NGN下一代网络安全需求大致可以分为哪些
NGN下一代网络安全需求大致可以分为以下这些:
安全策略需求:安全策略需求要求定义一套规则集,包括系统的合法用户和合法用户的访问权限,说明保护何种信息及为什么进行保护。在NGN环境下,存在着不同的用户实体、不同的设备商设备、不同的网络体系架构、不同的威胁模型、不均衡的安全功能开发等,没有可实施的安全策略是很难保证有正确的安全功能的。
认证、授权、访问控制和审计需求:在NGN不同安全域之间和同一安全域内部,对资源和业务的访问必须进行认证授权服务,只有通过认证的实体才能使用被授权访问实体上的特定资源和业务。通过这一方法确保只有合法用户才可以访问资源、系统和业务,防止入侵者对资源、系统和业务进行非法访问,并主动上报与安全相关的所有事件,生成可管理的、具有访问控制权限的安全事件审计材料。
时间戳与时间源需求:NGN能够提供可信的时间源作为系统时钟和审计时间戳,以便在处理未授权事件时能够提供可信的时间凭证。
资源可用性需求:NGN能够限制分配给某业务请求的重要资源的数量,丢弃不符合安全策略的数据包,限制突发流量,降低突发流量对其他业务的影响,防止拒绝服务(DoS)攻击。
系统完整性需求:NGN设备能够基于安全策略,验证和审计其资源和系统,并且监控其设备配置与系统未经授权而发生的改变,防止蠕虫、木马等病毒的安装。为此,设备需要根据安全策略,定期扫描它的资源,发现问题时生成日志并产生告警。对设备的监控不能影响该设备上实时业务的时延变化或导致连接中断。
操作、管理、维护和配置安全需求:NGN需要支持对信任域、脆弱信任域和非信任域设备的管理,需要保证操作、管理、维护和配置(OAM P)信息的安全,防止设备被非法接管。
身份和安全注册需求:NGN需要防止用户身份被窃取,防止网络设备、终端和用户的伪装、欺骗及对资源、系统和业务的非法访问。
通信和数据安全需求:NGN需要保证通信与数据的安全,包括用户面数据、控制面数据和管理面数据。用户和逻辑网元的接口及不同运营商之间的接口都需要进行安全保护,信令需要逐跳保证私密性和完整性。
隐私保证需求:保护运营商网络、业务提供商网络的隐私性及用户信息的隐私性。
密钥管理需求:保证信任域与非信任域之间密钥交换的安全,密钥管理机制需要支持网络地址映射/网络地址接口转换(NAT/NAPT)设备的穿越。
NAT/防火墙互连需求:支持NGN中NAT/防火墙功能。防火墙可以是应用级网关(ALG)、代理、包过滤、NAT/NAPT等设备,或者是上述的组合。
安全保证需求:对NGN设备和系统进行评估和认证,对网络潜在的威胁和误用在威胁、脆弱性、风险和评估(TVRA)中有所体现。
安全机制增强需求:对加密算法的定义和选择符合ES 202 238的指导。
安全管理需求:安全管理技术对所有安全设备进行统一安全策略配置。