A-IMS de la tecnología IMS mejora el sistema de seguridad IMS
Además de heredar los mecanismos de autenticación y cifrado mencionados anteriormente, A-IMS también propone algunas medidas de seguridad nuevas. En comparación con IMS, A-IMS mejora principalmente la seguridad en aspectos como la seguridad integrada y la gestión de seguridad unificada, el centro de operaciones de seguridad, el control de admisión de dispositivos y las políticas de seguridad.
1 Seguridad integrada y gestión de seguridad unificada
Dado que A-IMS necesita manejar el tráfico portador de velocidad gigabit, para evitar "cuellos de botella" en la red, A-IMS integra mecanismos de seguridad en la sistema En cada elemento de la red, a través de la política emitida por el SOC y la detección de eventos de seguridad por SM, los elementos de la red dispersos en varios lugares funcionan de acuerdo con la política de seguridad unificada, logrando una gestión de seguridad unificada de toda la red. Por ejemplo: utilizando el mecanismo de seguridad integrado, SOC puede distribuir estándares de tráfico y otras políticas de seguridad a elementos de red en varios lugares, identificar, distinguir y rastrear comportamientos anormales a través de mediciones locales o remotas, y bloquear rápidamente la propagación de virus. Mecanismo de seguridad, que mejora enormemente la seguridad general del sistema en comparación con la red IMS/MMD.
2 Centro de operaciones de seguridad
SOC se utiliza principalmente para monitoreo, informes y procesamiento centralizados. Es la nueva entidad más importante de A-IMS y el núcleo de la gestión de seguridad del. todo el sistema. A través de la formulación y distribución de políticas, SOC recopila información de seguridad de AM y otros elementos de la red, verifica el estado del negocio, identifica, analiza y procesa intrusiones externas y proporciona una protección madura y sólida para A-IMS. Además, el SOC también tiene la capacidad de gestionar emergencias y cooperar con investigaciones judiciales, y puede ayudar en la gestión de crisis.
Dado que SOC está relacionado con la seguridad de toda la red, generalmente se deben utilizar equipos redundantes y UPS para garantizar la confiabilidad del hardware, y los permisos operativos del operador deben ser estrictamente limitados y solo los empleados que sean absolutamente necesarios. Se debe permitir iniciar sesión en el SOC y realizar un seguimiento en segundo plano de las operaciones de los operadores que inician sesión en el SOC. Además, el SOC debe ser auditado periódicamente mediante estrictas normas internas de seguridad de la información para garantizar el funcionamiento normal del SOC.
3 Control de admisión de dispositivos
El control de admisión de dispositivos es un comportamiento de toma de decisiones de red para que los dispositivos terminales accedan a la red. Cuando un terminal accede a la red, la red puede determinar si el dispositivo puede conectarse a la red. Si se le permite, la red determina el nivel de servicio que se puede obtener en función de su postura de seguridad.
A-IMS divide los terminales en tres tipos: dispositivos cerrados que sólo admiten voz, terminales avanzados que admiten tanto voz como datos, y ordenadores personales con capacidades EV-DO. Los dos últimos terminales pertenecen a terminales inteligentes (IAT), y el control de admisión de dispositivos A-IMS se utiliza principalmente para el control IAT.
El control de admisión de dispositivos es también el principal punto de mejora de la seguridad de A-IMS. En una red IMS/MMD, el control de admisión de dispositivos se implementa principalmente mediante medidas de control de acceso tales como autenticación y cifrado. A-IMS ha agregado una función de agente de seguridad. Al utilizar el agente de seguridad, puede verificar el estado del dispositivo y determinar el nivel de seguridad al que puede acceder. Si este agente se ejecuta en IAT, se denomina agente de postura. Si se ejecuta en dispositivos de red como AM y BM, se denomina agente de seguridad móvil (MSA).
3.1 Agente de Actitud
El Agente de Actitud se ejecuta en el IAT y es una parte importante del control de admisión del dispositivo. Recopila la información de actitud del dispositivo (incluido si el sistema operativo se está ejecutando). en una versión autorizada, y si se ha parcheado correctamente, etc.), y los resultados se envían a SM a través de IPGW.
Cuando IAT accede inicialmente, SM decidirá la respuesta de política inicial a enviar a IPGW en función del informe de información de postura del dispositivo enviado por PA y la política de seguridad relevante: si es acceso restringido o acceso completo, si es así. es acceso restringido, la política de seguridad relevante se descargará al BM, de modo que el dispositivo solo pueda conectarse al puerto de servicio SIP en el AM específico que maneja llamadas de emergencia a través del BM, y al mismo tiempo transferir el tráfico web a el servidor de actualización, lo que requiere que el usuario descargue el software de actualización.
Adoptar un control de admisión de dispositivos basado en agentes tiene los siguientes beneficios:
Asegurar que todos los dispositivos de los usuarios y las políticas de seguridad de la red sean coherentes y prevenir gusanos, virus, espías y malware por adelantado. , lo que permite a los operadores centrarse más en la prevención por adelantado que en el manejo posterior, lo que mejora efectivamente la seguridad de la red A-IMS.
Proporcionar una medida para verificar y controlar los dispositivos conectados a la red independientemente de sus métodos de acceso específicos, aumentando así las capacidades adaptativas y la escalabilidad de la red.
Bloquear dispositivos finales incompatibles o incontrolables para no afectar la disponibilidad de la red.
Reduzca los gastos operativos asociados con la identificación y reparación de sistemas incompatibles, inmanejables y comprometidos.
Evite que dispositivos terminales fáciles de atacar, incompatibles e incontrolables se conviertan en objetivos de ataques y mejore la disponibilidad de la red.
3.2 Agente de seguridad móvil
MSA está ubicado en elementos de red como AM y BM, y coopera con PA para completar la función de control de admisión del dispositivo. MSA también puede monitorear el estado del dispositivo de acuerdo con los requisitos de SM, ayudar a SM a detectar y eliminar amenazas de "Día Cero" y reducir los costos de mantenimiento del sistema (OPEX) causados por la reparación de daños por ataques, lo cual es muy importante cuando la red tiene múltiples métodos de acceso (como WiFi y acceso de banda ancha). MSA también tiene capacidades de firewall inverso, que analizará el comportamiento durante la detección en lugar de depender únicamente de las firmas de los usuarios, lo cual es muy importante para evitar ataques de tipo "Día Cero".
Además de todas las funciones del agente de postura, MSA también tiene las siguientes funciones:
Prevención de intrusiones en el host
Prevención de software espía
Prevenir ataques de desbordamiento de memoria
Proporcionar capacidades de firewall inverso distribuido
Evitar la intrusión de código móvil malicioso
Garantizar la integridad del sistema operativo
Registro de auditoría
QoS mejorada
4 Políticas de seguridad
La política de seguridad es una política que el SOC permite que el sistema ejecute automáticamente cuando ocurre un incidente de seguridad en la red.
4.1 Nivel del agente de seguridad del dispositivo
En A-IMS, la política de seguridad juega un papel muy importante. SM implementa la gestión de seguridad de la arquitectura de red A-IMS, la prevención de DDoS, el control de acceso, la prevención de intrusiones, la autenticación, el control de admisión de dispositivos, etc. a través de políticas de seguridad. SM utiliza el controlador maestro del agente de seguridad móvil (MSA) integrado. -MC), para controlar el MSA de otros elementos de red en la red.
El MSA en el IAT recopila información del host y luego la envía al MSA-MC. El MSA-MC es responsable de preprocesar la información relevante de acuerdo con las políticas relevantes y luego envía los resultados del procesamiento al hogar. SM (en H-SM), SM realiza una evaluación de la postura y la detección de comportamientos anormales, y determina el nivel de seguridad al que pueden acceder los usuarios.
4.2 Modelo de gestión multinivel de SOC
A través de SOC, el control de políticas de A-IMS realiza un control multinivel. SOC es el centro de operaciones de seguridad nacional, que distribuye políticas de seguridad a los SM locales para lograr una gestión de seguridad unificada de toda la red.
Protección 5DDoS
A-IMS utiliza un algoritmo de autoaprendizaje para prevenir ataques DDoS. Puede aprender patrones de tráfico para adaptarse a condiciones de red específicas, como aprender el comportamiento SIP para determinar el apropiado. umbrales de tráfico esperar. A-IMS puede distinguir el tráfico legítimo, el tráfico sospechoso y el tráfico malicioso. Sólo se permite el paso del tráfico legítimo a través del elemento de red A-IMS.
La función de prevención de ataques DDoS generalmente se ejecuta en modo de fondo imperceptible. Cuando se sospecha que el sistema ha sido atacado, el mecanismo de reenvío se activa y el tráfico se redirige al sistema de protección para su análisis y control, y luego. El tráfico legítimo regresa a la red.
6 Registros e informes de seguridad
Cada elemento de red de A-IMS: AM, BM, IPGW, AP, SDM, etc. admite el registro y generación de informes de eventos de seguridad estándar. Las alarmas de eventos se transmitirán al subsistema de gestión de eventos de seguridad para su almacenamiento, análisis y auditoría continuos. El sistema sirve como punto de recopilación de registros y utiliza transmisión casi en tiempo real para permitir el monitoreo en tiempo real de las operaciones de seguridad. La transmisión de registros A-IMS se basa en los siguientes protocolos: IPFIX, SDEE, SNMPV3, Syslog.