上海贝尔阿尔卡特打造安全体系保障健康网络

随着通信行业的飞速发展，各种新兴通信技术不断涌现，在为传统
电信网络带来新的发展机会的同时，也对网络安全性带来一定冲击。
如何保证网络持续、安全、稳定运行，为其终端用户提供高质量、高
可靠性的通信业务，成为电信运营商保持可持续发展的首要任务。上
海贝尔阿尔卡特(ASB)致力提供完善的端到端的通信解决方案，以
高可靠性、高安全性的通信网络，保障运营商业务的健康发展。

　　多层面加强IP安全性

　　IP技术的诞生加速了互联网的发展，但IP技术固有的特性导致其
在安全性方面仍然有很多问题需要解决。在网络IP化的演进中，上海
贝尔阿尔卡特在多个层面加强了IP的安全性。
　　ACL过滤
　　上海贝尔阿尔卡特的IP解决方案能够支持线速的流量过滤，在端
口上设置2000条过滤规则的情况下，7750SR的CPU负载低于30%，远
远小于部分主要IP方案提供商70%的负载率。不仅如此，7750SR的
过滤规则支持到第四层，为运营商更灵活地控制业务提供可能。
　　DDoS防范
　　对于DDoS的防范，通常做法是通过IDS配合ACL的方式来进行，但
这种方式容易造成ACL日志过大，设备负载过高的负面效果。ASB的IP
方案通过开启Netflow，根据DDoS发生攻击的特征(如某种特定流
量TCP SYN、UDP SYN或者DNS流量会在短时间内突然增大等)，在
流量发生变化的早期就能够预测到攻击。并通过限制ICMP、UDP、TCP
SYN的速率和地址过滤，能够在不影响正常流量的情况下对DDoS进行
防范。
　　此外，还引入智能的路由平面切换技术，能够保证在主用路由引
擎遭受攻击失效的情况下，备用引擎智能识别同类型的攻击流量，并
平滑地接管主路由引擎的工作，从而实现不间断业务。

　　ASON智能光网络具高可靠性

　　作为智能光网络市场的领先者，上海贝尔阿尔卡特提供全套的端
到端的ASON智能光网络解决方案，具备大容量、高可靠性的特点。通
过在核心层引入大容量的智能光网络设备实现灵活的组网、快速的端
到端调度、强大的保护恢复能力，使得网络可以适合各种业务的网络
生存需要。这种生存性最终体现在对业务质量或服务质量的保证。
　　该方案还采用智能控制、多业务传送技术，具有全球领先的业务
智能快速配置、多重故障快速保护和恢复机制，能使运营商的传送网
络更易管理和维护，具有更高的安全性和快速满足多种新一代城域业
务发展需求的能力。同时，新的网络将成为支撑城域以太网业务、IP、
ATM和3G移动等多种新业务的综合传送网。

　　G速宽带安全畅通

　　上海贝尔阿尔卡特为满足100%三重播放业务的接入需求，基于纯
IP技术设计的IP多业务接入平台ISAM7302，采用面向所有用户的、
能够确保未来安全的多样化服务接入平台和线速服务提供的全面无阻
塞内部架构。其丰富的接入技术手段，包括ADSL2+，VDSL2，GPON，
可实现三重播放业务的快速部署，是可持续发展的经济组网方案。
　　随着三重播放业务的开展和全IP网络的演进，接入网络面临越来
越多的安全隐患和网络攻击，如DOS/TOS攻击所引发的广播风暴和信
息窃取、非法接入用户的业务盗用和网络破坏等。上海贝尔阿尔卡特
的IP多业务接入平台，直接接入终端用户，在提供高带宽接入的同时，
采用多种安全机制为以太接入网络和设备自身提供安全保障。

　　移动软交换系统保证安全

　　上海贝尔阿尔卡特在设备和系统的研发阶段就对安全性有着全面
的考虑和设计。以移动软交换系统为例，我们通过采用多项技术来保
证系统的安全性，如完善的系统架构及软硬件设计、完善的中间件系
统及内部安全机制、IP网络的物理隔离、IP网络的逻辑隔离、用户准
入和操作权限管理、关键数据加密等等。
　　完善的系统架构及软硬件设计
　　上海贝尔阿尔卡特的无线软交换(WSS)设备采用SUN的电信级
平台和Solaris操作系统，相比Windows NT，该操作系统安全
性、健壮性和可靠性优势为业界公认。此外，无线媒体网关(WMG)
设备也采用专有电信级软硬平台，操作系统对外不可见，可以避免任
何网络攻击。
　　完善的中间件系统及内部安全机制
　　5020移动软交换系统中的WSS设备采用Sun的电信级服务器平台，
电信级服务器内部的双硬盘系统用于保护关键的配置、应用、计费和
动态数据。在此架构之上，上海贝尔阿尔卡特通过完善的中间件系统
提供全面的平台内部安全保障机制，如利用Heartbeat消息实时监
控各板卡上核心进程和无线应用进程的执行状态；硬件故障或者核心
进程出错时自动触发主备用倒换等。
　　IP网络的物理和逻辑隔离
　　5020移动软交换是一个内外隔离的系统，本身就具备了和外界IP
网物理隔离的特性。对于计费、网管等与外网的接口，可以进一步进
行物理隔离，即采用特定接口专门用于计费信息传送、网管系统连接
或Mc接口通信。
　　此外，还可以采用逻辑隔离措施，可以利用防火墙和边缘路由器
的IP Sec或MPLS VPN等功能进行逻辑隔离，保证系统和计费、网
管信息的安全性。
　　用户准入和操作权限管理
　　该系统提供严格的用户管理功能，管理用户帐号，设定操作级别。
根据操作用户的级别，严格限定操作权限，系统严格拒绝不合法用户
的登陆。
　　可以说，5020移动软交换在系统和IP网络的安全性方面进行了完
善地设计，拥有全方位的安全机制，保障了网络的安全运营。