移动网络安全：寻找应用和监管的平衡点

　　日前，工业和信息化部通信保障局在陕西西安召开会议指出，当前，通信网络日益面临全方位、多样性的安全威胁：一是网络规模不断扩大，网络架构和协议日益复杂，通信网络自身的脆弱性增多，基础网络、信息系统、终端安全相互交织、互相影响，网络的可控可管难度明显加大。二是通信网络面临的外部威胁加剧，网络攻击、病毒传播、黑客入侵等安全事件频发，造成的损失和影响越来越大。三是国际网络安全形势发生深刻变化，网络空间安全已成为国家安全的重要领域和国际军事力量角逐的“第五”空间(陆海空天网)。以美国为代表的西方国家大力发展网络军备，强调战略威慑，全面发展“先发制人”的网络攻击能力，对我国包括通信、能源、金融等在内的民用基础设施安全造成严重威胁。据通信保障局局长王秀军介绍，我国通信网络运行单位在思想认识、制度落实、体系建设等方面，还存在大量的安全隐患和薄弱环节，特别是对非传统安全认识和应对不足的问题尤为突出。相对于传统安全问题，非传统安全问题隐蔽性更强，对行业管理工作的要求更高。可以预见，随着网络融合趋势的不断加快和新技术的不断涌现，更多的未知安全风险将以不同的表现形式反映出来，迫切需要全行业增强非传统安全意识，加强制度创新、机制创新、技术创新，提高网络安全工作水平。

　　在此次会议上，来自国家计算机应急技术协调处理中心和工信部电信研究院的专家，针对互联网域名安全和3G网络安全两个重要课题作了专题演讲，揭示出当前网络安全保障所面临的最新挑战。本版特摘编如下，以期给读者有价值的启示。

　　移动网和互联网的进一步融合，能够为用户提供丰富、更具特色的业务。面对着其中具有明显实时交互特性应用的兴起，现有的网络安全尤其是媒体传播安全技术和管理机制将面临巨大挑战。

　　与2G网络相比，3G网络可以提供了增强的安全机制，在一定程度上弥补了2G网络的安全缺陷，3G用户和网络之间实现了双向认证;3GPP接入链路数据加密延伸至无线接入控制器(RNC);密钥长度增加为128bit;用户和网络之间建立了AKA密钥协商机制;提供了接入链路信令数据的完整性保护;IMS网络域安全通过IPSec中的密码安全机制和协议安全机制提供机密性、数据完整性、认证和防止重放攻击的保护。

　　但是，3G网络仍然存在安全问题，其中包括未标准化的部分依赖设备供应商的设计;鉴权数据的安全;用户身份信息的安全隐患;网络IP化带来的数据业务安全问题;终端安全问题;移动互联网、物联网、三网融合业务发展带来的新的安全问题。

　　对于3G网络安全保障工作，一是采用多层次的3G网络和业务安全技术，提高3G网络安全性。在3G网络规划与建设中，3G网络安全应该遵从接入可控、网络层封闭、应用层分立、传输可靠、内容保密的原则，开发多层次的网络安全技术，提供多层网络和业务安全机制，包括防火墙、虚拟专用网(VPN)、防病毒、入侵防御(IPS)、Web内容、反垃圾邮件、反间谍功能和流量管理等;安全域边缘特别是连接外网的节点应综合部署具有入侵检测、用户认证、数据加密的安全网关，以起到安全隔离的作用。

　　二是建立3G网络安全防护体系，提高网络基础设施安全防护水平。3G网络安全防护体系包括等级保护体系、风险评估、应急体系、灾难恢复体系、信息监控体系;按照三同步原则，在3G网络的规划、建设、运行过程中都要同步分析各种威胁和风险，全面构建3G网络安全防护体系，提高网络安全防范能力，提高网络基础设施安全防护水平。

　　三是建设3G网络安全应急体系，建设应急技术支撑平台。运营企业应加强3G网络安全应急体系建设，建设应急技术支撑平台，建立3G网络和业务的监测及预警机制，对网络安全时间进行检测、预警和调度;建设应急技术支撑平台，制定一套符合本身需求的不同等级网络安全事件的响应、处置预案，使网络和业务发生故障后，能快速恢复通信服务。

　　四是对移动网络溯源能力进行建设和部署。运营企业对移动网络溯源能力进行建设和部署;通过落实地址转换日志制度，并在完成一定的设备升级工作后，实现有效的溯源;通过利用WAP、Web网关以及CP应用服务器配合，利用移动用户标志(例如加密后的电话号码)实现对移动用户行为溯源;利用移动通信网提供的精确定位功能，可以直接定位终端位置(最高精确到5米)。

　　对于终端安全保障首先是要提升移动终端自身防御能力，鼓励用户使用手机版杀毒、防火墙等安全防护软件;操作系统厂商应发布漏洞补丁，及时对手机操作系统进行修补;推广手机应用软件签名认证机制，防止病毒通过应用大量传播。其次，提高网络部署恶意代码防御能力，加强可信网络接入控制机制，网络要对准备接入的用户进行安全能力评价，并根据评价结果和既定策略授权用户访问权限，区别对待不同安全防护等级的用户;网络设备直接对恶意流量检测过滤，网络侧设备(网关/服务器)安装防病毒软件，提高入侵检测能力，从网络侧拦截病毒和恶意代码。再者，权衡“繁荣终端应用”和“加强产品安全性监管”，对终端产品的监管目前以硬件质量检测为主，终端软件安全性相关标准缺乏，检测认证能力薄弱，应尽快制定相应技术要求和检测标准，完善对相关产品的测评与监管准入机制。