一、NGN的安全威脅主要來自哪些方面?NGN的承載網——分組網絡是否是NGN安全性的決定因素?

　　(1) NGN作為承載在分組網絡之上的下一代通信網絡，繼續了分組ip網絡的主要安全問題,包括黑客DOS攻擊、病毒蠕蟲木馬的入侵、非法掃描,信息盜取、電話盜聽,地址欺騙,信息騷擾等。 

　　(2) NGN核心系統位置相對集中,業務覆蓋面廣,NGN核心系統的安全成為NGN安全的重中之重。

　　(3) NGN終端多為有復雜操作系統的智能終端,接入的形式多種多樣,位置分散, 常與常規的數據終端同處于一個環境,使得終端系統遭到攻擊的可能性大大增加。

　　(4) IAD/IP Phone等終端及用戶通過冒用截獲的帳號進行非法接入,電話盜打,電話騷擾。

　　(5) NGN系統采用媒體流與控制分離的思路,客觀上增加了安全監控的難度。

　　分組IP承載網絡是影響NGN安全性的重要方面,NGN網絡安全需要全方位的、整體的安全體系。

　　二、NGN與傳統電信網絡以及互聯網對安全的要求有何不同?能否描述一下安全的NGN環境應該達到何種效果?

　　1 NGN對安全的要求與傳統電信網絡對安全的要求不同

　　(1)傳統電信網絡強調網絡的可靠性和可用性，不強調網上應用的安全;NGN不僅要強調業務的可用性和可控性，還要強調承載網的可靠性和生存性，而且要保證信息傳遞的完整性、機密性和不可否認性。

　　(2) NGN系統按業務層、控制層、承載層進行分離,各層所有相關設備采用標準協議,同時NGN采用IP進行承載,這種開放性和公用性在一定程度上加大了NGN受到黑客或病毒程序的攻擊或干擾的概率，面臨如用戶仿冒、盜打、破壞服務、搶占資源等安全問題。

　　(3)傳統電信網對信令網的安全要求高,一般為獨立的信令網,信令網的安全可靠保證了網絡的安全;NGN強調網絡融合,信令網與傳輸網用同一張網進行承載,承載網的安全變得非常重要。

　　(4)傳統電信網的傳輸采用TDM的專線,用戶之間采用面向連接的通道進行通信,其他用戶很難插入偷聽;NGN采用IP技術進行通信,由于IP的無連接性,及不對源地址進行認證的特性,黑客輕易截取通話,盜用帳號,電話騷擾。

　　(5)由于傳統電信網用戶線TDM用戶速率的限制,及可以按照物理端口進行追溯跟蹤的特性,黑客很難對網絡系統進行DOS攻擊;NGN由于采用IP承載,按照用戶進行通信治理，黑客可以冒充其他帳戶,向網絡發送大量流量對NGN系統進行DOS攻擊。

　　2 NGN對安全的要求與互聯網對安全的要求不同

　　(1)一般來說，傳統互聯網運營商只提供網絡通路，不提供端到端的網絡安全服務，端到端的安全主要靠互聯網用戶自己解決;NGN系統由于強調為用戶提供的安全可靠的服務,必須要求網絡做到端到端的安全保證,如采用SIP加密,RTP加密,IPsec,VPN等通道安全措施,要求NGN終端在接入系統時,要進行身份認證,MAC地址,IP地址等物理屬性的檢查,用戶在使用NGN服務時,也必須進行帳戶的認證。

　　(2)互聯網業務基本上是一種基于“盡力而為”的機制,對業務的中斷不敏感，可以通過節點冗余、鏈路冗余、模塊冗余等方式，利用路由協議進行收斂，達到秒級的業務收斂時間，以保證服務的可靠性;而NGN承載的實時語音業務不答應出現業務中斷，要求承載網具有低于秒級的快速收斂能力，因此除了上述方式外，還必須強調系統設備具有高度可靠性,并且能夠利用MPLS 快速重路由, 路由協議快速收斂和網絡設備的不間斷服務NSR/NSS等技術實現毫秒級的鏈路和節點保護。軟交換系統、業務系統能夠做到異地冗災熱備,一個NGN核心系統的故障不會影響整個系統的大面積宕機。

　　(3)互聯網強調網絡設備自身的安全,采取路由協議加密,ACL等措施使得網絡設備不受攻擊;NGN除了要求網絡系統設備本身的安全以外,還要求NGN系統在核心設備的出口部署防火墻,入侵防護系統IPS、會話邊界控制器SBC等安全設備,以保護NGN核心設備的安全。

　　三、目前應該從哪些方面著手解決NGN的安全問題?

　　NGN的安全問題是軟交換商用過程中需要面對和解決的主要問題，目前而言，以下問題值得重視:

　　(1)跟蹤NGN系統面臨的不斷變化的各種安全威脅,啟用嚴格的網絡安全機制，系統關閉任何不使用的網絡服務，防止非法用戶通過非法的服務入侵設備;通過隔離、過濾、監測、認證、加密等手段降低遭受攻擊的可能性，并檢測、記錄攻擊的發生，保證攻擊的可溯源性。

　　(2)制定NGN安全標準規范。由于各廠家在保證NGN安全方面的做法不盡相同,迫切需要有關部門能夠統一協調,制定統一規范,以保證NGN系統在業務提供層面,在NGN信令層面,在IP承載層面,在終端層面等各個不同環節保證NGN系統的互聯戶通及NGN業務的安全提供。

　　(3)對NGN的協議安全進行深入研究。隨著NGN的日益普及,SIP、BICC、H248、Sigtran等NGN協議在IP承載網上進行傳輸時需要考慮相應的協議安全性、反攻擊性，需要對NGN協議的安全性進一步研究，防患于未然。

　　(4)關注NGN終端接入的安全。當前NGN核心系統的建設采用物理隔離，VPN邏輯隔離，以及采用防火墻等安全設備,安全基本上得到保證。在NGN終端層面，由于網絡接入形式多種多樣，面臨的安全風險很多，給NGN整個系統的安全帶來了隱患，所以需要業界建立標準的NGN終端接入安全體系。

　　四、在NGN網絡中，是否需要對不同業務劃分安全等級?劃分標準為何?

　　在NGN網絡中,運營商必須保證提供的各種業務的安全,可以把NGN系統設備,各種業務服務器歸屬于不同的安全域,不同的安全域對應為不同的安全等級，安全等級的劃分保證了高級別安全域的系統設備與低等級系統的安全隔離。等級高的安全域可以訪問低等級的安全域，低等級的安全域不能直接訪問高等級的安全域，假如要訪問，必須經過嚴格的狀態檢測。

　　安全級別的劃分可以根據系統設備的重要程度, 各種業務面臨的安全威脅的嚴重程度,進行安全級別的劃分,比如NGN系統可以把一些要害信令設備，重要的業務服務器放入信任區安全等級，而把Web門戶，測試終端，DNS/DHCP等設備放在半信任區，把一些外網設備如NGN終端，網管終端，SBC等放在非信任區安全等級。

　　對于不同的NGN業務,如語音業務,多媒體業務等可以根據用戶的SLA,用戶等級,業務特征劃分不同的QoS等級,以為高等級的業務提供在帶寬、時延、抖動、收斂時間、安全等方面提供不同的服務質量保證,比如可以答應語音視頻等實時性要求高的業務分配確定的帶寬,而對實時性要求不高的數據業務,可以限制其訪問帶寬。至于QoS等級劃分，國際標準組織如ITU-T也有相應的推薦標準,一些運營商已經有了自己的企業標準。

　　五、多媒體應用是NGN業務的一個主要代表，也是固網運營商大力發展的寬帶業務之一，目前對于承載在互聯網上的視頻業務安全威脅主要來自哪里?是否有適當的應對策略?

　　NGN視頻業務主要包括點對點視頻業務和多點視頻會議業務，對于點對點視頻業務,安全威脅與NGN語音基本上是一樣的，主要是受到DOS攻擊，病毒蠕蟲的影響,由于視頻業務對帶寬的敏感，很輕易受到攻擊。多點視頻業務的安全威脅，主要來自于非法盜聽，視頻服務器的DOS攻擊。

　　采用SBC等設備作為軟交換協議應用層防火墻，具備入侵檢測、帶寬控制策略、保護會話不被竊取、防止RIP流擁塞和呼叫干擾等功能，可以使核心網設備免受惡意攻擊和突發的DOS攻擊，防止服務欺騙等其它類型的安全風險，提供進入權控制方法(Admission control policies)，可以控制并保障會話總數、會話帶寬以及會話類型。會話傳送質量的保證還依靠兩端路由器中業務優先級的正確設置，SBC支持數據包的有效處理，能夠清楚地標明QoS等級，減去邊緣路由器的工作量。

　　六、目前有哪些技術可以幫助實現NGN的安全性?這些技術的的演進過程以及方向?(最好可以具體列舉)

　　目前用來解決NGN安全性的應對措施主要包括媒體流的加密傳送，SIP消息的加密，VPN技術，IPsec隧道技術,接入網的邏輯或物理隔離，終端的接入許可，帳戶密碼的加密認證,承載網的防偽裝技術與安全過濾，NGN核心的防火墻、入侵防護技術等等。

　　NGN的安全與其他業務一樣，不可能一蹴而就，需要不斷演進,其中一個重要的發展方向是NGN的安全更加強調用戶接入的安全，比如終端的網絡接入許可控制，針對每一用戶設置接入訪問控制列表，并限制用戶的訪問速度。

　　七、NGN作為下一代網絡的整體概念，其安全涉及面應該非常廣泛，目前是否有單位或組織進行NGN安全體系框架的研究和制定?目前我國政府、運營商或設備廠商已經做了哪些工作?

　　目前在IMS相關標準組織中把NGN的安全做為單獨的課題進行研究，如ITU-T FGNGN在IMS體系架構中提出NGN安全架構，研究NGN安全的體系架構，研究提供端到端的安全機制，提供給用于多個治理域的安全解決方案。但還處于不斷發展當中。 IETF 對于NGN及安全方面主要關注于SIP協議、IPv6和網絡安全的研究。

　　我國相關廠家及研究機構專家近幾年對NGN領域的關注程度大大提高,ITU-TNGN會議我國專家參會人數以及提交的文稿數越來越多，并承擔了多個新建議草案的起草。作為NGN領域的重要設備制造商之一，上海貝爾阿爾卡特已向國際電信聯盟(ITU)提交了50余篇NGN標準文稿，均被采納，另外，上海貝爾阿爾卡特還負責主導和參與了20余項NGN國家標準的制定(已批準和發布)。