LJ_信令防火墙_方案_2010C1_1.pptVIP

移动集团高度重视信令网与信息安全 为确保中国移动信令网安全，防止客户位置信息泄露，集团总部制定了信令网接入原则及管理规定，具体工作要求如下： 一、信令网接入遵循最小接入原则、分等级接入原则和审批原则 1、最小接入原则 严格控制信令网的信令点数量和类型 信令网内语音关口局、短信中心和位置业务平台分别作为语音类、短信类、位置类业务平台的接入关口 2、分等级接入原则 如在低一级信令网中（LSTP），能够满足信令点业务需要，则不允许接入更高一级信令网（HSTP）。相应信令路由也严格按照分级原则配置 3、入网审批原则 当平台只能接入信令网以实现业务时，业务技术方案必须通过网络部审批。审批通过后方可遵从分等级原则接入信令网 二、加强对业务平台的信令监测和性能统计监控，及时发现业务平台的不安全因素，确保信令网络安全 三、信令网内平台清理工作要求 请各公司根据信令网接入原则对信令网内的业务平台设备进行清理，规范信令网组网 12月底前各公司依照接入原则梳理本省信令网内的业务平台，并按照“最小接入”和“分等级接入”原则规范业务平台组网。非中国移动自建、自维设备必须从信令网内清出。 9月底前，对于仍需保留在信令网内的一类或二类业务平台设备，请各公司报总部审批。年底总部将在组巡中对各省信令网内的业务平台接入情况进行检查。 信令网风险分析 信令网网络安全 用户信息安全 信令防火墙组网结构 典型应用 信令防火墙功能说明 信令防火墙关键指标 关于粱江通信 成立于2002年2月8日，2010年1月整体改制为股份公司 上海市高新技术企业 上海市专利示范企业 上海市小巨人培育企业 ISO9001/14000和CMM3认证企业 专业的、中国的、未来的 Page * 上海粱江通信系统股份有限公司 本文件含粱江公司专有技术和商业机密，未经书面许可请勿向任何第三方透露 Industry Confidential Department/Author Industry Confidential mm/dd/yyyy 采用粱江SigEngine技术的投资评估 Page * 基于信令技术的移动通信安全实时监管与增值业务平台 信令防火墙—信令网安全保障加强信息管控 保障通信安全杜绝收入流失 提高竞争能力 上海粱江通信系统股份有限公司 2010年08月 信令网各信令点间具备可通达性，采用信令点编码和全局码即可以寻址到全网任一信令点。 1.对于信令网内的的信令点均认为是安全可靠的，对MTP/SCCP没有明确要求目的信令点判断 OPC和OGT，只要求判断DPC； 2.对于MAP/CAP没有明确要求协议实体判断请求消息的源地址，只要求判断DPC、SSN、TC ID 信令协议的特点使得信令网不具备限制非法访问的能力。 信令网内的MAP、CAP信令，涉及用户位置更新流程、鉴权流程、被叫路由查询流程、短信流程、智能业务流程。依托信令网的灵活性，可实现多种多样的业务-智能业务、短信增值业务、位置业务、国际一卡多号等业务，但随着各类业务平台接入信令网，也给信令网络带来较大的安全风险。 1、信令点被攻击 非法信令点可能通过信令方式消耗被攻击信令点的资源，使其处理能力下降。 通过正常信令流程发起攻击，如：1）非法信令点可以模仿MSC向HLR不断发起路由查询流程，占用HLR处理能力，消耗其资源；2）非法信令点可以模仿MSC向SCP不断触发智能业务流程，占用SCP处理能力，消耗其资源。 通过异常信令流程发起攻击，如：1）非法信令点可以发送不合理的信令消息，占用目的信令点的处理能力；2）非法信令点可以发送不完整信令流程，消耗定时器资源。 2、信令点ID被盗用 可能通过正常信令流程盗用特定用户归属HLR ID、漫游MSC ID。如：非法信令点可以首先模拟主叫MSC发起对某一号段用户号码的SRI消息路由查询，以获取特定号码归属HLR的HLR ID和漫游MSC的MSC ID。非法信令点用获取到的HLR ID向漫游MSC 1）发起删除位置流程，导致某一IMSI号段号码无法做被叫；2）发起插入用户数据流程，修改某一IMSI号段号码用户业务数据，导致用户无法正常使用业务，甚至被停机。 3、信令点使用非授权功能 非法信令点可能利用自有的全局码（GT码），发送非自身业务范围的信令消息，达到非法获取用户信息的目的。如：仅负责短信相关业务的平台，向HLR设备发送ATI消息，盗取用户的位置信息。 非法获取和利用用户位置信息 1）MSC掌握用户当前所在小区ID，可通过信令访问方式获取； 2）HLR 存有用户漫游地信息可通过信令访问方式获取； 3）MSC ID和MSRN携带用户漫游地信息，可通过信令访问方式获取。 例如：可通过位置业务流程获取用户的小区级位置信息 Sig