軟交換網(wǎng)絡(luò)還是比較常用的，于是我研究了一下軟交換網(wǎng)絡(luò)安全威脅和需求，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。目前，PSTN正逐漸向以軟交換網(wǎng)絡(luò)為代表的下一代網(wǎng)絡(luò)（NGN）遷移，軟交換網(wǎng)絡(luò)具備業(yè)務(wù)接口開(kāi)放、接入手段豐富、承載和傳送單一、設(shè)備容量集中等特點(diǎn)，這些特點(diǎn)是軟交換網(wǎng)絡(luò)的優(yōu)勢(shì)，但同時(shí)使軟交換網(wǎng)絡(luò)面臨更多的安全威脅。

本文從軟交換網(wǎng)絡(luò)自身的特點(diǎn)出發(fā)，結(jié)合運(yùn)營(yíng)商的實(shí)際運(yùn)營(yíng)經(jīng)驗(yàn)，分析和探討了軟交換網(wǎng)絡(luò)的安全威脅和需求。對(duì)于承載層面，本文只探討業(yè)務(wù)層面對(duì)承載網(wǎng)的安全需求，不涉及IP承載網(wǎng)數(shù)據(jù)層面的安全措施和需求。

軟交換網(wǎng)絡(luò)安全威脅分析

典型的軟交換網(wǎng)絡(luò)由業(yè)務(wù)層、核心交換層、控制層和接入層4層組成，它們面臨著安全威脅：軟交換設(shè)備和各種網(wǎng)關(guān)設(shè)備的容量可以非常大，一旦中斷，其影響成幾何級(jí)數(shù)放大；軟交換系統(tǒng)的承載網(wǎng)基于IP網(wǎng)絡(luò)，在承載網(wǎng)故障或者不穩(wěn)定的情況下會(huì)出現(xiàn)心跳機(jī)制混亂、業(yè)務(wù)不能正常開(kāi)展、核心節(jié)點(diǎn)運(yùn)行不穩(wěn)定或者脫網(wǎng)、鏈路和路由狀態(tài)異常等狀況；軟交換系統(tǒng)通過(guò)開(kāi)放的業(yè)務(wù)接口提供豐富的業(yè)務(wù)和應(yīng)用，但開(kāi)放的業(yè)務(wù)接口使其面臨被攻擊的危險(xiǎn)；軟交換系統(tǒng)用戶(hù)終端的智能化以及接入方式的復(fù)雜化對(duì)軟交換協(xié)議處理的容錯(cuò)性提出了很高的要求，接入?yún)^(qū)域公共化等使軟交換網(wǎng)絡(luò)處于更開(kāi)放的網(wǎng)絡(luò)環(huán)境中，更易遭受攻擊。下面對(duì)這些威脅做深入分析。

（1）核心設(shè)備自身的安全威脅

軟交換網(wǎng)絡(luò)采用呼叫與承載控制相分離的技術(shù)，網(wǎng)絡(luò)設(shè)備的處理能力有了很大的提高�？梢蕴幚砀�多的話務(wù)和承載更多的業(yè)務(wù)負(fù)荷，但隨之而來(lái)是安全問(wèn)題。對(duì)于采用板卡方式設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備，一塊單板在正常情況下能夠承載更多的話務(wù)和負(fù)荷，那么在發(fā)生故障時(shí)就有可能造成更大范圍的業(yè)務(wù)中斷。

目前，軟交換設(shè)備安全完全依賴(lài)廠商的軟硬件的安全設(shè)計(jì)，主要通過(guò)主備、1+1、N+1備份和自動(dòng)倒換以及軟硬件模塊化設(shè)計(jì)等方式實(shí)現(xiàn)故障情況下的切換和隔離。但在實(shí)際運(yùn)行中仍然存在一定的安全隱患。

備份和倒換的可靠性無(wú)法保障：關(guān)鍵設(shè)備的倒換（特別是一些關(guān)鍵接口板）一般會(huì)影響業(yè)務(wù)或者設(shè)備運(yùn)行，倒換的成功率目前無(wú)法保障，可能在緊急情況下無(wú)法順利進(jìn)行倒換。軟件的可靠性無(wú)法保障：目前一些廠商的軟件版本和補(bǔ)丁策略存在一定問(wèn)題，軟件和補(bǔ)丁過(guò)多帶來(lái)了兼容性和可靠性問(wèn)題。

（2）承載網(wǎng)的安全威脅

軟交換系統(tǒng)的承載網(wǎng)絡(luò)采用的是IP分組網(wǎng)絡(luò)，通信協(xié)議和媒體信息主要以IP數(shù)據(jù)包的形式進(jìn)行傳送。承載網(wǎng)面臨的安全威脅主要有網(wǎng)絡(luò)風(fēng)暴、病毒（蠕蟲(chóng)病毒）泛濫和黑客攻擊。網(wǎng)絡(luò)風(fēng)暴和病毒輕則大量占用網(wǎng)絡(luò)資源和網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)訪問(wèn)緩慢，甚至無(wú)法訪問(wèn)網(wǎng)絡(luò)資源，重則導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。黑客攻擊網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，篡改其路由和用戶(hù)等數(shù)據(jù)，導(dǎo)致路由異常，網(wǎng)絡(luò)無(wú)法訪問(wèn)等。從實(shí)際運(yùn)行情況來(lái)看，承載網(wǎng)對(duì)軟交換網(wǎng)絡(luò)的影響目前是最大的，主要是IP網(wǎng)絡(luò)質(zhì)量不穩(wěn)定引起的。

（3）接入網(wǎng)的安全威脅

軟交換網(wǎng)絡(luò)提供了靈活、多樣的網(wǎng)絡(luò)接入手段，任何可以接入IP網(wǎng)絡(luò)的地點(diǎn)均可以接入終端。這種特性在為用戶(hù)提供方便的同時(shí)帶來(lái)了安全隱患，一些用戶(hù)利用非法終端或設(shè)備訪問(wèn)網(wǎng)絡(luò)，占用網(wǎng)絡(luò)資源，非法使用業(yè)務(wù)和服務(wù)，甚至向網(wǎng)絡(luò)發(fā)起攻擊。另外，接入與地點(diǎn)的無(wú)關(guān)性，使得安全事件發(fā)生后很難定位發(fā)起安全攻擊的確切地點(diǎn)，無(wú)法追查責(zé)任人。

（4）網(wǎng)絡(luò)層面的安全威脅

雖然單個(gè)或者區(qū)域核心節(jié)點(diǎn)的安全可以通過(guò)負(fù)荷分擔(dān)或者備份來(lái)保證，但是從網(wǎng)絡(luò)層面來(lái)看仍然存在安全隱患。在現(xiàn)有的軟交換網(wǎng)絡(luò)中，各種平臺(tái)類(lèi)設(shè)備（SHLR、NP業(yè)務(wù)平臺(tái)、SCP等）很多，而且往往都是以單點(diǎn)的形式存在，這些節(jié)點(diǎn)一旦失效，將嚴(yán)重影響網(wǎng)絡(luò)業(yè)務(wù)。從實(shí)際運(yùn)行情況來(lái)看，目前網(wǎng)絡(luò)層面的威脅主要是重要業(yè)務(wù)節(jié)點(diǎn)癱瘓?jiān)斐傻臉I(yè)務(wù)中斷、擁塞和溢出，其中SHLR、通用號(hào)碼轉(zhuǎn)換（一號(hào)通平臺(tái)）等關(guān)鍵平臺(tái)的影響最大。因此，應(yīng)該重視突發(fā)話務(wù)沖擊導(dǎo)致話務(wù)資源耗盡等現(xiàn)象。