)。

圖1 專網(wǎng)軟交換安全域劃分圖

由上圖分析可知，在專網(wǎng)通信軟交換系統(tǒng)中，專網(wǎng)通信軟交換系統(tǒng)大致可分為以下幾個(gè)網(wǎng)絡(luò)區(qū)域：

第一，包括軟交換核心設(shè)備、運(yùn)維設(shè)備與網(wǎng)管設(shè)備在內(nèi)，需給予重點(diǎn)網(wǎng)絡(luò)安全保護(hù)的核心網(wǎng)絡(luò)區(qū)。該區(qū)域內(nèi)的安全性取決于網(wǎng)絡(luò)環(huán)境與設(shè)備運(yùn)行情況，屬于安全信任級。

第二，PSTN（公共開關(guān)電話網(wǎng)絡(luò)）接入?yún)^(qū)域。該部分雖然處于用戶接入網(wǎng)絡(luò)，但是由于采用的是“窄帶接入”法，其安全等級與窄帶PSTN網(wǎng)絡(luò)域安全等級一致，屬于網(wǎng)絡(luò)安全級。

第三，基于軟交換網(wǎng)絡(luò)終端與局域網(wǎng)以及外網(wǎng)進(jìn)行連接的部分，即“局域網(wǎng)IP用戶接入域”與“廣域網(wǎng)IP用戶接入域”，容易受公共網(wǎng)絡(luò)環(huán)境的影響，故安全等級相對較低，屬于網(wǎng)絡(luò)非安全級。

4.專網(wǎng)通信系統(tǒng)軟交換安全方案

專網(wǎng)通信軟交換系統(tǒng)的安全需實(shí)現(xiàn)軟交換網(wǎng)絡(luò)中數(shù)據(jù)、資源的保密性、可信性、真實(shí)性、完整性以及包含性。因此，基于存在的軟交換安全問題，可建立P2DRR安全保護(hù)模型，并采用隔離、控制等技術(shù)進(jìn)行進(jìn)一步完善，形成專網(wǎng)通信系統(tǒng)軟交換安全方案。

4.1 核心網(wǎng)絡(luò)域的安全方案

由上述分析可知，專網(wǎng)通信軟交換系統(tǒng)中，核心網(wǎng)絡(luò)域?qū)儆诎踩湃渭?，需采取一定的措施進(jìn)行安全防護(hù)。在資料分析與工作經(jīng)驗(yàn)總結(jié)中，可知核心網(wǎng)絡(luò)域的安全影響因素主要在于網(wǎng)絡(luò)層、應(yīng)用層的惡意攻擊，設(shè)備運(yùn)行故障等等。對此，在進(jìn)行安全防護(hù)時(shí)，可采用以下方法進(jìn)行具體實(shí)踐。

首先，應(yīng)用安全隔離技術(shù)進(jìn)行安全防護(hù)。例如，在一定條件下，采用物理專網(wǎng)模式進(jìn)行組網(wǎng)隔離，即通過布設(shè)專用的核心網(wǎng)承載軟交換業(yè)務(wù)實(shí)現(xiàn)隔離保護(hù)，其安全性較高；或采用邏輯專網(wǎng)模式進(jìn)行組網(wǎng)隔離，即通過借助VLAN（虛擬局域網(wǎng)）、VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）等技術(shù)，在邏輯上實(shí)現(xiàn)軟交換服務(wù)與其他服務(wù)之間的隔離，其成本投入相對較低。在具體實(shí)踐過程中，可根據(jù)實(shí)際情況，合理選擇隔離模式把整安全防護(hù)需求的滿足。

其次，采用亢余法進(jìn)行專網(wǎng)通信系統(tǒng)軟交換的安全防護(hù)。例如，在軟交換系統(tǒng)IP網(wǎng)建設(shè)過程中，注重互聯(lián)網(wǎng)組網(wǎng)結(jié)構(gòu)的科學(xué)設(shè)置，通常情況下建議全網(wǎng)狀或半網(wǎng)狀的組網(wǎng)形式進(jìn)行互聯(lián)網(wǎng)組網(wǎng)。與此同時(shí)，采用具有備份存儲(chǔ)功能的路由器，采用“雙歸屬”手段與網(wǎng)關(guān)設(shè)備、核心骨干網(wǎng)建立互聯(lián)。在此過程中。路由器之間需設(shè)置具有亢余性的多條通道，用以降低路由器故障或某線路故障對軟交換業(yè)務(wù)帶來不利影響。此外，在軟交換網(wǎng)絡(luò)的各層次中設(shè)置冗余部署交換設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)安全的進(jìn)一步提升。在此過程中需注意其與傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)間的差異性，保證設(shè)備應(yīng)用對各項(xiàng)業(yè)務(wù)需求的滿足。同時(shí)，可采用節(jié)點(diǎn)設(shè)備對稱連接、節(jié)點(diǎn)部署及時(shí)檢測、鏈路技術(shù)檢測、備用鏈路預(yù)設(shè)、基于IP、LDP、TE FRR等技術(shù)應(yīng)用下的協(xié)議鏈路切換等實(shí)現(xiàn)網(wǎng)絡(luò)的各層次余部署交換設(shè)備作用的最大化發(fā)揮。

與此同時(shí)，為保證核心網(wǎng)絡(luò)域內(nèi)軟交換設(shè)備的安全，可采用雙歸屬方案提升安全等級。針對具體設(shè)備，需根據(jù)具體情況進(jìn)行具體分析。例如，注重通信級硬件平臺(tái)、電源運(yùn)行、雙組機(jī)箱、單板熱插拔、設(shè)備網(wǎng)絡(luò)端口等的管理。就雙組機(jī)箱管理而言，保證機(jī)箱管理功能的健全，使機(jī)箱在整個(gè)系統(tǒng)運(yùn)行中能夠正常工作，注重機(jī)箱的日常維修與養(yǎng)護(hù)。針對設(shè)備存在的問題能夠在第一時(shí)間發(fā)現(xiàn)故障點(diǎn)，探知故障產(chǎn)生原因。在此過程中，可通過建立機(jī)箱管理警報(bào)機(jī)制，針對可能存在的故障信息與故障恢復(fù)信息，建立數(shù)據(jù)庫（包括主用數(shù)據(jù)庫與備用數(shù)據(jù)庫），當(dāng)主用數(shù)據(jù)庫發(fā)生故障時(shí)，能夠在第一時(shí)間切換到備用數(shù)據(jù)庫，保證系統(tǒng)運(yùn)行的穩(wěn)定與安全。

此外，建立多層次軟件管理機(jī)制，實(shí)現(xiàn)對專網(wǎng)通信軟交換系統(tǒng)中各軟交換模塊故障的技術(shù)檢測、防護(hù)與恢復(fù)。例如，借助防火墻技術(shù)，在計(jì)算機(jī)設(shè)備中配置防火墻軟件，實(shí)現(xiàn)對軟交換網(wǎng)絡(luò)終端病毒與黑客惡意攻擊的有效防治。與此同時(shí)，配設(shè)多等級負(fù)載光控機(jī)制，實(shí)現(xiàn)對軟交換超負(fù)載的有效管控，實(shí)現(xiàn)軟交換重要業(yè)務(wù)的安全性與可靠性。此外，注重系統(tǒng)協(xié)議保護(hù)，通過建立完善、科學(xué)的協(xié)議安全機(jī)制實(shí)現(xiàn)系統(tǒng)安全性的提升。如利用SCTP協(xié)議（stream control transmission protocol，流控制傳輸協(xié)議）實(shí)現(xiàn)對SCTP偶連的安全保護(hù)；針對MGCP、H248等協(xié)議，采用加密技術(shù)，提升系統(tǒng)協(xié)議安全性。也可以采用“會(huì)話邊緣控制網(wǎng)關(guān)技術(shù)”，借助SBC（會(huì)話邊緣控制器）進(jìn)行網(wǎng)絡(luò)隔離，實(shí)現(xiàn)對特定協(xié)議下軟交換業(yè)務(wù)報(bào)文的過濾與對邊緣路由器的標(biāo)記，提升網(wǎng)絡(luò)管理安全性；實(shí)現(xiàn)非標(biāo)準(zhǔn)消息向標(biāo)準(zhǔn)消息的轉(zhuǎn)變，保證異構(gòu)網(wǎng)絡(luò)協(xié)議之間的有效互通。

4.2 IP用戶接入域的安全方案

由上述分析可知IP用戶接入域?qū)儆诜前踩?，加?qiáng)IP用戶接入域的安全管理，對提升網(wǎng)絡(luò)安全、設(shè)備安全、信息安全等皆具有重要意義。對此，針對IP用戶接入域，需根據(jù)行業(yè)專網(wǎng)通信軟交換系統(tǒng)具體情況，對不同網(wǎng)絡(luò)區(qū)域下的用戶接入進(jìn)行安全管控。

例如，就電力行業(yè)專網(wǎng)通信軟交換系統(tǒng)而言，可采用以下兩種方法給予安全防護(hù)。其一，采用MPLS VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)對VPN網(wǎng)絡(luò)進(jìn)行安全保護(hù)。即，基于MPLS對IP數(shù)據(jù)集合進(jìn)行標(biāo)記，并形成新的MPLS數(shù)據(jù)集合，用以提升IP數(shù)據(jù)傳輸效率與質(zhì)量。同時(shí)，在路徑轉(zhuǎn)發(fā)過程中，實(shí)現(xiàn)對MPLS數(shù)據(jù)集合上標(biāo)記的讀取，實(shí)現(xiàn)IP地址的有效隔離，提升網(wǎng)絡(luò)安全性。其二，利用通信代理技術(shù)，借助呼叫號(hào)碼，基于歸屬代理與接入代理的管理，實(shí)現(xiàn)軟交換與網(wǎng)絡(luò)終端以及各終端之間通信的有效隔離，提升IP用戶接入域的安全性。

5.結(jié)論

總而言之，專網(wǎng)通信軟交換系統(tǒng)建設(shè)與運(yùn)行的安全,對軟交換系統(tǒng)的推廣與應(yīng)用存在直接影響。本文旨在通過對專網(wǎng)通信系統(tǒng)軟交換安全問題、安全策略與方案的研究，實(shí)現(xiàn)專網(wǎng)軟交換系統(tǒng)建設(shè)的優(yōu)化發(fā)展，為相關(guān)制造商與學(xué)術(shù)研究提供有益參考。

[1]李炳林,卜憲德,郭云飛.電力軟交換系統(tǒng)安全問題及策略研究[J].計(jì)算機(jī)科學(xué),2012,39S3:99-102.

[2]段普偉,朱煜.論軟交換系統(tǒng)在河南黃河通信專網(wǎng)中的應(yīng)用[J].科技視界,2016,06:314.

[3]朱雪琴,王天峰,蒲晶晶.適用于電力通信專網(wǎng)的軟交換平臺(tái)探討[J].中國新通信,2016,1812:13.