| |
數字集群通信系統的安全保障 |
|
[ 通信界 / 潘娟 / www.6611o.com / 2006/10/2 9:58:00 ] |
|
|
|
| |
潘 娟
數字集群通信是實現移動中指揮調度通信最有效的手段之一,它以特有的調度功能、組呼功能以及快速呼叫等特性,在專業通信領域發揮著巨大的作用。
數字集群通信系統主要應用對象是對指揮調度功能要求較高的部門和企業,如軍隊、公安、國家安全部門、鐵道、水利、電力、民航等單位。這些用戶要求更高的通信安全性,因此數字集群通信系統必須采用高等級的安全機制來保障網絡的安全可靠及信息的安全傳遞,才能滿足這些特殊用戶群的安全需求。
網絡安全與信息安全的概念
網絡安全是指所有涉及與網絡穩定、可靠、正常運轉相關的安全因素的總和,它要考慮網絡硬件和軟件的穩定可靠性,及網絡的容錯能力、應急能力。信息安全是指信息在網絡中轉換、處理、傳輸、存儲整個過程中的安全性,它主要包括信息的機密性、完整性、可用性。通常對網絡安全與信息安全需要從以下幾個方面來考慮。
訪問控制:防止未經授權的個人或設備使用網絡資源。
認證:用于認定通信實體(個人、設備、服務、應用)的身份,保證其有效性。
不可否認性:利用相關網絡證據防止用戶或實體事后否認其實施了某一行為的能力。
通信安全性:確保信息僅在授權的端點之間流動,防止信息被轉移或截獲。
數據機密性:信息不泄露給非授權的用戶、實體或過程,并不被其利用的特性。
數據完整性:確保數據的準確性,在傳輸過程中防止非授權的修改、刪除、創建和復制。
可用性:指網絡資源可正常提供服務或被訪問的能力。
數字集群通信系統的信息安全
數字集群通信系統的信息安全主要涉及用戶鑒權、加密、分級用戶管理、日志管理、虛擬專網。
用戶鑒權是訪問控制的要求,只有合法的用戶才可以接入網絡,用戶也只接入合法的網絡,雙向鑒權機制可有效的提高包括終端在內的整網的安全性。加密是為了保護數據的機密性,使數據只傳送給已授權的用戶。加密可以通過空中接口加密,也可通過終端進行端到端的加密。空中接口加密用于對基站和移動臺間無線信道上的信息數據和信令進行加密保護,端到端的加密是實現發端用戶到收端用戶的全程通信保密。由于數字集群系統應用的特殊性,其加密的使用以及加密算法都應符合國內相關部門的要求。
圖1 鑒權、加密過程示意圖
調度臺、網管系統都應具備嚴格、細致的用戶分級管理。調度臺存儲了用戶的重要信息,調度臺的管理員責任重大,高級管理員應經過嚴格的培訓,明白調度臺所有參數的設置,可以正確的進行操作,并給下級用戶分配適當的權限。網管系統應可以為用戶設定細化到命令的用戶權限,以防止底級用戶誤用高級操作引起系統錯誤,或查看到不應看到的保密信息。調度臺和網管系統還應具備詳細的日志,以方便后期的管理核查以及統計。對于非法操作,調度臺和網管系統應對操作的用戶、時間、內容等進行詳細記錄,并采取一定的應對措施。
數字集群系統分為專網運營和共網運營兩種方式,共網運營可以共享資源,利用率較高,但也存在一定的隱患,即用戶之間的隔離度。共網運營的數字集群系統采用虛擬專網的方式保證用戶之間的信息隔離,如圖2所示。
圖2 共網運營的數字集群網絡中的虛擬專網
調度臺的管理員是虛擬專網的最高管理員。數字集群系統的虛擬專網主要是通過超級調度臺來分配每個組織機構的權限,從而使被授權的組織機構調度臺管理員只能管理、查看本調度臺下的用戶、及用戶信息。由于各組織機構調度臺的權限是由超級調度臺授予的,因此超級調度臺的安全至關重要,需要采取高級的策略來保證超級調度臺的訪問安全。虛擬專網間的隔離度是共網運營數字集群系統的一個重要安全要素。因此確保虛擬專網間的隔離度,才能保障共網運營的數字集群網絡中用戶信息的安全傳遞。
數字集群系統網絡性能
網絡本身的性能直接關系到網絡整體的安全性,特別對于數字集群網絡,其更應該具備高級的抗災變能力和頑健性。對于網絡的容量、通信覆蓋率、呼叫建立成功率等都有更高的要求。特別的,數字集群通信系統經常應用于應急通信,因此其業務量具有突發性,擁塞控制對于數字集群通信網絡也就尤其的重要。擁塞控制可以通過多種方式來實現。如:為高優先級用戶預留信道;對用戶進行分級,在系統繁忙的情況下,可以保障重要部門的通信資源;采用負載均衡技術,使業務量不至于在某個基站過于集中;準備應急通信車,在突發異常事件時,可以臨時增加信道,緩解業務繁忙地區的通信壓力。
數字集群網絡的網絡結構還應具備更高的抗災變能力,如圖3所示,對于重點地區進行基站的雙覆蓋(3、4號基站覆蓋同一區域),將基站連接到不同的交換機(分別連接至交換機A和B),基站到交換機實現冗余鏈路連接(每個基站有兩條以上鏈路可以連接至交換機)等。由于數字集群系統擔負著應急通信的重大使命,因此通常其社會效益要重于經濟效益,因此有必要投入一定的資金來提升網絡的可靠性。
圖3:具有高抗災變能力的網絡結構
共網運營的數字集群通信系統相比公眾移動通信系統具有一定的特殊性,它存在一定的矛盾。集群通信系統的用戶有些是具有特殊身份的組織機構(如安全部門等),這些機構要求自身的信息是完全保密不被運營商所知的,因此用戶的通話狀態、業務使用狀態只有各組織機構的調度臺管理員可以監控得到,運營商只負責系統設備的管理,無權實時監控用戶的行為,也就無法實時對網絡的業務進行控制,因此為了保障整網的利益,每個集群用戶群的最高管理者應當明確自身的每一個行為將會對整網產生怎樣的影響,要考慮全局利益,從而保障整網安全可靠的運行,因此非常有必要對各用戶群的高級管理員進行深度的技術培訓,從而更加合理、有效的使用各種集群業務,保障整網安全。
提高數字集群系統安全性的特殊功能
數字集群通信網絡作為調度用專網,其功能要滿足調度的特殊需求,因此各調度功能的可靠實現是保證數字集群通信網絡安全的一個重要方面。終端在入網前的互聯互通測試是保障調度功能正常實現的有效手段。
緊急呼叫是保障最高優先級的呼叫隨時可以接入。動態重組功能可以在多群組通話過程中合并正在通話的群組,從而提高工作效率。遲后進入可以使終端一旦進入正常狀態就可以接入之前應當進入的通話組。直通模式可以使用戶在基站覆蓋不到的地區不通過基站直接建立群組。類似這樣的一些功能的實現都是為了提高網絡的可用性。因此開發、完善調度功能也是數字集群通信系統提高通信安全性的途徑之一。
數字集群系統設備安全
設備是網絡的基礎,設備的安全是保障網絡安全的基礎,只有保證網絡的物理可靠性,才能保證網絡功能、信息的安全性,因此基礎設備的可靠性至關重要。
對于交換機,硬件上應實現關鍵部件的熱備份。軟件上,關鍵的用戶數據、配置數據應當及時、定期進行備份。
對于基站系統要考慮其抗外界干擾的能力,如射頻干擾、雷擊、抗震性能等。基站系統的備用電源應根據基站覆蓋區的重要程度適當配備,以應變突發事件。
系統主備用倒換能力是系統可靠性的一個重要指標,如倒換時間、倒換過程對正在進行的業務的影響等。完善的監控告警機制可大大提高網絡的可靠性,如系統部件可自我診斷和修復、系統可隔離故障模塊、及時產生告警信息。
此外,調度臺、終端存儲了用戶的重要信息,這些設備由用戶控制,應由專人維護,以保證相關用戶信息不被外界竊取。
數字集群通信系統是一種特殊的專用通信系統,在應對突發事件時,對社會穩定和人民生命財產的安全起著及其重要的作用,因此數字集群通信系統的安全要求要大大高于公眾移動通信系統,所以數字集群通信系統運營者必須從各方面考慮如何增強系統的抗災變能力,如何使系統更安全可靠的傳遞信息。只有全面的重視數字集群通信系統的安全問題,才能使數字集群系統發揮其應有的作用。 |
|
|
| |
|
|
|
|
|
|
| 版權與免責聲明: ① 凡本網注明“合作媒體:通信界”的所有作品,版權均屬于通信界,未經本網授權不得轉載、摘編或利用其它方式使用。已經本網授權使用作品的,應在授權范圍內使用,并注明“來源:通信界”。違反上述聲明者,本網將追究其相關法律責任。
② 凡本網注明“合作媒體:XXX(非通信界)”的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。
③ 如因作品內容、版權和其它問題需要同本網聯系的,請在一月內進行。 |
|
|
|
|
|
