中國移動互聯(lián)網(wǎng)VOIP安全策略及實施方案.pdf

1、本文討論了中國移動互聯(lián)網(wǎng)(ChinaMobileNetwork)骨干網(wǎng)IP電話(VOIP：VoiceOverIP)系統(tǒng)的安全策略并提出了具體實施方案。 本文首先介紹了中國移動互聯(lián)網(wǎng)組網(wǎng)情況、VOIP系統(tǒng)網(wǎng)絡結構、網(wǎng)管中心結構及任務、骨干節(jié)點網(wǎng)絡結構。根據(jù)VOIP系統(tǒng)網(wǎng)絡現(xiàn)有的體系結構，它是承載于中國移動互聯(lián)網(wǎng)平臺上，而中國移動互聯(lián)網(wǎng)和其他國際互聯(lián)網(wǎng)是互通的。而國際互聯(lián)網(wǎng)是一個開放型的TCP/IP網(wǎng)絡，由于網(wǎng)絡采用的通信協(xié)議并不是

2、為安全通信而設計的，這些協(xié)議和網(wǎng)絡設備、應用系統(tǒng)存在一些固有的安全隱患。在此，本文從VOIP系統(tǒng)的實際情況出發(fā)，主要從邊界訪問控制、防病毒攻擊、入侵防范、防火墻系統(tǒng)日志分析四個方面進行安全風險分析。 通過以上四個方面提出的安全風險分析，可以看出其安全問題主要集中在對網(wǎng)管中心網(wǎng)段骨干節(jié)點的各網(wǎng)段關鍵設備上，因此，需要提出安全的需求和需要采取相應的安全措施來杜絕安全隱患。本文針對VOIP系統(tǒng)提出了五項安全需求，并在此基礎上提出了VO

3、IP網(wǎng)絡安全配置實施方案。隨后，本文從工作原理、設備選型及功能分析幾方面討論了安全配置方案中的各個安全子系統(tǒng)：訪問控制系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)、入侵檢測系統(tǒng)、日志分析系統(tǒng)。 在訪問控制系統(tǒng)介紹中，主要強調(diào)了防火墻的設置，介紹了防火墻工作原理，同時重點敘述了應用于防火墻設備中的IPsec協(xié)議的原理及發(fā)展現(xiàn)狀。闡述了協(xié)議中的關鍵概念例如“安全關聯(lián)(SA)”、“SA管理”、“IKE協(xié)議”等；本文所提安全策略已成功應用于CMNET骨干網(wǎng)VO