全流量监测守护运营商网络安全

❶ 网络流量监控

局域网监视者0.1
本软件用于探知在局域网上当前上网的用户及其机器的网卡号(MAC)、IP地址及计算机名；并具有MAC特征记录功能，可监视用户的上网情况。

LanHelper局域网助手 V1.50
LanHelper(中文名称“局域网助手”)是Windows平台上强大的局域网管理、扫描、监视工具。LanHelper独特的强力网络扫描引擎可以扫描到您所需要的信息，使用可扩展和开放的XML管理扫描数据，具有远程网络唤醒、远程关机、远程重启、远程执行、发送消息等功能，能够5。同时不需要服务端软件，节判链省您的时间和金钱，使您的网络管理更加轻松和安全。

海王星局域网客户机流量监视器 V3.99

海王星是一款优秀的局域网络流量监视控制软件。海王星流量监控适合任意架构类型的网络，适合监测任意类型的windows版本的操作系统。在装有海王星流量监视服务端的机器上可以直观的查看监视监测局域网内任意一个客户机的网络流量，能困旅查看监测瞬时下载速度，瞬时上载速度，监测总下载量，监测总上传量，能自由排序，轻易发现下载上传最疯狂的计算机，能查看任意一个计算机的当前屏幕以及应用程序进程和端口占用情况，看看操作者究竟在做什么，能发出警告消息到客户机，能关闭或者重新启动违规计算机。完美的流量限制与限制流量功能：当客户机上传或者下载的流量超过设定后，能自动发出自设的警告消息到客户端，能自动截断客户端连接互联网，主机音箱能朗读违规机器编号报警。使用海王星能轻易发现局域网的有问题客户机，这些计算机有可能因为感染蠕虫病毒疯狂的占汪冲凳用网络资源造成整个网络瘫痪。海王星是绿色软件，无需安装，解压缩就可以运行，操作简单直观。海王星局域网客户机流量监视器是网管的强大武...

❷ 360手机安全卫士怎样开启流量监控

答胡360安全卫士打开流量监测的具体操作步骤如下：

1、打开360安全卫士，选择“流早余量监控”。

4、设置完成后，陆举滚若后台流量使用超出设置的数值，会有提醒。

❸ 手机怎样开启流量监控

若您当前使用的vivo手机，设置流量监控的方法：进入设置--通知与状态栏，开启显示流量信息/流量使用情况开关；
查询流量使用情况：
1、在任意界面下拉通知栏，在通知栏底端即可查看到手机当天/当月的已用流量；
2、进入i管家--流量管理--流量详情/应用排行中，能查看各个应用的流量使用排行 。

❹ 手机上监控流量的软件叫什么

下载一个360手机安全卫士就可以了。但是需要注意的是，通常安装了流量监控软件，会导致运营商的定向流量失效。
定向流量：如订购了腾讯视频免流功能包。

❺ 小米手机监控流量怎么设置

小米手机米柚系统中自带有流量监控，简单几个步骤就可以防止流量超额、扣费，达到全天监控流量使用情况。具体步骤为：
步骤1：打开手机找到安全中心进入网络助手或者在桌面点菜单键-全局搜索搜索网络助手。
注意：有的人就疑惑了我的怎么没有安全中心?之所以有很多人都找不到安全中心，是因为只有MIUI最新的开发版才有安全中心，目前不支持稳定版本，享有此功能建议您升级到最新开发版。
步骤2：旧版系统：进入网络助手后点击小米左下角的选项键“三”选择“设置”。
步骤3：首先设置手机套餐，将你手机拥有的流量填写至“套餐可用流量”中。下面我们还可以设置流量警戒值，当流量达到百分之比后会自动发去流量警戒提示(红色区域)。最后设置“起初日期”选择日期后一旦到达该日期后流量会从新计算使用流量(蓝色区域)。建议设置为1号，设置完成后点击“完成”。
步骤4：接下来设置运营商，点击“校正流量数据”“手机运营商”，然后填选手机卡的所在地、运营商名称与服务品牌2G/3G(绿色区域)。
步骤5：当以上两项设置完成后点击“完成”随后MIUI系统会自动打开“自动校正”，以校正流量使用情况，达到监控手机流量的实际使用数据。

❻ 中国联通域名安全防护产品的主要功能模块包括

中国联通域名安全防护产品的主要功能模块包括域名检测、域名查询。

“联通云盾”是中国联通2017年推出的安全专业品牌，以“专业、专注、全时服务”梁毁为宗旨，为客户提供包括抗D先锋、域名无忧等运营商级网络安全防护能力。

联通云盾运营服务团队为客户提供运营商级安全运营团队保障，7*24小时的400电话直达，保证线上线下迅速高效的全流程攻击事件裤渣伍响应，同时可提供专属的安全服务经理。

今年疫情期间，上海联通成功与某大型IDC服务商达成抗D服务协议。上海联通深度挖掘客户网络安全需求，为客户提供了运营商级别的全网防DDOS安全服务。

后又陆续与多家金融大客户达成协议，包括大型国有银行、大型保险公司、知名证券公司、知名互联网公司等，并为多胡或家客户的全国多省市专线提供统一的安全防护方案，让客户实现统一的安全管理。

❼ 流量监控啥意思有啥用咋回事

流量监控指的是对数据流进行的监控，通常包括出数据、入数据的速度、总流量。微信用户可以在腾讯手机管家4.7上实现流量的精准监控。
流量监控有时也泛指对用户的数据流量进行监控过滤，将不良信息有效的掌握在监控范围内，常用在网络安全方面的专业术语。
1.全面透视网络流量，快速发现与定位网络故障
2.保障关键应用的稳定运行，确保重要员工顺畅地使用网络
3.限制与工作无关的流量，防止对带宽的滥用
4.管理员工上网行为，提高员工网上办公的效率
5.依照法规要求记录上网日志，避免违法行为
6.保障内部信息安全，减少泄密风险
7.保障服务器带宽，保护服务器安全
8.简化多专线管理，保障专线的网络质量
9.内置企业级路由器与防火墙，降低安全风险
10.专业负载均衡，提升多线路的使用价值
11.帮助网络优化与规划，提供决策支持

❽ 新华三安全产品方案全面护航运营商5GC云网安全

当前，我国已建成了全球规模最大、技术最为领先的5G独立网络；同时，5G已经融入到工业、能源、医疗、金融、教育等各个行业，为经济社会数字化转型，开辟了新路径、提供了新搏滑扮引擎。在5G产业蓬勃发展的同时，我们也应该清醒地认识到，作为赋能百行百业数字化转型的关键基础设施，5G控制中枢的核心网需要更加智能、高效、可靠的安全能力。

作为运营商可信赖的合作伙伴，紫光股份旗下新华三让雀集团全面参与运营商5G网络基础设施建设，凭借云、网、安融合的全栈安全技术能力以及强大的交付运维能力，在运营商市场取得全面突破。针对5GC云网安全，新华三以电信级安全产品及解决方案，全面助力三大运营商5GC网络安全建设。

5G走向云化，安全挑战全面升级

5GC即5G核心网，包含众多的5G核心网网元是5G网络的核心控制中枢及与外网连接的业务数据转发接口。随着5G云化技术的应用，核心网网元采用NFV化部署在云资源池中。三大运营商采用不同模式进行5GC云网安全建设：中国移动采用8大区模式建设，中国联通采用“6大区+2节点（北京、上海）“模式建设，中国电信采用分省建设模式。预计到2025年，运营商5GC资源池的服务器规模会达到40-50万台。

5G网络开放性高，不仅需要保障用户与网络自身安全，还需要为垂直行业应用提供安全能力。随着5G网络架构的演进，核心网形态从传统的专用设备向通用型云化基础设施演进，网元间的接口也在向服务化架构演进，从而引入了更多的安全挑战，从而导致系统漏洞需要及时发现并消除、版本升级补丁更加频繁、网络纵深防御挑战难度增大、管理合规要求更高等实际需求。

运营商5GC云化资源池内网络安全按照分区分域进行安全部署，安全防护工作包括互联网出口安全、专线出口安全、云基础设施安全、云内业务网络安全、和云内管理网安全等。按照一个中心三重防护的原则，又可分为安全管理中心、安全区域边界、安全通信网络和安全计算环境四大领域。5GC云化资源池面临着从云平台及租户侧的安全威胁，在出口边界，面临外界恶意入侵攻击的风险；资源池内部各安全域之间，面临着业务及租户的安全隔离问题；为了保障资源池内部安全的通信及计算环境，如何对流量进行有效的安全甄别、对病毒进行针对防范以及对全网的态势感知和风险预控等任务；除此之外，如何对整网的安全资产、安全服务链做统一的纳管、运维及编排，安全管理运维也是不可或缺的一环。

新华三为 5GC 云网安全 保驾护航

面对种种挑战，依托在网络安全领域的领先优势，新华三从安全区域边界、安全网络、安全云计算环境到安全管理中心，打造了电信级5GC云网安全方案，全面保障5G网络高性能和高可靠的业务需求。

安全区域边界： 在5GC资源池出口边界处部署外层防火墙和抗DDoS设备，对外界安全威胁进行防护；在资源池内部，部署管理防火墙和内层防火墙，对东西向流量进行安全域隔离。

安全网络及计算环境： 在关键链路上旁路分光部署入侵防御、全流量威胁探针、沙箱等安全设备，对基灶相关流量按需实施安全监测；在各区域接入交换机旁挂漏洞扫描，对资源池内服务器系统定期做安全扫描，同时，在终端服务器上部署终端安全系统，对服务器进行安全加固。

安全管理中心： 在资源池管理域部署安全管理中心，远端联动态势感知中心及云安全管理中心，对整网的安全服务进行统一纳管运维，实现主动安全。

新华三电信级安全 产品 全面保障运营商 5GC 云网安全

新华三电信级网络安全产品具备支持5G网络高性能、高可靠业务需求的能力，在三大运营商集采中取得优异的成绩，并全面应用于三大运营商5GC网络安全建设。

在中国移动 ，新华三获得2020年高端防火墙、入侵防御集采第一名，超过300台高端防火墙、入侵防御产品应用于中国移动8大区超过30个5GC资源池。 在中国移动网络云项目中 ：新华三防火墙承担EPC防火墙、外层防火墙、网管防火墙等多个角色，在5G核心网NFV化部署中发挥了重要作用。诸多项目的落地，进一步展现了新华三的电信级防火墙产品在运营商行业的领先地位。

在中国电信 ，新华三高端防火墙、入侵防御产品服务于全国近20个省会城市，保护5GC管理、计费、信令流量安全。 在某 省 电信 5GC NAT 防火墙项目中： 新华三M9010高端防火墙部署于电信5G核心网节点，承载近百万5G SA用户需求，实现该市两个重要局点的5G媒体流量的处理。

在中国联通 ，新华三获得2020年通信云防火墙集采第一名，上百台高端防火墙服务于全国近20个省市，承载包括5GC、vEPC、vBRAS等业务在内的通信云场景。 在联通某大区通信云防火墙项目中： 新华三在通信云出口部署高端防火墙M9000，保证客户5G业务稳定运行。此外，在该项目中新华三实现了网络、存储、服务器、安全等多产品的规模落地，成为联通5G通信云建设的主要合作伙伴。

经过在运营商5G核心云网充分的实践应用，新华三专门为运营商行业打造的M9000系列电信级多业务安全网关已经在性能和可靠性上的通过考验，为运营商5GC云化资源池网络安全保驾护航。新华三5GC云网安全产品的技术研发水平、运行稳定性、高品质服务能力得到了运营商的充分认可，展望未来，作为运营商云网安全产品核心供应商的新华三将为运营商的5G网络建设添砖加瓦，实现运营商5G在公众市场与政企行业市场的快速业务发展，助力“数字中国”与“网络强国”建设的蓬勃发展。

❾ 关于电信网络关键信息基础设施保护的思考

文 华为技术有限公司中国区网络安全与用户隐私保护部 冯运波 李加赞 姚庆天

根据我国《网络安全法》及《关键信息基础设施安全保护条例》，关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统”。其中，电信网络自身是关键信息基础设施，同时又为其他行业的关键信息基础设施提供网络通信和信息服务，在国家经济、科教、文化以及 社会 管理等方面起到基础性的支撑作用。电信网络是关键信息基础设施的基础设施，做好电信网络关键信息基础设施的安全保护尤为重要。

一、电信网络关键信息基础设施的范围

依据《关键信息基础设施安全保护条例》第 9条，应由通信行业主管部门结合本行业、本领域实际，制定电信行业关键信息基础设施的认定规则。

不同于其他行业的关键信息基础设施，承载话音、数据、消息的电信网络（以 CT 系统为主）与绝大多数其他行业的关键信息基础设施（以 IT 系统为主）不同，电信网络要复杂得多。电信网络会涉及移动接入网络（2G/3G/4G/5G）、固定接入网、传送网、IP 网、移动核心网、IP 多媒体子系统核心网、网管支撑网、业务支撑网等多个通信网络，任何一个网络被攻击，都会对承载在电信网上的话音或数据业务造成影响。

在电信行业关键信息基础设施认定方面，美国的《国家关键功能集》可以借鉴。2019 年 4 月，美国国土安全部下属的国家网络安全和基础设施安全局（CISA）国家风险管理中心发布了《国家关键功能集》，将影响国家关键功能划分为供应、分配、管理和连接四个领域。按此分类方式，电信网络属于连接类。

除了上述电信网络和服务外，支撑网络运营的大量 IT 支撑系统，如业务支撑系统（BSS）、网管支撑系统（OSS），也非常重要，应考虑纳入关键信息基础设施范围。例如，网管系统由于管理着电信网络的网元设备，一旦被入侵，通过网管系统可以控制核心网络，造成网络瘫痪；业务支撑系统（计费）支撑了电信网络运营，保存了用户数据，一旦被入侵，可能造成用户敏感信息泄露。

二、电信网络关键信息基础设施的保护目标和方法

电信网络是数字化浪潮的关键基础设施，扮演非常重要的角色，关系国计民生。各国政府高度重视关键基础设施安全保护，纷纷明确关键信息基础设施的保护目标。

2007 年，美国国土安全部（DHS）发布《国土安全国家战略》，首次指出面对不确定性的挑战，需要保证国家基础设施的韧性。2013 年 2 月，奥巴马签发了《改进关键基础设施网络安全行政指令》，其首要策略是改善关键基础设施的安全和韧性，并要求美国国家标准与技术研究院（NIST）制定网络安全框架。NIST 于 2018 年 4 月发布的《改进关键基础设施网络安全框架》（CSF）提出，关键基础设施保护要围绕识别、防护、检测、响应、恢复环节，建立网络安全框架，管理网络安全风险。NIST CSF围绕关键基础设施的网络韧性要求，定义了 IPDRR能力框架模型，并引用了 SP800-53 和 ISO27001 等标准。IPDRR能力框架模型包括风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）五大能力，是这五个能力的首字母。2018 年 5 月，DHS 发布《网络安全战略》，将“通过加强政府网络和关键基础设施的安全性和韧性，提高国家网络安全风险管理水平”作为核心目标。

2009 年 3 月，欧盟委员会通过法案，要求保护欧洲网络安全和韧性；2016 年 6 月，欧盟议会发布“欧盟网络和信息系统安全指令”（NISDIRECTIVE），牵引欧盟各国关键基础设施国家战略设计和立法；欧盟成员国以 NIS DIRECTIVE为基础，参考欧盟网络安全局（ENISA）的建议开发国家网络安全战略。2016 年，ENISA 承接 NISDIRECTIVE，面向数字服务提供商（DSP）发布安全技术指南，定义 27 个安全技术目标（SO），该SO 系列条款和 ISO 27001/NIST CSF之间互相匹配，关键基础设施的网络韧性成为重要要求。

借鉴国际实践，我国电信网络关键信息基础设施安全保护的核心目标应该是：保证网络的可用性，确保网络不瘫痪，在受到网络攻击时，能发现和阻断攻击、快速恢复网络服务，实现网络高韧性；同时提升电信网络安全风险管理水平，确保网络数据和用户数据安全。

我国《关键信息基础设施安全保护条例》第五条和第六条规定：国家对关键信息基础设施实行重点保护，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。我国《国家网络空间安全战略》也提出，要着眼识别、防护、检测、预警、响应、处置等环节，建立实施关键信息基础设施保护制度。

参考 IPDRR 能力框架模型，建立电信网络的资产风险识别（I）、安全防护（P）、安全检测（D）、安全事件响应和处置（R）和在受攻击后的恢复（R）能力，应成为实施电信网络关键信息基础设施安全保护的方法论。参考 NIST 发布的 CSF，开展电信网络安全保护，可按照七个步骤开展。一是确定优先级和范围，确定电信网络单元的保护目标和优先级。二是定位，明确需要纳入关基保护的相关系统和资产，识别这些系统和资产面临的威胁及存在的漏洞、风险。三是根据安全现状，创建当前的安全轮廓。四是评估风险，依据整体风险管理流程或之前的风险管理活动进行风险评估。评估时，需要分析运营环境，判断是否有网络安全事件发生，并评估事件对组织的影响。五是为未来期望的安全结果创建目标安全轮廓。六是确定当期风险管理结果与期望目标之间的差距，通过分析这些差距，对其进行优先级排序，然后制定一份优先级执行行动计划以消除这些差距。七是执行行动计划，决定应该执行哪些行动以消除差距。

三、电信网络关键信息基础设施的安全风险评估

做好电信网络的安全保护，首先要全面识别电信网络所包含的资产及其面临的安全风险，根据风险制定相应的风险消减方案和保护方案。

1. 对不同的电信网络应分别进行安全风险评估

不同电信网络的结构、功能、采用的技术差异很大，面临的安全风险也不一样。例如，光传送网与 5G 核心网（5G Core）所面临的安全风险有显着差异。光传送网设备是数据链路层设备，转发用户面数据流量，设备分散部署，从用户面很难攻击到传送网设备，面临的安全风险主要来自管理面；而5G 核心网是 5G 网络的神经中枢，在云化基础设施上集中部署，由于 5G 网络能力开放，不仅有来自管理面的风险，也有来自互联网的风险，一旦被渗透攻击，影响面极大。再如，5G 无线接入网（5GRAN）和 5G Core 所面临的安全风险也存在显着差异。5G RAN 面临的风险主要来自物理接口攻击、无线空口干扰、伪基站及管理面，从现网运维实践来看，RAN 被渗透的攻击的案例极其罕见，风险相对较小。5G Core 的云化、IT 化、服务化（SBA）架构，传统的 IT 系统的风险也引入到电信网络；网络能力开放、用户端口功能（UPF）下沉到边缘等，导致接口增多，暴露面扩大，因此，5G Core 所面临的安全风险客观上高于 5G RAN。在电信网络的范围确定后，运营商应按照不同的网络单元，全面做好每个网络单元的安全风险评估。

2. 做好电信网络三个平面的安全风险评估

电信网络分为三个平面：控制面、管理面和用户面，对电信网络的安全风险评估，应从三个平面分别入手，分析可能存在的安全风险。

控制面网元之间的通信依赖信令协议，信令协议也存在安全风险。以七号信令（SS7）为例，全球移动通信系统协会（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能导致任意用户非法位置查询、短信窃取、通话窃听；如果信令网关解析信令有问题，外部攻击者可以直接中断关键核心网元。例如，5G 的 UPF 下沉到边缘园区后，由于 UPF 所处的物理环境不可控，若 UPF 被渗透，则存在通过UPF 的 N4 口攻击核心网的风险。

电信网络的管理面风险在三个平面中的风险是最高的。例如，欧盟将 5G 管理面管理和编排（MANO）风险列为最高等级。全球电信网络安全事件显示，电信网络被攻击的实际案例主要是通过攻击管理面实现的。虽然运营商在管理面部署了统一安全管理平台解决方案（4A）、堡垒机、安全运营系统（SOC）、多因素认证等安全防护措施，但是，在通信网安全防护检查中，经常会发现管理面安全域划分不合理、管控策略不严，安全防护措施不到位、远程接入 VPN 设备及 4A 系统存在漏洞等现象，导致管理面的系统容易被渗透。

电信网络的用户面传输用户通信数据，电信网元一般只转发用户面通信内容，不解析、不存储用户数据，在做好终端和互联网接口防护的情况下，安全风险相对可控。用户面主要存在的安全风险包括：用户面信息若未加密，在网络传输过程中可能被窃听；海量用户终端接入可能导致用户面流量分布式拒绝服务攻击（DDoS）；用户面传输的内容可能存在恶意信息，例如恶意软件、电信诈骗信息等；电信网络设备用户面接口可能遭受来自互联网的攻击等。

3. 做好内外部接口的安全风险评估

在开展电信网络安全风险评估时，应从端到端的视角分析网络存在的外部接口和网元之间内部接口的风险，尤其是重点做好外部接口风险评估。以 5G 核心网为例，5G 核心网存在如下外部接口：与 UE 之间的 N1 接口，与基站之间的 N2 接口、与UPF 之间的 N4 接口、与互联网之间的 N6 接口等，还有漫游接口、能力开放接口、管理面接口等。每个接口连接不同的安全域，存在不同风险。根据3GPP 协议标准定义，在 5G 非独立组网（NSA）中，当用户漫游到其他网络时，该用户的鉴权、认证、位置登记，需要在漫游网络与归属网络之间传递。漫游边界接口用于运营商之间互联互通，需要经过公网传输。因此，这些漫游接口均为可访问的公网接口，而这些接口所使用的协议没有定义认证、加密、完整性保护机制。

4. 做好虚拟化/容器环境的安全风险评估

移动核心网已经云化，云化架构相比传统架构，引入了通用硬件，将网络功能运行在虚拟环境/容器环境中，为运营商带来低成本的网络和业务的快速部署。虚拟化使近端物理接触的攻击变得更加困难，并简化了攻击下的灾难隔离和灾难恢复。网络功能虚拟化（NFV）环境面临传统网络未遇到过的新的安全威胁，包括物理资源共享打破物理边界、虚拟化层大量采用开源和第三方软件引入大量开源漏洞和风险、分层多厂商集成导致安全定责与安全策略协同更加困难、传统安全静态配置策略无自动调整能力导致无法应对迁移扩容等场景。云化环境中网元可能面临的典型安全风险包括：通过虚拟网络窃听或篡改应用层通信内容，攻击虚拟存储，非法访问应用层的用户数据，篡改镜像，虚拟机（VM）之间攻击、通过网络功能虚拟化基础设施（NFVI）非法攻击 VM，导致业务不可用等。

5. 做好暴露面资产的安全风险评估

电信网络规模大，涉及的网元多，但是，哪些是互联网暴露面资产，应首先做好梳理。例如，5G网络中，5G 基站（gNB）、UPF、安全电子支付协议（SEPP）、应用功能（AF）、网络开放功能（NEF）等网元存在与非可信域设备之间的接口，应被视为暴露面资产。暴露面设备容易成为入侵网络的突破口，因此，需重点做好暴露面资产的风险评估和安全加固。

四、对运营商加强电信网络关键信息基础设施安全保护的建议

参考国际上通行的 IPDRR 方法，运营商应根据场景化安全风险，按照事前、事中、事后三个阶段，构建电信网络安全防护能力，实现网络高韧性、数据高安全性。

1. 构建电信网络资产、风险识别能力

建设电信网络资产风险管理系统，统一识别和管理电信网络所有的硬件、平台软件、虚拟 VNF网元、安全关键设备及软件版本，定期开展资产和风险扫描，实现资产和风险可视化。安全关键功能设备是实施网络监管和控制的关键网元，例如，MANO、虚拟化编排器、运维管理接入堡垒机、位于安全域边界的防火墙、活动目录（AD）域控服务器、运维 VPN 接入网关、审计和监控系统等。安全关键功能设备一旦被非法入侵，对电信网络的影响极大，因此，应做好对安全关键功能设备资产的识别和并加强技术管控。

2. 建立网络纵深安全防护体系

一是通过划分网络安全域，实现电信网络分层分域的纵深安全防护。可以将电信网络用户面、控制面的系统划分为非信任区、半信任区、信任区三大类安全区域；管理面的网络管理安全域（NMS），其安全信任等级是整个网络中最高的。互联网第三方应用属于非信任区；对外暴露的网元（如 5G 的 NEF、UPF）等放在半信任区，核心网控制类网元如接入和移动管理功能（AMF）等和存放用户认证鉴权网络数据的网元如归属签约用户服务器（HSS）、统一数据管理（UDM）等放在信任区进行保护，并对用户认证鉴权网络数据进行加密等特别的防护。二是加强电信网络对外边界安全防护，包括互联网边界、承载网边界，基于对边界的安全风险分析，构建不同的防护方案，部署防火墙、入侵防御系统（IPS）、抗DDoS 攻击、信令防护、全流量监测（NTA）等安全防护设备。三是采用防火墙、虚拟防火墙、IPS、虚拟数据中心（VDC）/虚拟私有网络（VPC）隔离，例如通过防火墙（Firewall）可限制大部分非法的网络访问，IPS 可以基于流量分析发现网络攻击行为并进行阻断，VDC 可以实现云内物理资源级别的隔离，VPC 可以实现虚拟化层级别的隔离。四是在同一个安全域内，采用虚拟局域网（VLAN）、微分段、VPC 隔离，实现网元访问权限最小化控制，防止同一安全域内的横向移动攻击。五是基于网元间通信矩阵白名单，在电信网络安全域边界、安全域内实现精细化的异常流量监控、访问控制等。

3. 构建全面威胁监测能力

在电信网络外部边界、安全域边界、安全域内部署网络层威胁感知能力，通过部署深度报文检测（DPI）类设备，基于网络流量分析发现网络攻击行为。基于设备商的网元内生安全检测能力，构建操作系统（OS）入侵、虚拟化逃逸、网元业务面异常检测、网元运维面异常检测等安全风险检测能力。基于流量监测、网元内生安全组件监测、采集电信网元日志分析等多种方式，构建全面威胁安全态势感知平台，及时发现各类安全威胁、安全事件和异常行为。

4. 加强电信网络管理面安全风险管控

管理面的风险最高，应重点防护。针对电信网络管理面的风险，应做好管理面网络隔离、运维终端的安全管控、管理员登录设备的多因素认证和权限控制、运维操作的安全审计等，防止越权访问，防止从管理面入侵电信网络，保护用户数据安全。

5. 构建智能化、自动化的安全事件响应和恢复能力

在网络级纵深安全防护体系基础上，建立安全运营管控平台，对边界防护、域间防护、访问控制列表（ACL）、微分段、VPC 等安全访问控制策略实施统一编排，基于流量、网元日志及网元内生组件上报的安全事件开展大数据分析，及时发现入侵行为，并能对攻击行为自动化响应。

（本文刊登于《中国信息安全》杂志2021年第11期）

❿ 流量监控对网络安全的重要性

很重要。