NGN对承载网的安全要求

　　编者按：下一代网络（NGN）的业务质量直接受到承载网安全因素的影响，为了顺利部署NGN业务，必须对承载网安全提出具体的要求。

　　NGN的信令、控制和媒体流主要封装在IP数据报文中，利用IP网络来承载NGN的多媒体信息流，因此NGN业务的质量直接受到IP网络的影响，在目前的IP网络条件下，甚至是影响到NGN试验和运营成功的关键。安全性问题是IP网络影响NGN成功的关键因素之一。

　　NGN没有部署安全措施，如直接部署于IP公网上，可能会出现以下的问题。

　　——运营商业务的安全问题，主要包括以下方面：业务盗用，未经授权使用NGN业务，如通过H.323协议用户终端可直接连通被叫网关，导致运营商收入流失；带宽盗用，利用NGN设备端口连接用户私有的数据网络，造成运营商数据业务收入流失并影响NGN业务质量；DoS攻击，通过网络层或应用层的大流量攻击，使NGN设备无法响应正常用户的业务请求或降低业务的品质。

　　——运营商设备的安全问题，主要包括以下方面：破坏设备程序及数据，通过NGN设备远程加载或数据配置流程的漏洞破坏设备，通常采用的TFTP、FTP、SNMP等标准协议均存在安全漏洞；病毒攻击，通过病毒入侵的方式破坏NGN设备，或者用户被病毒感染的计算机自动攻击NGN设备，造成业务的中断或者劣化；黑客攻击，通过非常规的技术手段获得NGN设备的控制权，病毒、黑客两种安全威胁一般针对采用通用操作系统的设备，如各类服务器。

　　——用户业务的安全问题，主要包括以下方面：用户仿冒、盗用其他用户的账号及权限使用业务；非法监听其他用户呼叫的主被叫信息或媒体流内容。

　　就NGN安全技术框架而言，我们可以将NGN网络划分为信任区、非信任区、半信任区（DMZ）、网管/计费/维护网四个区域。NGN网络部件根据网络位置及设备功能连接到对应的区域中，跨区的网络部件通过特定的物理接口受控接入网络区域。信任区为承载网中专用于NGN业务的隔离区域，是一个管理良好、安全得到保证的区域。放置在安全区的设备包括NGN网络核心部件，如软交换、接入网关、中继网关、信令网关、带内网管设备、媒体资源设备、智能网设备等；机架式IAD设备部署在管理良好的机房中也可以纳入信任区。非信任区是运营商无法管理、安全不能受控的区域，包括Inter