源自:中国电信业
全业务运营模式下,如何通过有效整合资源,提供高质量、多样化的服务,以保持和拓展客户群成为各大电信运营商共同的关注点。在核心网络层面,“融合化”、“宽带化”成为全业务时代背景下最主要的特点。随着全业务经营进入第二年,全面竞争时代已经到来,电信运营商提供的业务种类和规模正快速增加。与此同时,企业面对的网络安全环境却日趋严峻,对运营商的网络安全管理工作提出了更高的要求。为此,本期《中国电信业》杂志特别推出“新电信沙龙”栏目,邀请四位专家就“全业务时代的核心网络安全”这一话题展开全面而深入的探讨。
嘉宾:
黄元飞 工信部网络与安全检测实验室副主任
金华敏 中国电信广州研究院数据通信研究部副部长
郭 亮 中国电信集团系统集成有限责任公司安全服务部副经理
李 刚 赛门铁克软件(北京)有限公司技术支持部总监
《中国电信业》:从运营商的角度和安全设备厂商的角度来看,全业务时代背景下,如何防护网络安全?
黄元飞:核心网安全确实受到前所未有的挑战。工信部在近两年的安全检查中都发现,通过互联网,利用核心网边缘设备的漏洞,可以渗透进入核心网,控制相关的设备和系统。
因此,我个人建议:一方面运营商要强化“三同步原则”,在网络或系统规划建设阶段就考虑其安全性,考虑新建网络或系统对核心网的安全影响;另一方面,核心网除做好边界防护外,内部也需要分级分区防护,核心网应根据各网络系统重要性,区分不同安全域,安全域之间采取必要的防护措施,只有这样才能避免现在“只要突破边界防护,内部一马平川”的情形。
金华敏:前面已经提及,IP网络控制平面、管理平面和业务平面的融合设计是导致网络安全问题的主要原因之一。因此在电信网络IP化之后,电信运营商在核心网络安全工作的重点就是做好网络中控制、业务、管理三个平面的逻辑隔离和安全保护,三个平面之间的逻辑隔离可以通过不同的地址空间、路由控制等方式来实现,也可以通过在平面之间设置相应的访问控制来实现,以避免处于业务平面的用户流量到达作为互联网核心的控制和管理平面,从而给网络的安全带来危害。在做好三个平面之间的逻辑隔离之后,应通过各平面的安全技术实施,保证各平面的安全。在控制平面,应加强路由协议、认证计费等信令通信安全保护,包括网元之间的认证、信令完整性、机密性的保护等;加强信令计算资源的保护能力,包括网络基础设施、电信支撑系统等设备的CPU、内存等计算资源的安全保护,以保证核心资源系统的可用性。在业务平面,实现非法用户流量的过滤,包括虚假源地址流量过滤、特定端口蠕虫病毒流量过滤等,防止用户攻击流量进入网络;加强对全网业务流量的安全实时监视与控制,包括DDOS等异常流量的监控和过滤处理等。在管理平面,实现对网络设备、主机和应用系统的安全加固;对设备管理进行分级授权,对设备配置的更改行为进行恰当的授权,并对配置更改进行详细日志;对本机登录和远程管理加强用户管理、数据传输安全和访问控制。
在以上工作的基础上,为进一步加强核心网网络安全,电信运营商下一步可推动核心网络向可信网络的过渡,实现用户行为、网络状态、网络资源的可管控性,数据的可用性、完整性和保密性以及网络的健壮性。
在网络基础设施安全保障方面,可重点开展全业务运营环境下基础设施安全可信建设,同时通过终端准入控制、4A平台等建设加强对业务及支撑系统的用户管控。
在网络资源状态可控方面,根据“集中管理、集中监控、集中维护”的原则,不断加强面向业务、面向客户的网管系统建设;整合现有分散业务平台,建设综合业务管控平台,加强对业务的管控能力;统一规划建设SOC平台,并逐步完善和提升SOC平台的安全管控能力;加强全网异常流量监控体系以及僵尸网络监控体系建设,减少异常流量对互联网的影响,积极进行端到端QOS技术研究和试验,实现全网QOS策略控制以及QOS动态调整等。
在用户可信保障方面,建立统一认证平台,提供统一认证业务。加强全网用户可溯源技术的研发和部署,实现对互联网用户的可信管理。提升对僵尸主机等不可信用户行的过滤和控制能力,从源头上遏制不可信用户行为对其他用户以及互联网的安全威胁。
李刚:全业务运营本身就是一个庞大、复杂的问题,也是对所有运营商的挑战,其中安全问题更是如此。在固网、移动网的融合以及网络IP化的进程中,更加凸显了融合双方在安全建设程度、安全运维管理能力、安全技术等方面的差异,特别是安全能力上的差距。如何快速缩小差距,在较短时间内形成统一的安全体系,是提升全业务运营模式下安全整体保障能力的一个重要内容。此外,利用新的管理与技术措施解决新的安全问题是另一个重要的工作内容。同时,面对庞大、复杂的安全工作,如何简化工作、降低安全运维成本、提升安全运维工作效率将是运营商需要面对的另一个重要挑战。
赛门铁克认为安全能力的提升绝不是一朝一夕的事,但已有的安全建设、管理经验应当被很好地利用起来,快速地迁移和运用到传统非IP化的网络,这些网络的安全建设基本还处在没有或者非常初级的阶段,因此需弥补其在安全上的短板,减少因习惯性疏忽而带来的安全风险。在新措施的使用和新技术的研究过程中,“建设与运维同步,管理与技术同步”的思路,可以吸取以往建设目标与运维效果脱节、管理要求与技术落实脱节的经验教训,使安全工作更加高效。
赛门铁克在包括手机、智能终端在内的各类端点安全、信息防泄漏、通过合规。
原文链接:
http://news.xinhuanet.com/eworld/2010-08/03/c_12403860_3.htm |
