全流量監測守護運營商網路安全

❶ 網路流量監控

區域網監視者0.1
本軟體用於探知在區域網上當前上網的用戶及其機器的網卡號(MAC)、IP地址及計算機名；並具有MAC特徵記錄功能，可監視用戶的上網情況。

LanHelper區域網助手 V1.50
LanHelper(中文名稱「區域網助手」)是Windows平台上強大的區域網管理、掃描、監視工具。LanHelper獨特的強力網路掃描引擎可以掃描到您所需要的信息，使用可擴展和開放的XML管理掃描數據，具有遠程網路喚醒、遠程關機、遠程重啟、遠程執行、發送消息等功能，能夠5。同時不需要服務端軟體，節判鏈省您的時間和金錢，使您的網路管理更加輕松和安全。

海王星區域網客戶機流量監視器 V3.99

海王星是一款優秀的區域網絡流量監視控制軟體。海王星流量監控適合任意架構類型的網路，適合監測任意類型的windows版本的操作系統。在裝有海王星流量監視服務端的機器上可以直觀的查看監視監測區域網內任意一個客戶機的網路流量，能困旅查看監測瞬時下載速度，瞬時上載速度，監測總下載量，監測總上傳量，能自由排序，輕易發現下載上傳最瘋狂的計算機，能查看任意一個計算機的當前屏幕以及應用程序進程和埠佔用情況，看看操作者究竟在做什麼，能發出警告消息到客戶機，能關閉或者重新啟動違規計算機。完美的流量限制與限制流量功能：當客戶機上傳或者下載的流量超過設定後，能自動發出自設的警告消息到客戶端，能自動截斷客戶端連接互聯網，主機音箱能朗讀違規機器編號報警。使用海王星能輕易發現區域網的有問題客戶機，這些計算機有可能因為感染蠕蟲病毒瘋狂的占汪沖凳用網路資源造成整個網路癱瘓。海王星是綠色軟體，無需安裝，解壓縮就可以運行，操作簡單直觀。海王星區域網客戶機流量監視器是網管的強大武...

❷ 360手機安全衛士怎樣開啟流量監控

答胡360安全衛士打開流量監測的具體操作步驟如下：

1、打開360安全衛士，選擇「流早餘量監控」。

4、設置完成後，陸舉滾若後台流量使用超出設置的數值，會有提醒。

❸ 手機怎樣開啟流量監控

若您當前使用的vivo手機，設置流量監控的方法：進入設置--通知與狀態欄，開啟顯示流量信息/流量使用情況開關；
查詢流量使用情況：
1、在任意界面下拉通知欄，在通知欄底端即可查看到手機當天/當月的已用流量；
2、進入i管家--流量管理--流量詳情/應用排行中，能查看各個應用的流量使用排行 。

❹ 手機上監控流量的軟體叫什麼

下載一個360手機安全衛士就可以了。但是需要注意的是，通常安裝了流量監控軟體，會導致運營商的定向流量失效。
定向流量：如訂購了騰訊視頻免流功能包。

❺ 小米手機監控流量怎麼設置

小米手機米柚系統中自帶有流量監控，簡單幾個步驟就可以防止流量超額、扣費，達到全天監控流量使用情況。具體步驟為：
步驟1：打開手機找到安全中心進入網路助手或者在桌面點菜單鍵-全局搜索搜索網路助手。
注意：有的人就疑惑了我的怎麼沒有安全中心?之所以有很多人都找不到安全中心，是因為只有MIUI最新的開發版才有安全中心，目前不支持穩定版本，享有此功能建議您升級到最新開發版。
步驟2：舊版系統：進入網路助手後點擊小米左下角的選項鍵「三」選擇「設置」。
步驟3：首先設置手機套餐，將你手機擁有的流量填寫至「套餐可用流量」中。下面我們還可以設置流量警戒值，當流量達到百分之比後會自動發去流量警戒提示(紅色區域)。最後設置「起初日期」選擇日期後一旦到達該日期後流量會從新計算使用流量(藍色區域)。建議設置為1號，設置完成後點擊「完成」。
步驟4：接下來設置運營商，點擊「校正流量數據」「手機運營商」，然後填選手機卡的所在地、運營商名稱與服務品牌2G/3G(綠色區域)。
步驟5：當以上兩項設置完成後點擊「完成」隨後MIUI系統會自動打開「自動校正」，以校正流量使用情況，達到監控手機流量的實際使用數據。

❻ 中國聯通域名安全防護產品的主要功能模塊包括

中國聯通域名安全防護產品的主要功能模塊包括域名檢測、域名查詢。

「聯通雲盾」是中國聯通2017年推出的安全專業品牌，以「專業、專注、全時服務」梁毀為宗旨，為客戶提供包括抗D先鋒、域名無憂等運營商級網路安全防護能力。

聯通雲盾運營服務團隊為客戶提供運營商級安全運營團隊保障，7*24小時的400電話直達，保證線上線下迅速高效的全流程攻擊事件褲渣伍響應，同時可提供專屬的安全服務經理。

今年疫情期間，上海聯通成功與某大型IDC服務商達成抗D服務協議。上海聯通深度挖掘客戶網路安全需求，為客戶提供了運營商級別的全網防DDOS安全服務。

後又陸續與多家金融大客戶達成協議，包括大型國有銀行、大型保險公司、知名證券公司、知名互聯網公司等，並為多胡或家客戶的全國多省市專線提供統一的安全防護方案，讓客戶實現統一的安全管理。

❼ 流量監控啥意思有啥用咋回事

流量監控指的是對數據流進行的監控，通常包括出數據、入數據的速度、總流量。微信用戶可以在騰訊手機管家4.7上實現流量的精準監控。
流量監控有時也泛指對用戶的數據流量進行監控過濾，將不良信息有效的掌握在監控范圍內，常用在網路安全方面的專業術語。
1.全面透視網路流量，快速發現與定位網路故障
2.保障關鍵應用的穩定運行，確保重要員工順暢地使用網路
3.限制與工作無關的流量，防止對帶寬的濫用
4.管理員工上網行為，提高員工網上辦公的效率
5.依照法規要求記錄上網日誌，避免違法行為
6.保障內部信息安全，減少泄密風險
7.保障伺服器帶寬，保護伺服器安全
8.簡化多專線管理，保障專線的網路質量
9.內置企業級路由器與防火牆，降低安全風險
10.專業負載均衡，提升多線路的使用價值
11.幫助網路優化與規劃，提供決策支持

❽ 新華三安全產品方案全面護航運營商5GC雲網安全

當前，我國已建成了全球規模最大、技術最為領先的5G獨立網路；同時，5G已經融入到工業、能源、醫療、金融、教育等各個行業，為經濟社會數字化轉型，開辟了新路徑、提供了新搏滑扮引擎。在5G產業蓬勃發展的同時，我們也應該清醒地認識到，作為賦能百行百業數字化轉型的關鍵基礎設施，5G控制中樞的核心網需要更加智能、高效、可靠的安全能力。

作為運營商可信賴的合作夥伴，紫光股份旗下新華三讓雀集團全面參與運營商5G網路基礎設施建設，憑借雲、網、安融合的全棧安全技術能力以及強大的交付運維能力，在運營商市場取得全面突破。針對5GC雲網安全，新華三以電信級安全產品及解決方案，全面助力三大運營商5GC網路安全建設。

5G走向雲化，安全挑戰全面升級

5GC即5G核心網，包含眾多的5G核心網網元是5G網路的核心控制中樞及與外網連接的業務數據轉發介面。隨著5G雲化技術的應用，核心網網元採用NFV化部署在雲資源池中。三大運營商採用不同模式進行5GC雲網安全建設：中國移動採用8大區模式建設，中國聯通採用“6大區+2節點（北京、上海）“模式建設，中國電信採用分省建設模式。預計到2025年，運營商5GC資源池的伺服器規模會達到40-50萬台。

5G網路開放性高，不僅需要保障用戶與網路自身安全，還需要為垂直行業應用提供安全能力。隨著5G網路架構的演進，核心網形態從傳統的專用設備向通用型雲化基礎設施演進，網元間的介面也在向服務化架構演進，從而引入了更多的安全挑戰，從而導致系統漏洞需要及時發現並消除、版本升級補丁更加頻繁、網路縱深防禦挑戰難度增大、管理合規要求更高等實際需求。

運營商5GC雲化資源池內網路安全按照分區分域進行安全部署，安全防護工作包括互聯網出口安全、專線出口安全、雲基礎設施安全、雲內業務網路安全、和雲內管理網安全等。按照一個中心三重防護的原則，又可分為安全管理中心、安全區域邊界、安全通信網路和安全計算環境四大領域。5GC雲化資源池面臨著從雲平台及租戶側的安全威脅，在出口邊界，面臨外界惡意入侵攻擊的風險；資源池內部各安全域之間，面臨著業務及租戶的安全隔離問題；為了保障資源池內部安全的通信及計算環境，如何對流量進行有效的安全甄別、對病毒進行針對防範以及對全網的態勢感知和風險預控等任務；除此之外，如何對整網的安全資產、安全服務鏈做統一的納管、運維及編排，安全管理運維也是不可或缺的一環。

新華三為 5GC 雲網安全 保駕護航

面對種種挑戰，依託在網路安全領域的領先優勢，新華三從安全區域邊界、安全網路、安全雲計算環境到安全管理中心，打造了電信級5GC雲網安全方案，全面保障5G網路高性能和高可靠的業務需求。

安全區域邊界： 在5GC資源池出口邊界處部署外層防火牆和抗DDoS設備，對外界安全威脅進行防護；在資源池內部，部署管理防火牆和內層防火牆，對東西向流量進行安全域隔離。

安全網路及計算環境： 在關鍵鏈路上旁路分光部署入侵防禦、全流量威脅探針、沙箱等安全設備，對基灶相關流量按需實施安全監測；在各區域接入交換機旁掛漏洞掃描，對資源池內伺服器系統定期做安全掃描，同時，在終端伺服器上部署終端安全系統，對伺服器進行安全加固。

安全管理中心： 在資源池管理域部署安全管理中心，遠端聯動態勢感知中心及雲安全管理中心，對整網的安全服務進行統一納管運維，實現主動安全。

新華三電信級安全 產品 全面保障運營商 5GC 雲網安全

新華三電信級網路安全產品具備支持5G網路高性能、高可靠業務需求的能力，在三大運營商集采中取得優異的成績，並全面應用於三大運營商5GC網路安全建設。

在中國移動 ，新華三獲得2020年高端防火牆、入侵防禦集采第一名，超過300台高端防火牆、入侵防禦產品應用於中國移動8大區超過30個5GC資源池。 在中國移動網路雲項目中 ：新華三防火牆承擔EPC防火牆、外層防火牆、網管防火牆等多個角色，在5G核心網NFV化部署中發揮了重要作用。諸多項目的落地，進一步展現了新華三的電信級防火牆產品在運營商行業的領先地位。

在中國電信 ，新華三高端防火牆、入侵防禦產品服務於全國近20個省會城市，保護5GC管理、計費、信令流量安全。 在某 省 電信 5GC NAT 防火牆項目中： 新華三M9010高端防火牆部署於電信5G核心網節點，承載近百萬5G SA用戶需求，實現該市兩個重要局點的5G媒體流量的處理。

在中國聯通 ，新華三獲得2020年通信雲防火牆集采第一名，上百台高端防火牆服務於全國近20個省市，承載包括5GC、vEPC、vBRAS等業務在內的通信雲場景。 在聯通某大區通信雲防火牆項目中： 新華三在通信雲出口部署高端防火牆M9000，保證客戶5G業務穩定運行。此外，在該項目中新華三實現了網路、存儲、伺服器、安全等多產品的規模落地，成為聯通5G通信雲建設的主要合作夥伴。

經過在運營商5G核心雲網充分的實踐應用，新華三專門為運營商行業打造的M9000系列電信級多業務安全網關已經在性能和可靠性上的通過考驗，為運營商5GC雲化資源池網路安全保駕護航。新華三5GC雲網安全產品的技術研發水平、運行穩定性、高品質服務能力得到了運營商的充分認可，展望未來，作為運營商雲網安全產品核心供應商的新華三將為運營商的5G網路建設添磚加瓦，實現運營商5G在公眾市場與政企行業市場的快速業務發展，助力“數字中國”與“網路強國”建設的蓬勃發展。

❾ 關於電信網路關鍵信息基礎設施保護的思考

文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天

根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中，電信網路自身是關鍵信息基礎設施，同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務，在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施，做好電信網路關鍵信息基礎設施的安全保護尤為重要。

一、電信網路關鍵信息基礎設施的范圍

依據《關鍵信息基礎設施安全保護條例》第 9條，應由通信行業主管部門結合本行業、本領域實際，制定電信行業關鍵信息基礎設施的認定規則。

不同於其他行業的關鍵信息基礎設施，承載話音、數據、消息的電信網路（以 CT 系統為主）與絕大多數其他行業的關鍵信息基礎設施（以 IT 系統為主）不同，電信網路要復雜得多。電信網路會涉及移動接入網路（2G/3G/4G/5G）、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路，任何一個網路被攻擊，都會對承載在電信網上的話音或數據業務造成影響。

在電信行業關鍵信息基礎設施認定方面，美國的《國家關鍵功能集》可以借鑒。2019 年 4 月，美國國土安全部下屬的國家網路安全和基礎設施安全局（CISA）國家風險管理中心發布了《國家關鍵功能集》，將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式，電信網路屬於連接類。

除了上述電信網路和服務外，支撐網路運營的大量 IT 支撐系統，如業務支撐系統（BSS）、網管支撐系統（OSS），也非常重要，應考慮納入關鍵信息基礎設施范圍。例如，網管系統由於管理著電信網路的網元設備，一旦被入侵，通過網管系統可以控制核心網路，造成網路癱瘓；業務支撐系統（計費）支撐了電信網路運營，保存了用戶數據，一旦被入侵，可能造成用戶敏感信息泄露。

二、電信網路關鍵信息基礎設施的保護目標和方法

電信網路是數字化浪潮的關鍵基礎設施，扮演非常重要的角色，關系國計民生。各國政府高度重視關鍵基礎設施安全保護，紛紛明確關鍵信息基礎設施的保護目標。

2007 年，美國國土安全部（DHS）發布《國土安全國家戰略》，首次指出面對不確定性的挑戰，需要保證國家基礎設施的韌性。2013 年 2 月，奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》，其首要策略是改善關鍵基礎設施的安全和韌性，並要求美國國家標准與技術研究院（NIST）制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》（CSF）提出，關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節，建立網路安全框架，管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求，定義了 IPDRR能力框架模型，並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別（Identify）、安全防禦（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力，是這五個能力的首字母。2018 年 5 月，DHS 發布《網路安全戰略》，將「通過加強政府網路和關鍵基礎設施的安全性和韌性，提高國家網路安全風險管理水平」作為核心目標。

2009 年 3 月，歐盟委員會通過法案，要求保護歐洲網路安全和韌性；2016 年 6 月，歐盟議會發布「歐盟網路和信息系統安全指令」（NISDIRECTIVE），牽引歐盟各國關鍵基礎設施國家戰略設計和立法；歐盟成員國以 NIS DIRECTIVE為基礎，參考歐盟網路安全局（ENISA）的建議開發國家網路安全戰略。2016 年，ENISA 承接 NISDIRECTIVE，面向數字服務提供商（DSP）發布安全技術指南，定義 27 個安全技術目標（SO），該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配，關鍵基礎設施的網路韌性成為重要要求。

借鑒國際實踐，我國電信網路關鍵信息基礎設施安全保護的核心目標應該是：保證網路的可用性，確保網路不癱瘓，在受到網路攻擊時，能發現和阻斷攻擊、快速恢復網路服務，實現網路高韌性；同時提升電信網路安全風險管理水平，確保網路數據和用戶數據安全。

我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定：國家對關鍵信息基礎設施實行重點保護，在網路安全等級保護的基礎上，採取技術保護措施和其他必要措施，應對網路安全事件，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出，要著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度。

參考 IPDRR 能力框架模型，建立電信網路的資產風險識別（I）、安全防護（P）、安全檢測（D）、安全事件響應和處置（R）和在受攻擊後的恢復（R）能力，應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF，開展電信網路安全保護，可按照七個步驟開展。一是確定優先順序和范圍，確定電信網路單元的保護目標和優先順序。二是定位，明確需要納入關基保護的相關系統和資產，識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀，創建當前的安全輪廓。四是評估風險，依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時，需要分析運營環境，判斷是否有網路安全事件發生，並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距，通過分析這些差距，對其進行優先順序排序，然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃，決定應該執行哪些行動以消除差距。

三、電信網路關鍵信息基礎設施的安全風險評估

做好電信網路的安全保護，首先要全面識別電信網路所包含的資產及其面臨的安全風險，根據風險制定相應的風險消減方案和保護方案。

1. 對不同的電信網路應分別進行安全風險評估

不同電信網路的結構、功能、採用的技術差異很大，面臨的安全風險也不一樣。例如，光傳送網與 5G 核心網（5G Core）所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備，轉發用戶面數據流量，設備分散部署，從用戶面很難攻擊到傳送網設備，面臨的安全風險主要來自管理面；而5G 核心網是 5G 網路的神經中樞，在雲化基礎設施上集中部署，由於 5G 網路能力開放，不僅有來自管理面的風險，也有來自互聯網的風險，一旦被滲透攻擊，影響面極大。再如，5G 無線接入網（5GRAN）和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面，從現網運維實踐來看，RAN 被滲透的攻擊的案例極其罕見，風險相對較小。5G Core 的雲化、IT 化、服務化（SBA）架構，傳統的 IT 系統的風險也引入到電信網路；網路能力開放、用戶埠功能（UPF）下沉到邊緣等，導致介面增多，暴露面擴大，因此，5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後，運營商應按照不同的網路單元，全面做好每個網路單元的安全風險評估。

2. 做好電信網路三個平面的安全風險評估

電信網路分為三個平面：控制面、管理面和用戶面，對電信網路的安全風險評估，應從三個平面分別入手，分析可能存在的安全風險。

控制面網元之間的通信依賴信令協議，信令協議也存在安全風險。以七號信令（SS7）為例，全球移動通信系統協會（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽；如果信令網關解析信令有問題，外部攻擊者可以直接中斷關鍵核心網元。例如，5G 的 UPF 下沉到邊緣園區後，由於 UPF 所處的物理環境不可控，若 UPF 被滲透，則存在通過UPF 的 N4 口攻擊核心網的風險。

電信網路的管理面風險在三個平面中的風險是最高的。例如，歐盟將 5G 管理面管理和編排（MANO）風險列為最高等級。全球電信網路安全事件顯示，電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案（4A）、堡壘機、安全運營系統（SOC）、多因素認證等安全防護措施，但是，在通信網安全防護檢查中，經常會發現管理面安全域劃分不合理、管控策略不嚴，安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象，導致管理面的系統容易被滲透。

電信網路的用戶面傳輸用戶通信數據，電信網元一般只轉發用戶面通信內容，不解析、不存儲用戶數據，在做好終端和互聯網介面防護的情況下，安全風險相對可控。用戶面主要存在的安全風險包括：用戶面信息若未加密，在網路傳輸過程中可能被竊聽；海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊（DDoS）；用戶面傳輸的內容可能存在惡意信息，例如惡意軟體、電信詐騙信息等；電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。

3. 做好內外部介面的安全風險評估

在開展電信網路安全風險評估時，應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險，尤其是重點做好外部介面風險評估。以 5G 核心網為例，5G 核心網存在如下外部介面：與 UE 之間的 N1 介面，與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等，還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域，存在不同風險。根據3GPP 協議標準定義，在 5G 非獨立組網（NSA）中，當用戶漫遊到其他網路時，該用戶的鑒權、認證、位置登記，需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通，需要經過公網傳輸。因此，這些漫遊介面均為可訪問的公網介面，而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。

4. 做好虛擬化/容器環境的安全風險評估

移動核心網已經雲化，雲化架構相比傳統架構，引入了通用硬體，將網路功能運行在虛擬環境/容器環境中，為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難，並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化（NFV）環境面臨傳統網路未遇到過的新的安全威脅，包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括：通過虛擬網路竊聽或篡改應用層通信內容，攻擊虛擬存儲，非法訪問應用層的用戶數據，篡改鏡像，虛擬機（VM）之間攻擊、通過網路功能虛擬化基礎設施（NFVI）非法攻擊 VM，導致業務不可用等。

5. 做好暴露面資產的安全風險評估

電信網路規模大，涉及的網元多，但是，哪些是互聯網暴露面資產，應首先做好梳理。例如，5G網路中，5G 基站（gNB）、UPF、安全電子支付協議（SEPP）、應用功能（AF）、網路開放功能（NEF）等網元存在與非可信域設備之間的介面，應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口，因此，需重點做好暴露面資產的風險評估和安全加固。

四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議

參考國際上通行的 IPDRR 方法，運營商應根據場景化安全風險，按照事前、事中、事後三個階段，構建電信網路安全防護能力，實現網路高韌性、數據高安全性。

1. 構建電信網路資產、風險識別能力

建設電信網路資產風險管理系統，統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本，定期開展資產和風險掃描，實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元，例如，MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄（AD）域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵，對電信網路的影響極大，因此，應做好對安全關鍵功能設備資產的識別和並加強技術管控。

2. 建立網路縱深安全防護體系

一是通過劃分網路安全域，實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域；管理面的網路管理安全域（NMS），其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區；對外暴露的網元（如 5G 的 NEF、UPF）等放在半信任區，核心網控制類網元如接入和移動管理功能（AMF）等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器（HSS）、統一數據管理（UDM）等放在信任區進行保護，並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護，包括互聯網邊界、承載網邊界，基於對邊界的安全風險分析，構建不同的防護方案，部署防火牆、入侵防禦系統（IPS）、抗DDoS 攻擊、信令防護、全流量監測（NTA）等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心（VDC）/虛擬私有網路（VPC）隔離，例如通過防火牆（Firewall）可限制大部分非法的網路訪問，IPS 可以基於流量分析發現網路攻擊行為並進行阻斷，VDC 可以實現雲內物理資源級別的隔離，VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內，採用虛擬區域網（VLAN）、微分段、VPC 隔離，實現網元訪問許可權最小化控制，防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單，在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。

3. 構建全面威脅監測能力

在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力，通過部署深度報文檢測（DPI）類設備，基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力，構建操作系統（OS）入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式，構建全面威脅安全態勢感知平台，及時發現各類安全威脅、安全事件和異常行為。

4. 加強電信網路管理面安全風險管控

管理面的風險最高，應重點防護。針對電信網路管理面的風險，應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等，防止越權訪問，防止從管理面入侵電信網路，保護用戶數據安全。

5. 構建智能化、自動化的安全事件響應和恢復能力

在網路級縱深安全防護體系基礎上，建立安全運營管控平台，對邊界防護、域間防護、訪問控制列表（ACL）、微分段、VPC 等安全訪問控制策略實施統一編排，基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析，及時發現入侵行為，並能對攻擊行為自動化響應。

（本文刊登於《中國信息安全》雜志2021年第11期）

❿ 流量監控對網路安全的重要性

很重要。