軟交換網絡還是比較常用的，于是我研究了一下關于軟交換網絡的安全需求分析，在這里拿出來和大家分享一下，希望對大家有用。在描述和分析軟交換網絡安全的過程中產生了“安全域”的概念，安全域是描述如何管理和控制網絡安全的模型，在一個安全域內有相同的安全保護需求，可以實施相同的安全保護機制。

安全域之間根據不同的安全等級需求，可以在安全域邊界部署隔離、控制等安全策略。根據軟交換網絡各部分的安全需求，可以將軟交換網絡劃分為核心網、Internet接入網、支撐系統和第三方應用網絡4個安全域，如圖1所示。

核心網安全域包括所有的軟交換機，TG、AG、SG等接入網關，BGW類設備，關鍵業務平臺（包括SHLR、號碼轉換平臺等），軟交換媒體服務器和應用服務器，開發給第三方業務接口的應用網關。Internet接入網安全域包括所有分配公網地址的SIP電話終端、IAD類設備、各類SIP接入的PC等。支撐系統安全域包括網管、計費和OSS等輔助運營系統。第三方應用網絡安全域主要包括所有以開發業務接口方式接入的應用服務器，鑒于目前實際應用中很少涉及到這種應用，這里不討論該區域的安全需求。

各安全域的安全需求

（1）核心網安全域

核心網安全域是軟交換網絡的安全核心。從現網情況來看，核心網的承載層一般都采用專用IP網和VPN方式組網，安全域內設備（包括各種AG）本身的管理和控制可以認為是安全的。核心網安全域的安全需求有：設備的可用性，即可以在各種情況下（包括設備故障、網絡風暴、話務沖擊等）保證設備和承載業務的正常運行；需要在核心網與其他網絡連接處部署BGW和防火墻等設備進行內外網隔離；網絡中的SS等設備需具備完善的設備認證和授信方式，防止非法登錄；核心網節點間需采用心跳和媒體檢測等方式進行狀態檢查，及時更新節點狀態，保證業務正常；接入節點需具備帶寬和業務管理能力，防止用戶非法占用帶寬和使用業務；核心網節點應具備對異常信令和消息的處理能力，防止人為攻擊等造成節點癱瘓或過負。

（2）Internet接入網安全域

Internet存在安全問題，當通過Internet提供軟交換業務時，需要保證業務接入設備與軟交換網絡之間的通信安全。Internet接入網安全域的安全需求有：在SIP電話、軟件電話等終端設備與Internet和軟交換網絡互聯設備之間需要應用L2TP、IPSec等隧道技術；小容量AGW、IAD等通過Internet接入時，它們與Internet和軟交換網絡互聯設備之間需要應用GRE、IPinIP、IPSec等隧道技術；需要完善的接入設備認證和授信手段，防止冒名使用。

（3）支撐系統安全域

支撐系統主要包括網管、計費和OSS等系統。雖然支撐系統不向用戶直接提供業務，且都在內網區域內，受攻擊的可能性較小，但其功能的特殊性且大多采用通用操作系統，因此必須保證其安全。支撐系統安全域的安全需求有：高強度的用戶認證機制；重要系統需要進行物理隔離，并且網間需要部署功能強大的防火墻設備；需要優化系統安全策略。

軟交換網絡安全措施

（1）承載網層面

軟交換網絡的承載層現在除了用專網和MPLS VPN等手段進行網絡隔離外，一些廠商采用在關鍵節點放置網絡探頭，以ping段包的形式進行偵聽等手段進行網絡質量監控，目前這種方式有以下難題需要解決：一是ping包和軟交換消息包的長度差異較大，在一定丟包率情況下無法滿足軟交換信令的要求；二是ping包的頻率不能設置太短，在承載網完全中斷情況下，可以準確定位故障點，但是在閃斷或者網絡質量不穩定情況下，難以保證實時性業務的質量和實現故障定位。

（2）網絡層面

在軟交換設計和規劃期間，應該對軟交換網絡安全有全面考慮：承載網的安全，包括網絡隔離、防攻擊等；關鍵業務節點的備份和用戶的業務歸屬；業務的合理配備和設置，盡量在分散和易管理間找到平衡。對于軟交換網絡特有的雙歸屬容災應該加以充分利用，彌補網絡安全漏洞，但需注意對雙歸屬機制進行完善，包括網關的切換策略、軟交換的控制策略、心跳參數設置策略、容災數據庫管理等。

（3）軟交換設備層面

軟交換設備的安全主要靠廠商的安全設計來保證，但同時應該重視以下幾個方面：建立關鍵板件檢測制度和定期切換檢測制度，充分保證關鍵板件倒換成功；為了保證軟件版本和補丁的安全性，廠商應建立軟件版本安全控制體系，運營商應加強入網檢驗制度和應用流程管理，共同解決軟件的安全性和兼容性問題；充分了解和用好設備的自保護措施，如軟交換的過負荷保護機制。

（4）管理層面

網絡安全工作是一個以管理為主的系統工程，靠的是“三分技術，七分管理”，因此必須制定一系列的安全管理制度、安全評估和風險處置手段、應急預案等，這些措施應覆蓋網絡安全的各個方面，達到能夠解決的安全問題及時解決，可以減輕的安全問題進行加固，不能解決的問題編制應急預案減少安全威脅。與此同時，需要強有力的管理來保障這些制度和手段落到實處。

結束語

軟交換網絡是一個新的網絡，它不僅肩負著PSTN業務過渡的重任，還擔負著新業務和新網絡的未來，IP承載、網關多重歸屬、承載和業務分離、更加開放的接口等新特性無一不對網絡安全提出了高要求，軟交換網絡安全將是一個需要長期關注和研究的話題。