長(zhǎng)慶油田軟交換系統(tǒng)安全防護(hù)技術(shù)應(yīng)用

金改莉+張斌+王煒

[摘 要]長(zhǎng)慶油田語(yǔ)音通信已全面邁入IP時(shí)代，隨著SIP手機(jī)電話的推廣，終端已經(jīng)開始呈現(xiàn)出移動(dòng)化，在為油田語(yǔ)音通信帶來(lái)便利的同時(shí)，軟交換系統(tǒng)的安全也面臨著考驗(yàn)，本文立足長(zhǎng)慶油田軟交換系統(tǒng)現(xiàn)狀，針對(duì)各個(gè)層面的要素，分別進(jìn)行安全評(píng)估分析，尋找潛在的安全隱患，并針對(duì)性地尋找解決方案，修補(bǔ)安全漏洞，確保長(zhǎng)慶油田軟交換系統(tǒng)安全運(yùn)行。

[關(guān)鍵詞]軟交換系統(tǒng)；安全風(fēng)險(xiǎn)；長(zhǎng)慶油田

doi：10.3969/j.issn.1673 - 0194.2017.12.025

[中圖分類號(hào)]TN915.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2017）12-00-02

長(zhǎng)慶油田軟交換系統(tǒng)承擔(dān)著油田辦公、生產(chǎn)指揮及生活服務(wù)語(yǔ)音通信的重要使命。目前，長(zhǎng)慶油田軟交換系統(tǒng)結(jié)構(gòu)：控制層在西安、銀川分別部署1套軟交換核心設(shè)備SOFTX3000、在西安部署1套智能平臺(tái)系統(tǒng)；在IP網(wǎng)絡(luò)層面建設(shè)1套軟交換獨(dú)立承載網(wǎng)系統(tǒng)，與其他網(wǎng)絡(luò)完全隔離；在接入層面上部署UMG8900中繼網(wǎng)關(guān)5套、UA5000接入網(wǎng)關(guān)45套，以及IAD、PON、SIP接入終端千余套。隨著業(yè)務(wù)的擴(kuò)大，軟交換系統(tǒng)安全問(wèn)題越來(lái)越重要。

1 簡(jiǎn)述軟交換系統(tǒng)安全風(fēng)險(xiǎn)

在軟交換組網(wǎng)中，邊緣接入層的設(shè)備和各種網(wǎng)關(guān)設(shè)備的容量可以非常大，一旦中斷，其影響成幾何級(jí)數(shù)放大；核心交換層是基于IP的網(wǎng)絡(luò)，在承載網(wǎng)故障或者不穩(wěn)定的情況下，會(huì)出現(xiàn)心跳機(jī)制混亂、業(yè)務(wù)運(yùn)行故障、核心節(jié)點(diǎn)運(yùn)行不穩(wěn)定或者脫網(wǎng)、鏈路和路由狀態(tài)異常等狀況；在業(yè)務(wù)應(yīng)用層，軟交換系統(tǒng)用戶終端的智能化以及接入方式的復(fù)雜化，對(duì)軟交換協(xié)議處理的容錯(cuò)性提出了更高的要求，接入?yún)^(qū)域公共化等使軟交換網(wǎng)絡(luò)處于更開放的網(wǎng)絡(luò)環(huán)境中，更易遭受攻擊。軟交換系統(tǒng)通過(guò)開放的業(yè)務(wù)接口提供豐富的業(yè)務(wù)和應(yīng)用，但開放的業(yè)務(wù)接口使其面臨被攻擊的危險(xiǎn)。

2 軟交換系統(tǒng)的安全風(fēng)險(xiǎn)

2.1 控制層的安全風(fēng)險(xiǎn)

控制層主要完成數(shù)據(jù)配置管理、業(yè)務(wù)發(fā)放、業(yè)務(wù)觸發(fā)、業(yè)務(wù)實(shí)現(xiàn)、話單產(chǎn)生等關(guān)鍵動(dòng)作。隨著語(yǔ)音業(yè)務(wù)IP化，SIP協(xié)議由于其開放性，在VOIP中受到了廣泛應(yīng)用，但同時(shí)也帶來(lái)了比較大的安全問(wèn)題。目前，互聯(lián)網(wǎng)上有許多惡意軟件，不停掃描各種SIP端口，進(jìn)行注冊(cè)與攻擊。造成的結(jié)果是盜打電話，尤其是國(guó)際長(zhǎng)途電話，甚至是攻擊SIP端口造成整個(gè)企業(yè)的IP電話系統(tǒng)癱瘓。因此，SIP的應(yīng)用越廣泛，安全性問(wèn)題越突出。

SIP電話盜打過(guò)程是指盜用SIP電話號(hào)碼注冊(cè)到長(zhǎng)慶油田軟交換上實(shí)現(xiàn)電話呼叫，常見的盜打是撥打境外國(guó)際長(zhǎng)途高結(jié)算國(guó)家的聲訊電話，以惡意套取國(guó)際長(zhǎng)話費(fèi)，獲得高額結(jié)算。通過(guò)分析軟交換業(yè)務(wù)實(shí)現(xiàn)過(guò)程和信令觀察，發(fā)現(xiàn)在控制層出現(xiàn)的安全威脅主要是，通過(guò)“套撥本地權(quán)限接入碼+電信IP字冠+國(guó)際長(zhǎng)途字冠、通過(guò)電信IP字冠+國(guó)際長(zhǎng)途字冠”實(shí)現(xiàn)長(zhǎng)途盜打。軟交換在分析智能接入碼后不再判斷接續(xù)號(hào)碼所需要的呼出權(quán)限，容易導(dǎo)致套撥后繞開權(quán)限判斷而實(shí)現(xiàn)長(zhǎng)途越權(quán)盜打；其次是SIP用戶賬戶和密碼泄露引起的非法注冊(cè)和盜打，SIP用戶未配置密碼或僅配置弱密碼，一旦賬戶和密碼泄露或被破譯，很容易被非法注冊(cè)后發(fā)起盜打。另外，電信“17909”“11808”等IP電話存在安全漏洞，用戶權(quán)限為國(guó)內(nèi)或者本地便可通過(guò)“17909”“11808”等撥打國(guó)際電話。

2.2 核心層的安全風(fēng)險(xiǎn)

軟交換系統(tǒng)核心交換層采用的是IP分組網(wǎng)絡(luò)，通信協(xié)議和媒體信息主要以IP數(shù)據(jù)包的形式進(jìn)行傳送。承載網(wǎng)面臨的安全威脅主要有網(wǎng)絡(luò)風(fēng)暴、病毒（蠕蟲病毒）泛濫和黑客攻擊。網(wǎng)絡(luò)風(fēng)暴和病毒，輕則通過(guò)大量占用網(wǎng)絡(luò)資源和網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)訪問(wèn)緩慢，甚至無(wú)法訪問(wèn)網(wǎng)絡(luò)資源；重則導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，黑客攻擊網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，篡改其路由和用戶等數(shù)據(jù)，導(dǎo)致路由異常、網(wǎng)絡(luò)無(wú)法訪問(wèn)等。

2.3 接入層的安全風(fēng)險(xiǎn)

軟交換網(wǎng)絡(luò)提供了靈活、多樣的網(wǎng)絡(luò)接入手段，任何可以接入IP網(wǎng)絡(luò)的地點(diǎn)均可以接入終端，這種特性在為用戶提供方便的同時(shí)也帶來(lái)了很多安全隱患。一些用戶利用非法終端或設(shè)備訪問(wèn)網(wǎng)絡(luò)、占用網(wǎng)絡(luò)資源、非法使用業(yè)務(wù)和服務(wù)以及向網(wǎng)絡(luò)發(fā)起攻擊。另外，接入與地點(diǎn)的無(wú)關(guān)性，使安全事件發(fā)生后很難定位發(fā)起安全攻擊的確切地點(diǎn)，無(wú)法追查責(zé)任人。

2.4 業(yè)務(wù)應(yīng)用層面的安全風(fēng)險(xiǎn)

目前，騷擾電話、垃圾傳真已成為一種社會(huì)公害，給人們正常的工作和生活帶了干擾和影響。長(zhǎng)慶油田軟交換網(wǎng)中出現(xiàn)大量商業(yè)推銷、宣傳的騷擾電話，更有甚者出現(xiàn)諸如邪教非法宣傳等騷擾電話；網(wǎng)絡(luò)中垃圾傳真也日趨泛濫，一些非法機(jī)構(gòu)利用網(wǎng)絡(luò)傳真自動(dòng)向油網(wǎng)傳真電話發(fā)送傳真。

本文通過(guò)對(duì)長(zhǎng)慶油田軟交換系統(tǒng)出現(xiàn)騷擾電話的跟蹤觀察，發(fā)現(xiàn)現(xiàn)網(wǎng)中一部分的商業(yè)宣傳、推銷的呼入號(hào)碼一般均為原始底號(hào)。對(duì)于長(zhǎng)慶油網(wǎng)內(nèi)出現(xiàn)的其他一些騷擾電話和垃圾傳真，其主叫號(hào)碼一般都具有“號(hào)碼隱藏”和“號(hào)碼頻繁變換”的特性；對(duì)于“號(hào)碼隱藏”的來(lái)電，其來(lái)電顯示為“私人號(hào)碼”“未知號(hào)碼”“#”“000”等，通過(guò)對(duì)被叫的信令分析發(fā)現(xiàn)，主叫號(hào)碼屬性中號(hào)碼呈現(xiàn)指示為“禁止”，而正常的呼叫為“允許”，這意味著對(duì)方在號(hào)碼屬性中設(shè)置了“主叫線識(shí)別限制”。

3 軟交換系統(tǒng)安全風(fēng)險(xiǎn)的解決方案

3.1 控制層安全措施

控制層負(fù)責(zé)數(shù)據(jù)配置管理，對(duì)局?jǐn)?shù)據(jù)進(jìn)一步優(yōu)化配置：針對(duì)17909、17908、11808等電信IP字冠，出局號(hào)碼字冠分析盡量細(xì)化，最少分析到17909010、17909011……，不設(shè)置“1790900”國(guó)際長(zhǎng)途呼叫字冠的號(hào)碼分析。針對(duì)“套撥本地權(quán)限智能接入碼（193、195、196、197、198等）+電信IP字冠+國(guó)際長(zhǎng)途字冠”盜打長(zhǎng)途電話，本文通過(guò)信令觀察，發(fā)現(xiàn)軟交換分析智能接入碼后不再判斷接續(xù)號(hào)碼所需要的呼出權(quán)限，容易導(dǎo)致套撥后繞開權(quán)限判斷而實(shí)現(xiàn)長(zhǎng)途越權(quán)盜打，在控制層上將智能接入碼193、195、196、197、198業(yè)務(wù)字冠的最小號(hào)長(zhǎng)和最大號(hào)長(zhǎng)設(shè)置為不固定，最大號(hào)長(zhǎng)設(shè)置為15位，使套撥盜打國(guó)際長(zhǎng)途時(shí)，只能撥打到“1931790900XXXXX”長(zhǎng)度，無(wú)法將際長(zhǎng)途號(hào)碼輸全，從而限制盜打。

3.2 接入層安全措施

在接入層加強(qiáng)對(duì)SIP用戶權(quán)限和接入終端密碼的管理，設(shè)置多媒體終端數(shù)據(jù)時(shí)必須進(jìn)行密碼認(rèn)證，且對(duì)全網(wǎng)SIP用戶弱口令進(jìn)行修改；對(duì)全網(wǎng)SIP用戶進(jìn)行排查，刪除已停用的SIP用戶數(shù)據(jù)；若在公網(wǎng)上無(wú)SIP電話業(yè)務(wù)需求時(shí)，封閉公網(wǎng)注冊(cè)地址及端口，杜絕外網(wǎng)SIP電話注冊(cè)到長(zhǎng)慶油田軟交換上。

3.3 核心層安全措施

核心網(wǎng)安全域是軟交換網(wǎng)絡(luò)的安全核心。長(zhǎng)慶油田軟交換核心網(wǎng)的承載層采用專用IP網(wǎng)和VPN方式組網(wǎng)，安全域內(nèi)設(shè)備（包括各種AG）本身的管理和控制可以認(rèn)為是安全的。為防止核心交換層受到黑客或病毒程序的攻擊或干擾，必須隔離軟交換系統(tǒng)承載網(wǎng)與互聯(lián)網(wǎng)，與互聯(lián)網(wǎng)的互通通過(guò)安全設(shè)備（如SBC）實(shí)現(xiàn)，在核心網(wǎng)與其他網(wǎng)絡(luò)連接時(shí)，部署SBC和防火墻等設(shè)備進(jìn)行內(nèi)外網(wǎng)隔離；網(wǎng)絡(luò)中的SS等設(shè)備需具備完善的設(shè)備認(rèn)證和授信方式，防止非法登錄。核心網(wǎng)節(jié)點(diǎn)間需采用心跳和媒體檢測(cè)等方式進(jìn)行狀態(tài)檢查，及時(shí)更新節(jié)點(diǎn)狀態(tài)，保證業(yè)務(wù)正常；接入節(jié)點(diǎn)需具備帶寬和業(yè)務(wù)管理能力，防止用戶非法占用帶寬和使用業(yè)務(wù)；核心網(wǎng)節(jié)點(diǎn)應(yīng)具備對(duì)異常信令和消息的處理能力，防止人為攻擊等造成節(jié)點(diǎn)癱瘓。

4 結(jié) 語(yǔ)

軟交換語(yǔ)音業(yè)務(wù)IP化、移動(dòng)化在給人們帶來(lái)便捷、高效的同時(shí)，其IP承載、網(wǎng)關(guān)多重歸屬、承載和業(yè)務(wù)分離、更加開放的接口，都對(duì)網(wǎng)絡(luò)安全提出了更高的要求，因此，做好安全隱患預(yù)防尤為重要，優(yōu)化數(shù)據(jù)配置管理，關(guān)閉承載網(wǎng)設(shè)備所有未用端口，從源頭杜絕非準(zhǔn)入設(shè)備接入。總之，軟交換的網(wǎng)絡(luò)安全問(wèn)題是一個(gè)需要長(zhǎng)期關(guān)注的課題，需要不斷進(jìn)行探索。