打造安全网络,保护用户权益

发布时间:2018-10-30 作者:唐亮(中兴通讯)

2017年,全球范围内爆发大规模勒索病毒案(WannaCry),该病毒利用Windows操作系统漏洞,通过互联网迅速传播,影响范围覆盖100多个国家,导致计算机文件被恶意加密,无法正常访问,众多大型公司和政府公共部门无法正常运作,造成巨大损失。2018年8月,深圳龙岗警方破获特种设备高科技电信诈骗案件,犯罪分子利用伪基站劫持受害者的GSM短信信息,用短信嗅探技术对受害人银行卡实施盗刷,造成了极坏的社会影响。随着越来越多此类事件的曝光,更多的互联网用户开始关注网络信息安全问题,并呼吁更安全的网络使用环境。

自1988年互联网面世以来,越来越多的人能够从这个世界上的几乎任何角落接入这张无形的“网”,而随着移动互联网的出现和发展,网络的影响几乎能够到达地球上的任何角落。移动互联网深刻改变人们的生活习惯和行为方式的同时,也使个人丧失了对隐私信息的控制力,导致个人信息安全风险大增。同时,移动互联网与社会各经济领域的深度融合,使基础网络设施和信息存储系统直接或间接与互联网相连,面临病毒、木马、黑客入侵等网络安全的威胁与日俱增,破坏性难以评估。网络安全威胁和风险已成为世界各国必须共同面对和解决的难题,各国都将网络安全上升到国家战略高度。通过制定政策、法律和保护计划加强网络安全技术支撑与防控能力,已成为各国一致认可和努力的方向。

作为领先的全套通信解决方案提供商,中兴通讯意识到为每个接入我们通信系统的用户提供安全无虞的网络环境,是我们的职责。经过15年的网络安全探索与实践,中兴通讯已形成了完整的端到端网络安全框架,并将网络安全纳入公司长期发展战略。在遵守已进入的所有国家地区的安全相关法律法规的基础上,公司制定了一系列端到端的业务流程与标准,涵盖中兴通讯产品服务从供应链、研发、制造到交付的全生命周期,以满足网络安全合规要求。

中兴通讯遵循ITU-T X.805架构,首先对网络安全的威胁进行建模和分析。无线网络面临的威胁和攻击主要来自四个方面:针对无线空口的攻击、基站自身的物理安全、与核心网和其他基站之间的传输安全,以及通过网管系统的攻击和未经授权的访问和操作。这些攻击会破坏系统的稳定性、私密性和安全性,需要针对性地进行增强和保护。针对这些攻击方式,中兴通讯研发出相应解决方案一一破解。

● 无线空口的安全

无线空口是指基站和终端之间的接口,通常面临监听、伪基站篡改等威胁。中兴通讯无线基站提供加密及鉴权功能来保证接入基站设备的身份及安全性,如在PDCP层完成的信令完整性检查,能够有效应对终端接入伪基站的问题;通过AKA(Authentication and Key Agreement)方式进行用户认证和密钥管理、导入;当用户接入到LTE网络时启动鉴权流程鉴定用户的合法身份;当用户完成与基站之间的对接后,后续的所有信令交互都是通过用户和基站之间的秘钥进行加密传输,避免被窃听和伪造的危险。

● 基站自身的物理安全

可以通过设备机房的安全加固、设备硬件的安全加固,以及设备接口安全加固来保障基站的物理安全。

● 传输安全

当传输网络是非可靠网络时,采用IPsec解决方案对传输的数据进行加密和保护。IPsec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。IPsec引入秘钥管理协议(IKE)来动态认证IPsec对等体,协商安全服务,并生成共享秘钥保证传输网络的安全性。通过IPsec,中兴通讯基站设备可以对连接核心网的链路(S1接口)、基站之间的接口(X2接口),以及网管链路进行加密。

● 网管系统安全

网管系统是管理和控制无线网络最关键的系统,其安全性十分重要。中兴通讯无线网管从系统安全模型、授权管理、认证管理、记录和审计等方面增强了安全设计,保证网管系统的整体安全性。网管系统对用户的登录进行严格管理,引入双因素认证,限制IP地址、登录时间等,对所有操作进行详细的日志记录,并支持导出审计。

中兴通讯在网络安全方面的巨大投入也获得了国际社会的认可。 2005年,中兴通讯获得ISO27001国际标准信息安全管理体系认证并一直持证至今,证明了中兴通讯拥有科学有效的信息安全管理体系。2011年,中兴通讯率先获得CC(Common Criteria)认证,证实了公司信息系统及产品的安全性。同年,中兴通讯独创的两种密码学模型受到美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)颁发的两项证书,肯定了中兴通讯在网络安全方面的努力。在未来,中兴通讯会持续加大在网络安全方面的投入,为客户提供安全无虞的网络使用环境。