论文长庆油田软交换系统安全防护技术应用是关于本文可作为长庆油田方面的大学硕士与本科毕业论文长庆油田搬离甘肃原因论文开题报告范文和职称论文论文写作参考文献下载。
[摘 要]长庆油田语音通信已全面迈入IP时代,随着SIP手机电话的推广,终端已经开始呈现出移动化,在为油田语音通信带来便利的同时,软交换系统的安全也面临着考验,本文立足长庆油田软交换系统现状,针对各个层面的要素,分别进行安全评估分析,寻找潜在的安全隐患,并针对性地寻找解决方案,修补安全漏洞,确保长庆油田软交换系统安全运行.
[关键词]软交换系统;安全风险;长庆油田
doi:10.3969/j.issn.1673 - 0194.2017.12.025
[中图分类号]TN915.08 [文献标识码]A [文章编号]1673-0194(2017)12-00-02
长庆油田软交换系统承担着油田办公、生产指挥及生活服务语音通信的重要使命.目前,长庆油田软交换系统结构:控制层在西安、银川分别部署1套软交换核心设备SOFTX3000、在西安部署1套智能平台系统;在IP网络层面建设1套软交换独立承载网系统,和其他网络完全隔离;在接入层面上部署UMG8900中继网关5套、UA5000接入网关45套,以及IAD、PON、SIP接入终端千余套.随着业务的扩大,软交换系统安全问题越来越重要.
1 简述软交换系统安全风险
在软交换组网中,边缘接入层的设备和各种网关设备的容量可以非常大,一旦中断,其影响成几何级数放大;核心交换层是基于IP的网络,在承载网故障或者不稳定的情况下,会出现心跳机制混乱、业务运行故障、核心节点运行不稳定或者脱网、链路和路由状态异常等状况;在业务应用层,软交换系统用户终端的智能化以及接入方式的复杂化,对软交换协议处理的容错性提出了更高的要求,接入区域公共化等使软交换网络处于更开放的网络环境中,更易遭受攻击.软交换系统通过开放的业务接口提供丰富的业务和应用,但开放的业务接口使其面临被攻击的危险.
2 软交换系统的安全风险
2.1 控制层的安全风险
控制层主要完成数据配置管理、业务发放、业务触发、业务实现、话单产生等关键动作.随着语音业务IP化,SIP协议由于其开放性,在VOIP中受到了广泛应用,但同时也带来了比较大的安全问题.目前,互联网上有许多恶意软件,不停扫描各种SIP端口,进行注册和攻击.造成的结果是盗打电话,尤其是国际长途电话,甚至是攻击SIP端口造成整个企业的IP电话系统瘫痪.因此,SIP的应用越广泛,安全性问题越突出.
SIP电话盗打过程是指盗用SIP电话号码注册到长庆油田软交换上实现电话呼叫,常见的盗打是拨打境外国际长途高结算国家的声讯电话,以恶意套取国际长话费,获得高额结算.通过分析软交换业务实现过程和信令观察,发现在控制层出现的安全威胁主要是,通过“套拨本地权限接入码+电信IP字冠+国际长途字冠、通过电信IP字冠+国际长途字冠”实现长途盗打.软交换在分析智能接入码后不再判断接续号码所需要的呼出权限,容易导致套拨后绕开权限判断而实现长途越权盗打;其次是SIP用户账户和密码泄露引起的非法注册和盗打,SIP用户未配置密码或仅配置弱密码,一旦账户和密码泄露或被破译,很容易被非法注册后发起盗打.另外,电信“17909”“11808”等IP电话存在安全漏洞,用户权限为国内或者本地便可通过“17909”“11808”等拨打国际电话.
2.2 核心层的安全风险
软交换系统核心交换层采用的是IP分组网络,通信协议和媒体信息主要以IP数据包的形式进行传送.承载网面临的安全威胁主要有网络风暴、病毒(蠕虫病毒)泛滥和 攻击.网络风暴和病毒,轻则通过大量占用网络资源和网络带宽,导致正常业务访问缓慢,甚至无法访问网络资源;重则导致整个网络瘫痪, 攻击网络中的关键设备,篡改其路由和用户等数据,导致路由异常、网络无法访问等.
2.3 接入层的安全风险
软交换网络提供了灵活、多样的网络接入手段,任何可以接入IP网络的地点均可以接入终端,这种特性在为用户提供方便的同时也带来了很多安全隐患.一些用户利用非法终端或设备访问网络、占用网络资源、非法使用业务和服务以及向网络发起攻击.另外,接入和地点的无关性,使安全事件发生后很难定位发起安全攻击的确切地点,无法追查责任人.
2.4 业务应用层面的安全风险
目前,骚扰电话、垃圾传真已成为一种社会公害,给人们正常的工作和生活带了干扰和影响.长庆油田软交换网中出现大量商业推销、宣传的骚扰电话,更有甚者出现诸如邪教非法宣传等骚扰电话;网络中垃圾传真也日趋泛滥,一些非法机构利用网络传真自动向油网传真电话发送传真.
本文通过对长庆油田软交换系统出现骚扰电话的跟踪观察,发现现网中一部分的商业宣传、推销的呼入号码一般均为原始底号.对于长庆油网内出现的其他一些骚扰电话和垃圾传真,其主叫号码一般都具有“号码隐藏”和“号码频繁变换”的特性;對于“号码隐藏”的来电,其来电显示为“私人号码”“未知号码”“#”“000”等,通过对被叫的信令分析发现,主叫号码属性中号码呈现指示为“禁止”,而正常的呼叫为“允许”,这意味着对方在号码属性中设置了“主叫线识别限制”.
3 软交换系统安全风险的解决方案
3.1 控制层安全措施
控制层负责数据配置管理,对局数据进一步优化配置:针对17909、17908、11808等电信IP字冠,出局号码字冠分析尽量细化,最少分析到17909010、17909011等,不设置“1790900”国际长途呼叫字冠的号码分析.针对“套拨本地权限智能接入码(193、195、196、197、198等)+电信IP字冠+国际长途字冠”盗打长途电话,本文通过信令观察,发现软交换分析智能接入码后不再判断接续号码所需要的呼出权限,容易导致套拨后绕开权限判断而实现长途越权盗打,在控制层上将智能接入码193、195、196、197、198业务字冠的最小号长和最大号长设置为不固定,最大号长设置为15位,使套拨盗打国际长途时,只能拨打到“1931790900XXXXX”长度,无法将际长途号码输全,从而限制盗打.
3.2 接入层安全措施
在接入层加强对SIP用户权限和接入终端密码的管理,设置多媒体终端数据时必须进行密码认证,且对全网SIP用户弱口令进行修改;对全网SIP用户进行排查,删除已停用的SIP用户数据;若在公网上无SIP电话业务需求时,封闭公网注册地址及端口,杜绝外网SIP电话注册到长庆油田软交换上.
3.3 核心层安全措施
核心网安全域是软交换网络的安全核心.长庆油田软交换核心网的承载层采用专用IP网和VPN方式组网,安全域内设备(包括各种AG)本身的管理和控制可以认为是安全的.为防止核心交换层受到 或病毒程序的攻击或干扰,必须隔离软交换系统承载网和互联网,和互联网的互通通过安全设备(如SBC)实现,在核心网和其他网络连接时,部署SBC和防火墙等设备进行内外网隔离;网络中的SS等设备需具备完善的设备认证和授信方式,防止非法登录.核心网节点间需采用心跳和媒体检测等方式进行状态检查,及时更新节点状态,保证业务正常;接入节点需具备带宽和业务管理能力,防止用户非法占用带宽和使用业务;核心网节点应具备对异常信令和消息的处理能力,防止人为攻击等造成节点瘫痪.
4 结 语
软交换语音业务IP化、移动化在给人们带来便捷、高效的同时,其IP承载、网关多重归属、承载和业务分离、更加开放的接口,都对网络安全提出了更高的要求,因此,做好安全隐患预防尤为重要,优化数据配置管理,关闭承载网设备所有未用端口,从源头杜绝非准入设备接入.总之,软交换的网络安全问题是一个需要长期关注的课题,需要不断进行探索.
总结:这篇长庆油田论文范文为免费优秀学术论文范文,可用于相关写作参考。
参考文献:
1、 电力二次系统安全防护策略 摘 要:电力体系改革发展和设备的更新换代速度的加快,提高了电力行业劳动生产率,计算机网络和硬件设备的大量应用,节省了人力资源的同时综合自动化水平。
2、 爆破施工安全防护技术措施分析 【摘要】改革开放以来,我国的综合国力显著提高,社会主义基础建设事业的规模不断扩大,地震折射 反射等项目工程的质量也得到提高。施工单位和政府相关部。
3、 电力调度交换系统中软交换技术应用 摘 要:在电力系统的运行过程中,电力调度的指挥系统关系到电力生产与传输的安全性与有效性。针对当前智能电网的背景与电力调度交换系统业务现有特点,相。
4、 汽车线控制动系统安全控制技术 摘要:时代在发展,社会在进步,经济方面也得到了明显的提升,这就一定程度上提高了汽车行业的发展水平,给汽车的生产带来了机会,同时,带动了汽车行业的。
5、 电网调度自动化系统主要安全防护技术阐析 摘 要:伴随着我国电力行业的持续发展和创新,我国的电力行业在技术引进方面也有了较大的发展。目前,我国的电力行业引进的先进技术主要是计算机技术和网。
6、 基于电厂二次系统安全防护总体设计 摘 要:电厂二次系统利用专用数据网络通道,可以让其数据网络和外部信息网、数据网进行隔离,对于电网的优质、安全与经济运行具有重要意义。文章首先对电。