出权限,容易导致套拨后绕开权限判断而实现长途越权盗打,在控制层上将智能接入码193、195、196、197、198业务字冠的最小号长和最大号长设置为不固定,最大号长设置为Р15位,使套拨盗打国际长途时,只能拨打到“1931790900XXXXX”长度,无法将际长途号码输全,从而限制盗打。Р 3.2 接入层安全措施Р 在接入层加强对SIP用户权限和接入终端密码的管理,设置多媒体终端数据时必须进行密码认证,且对全网SIP用户弱口令进行修改;对全网SIP用户进行排查,删除已停用的SIP用户数据;若在公网上无SIP电话业务需求时,封闭公网注册地址及端口,杜绝外网SIP电话注册到长庆油田软交换上。Р 3.3 核心层安全措施Р 核心网安全域是软交换网络的安全核心。长庆油田软交换核心网的承载层采用专用IP网和VPN方式组网,安全域内设备(包括各种AG)本身的管理和控制可以认为是安全的。为防止核心交换层受到黑客或病毒程序的攻击或干扰,必须隔离软交换系统承载网与互联网,与互联网的互通通过安全设备(如SBC)实现,在核心网与其他网络连接时,部署SBC和防火墙等设备进行内外网隔离;网络中的SS等设备需具备完善的设备认证和授信方式,防止非法登录。核心网节点间需采用心跳和媒体检测等方式进行状态检查,及时更新节点状态,保证业务正常;接入节点需具备带宽和业务管理能力,防止用户非法占用带宽和使用业务;核心网节点应具备对异常信令和消息的处理能力,防止人为攻击等造成节点瘫痪。Р Р 4 结语Р 软交换语音业务IP化、移动化在给人们带来便捷、高效的同时,其IP承载、网关多重归属、承载和业务分离、更加开放的接口,都对网络安全提出了更高的要求,因此,做好安全隐患预防尤为重要,优化数据配置管理,关闭承载网设备所有未用端口,从源头杜绝非准入设备接入。总之,软交换的网络安全问题是一个需要长期关注的课题,需要不断进行探索。
全文预览
