全業(yè)務(wù)時(shí)代的核心網(wǎng)絡(luò)安全

　　全業(yè)務(wù)運(yùn)營(yíng)模式下，如何通過(guò)有效整合資源，提供高質(zhì)量、多樣化的服務(wù)，以保持和拓展客戶群成為各大電信運(yùn)營(yíng)商共同的關(guān)注點(diǎn)。在核心網(wǎng)絡(luò)層面，“融合化”、“寬帶化”成為全業(yè)務(wù)時(shí)代背景下最主要的特點(diǎn)。隨著全業(yè)務(wù)經(jīng)營(yíng)進(jìn)入第二年，全面競(jìng)爭(zhēng)時(shí)代已經(jīng)到來(lái)，電信運(yùn)營(yíng)商提供的業(yè)務(wù)種類和規(guī)模正快速增加。與此同時(shí)，企業(yè)面對(duì)的網(wǎng)絡(luò)安全環(huán)境卻日趨嚴(yán)峻，對(duì)運(yùn)營(yíng)商的網(wǎng)絡(luò)安全管理工作提出了更高的要求。為此，本期《中國(guó)電信業(yè)》雜志特別推出“新電信沙龍”欄目，邀請(qǐng)四位專家就“全業(yè)務(wù)時(shí)代的核心網(wǎng)絡(luò)安全”這一話題展開(kāi)全面而深入的探討。

　　嘉賓：黃元飛 工信部網(wǎng)絡(luò)與安全檢測(cè)實(shí)驗(yàn)室副主任

　　金華敏 中國(guó)電信廣州研究院數(shù)據(jù)通信研究部副部長(zhǎng)

　　郭 亮 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司安全服務(wù)部副經(jīng)理

　　李 剛 賽門(mén)鐵克軟件(北京)有限公司技術(shù)支持部總監(jiān)

　　記者 陳鵬 汪建/文

　　全業(yè)務(wù)下的核心網(wǎng)絡(luò)正在變化

　　《中國(guó)電信業(yè)》：全業(yè)務(wù)運(yùn)營(yíng)時(shí)代的業(yè)務(wù)需求有何特征？這將如何影響核心網(wǎng)絡(luò)的發(fā)展趨勢(shì)？

　　金華敏：網(wǎng)絡(luò)架構(gòu)的變化和遷移源于人們對(duì)生活品質(zhì)的不斷追求，隨著以Web2.0、Mobile2.0以及物聯(lián)網(wǎng)等技術(shù)為特征的網(wǎng)絡(luò)應(yīng)用的興起和發(fā)展，更大的帶寬、更好的質(zhì)量、更豐富的業(yè)務(wù)和更好的用戶體驗(yàn)，成為全業(yè)務(wù)運(yùn)營(yíng)時(shí)代業(yè)務(wù)需求的鮮明特征。融合、智能和綠色成為全業(yè)務(wù)運(yùn)營(yíng)時(shí)代網(wǎng)絡(luò)發(fā)展的主題。網(wǎng)絡(luò)正在向融合化、寬帶化、智能化和扁平化方向發(fā)展。

　　業(yè)務(wù)融合推動(dòng)網(wǎng)絡(luò)融合，融合的網(wǎng)絡(luò)可以更好地為用戶提供全業(yè)務(wù)體驗(yàn)。國(guó)內(nèi)外運(yùn)營(yíng)商正在利用IMS等技術(shù)由多網(wǎng)并存向IP綜合承載方向發(fā)展，IP城域網(wǎng)和骨干網(wǎng)也由以數(shù)據(jù)業(yè)務(wù)承載為主向多業(yè)務(wù)綜合承載發(fā)展。隨著移動(dòng)業(yè)務(wù)的開(kāi)展，IP城域網(wǎng)不僅需要提供“三重播放”業(yè)務(wù)能力，還需要提供“四重播放”能力。同時(shí)，為實(shí)現(xiàn)流量高效承載，利用ASON等技術(shù)實(shí)現(xiàn)IP-傳輸融合成為IP網(wǎng)絡(luò)發(fā)展的一個(gè)重要方向。

　　網(wǎng)絡(luò)寬帶化是提升用戶全業(yè)務(wù)體驗(yàn)的必要條件。LTE和WiMax等技術(shù)推動(dòng)著移動(dòng)寬帶化進(jìn)程，以xPON為代表的光進(jìn)銅退等舉措則為高速寬帶接入提供了可能。為了提供高速業(yè)務(wù)通道，高速鏈路(10G、40G甚至100G)和集群設(shè)備(整機(jī)轉(zhuǎn)發(fā)能力可高達(dá)18Tbps)在IP城域網(wǎng)和骨干網(wǎng)逐步得到應(yīng)用。為突破設(shè)備制造方面的“電子瓶頸”，網(wǎng)絡(luò)全光化趨勢(shì)也越發(fā)明顯。

　　“以用戶為中心”是運(yùn)營(yíng)商全業(yè)務(wù)運(yùn)營(yíng)的核心理念。提升IP網(wǎng)絡(luò)智能水平，實(shí)現(xiàn)網(wǎng)絡(luò)資源有效整合與動(dòng)態(tài)調(diào)度，具備對(duì)用戶和業(yè)務(wù)的快速響應(yīng)能力，是IP網(wǎng)絡(luò)優(yōu)化整合的重點(diǎn)之一。云計(jì)算的IaaS、PaaS和SaaS既是三種業(yè)務(wù)模式，也是三種技術(shù)，IaaS技術(shù)可實(shí)現(xiàn)IP城域網(wǎng)、骨干網(wǎng)和IDC網(wǎng)絡(luò)的資源優(yōu)化整合；PaaS和SaaS則有助于提高用戶和業(yè)務(wù)的快速響應(yīng)能力；物聯(lián)網(wǎng)技術(shù)則可將傳感技術(shù)、有線/無(wú)線接入技術(shù)、IP城域網(wǎng)、IP骨干網(wǎng)以及平臺(tái)能力有機(jī)結(jié)合，提升了網(wǎng)絡(luò)智能水平，并拓展了業(yè)務(wù)空間。

　　P2P理念逐漸深入人心，對(duì)業(yè)務(wù)提供模式和網(wǎng)絡(luò)結(jié)構(gòu)都產(chǎn)生了深遠(yuǎn)影響。據(jù)不完全統(tǒng)計(jì)，由P2P技術(shù)催生的網(wǎng)絡(luò)應(yīng)用在300種以上。目前，P2P平均流量約占骨干網(wǎng)帶寬的60%以上，并且仍在不斷增長(zhǎng)。為適應(yīng)業(yè)務(wù)和流量的變化，IP網(wǎng)絡(luò)需要壓縮層級(jí)結(jié)構(gòu)，逐步扁平化，以實(shí)現(xiàn)流量的高效承載。

　　李剛：全業(yè)務(wù)運(yùn)營(yíng)模式下，如何通過(guò)有效整合資源，提供高質(zhì)量、多樣化的服務(wù)，以保持和拓展客戶群成為電信運(yùn)營(yíng)商共同的關(guān)注點(diǎn)。在核心網(wǎng)絡(luò)層面，“融合化”、“寬帶化”成為全業(yè)務(wù)時(shí)代背景下最主要的特點(diǎn)。

　　融合化表現(xiàn)在多個(gè)方面，首先是網(wǎng)絡(luò)的融合，電信核心網(wǎng)絡(luò)架構(gòu)正在從傳統(tǒng)的多承載網(wǎng)絡(luò)轉(zhuǎn)向IP統(tǒng)一承載，即承載平臺(tái)IP化發(fā)展。其次是在統(tǒng)一的IP承載平臺(tái)上多樣化業(yè)務(wù)的融合。

　　寬帶化是全業(yè)務(wù)運(yùn)營(yíng)的一個(gè)重要內(nèi)容，是提供良好用戶體驗(yàn)的必要條件，電信核心網(wǎng)絡(luò)原本的層級(jí)接入、匯聚的組網(wǎng)方式已經(jīng)不適應(yīng)高帶寬化的要求，因此網(wǎng)絡(luò)扁平化結(jié)構(gòu)的調(diào)整、高速鏈路和業(yè)務(wù)通道的使用，都帶來(lái)了核心網(wǎng)絡(luò)架構(gòu)的重大變化。

　　全業(yè)務(wù)下的核心網(wǎng)絡(luò)正在面臨威脅

　　《中國(guó)電信業(yè)》：為了適應(yīng)全業(yè)務(wù)發(fā)展的需求，核心網(wǎng)絡(luò)正走向融合化、寬帶化、智能化和扁平化，由此帶來(lái)了哪些新的安全問(wèn)題？

　　郭亮：對(duì)運(yùn)營(yíng)商來(lái)講，核心網(wǎng)絡(luò)的安全問(wèn)題面臨的挑戰(zhàn)主要表現(xiàn)為：

　　一是需要管理的設(shè)備多了，比如說(shuō)多種多樣的安全防護(hù)設(shè)備、防火墻、防病毒應(yīng)用防護(hù)，這些原來(lái)只是在局域網(wǎng)甚至是在一些比較小范圍的網(wǎng)絡(luò)里綜合應(yīng)用的安全設(shè)備，現(xiàn)在整個(gè)大網(wǎng)都要充分運(yùn)用了。

　　二是安全策略更復(fù)雜，比如安全設(shè)備之間的聯(lián)動(dòng)還有異常流量的阻斷。包括電信和其他運(yùn)營(yíng)商也都推出像流量信息這樣的服務(wù)和業(yè)務(wù)，這樣的業(yè)務(wù)往往會(huì)帶來(lái)路由振蕩等負(fù)面影響。

　　三是實(shí)施完全管理給運(yùn)營(yíng)商帶來(lái)新的挑戰(zhàn)。因?yàn)閭鹘y(tǒng)核心網(wǎng)的管理人員、值班人員一般對(duì)設(shè)備的報(bào)警和網(wǎng)絡(luò)的連通性比較了解，但是現(xiàn)在安全的應(yīng)用更豐富以后，對(duì)管理人員的安全集成管理水平就提出了更高的要求。很難找到這么多專業(yè)的安全人員來(lái)做這種可能涉及全網(wǎng)安全的值守。

　　四是增加投入的問(wèn)題。這個(gè)問(wèn)題一方面是在傳統(tǒng)網(wǎng)絡(luò)維護(hù)的基礎(chǔ)上增加了很多的安全設(shè)備，涉及到設(shè)備的更新、維護(hù)、升級(jí)；另一方面是整體的評(píng)估。我們遇到過(guò)這樣的問(wèn)題，有一個(gè)安全的設(shè)備，因?yàn)樗�的系統(tǒng)升級(jí)了但是策略沒(méi)有更新，使系統(tǒng)受到一些影響。為了把這個(gè)問(wèn)題解決好，我們出了一個(gè)定期評(píng)估的辦法，定期對(duì)安全策略進(jìn)行更新和梳理。這樣不管從設(shè)備本身的投入還是人員投入來(lái)說(shuō)都是增加了成本。目前，核心網(wǎng)本身的運(yùn)行、維護(hù)的壓力就非常大，增加安全設(shè)備以后，需要把兩者結(jié)合在一起。

　　五是安全漏洞的演進(jìn)，比如說(shuō)零日攻擊、新型病毒。據(jù)統(tǒng)計(jì)，全業(yè)務(wù)的發(fā)展加快了信息終端的智能化，在2007年對(duì)塞班操作系統(tǒng)產(chǎn)生影響的病毒就達(dá)到了100多種。這樣對(duì)整體的病毒和安全漏洞的防止難度加大了很多。

　　金華敏：全業(yè)務(wù)經(jīng)營(yíng)和IP化在為電信運(yùn)營(yíng)商帶來(lái)發(fā)展機(jī)遇的同時(shí)，也給網(wǎng)絡(luò)安全帶來(lái)新的挑戰(zhàn)。

　　首先是承載網(wǎng)絡(luò)IP化的挑戰(zhàn)。IP承載網(wǎng)絡(luò)的開(kāi)放性直接影響到各電信業(yè)務(wù)網(wǎng)絡(luò)的安全。電信業(yè)務(wù)網(wǎng)絡(luò)的信令控制、業(yè)務(wù)和管理流量通過(guò)同一承載網(wǎng)絡(luò)的承載。在這種情況下如果各電信業(yè)務(wù)網(wǎng)絡(luò)之間，或者特定電信業(yè)務(wù)網(wǎng)絡(luò)中控制、業(yè)務(wù)和管理各平面之間隔離不當(dāng)，或缺乏相應(yīng)的訪問(wèn)控制，將導(dǎo)致處于業(yè)務(wù)平面的電信業(yè)務(wù)流量可能到達(dá)作為業(yè)務(wù)網(wǎng)絡(luò)核心的控制和管理平面，從而給網(wǎng)絡(luò)的安全帶來(lái)危害。此外，IP網(wǎng)絡(luò)上的蠕蟲(chóng)病毒泛濫以及DDOS的發(fā)生都可能導(dǎo)致網(wǎng)絡(luò)質(zhì)量的劣化，從而影響電信業(yè)務(wù)，因此，電信網(wǎng)絡(luò)IP化對(duì)底層的IP承載網(wǎng)絡(luò)的安全提出了更高的要求。

　　其次，在全業(yè)務(wù)環(huán)境下，電信業(yè)務(wù)終端也日趨多樣化和智能化 ，使得用戶利用電信業(yè)務(wù)網(wǎng)絡(luò)設(shè)備安全漏洞成為可能，也容易發(fā)生電信業(yè)務(wù)濫用等情況。另外，移動(dòng)終端智能化也意味著通用的操作系統(tǒng)、豐富的第三方應(yīng)用等，這些都容易引入更多安全威脅，影響用戶對(duì)電信業(yè)務(wù)的使用。此外，隨著全業(yè)務(wù)運(yùn)營(yíng)，用戶接入網(wǎng)絡(luò)的方式變得多樣化，接入點(diǎn)也更加眾多 ，用戶精細(xì)化管控更加困難。在這種情況下如何加強(qiáng)用戶的標(biāo)志、認(rèn)證和業(yè)務(wù)授權(quán)也是電信運(yùn)營(yíng)商要解決的重要的安全問(wèn)題。

　　最后，隨著電信網(wǎng)絡(luò)IP化，傳統(tǒng)電信網(wǎng)絡(luò)設(shè)備向通用設(shè)備遷移，采用了通用的操作系統(tǒng)平臺(tái)，這些操作系統(tǒng)平臺(tái)所存在的安全問(wèn)題為人所熟知，并且由于對(duì)通用平臺(tái)安全研究的人比較多，各種安全問(wèn)題也在不斷被發(fā)現(xiàn)，導(dǎo)致電信設(shè)備面臨更多的安全威脅。

　　李剛：核心網(wǎng)絡(luò)的這些變化同時(shí)也帶來(lái)了新的安全問(wèn)題，主要表現(xiàn)在三個(gè)方面：

　　一是網(wǎng)絡(luò)IP化帶來(lái)了安全問(wèn)題的擴(kuò)大化。其一，設(shè)備范圍擴(kuò)大化，安全問(wèn)題逐漸在向傳統(tǒng)的電信專用設(shè)備擴(kuò)大和滲透；其二，影響范圍擴(kuò)大化，傳統(tǒng)上相對(duì)封閉和專一的傳輸交換等網(wǎng)絡(luò)，隨著IP化的進(jìn)程也將面臨IP網(wǎng)絡(luò)存在和已經(jīng)解決的各類安全問(wèn)題；其三，安全維護(hù)能力要求擴(kuò)大化，傳統(tǒng)傳輸交換等網(wǎng)絡(luò)因無(wú)需關(guān)注IP網(wǎng)絡(luò)的安全問(wèn)題，使得他們?cè)诎踩�運(yùn)維要求、技能、經(jīng)驗(yàn)等方面都與IP網(wǎng)的安全運(yùn)維相比存在較大差距。

　　二是全業(yè)務(wù)運(yùn)營(yíng)的理念是“以用戶為中心”，因此占用帶寬資源的DDOS攻擊、僵尸網(wǎng)絡(luò)等影響服務(wù)質(zhì)量保證的安全問(wèn)題將依然存在，甚至比以往得到更加的關(guān)注和重視。特別是隨著終端智能化、多樣化、應(yīng)用多樣化的發(fā)展，可能的攻擊源和可利用的漏洞也將會(huì)更加廣泛。

　　三是在全業(yè)務(wù)運(yùn)營(yíng)模式下，客戶信息、經(jīng)營(yíng)分析資料等“信息”的安全將成為樹(shù)立運(yùn)營(yíng)商品牌和保證競(jìng)爭(zhēng)優(yōu)勢(shì)的核心內(nèi)容之一。網(wǎng)絡(luò)IP化、終端的智能化和多樣化等加大了信息安全管理的范圍以及信息泄密防范的復(fù)雜度。

　　全業(yè)務(wù)時(shí)代如何防護(hù)網(wǎng)絡(luò)安全

　　《中國(guó)電信業(yè)》：從運(yùn)營(yíng)商的角度和安全設(shè)備廠商的角度來(lái)看，全業(yè)務(wù)時(shí)代背景下，如何防護(hù)網(wǎng)絡(luò)安全？

　　黃元飛：核心網(wǎng)安全確實(shí)受到前所未有的挑戰(zhàn)。工信部在近兩年的安全檢查中都發(fā)現(xiàn)，通過(guò)互聯(lián)網(wǎng)，利用核心網(wǎng)邊緣設(shè)備的漏洞，可以滲透進(jìn)入核心網(wǎng)，控制相關(guān)的設(shè)備和系統(tǒng)。

　　因此，我個(gè)人建議：一方面運(yùn)營(yíng)商要強(qiáng)化“三同步原則”，在網(wǎng)絡(luò)或系統(tǒng)規(guī)劃建設(shè)階段就考慮其安全性，考慮新建網(wǎng)絡(luò)或系統(tǒng)對(duì)核心網(wǎng)的安全影響；另一方面，核心網(wǎng)除做好邊界防護(hù)外，內(nèi)部也需要分級(jí)分區(qū)防護(hù)，核心網(wǎng)應(yīng)根據(jù)各網(wǎng)絡(luò)系統(tǒng)重要性，區(qū)分不同安全域，安全域之間采取必要的防護(hù)措施，只有這樣才能避免現(xiàn)在“只要突破邊界防護(hù)，內(nèi)部一馬平川”的情形。

　　金華敏：前面已經(jīng)提及，IP網(wǎng)絡(luò)控制平面、管理平面和業(yè)務(wù)平面的融合設(shè)計(jì)是導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題的主要原因之一。因此在電信網(wǎng)絡(luò)IP化之后，電信運(yùn)營(yíng)商在核心網(wǎng)絡(luò)安全工作的重點(diǎn)就是做好網(wǎng)絡(luò)中控制、業(yè)務(wù)、管理三個(gè)平面的邏輯隔離和安全保護(hù)，三個(gè)平面之間的邏輯隔離可以通過(guò)不同的地址空間、路由控制等方式來(lái)實(shí)現(xiàn)，也可以通過(guò)在平面之間設(shè)置相應(yīng)的訪問(wèn)控制來(lái)實(shí)現(xiàn)，以避免處于業(yè)務(wù)平面的用戶流量到達(dá)作為互聯(lián)網(wǎng)核心的控制和管理平面，從而給網(wǎng)絡(luò)的安全帶來(lái)危害。在做好三個(gè)平面之間的邏輯隔離之后，應(yīng)通過(guò)各平面的安全技術(shù)實(shí)施，保證各平面的安全。在控制平面，應(yīng)加強(qiáng)路由協(xié)議、認(rèn)證計(jì)費(fèi)等信令通信安全保護(hù)，包括網(wǎng)元之間的認(rèn)證、信令完整性、機(jī)密性的保護(hù)等；加強(qiáng)信令計(jì)算資源的保護(hù)能力，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、電信支撐系統(tǒng)等設(shè)備的CPU、內(nèi)存等計(jì)算資源的安全保護(hù)，以保證核心資源系統(tǒng)的可用性。在業(yè)務(wù)平面，實(shí)現(xiàn)非法用戶流量的過(guò)濾，包括虛假源地址流量過(guò)濾、特定端口蠕蟲(chóng)病毒流量過(guò)濾等，防止用戶攻擊流量進(jìn)入網(wǎng)絡(luò)；加強(qiáng)對(duì)全網(wǎng)業(yè)務(wù)流量的安全實(shí)時(shí)監(jiān)視與控制，包括DDOS等異常流量的監(jiān)控和過(guò)濾處理等。在管理平面，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的安全加固；對(duì)設(shè)備管理進(jìn)行分級(jí)授權(quán)，對(duì)設(shè)備配置的更改行為進(jìn)行恰當(dāng)?shù)氖跈?quán)，并對(duì)配置更改進(jìn)行詳細(xì)日志；對(duì)本機(jī)登錄和遠(yuǎn)程管理加強(qiáng)用戶管理、數(shù)據(jù)傳輸安全和訪問(wèn)控制。

　　在以上工作的基礎(chǔ)上，為進(jìn)一步加強(qiáng)核心網(wǎng)網(wǎng)絡(luò)安全，電信運(yùn)營(yíng)商下一步可推動(dòng)核心網(wǎng)絡(luò)向可信網(wǎng)絡(luò)的過(guò)渡，實(shí)現(xiàn)用戶行為、網(wǎng)絡(luò)狀態(tài)、網(wǎng)絡(luò)資源的可管控性，數(shù)據(jù)的可用性、完整性和保密性以及網(wǎng)絡(luò)的健壯性。

　　在網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全保障方面，可重點(diǎn)開(kāi)展全業(yè)務(wù)運(yùn)營(yíng)環(huán)境下基礎(chǔ)設(shè)施安全可信建設(shè)，同時(shí)通過(guò)終端準(zhǔn)入控制、4A平臺(tái)等建設(shè)加強(qiáng)對(duì)業(yè)務(wù)及支撐系統(tǒng)的用戶管控。

　　在網(wǎng)絡(luò)資源狀態(tài)可控方面，根據(jù)“集中管理、集中監(jiān)控、集中維護(hù)”的原則，不斷加強(qiáng)面向業(yè)務(wù)、面向客戶的網(wǎng)管系統(tǒng)建設(shè)；整合現(xiàn)有分散業(yè)務(wù)平臺(tái)，建設(shè)綜合業(yè)務(wù)管控平臺(tái)，加強(qiáng)對(duì)業(yè)務(wù)的管控能力；統(tǒng)一規(guī)劃建設(shè)SOC平臺(tái)，并逐步完善和提升SOC平臺(tái)的安全管控能力；加強(qiáng)全網(wǎng)異常流量監(jiān)控體系以及僵尸網(wǎng)絡(luò)監(jiān)控體系建設(shè)，減少異常流量對(duì)互聯(lián)網(wǎng)的影響，積極進(jìn)行端到端QOS技術(shù)研究和試驗(yàn)，實(shí)現(xiàn)全網(wǎng)QOS策略控制以及QOS動(dòng)態(tài)調(diào)整等。

　　在用戶可信保障方面，建立統(tǒng)一認(rèn)證平臺(tái)，提供統(tǒng)一認(rèn)證業(yè)務(wù)。加強(qiáng)全網(wǎng)用戶可溯源技術(shù)的研發(fā)和部署，實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)用戶的可信管理。提升對(duì)僵尸主機(jī)等不可信用戶行的過(guò)濾和控制能力，從源頭上遏制不可信用戶行為對(duì)其他用戶以及互聯(lián)網(wǎng)的安全威脅。

　　李剛：全業(yè)務(wù)運(yùn)營(yíng)本身就是一個(gè)龐大、復(fù)雜的問(wèn)題，也是對(duì)所有運(yùn)營(yíng)商的挑戰(zhàn)，其中安全問(wèn)題更是如此。在固網(wǎng)、移動(dòng)網(wǎng)的融合以及網(wǎng)絡(luò)IP化的進(jìn)程中，更加凸顯了融合雙方在安全建設(shè)程度、安全運(yùn)維管理能力、安全技術(shù)等方面的差異，特別是安全能力上的差距。如何快速縮小差距，在較短時(shí)間內(nèi)形成統(tǒng)一的安全體系，是提升全業(yè)務(wù)運(yùn)營(yíng)模式下安全整體保障能力的一個(gè)重要內(nèi)容。此外，利用新的管理與技術(shù)措施解決新的安全問(wèn)題是另一個(gè)重要的工作內(nèi)容。同時(shí)，面對(duì)龐大、復(fù)雜的安全工作，如何簡(jiǎn)化工作、降低安全運(yùn)維成本、提升安全運(yùn)維工作效率將是運(yùn)營(yíng)商需要面對(duì)的另一個(gè)重要挑戰(zhàn)。

　　賽門(mén)鐵克認(rèn)為安全能力的提升絕不是一朝一夕的事，但已有的安全建設(shè)、管理經(jīng)驗(yàn)應(yīng)當(dāng)被很好地利用起來(lái)，快速地遷移和運(yùn)用到傳統(tǒng)非IP化的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)的安全建設(shè)基本還處在沒(méi)有或者非常初級(jí)的階段，因此需彌補(bǔ)其在安全上的短板，減少因習(xí)慣性疏忽而帶來(lái)的安全風(fēng)險(xiǎn)。在新措施的使用和新技術(shù)的研究過(guò)程中，“建設(shè)與運(yùn)維同步，管理與技術(shù)同步”的思路，可以吸取以往建設(shè)目標(biāo)與運(yùn)維效果脫節(jié)、管理要求與技術(shù)落實(shí)脫節(jié)的經(jīng)驗(yàn)教訓(xùn)，使安全工作更加高效。

　　賽門(mén)鐵克在包括手機(jī)、智能終端在內(nèi)的各類端點(diǎn)安全、信息防泄漏、通過(guò)合規(guī)管理加強(qiáng)核心網(wǎng)絡(luò)的主動(dòng)安全防御以及不斷治理和改善全業(yè)務(wù)運(yùn)營(yíng)模式下的安全環(huán)境等方面都有相應(yīng)的解決方案。

　　網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)

　　《中國(guó)電信業(yè)》：隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)的逐步成熟和快速發(fā)展，網(wǎng)絡(luò)環(huán)境越來(lái)越開(kāi)放，電信運(yùn)營(yíng)商如何從長(zhǎng)規(guī)劃網(wǎng)絡(luò)安全管理？網(wǎng)絡(luò)安全能否由成本中心向利潤(rùn)中心發(fā)展？

　　黃元飛：云計(jì)算服務(wù)與電信運(yùn)營(yíng)商通信服務(wù)除技術(shù)實(shí)現(xiàn)以及提供服務(wù)內(nèi)容不同外，本質(zhì)上沒(méi)有差別，基本思想都是集中。個(gè)人認(rèn)為，云計(jì)算及云安全應(yīng)該都是電信運(yùn)營(yíng)商級(jí)別的。

　　強(qiáng)烈呼吁電信運(yùn)營(yíng)商向社會(huì)提供安全增值服務(wù)。在網(wǎng)絡(luò)信息安全方面，運(yùn)營(yíng)商除必要的投入以保障所運(yùn)營(yíng)的網(wǎng)絡(luò)自身安全外，必須有一定的產(chǎn)出，要能通過(guò)安全增值服務(wù)掙錢(qián)。運(yùn)營(yíng)商向社會(huì)提供安全增值服務(wù)，就需要加強(qiáng)自身網(wǎng)絡(luò)的安全性，只有如此才能形成良性循環(huán)。

　　郭亮：“云”最大的優(yōu)勢(shì)無(wú)非是分布式運(yùn)算提高效率。但是最大的問(wèn)題是數(shù)據(jù)的安全性認(rèn)證和保障。舉一個(gè)例子，把所有的資產(chǎn)分享給不同的銀行是有獨(dú)立的賬戶的。但如果把數(shù)據(jù)放到不同的平臺(tái)去運(yùn)算，沒(méi)有賬戶就是非常不安全的狀態(tài)。把IDC或者是大網(wǎng)資源在云節(jié)點(diǎn)做計(jì)算的時(shí)候，安全的認(rèn)證和數(shù)據(jù)加密是目前的主研究方向。如果能把這個(gè)問(wèn)題解決，我相信下一步云計(jì)算、云安全會(huì)有比較大的飛躍性發(fā)展。

　　中國(guó)電信把自身網(wǎng)絡(luò)安全建好的同時(shí)，也是把安全的能力延伸到社會(huì)的公共服務(wù)中去。因?yàn)橹袊?guó)電信有責(zé)任也有能力做這樣的事情，目前已做了以下幾件事情：

　　第一是把安全的成本中心轉(zhuǎn)為利潤(rùn)中心，把服務(wù)的品質(zhì)提高。比如用戶購(gòu)買(mǎi)托管服務(wù)或者是使用網(wǎng)絡(luò)的時(shí)候，中國(guó)電信提供流量的監(jiān)控和清洗，包括業(yè)務(wù)系統(tǒng)安全監(jiān)控的信息，保障用戶所在的網(wǎng)絡(luò)平臺(tái)是很安全的。

　　第二是把效益和成本優(yōu)勢(shì)回饋客戶。涉及安全管理方面，如果用戶要自己管理，就需要人員和設(shè)備，而中國(guó)電信通過(guò)集中化采購(gòu)和人員費(fèi)用的模式就能夠把成本降得很低。這樣也給客戶帶來(lái)了收益和利潤(rùn)。目前我們提出了集中的網(wǎng)安專家的業(yè)務(wù)模式和服務(wù)模式，把大網(wǎng)中的全網(wǎng)流量的異常監(jiān)控和流量清洗，以及安全事件的監(jiān)控、安全事件的預(yù)警，作為服務(wù)推向客戶。

　　第三，提升用戶在使用中間信息時(shí)業(yè)務(wù)的安全。當(dāng)用戶做局域互聯(lián)網(wǎng)的操作和應(yīng)用的時(shí)候，在終端增加了安全應(yīng)用的辦法，它產(chǎn)生的特征碼會(huì)跟自身的賬號(hào)和密碼相捆綁。公司還通過(guò)定期向用戶提供報(bào)表的方式，讓他感知到自身的安全狀況，體會(huì)到有人給他做安全保障的服務(wù)優(yōu)勢(shì)。這種情況下中國(guó)電信就逐步地把自身用于投入建設(shè)的成本轉(zhuǎn)為向利潤(rùn)導(dǎo)向的服務(wù)。

　　李剛：隨著云計(jì)算新的業(yè)務(wù)模式的出現(xiàn)，以及物聯(lián)網(wǎng)中涉及的傳感技術(shù)、接入技術(shù)、網(wǎng)絡(luò)技術(shù)的多種技術(shù)的有機(jī)結(jié)合，網(wǎng)絡(luò)的環(huán)境越來(lái)越開(kāi)放，網(wǎng)絡(luò)應(yīng)用更加豐富，網(wǎng)絡(luò)環(huán)境的變化也越來(lái)越快，這個(gè)變化包括了外部安全威脅的變化、新技術(shù)的變化、網(wǎng)絡(luò)接入點(diǎn)接入方式、網(wǎng)絡(luò)自身架構(gòu)等。正如賽門(mén)鐵克《2009年的企業(yè)安全調(diào)查報(bào)告》中所發(fā)現(xiàn)的，企業(yè)面臨的最主要的問(wèn)題之一——企業(yè)的IT環(huán)境變得更加復(fù)雜管理更加困難。以應(yīng)對(duì)不斷變化的威脅和風(fēng)險(xiǎn)為出發(fā)點(diǎn)，進(jìn)行長(zhǎng)遠(yuǎn)網(wǎng)絡(luò)安全管理規(guī)劃的思路也變得愈加困難，相對(duì)來(lái)講進(jìn)行近中期的網(wǎng)絡(luò)安全管理規(guī)劃更為務(wù)實(shí)和可操作。從近中期的大背景來(lái)看，各類融合，包括網(wǎng)絡(luò)融合、技術(shù)融合、業(yè)務(wù)融合等，其核心是“調(diào)整和優(yōu)化”，而在融合的過(guò)程中及融合后，傳統(tǒng)的安全問(wèn)題依然存在，變化的可能是安全的重點(diǎn)，或者是安全重點(diǎn)的構(gòu)成和方式。比如DDOS攻擊的攻擊源從傳統(tǒng)的設(shè)備擴(kuò)展到各類智能終端，比如準(zhǔn)入控制的覆蓋要擴(kuò)大到各類智能終端等。因此網(wǎng)絡(luò)安全規(guī)劃也應(yīng)采取同理思路，即以保障業(yè)務(wù)和落實(shí)安全運(yùn)維工作為目標(biāo)，以指標(biāo)治理為手段的“安全環(huán)境治理和改善”。在規(guī)劃的各階段的關(guān)鍵是指標(biāo)體系，以指標(biāo)體系推動(dòng)新技術(shù)的落實(shí)、落實(shí)安全運(yùn)維，提升安全環(huán)境，滾動(dòng)發(fā)展應(yīng)對(duì)變化。