刁擁浩，楊 梅

（中國移動通信集團重慶有限公司信息技術部，重慶401120）

移動通信平臺在變化多端且復雜的野外環(huán)境中具有多種無線和有線的通信鏈路，各個移動通信平臺需要交互一些敏感的信息，而野外環(huán)境的安全具有一定的不確定性，從而使得在傳輸、存儲以及使用敏感信息的過程中存在一定安全隱患。外部的信息安全攻擊和安全威脅對移動通信平臺的正常運行產(chǎn)生了不利的影響。基于此，本文分析了移動通信平臺信息網(wǎng)絡安全防護的要點，根據(jù)移動通信平臺運行的特點設計了一套可以促進移動通信平臺安全運行的方案。

1 移動通信平臺面臨的安全威脅

1.1 由于機動性的特點導致設備存在被俘獲的風險

移動通信平臺在運行過程中通常直接暴露在外場的環(huán)境中，而外場環(huán)境具有較高的復雜性和不確定性。移動通信平臺長時間暴露于復雜的外場環(huán)境中使得設備存在被俘獲以及丟失的風險，這在一定程度上會導致移動通信平臺中的一些敏感信息存在被非法獲取和盜用的風險；甚至一些不法分子利用非法捕獲的設備對自己的身份進行偽裝，偽裝成合法的用戶身份或者是合法的網(wǎng)絡實體，從而對網(wǎng)絡進行攻擊或者進行非法訪問。

1.2 無線通信鏈路存在被攻擊的風險

移動通信平臺主要采取的無線通信手段有衛(wèi)星、4G、5G以及電臺等，因為無線通信道具有開放性的特點。隨著現(xiàn)代信息技術的不斷發(fā)展，無線通路面臨的無線攻擊越來越大。如目前無線通路面臨數(shù)據(jù)被非法竊取、數(shù)據(jù)被非法篡改以及攻擊注入等無線攻擊的威脅。

1.3 軟硬件平臺具有一定的脆弱性

目前國外的Inter、Windows、Linux以及Vxworks嵌入式的軟硬件平臺是我國移動通信平臺中對計算機進行裝備的主要軟硬件系統(tǒng)，而這些裝備計算機的軟硬件系統(tǒng)存在一定的后門漏洞、供應鏈安全問題以及安全漏洞等。并且計算機環(huán)境也存在一定的安全威脅風險，如被非法登錄的風險、被病毒感染的風險、非法外聯(lián)的風險、設備局域網(wǎng)存在被非法接入的風險，從而使得我國移動通信平臺面臨一定的安全威脅。

1.4 由于CAN總線車輛通訊系統(tǒng)使得移動通信平臺面臨一定的安全威脅

CAN總線系統(tǒng)是移動通信平臺通信單元以及控制單元互相協(xié)調和通信的載體。CAN總線系統(tǒng)具有一定的封閉性，但是隨著移動通信平臺內(nèi)部計算機系統(tǒng)配置在CAN總線系統(tǒng)的接入，以及網(wǎng)絡互連和無線通信在CAN總線系統(tǒng)的接入；CAN總線系統(tǒng)逐漸由封閉向開放發(fā)展。從而導致CAN總線車輛通訊系統(tǒng)存在一定的安全威脅，如外部攻擊者的惡意代碼注入以及DoS攻擊等，使得我國移動通信平臺在控制內(nèi)部單元以及通信單元時存在一定的不確定性和失控風險。

1.5 存在一定的人員非法操作威脅

移動通信平臺中的一些內(nèi)部人員具有一定權限，具有權限的工作人員在工作過程中如果存在非法操作或者越權訪問資源的不良行為，就會使得移動通信平臺在運行過程中存在敏感信息被非法篡改、非法插入、非法重放以及非法刪除的風險。并且移動通信平臺內(nèi)部人員在系統(tǒng)中拷入攜帶病毒的文件，就會導致病毒在移動通信平臺內(nèi)泛濫；同時目前我國移動通信平臺系統(tǒng)缺乏完善有效的技術監(jiān)控手段，這在一定程度上導致無法對訪問操作進行有效的監(jiān)控，系統(tǒng)缺乏明確的相關負責人，出現(xiàn)問題時無法第一時間進行問責，無法及時有效地解決問題。

1.6 數(shù)據(jù)和數(shù)據(jù)庫存在一定的安全威脅

移動通信平臺中具有各種重要的文件和數(shù)據(jù)，而各類重要的文件和數(shù)據(jù)在通信過程中存在非法篡改格式、信息欺騙以及信息泄露等安全威脅。并且系統(tǒng)中儲存的數(shù)據(jù)存在一定風險，如被人利用假冒的身份非法竊取以及保存的風險。

2 移動通信平臺安全防護的技術研究

移動通信平臺在運行過程中通過一些安全防護技術可以有效解決在復雜環(huán)境中暴露出的一些問題。

2.1 無線安全檢測的技術

無線安全檢測的技術就是研究無線信號攻擊檢測技術，通過攻擊檢測、安全檢查以及漏洞掃描等技術對無線信號進行安全監(jiān)測，對攻擊行為以及攻擊者的地理位置進行及時且準確的識別和定位；通過安全防護手段對跳擴頻無線通信系統(tǒng)物力層和鏈路層進行維護，可以對信息欺騙以及篡改和重放等攻擊行為進行有效抵御。此外，通過研究無線組網(wǎng)鑒權技術，構建安全且對各類層次信道進行全覆蓋的無線認證鑒權體制；并且研究無線網(wǎng)絡路由安全增強技術，可以加固關鍵路由協(xié)議以及呼叫控制信令的安全防護，有效提高組網(wǎng)的安全性；與此同時，對無線網(wǎng)絡安全態(tài)勢感知技術進行全面且深入的研究，可以有效提高無線信號層面的安全性，有效開展無線安全管理工作，實現(xiàn)移動通信平臺的安全運行。

2.2 網(wǎng)絡安全態(tài)勢感知技術

網(wǎng)絡安全態(tài)勢具體指通過獲取海量的網(wǎng)絡安全數(shù)據(jù)信息，對信息之間的關聯(lián)性進行解析，同時進行有效的信息融合，以此保證網(wǎng)絡安全態(tài)勢的有效獲取，并且有效預測網(wǎng)絡安全態(tài)勢的準確發(fā)展趨勢，為網(wǎng)絡安全管理員做出正確的決策分析奠定良好的基礎。目前信息融合算法是評估網(wǎng)絡安全態(tài)勢的主要方法，主要分為以邏輯關系為基礎的融合方法、以數(shù)據(jù)模型為基礎的融合方法、以概率統(tǒng)計為基礎的融合方法和以規(guī)則推理為基礎的融合方法等。

2.3 信息安全集中管理技術

信息安全集中管理技術主要集中監(jiān)控網(wǎng)絡中各類安全設備運行的狀態(tài)，統(tǒng)一制定和發(fā)布網(wǎng)絡安全策略，運用信息安全集中管理技術可以促進系統(tǒng)管理效率和故障快速反應能力的快速提升。通過匯總、過濾、收集以及關聯(lián)分析分散的、海量的單一安全時間，可以對一些全局性且整體性的安全威脅行為進行及時發(fā)現(xiàn)，以此有效提高整個安全體系檢測能力的準確性和有效性。并且通過管理知識庫以及發(fā)布系統(tǒng)，有效實現(xiàn)各種安全運行信息資源的高效共享。

2.4 嵌入式的系統(tǒng)安全防護技術

嵌入式操作系統(tǒng)的可靠性較高，具有較高的實時性且操作簡單，占用資源少，通常執(zhí)行簡單任務的移動通信平臺操作終端會運用嵌入式的操作系統(tǒng)。嵌入式操作系統(tǒng)雖然具有較高的靈活性，但是嵌入式操作系統(tǒng)在運行過程中忽視了安全性；嵌入式系統(tǒng)通過與網(wǎng)絡的不斷結合凸顯出了一些安全問題，在運行過程中同樣存在一些安全威脅，如非法監(jiān)聽、惡意入侵以及信息失竊；因此需要有效提高嵌入式操作系統(tǒng)平臺的可靠性和信賴性。為了有效提高嵌入式系統(tǒng)的安全性和可靠性，可以對強制訪問控制機制進行深入且全面的研究，以此有效控制系統(tǒng)資源的所有訪問信息。嵌入式系統(tǒng)具有特殊的安全需求，因此要根據(jù)嵌入式系統(tǒng)特殊的安全需求和特點構建相應完善的安全策略集成模型，以此集成表述多策略。另外，在強制訪問控制中運用集成多策略模型，可以有效實現(xiàn)加載和判定強制訪問控制時的多策略。并且為保證移動通信平臺的實時性，利用策略緩存機制，有效降低安全機制對系統(tǒng)性能產(chǎn)生的不利影響。

2.5 工業(yè)總線安全防護技術

一般商用計算機網(wǎng)絡與移動通信平臺具有一定的差異性，IP協(xié)議是計算機網(wǎng)絡實現(xiàn)共享網(wǎng)絡資源的基礎和前提，而移動通信平臺的體積和空間有限，CAN工業(yè)總線是移動通信平臺實現(xiàn)網(wǎng)絡資源共享的基礎和前提。CAN工業(yè)總線屬于一種廣播式且架構開放的網(wǎng)絡通信協(xié)議，所以需要對其能夠收到的網(wǎng)絡入侵和攻擊進行研究，以此采取相應的防范技術對所存在的安全問題進行有效防范。

3 移動通信平臺安全防護方案

3.1 構建自主可控的基礎設施

將國產(chǎn)化且自主可靠的信息設備運用于移動通信平臺，如元器件、計算機以及網(wǎng)絡設備和軟件系統(tǒng)等，構建自主可控的基礎設施，對漏洞隱患進行科學有效的防范和彌補。同時要將一些具備安全機制的產(chǎn)品運用于移動通信平臺，如安全芯片、可信的計算產(chǎn)品以及CAN總線安全防護等技術產(chǎn)品，以此對軟硬件基礎設施所存在的安全問題采取相應有效的解決措施，有效提高移動通信平臺軟硬件運行環(huán)境的可信性、可控性以及安全性；并且為移動通信平臺軟硬件的運行創(chuàng)設安全、可信且可控的環(huán)境，以此確保移動通信平臺的安全運行。

3.2 網(wǎng)絡安全防護

移動通信平臺網(wǎng)絡安全防護主要是安全控制平臺、外部的網(wǎng)絡邊界和平臺的內(nèi)部網(wǎng)絡，網(wǎng)絡安全防護可以通過雙重的安全防護手段有效提高移動通信平臺網(wǎng)絡安全的防護水平和質量。首先移動通信平臺和外部的網(wǎng)絡邊界安全是第一道網(wǎng)絡安全防護，無線安全接入控制技術、綜合網(wǎng)絡安全技術以及網(wǎng)絡隔離技術是網(wǎng)絡邊界所采用的安全防護技術，網(wǎng)絡邊界所采用的安全防護技術可以實現(xiàn)隔離交換網(wǎng)絡、控制網(wǎng)絡接入、實時檢測攻擊，以及檢查應用協(xié)議格式和掃描漏洞等，對外部的網(wǎng)絡攻擊進行有效的防范，以此安全防護網(wǎng)絡邊界以及內(nèi)外網(wǎng)的科學隔離。內(nèi)網(wǎng)安全是第二道安全防護，可信安全接入技術、訪問控制技術、安全審計技術以及網(wǎng)絡監(jiān)控技術在內(nèi)網(wǎng)安全防護中的應用，可以有效控制移動通信平臺的內(nèi)部網(wǎng)絡，對內(nèi)部網(wǎng)絡有意或者無意的攻擊進行有效防范，如非授權訪問、信息偽造攻擊、惡意攻擊以及信息泄露等安全問題。

3.3 計算環(huán)境的安全防護

通過可信計算技術、計算機綜合管控技術、病毒防護技術以及網(wǎng)絡接入控制等安全防護技術有效防護移動通信平臺的安全性，通過運用安全防護技術確保移動通信平臺主機軟硬件的安全運行，有效控制TCP/UDP端口資源的訪問，以及科學合理地控制外設使用，對病毒感染進行科學合理的防范，確保計算機終端的安全接入。并且通過在移動通信平臺中應用安全防護技術，對非法進入終端進行非法操作以及惡意攻擊的不良行為進行有效防范和控制，以此確保移動通信系統(tǒng)終端和應用系統(tǒng)的安全性。

3.4 開展安全運維管理工作

要分別管理移動通信平臺中的各個安全裝備，并要產(chǎn)生相應的安全事件。因此，在移動通信平臺運行的過程中要采取相應的安全管理手段，實施統(tǒng)一的安全設備管理以及制定統(tǒng)一的安全設備管理策略。并且移動通信平臺在運行過程中要重視統(tǒng)一收集和集中分析在上報安全設備中的日志信息以及安全事件信息，對網(wǎng)絡安全的態(tài)勢以及風險進行綜合評估，要將安全態(tài)勢進行圖形化展示，及時采取有效措施對安全事件進行相應處理。

4 結束語

目前，隨著互聯(lián)技術的不斷發(fā)展，移動通信平臺在復雜環(huán)境中的運行面臨一定的安全威脅。通過對移動通信平臺安全防護技術全面且深入的研究，根據(jù)現(xiàn)代先進的安全防護技術構建相應科學且完善的安全防護體系，通過采取移動通信平臺安全防護技術對運行過程中的外部入侵、內(nèi)部攻擊、信息泄露等問題進行科學有效防范和解決，以此促進移動通信平臺在復雜環(huán)境中的安全運行，有效提高移動通信平臺的信息安全防護能力和水平。