IT基礎(chǔ)設(shè)施在電信網(wǎng)變革中創(chuàng)新

對話嘉賓

神州數(shù)碼信息服務(wù)集團(tuán)

集成服務(wù)戰(zhàn)略本部方案規(guī)劃設(shè)計(jì)部副總經(jīng)理高壯志

綠盟科技行業(yè)營銷中心 萬慧星

SonicWALL亞太區(qū)副總裁 Richard Ting

對話主持

本刊記者李鵬

當(dāng)前，我國的電信運(yùn)營業(yè)正在經(jīng)歷著新的變化，3G的正式商用、全業(yè)務(wù)運(yùn)營和電信網(wǎng)全I(xiàn)P化使三大運(yùn)營商進(jìn)入了一個(gè)全新的運(yùn)營時(shí)期。在這個(gè)時(shí)期，電信網(wǎng)的安全也面臨著諸多新的變化，如何通過新的安全策略來解決新的安全問題，并做到預(yù)先防范是運(yùn)營商面臨的非常迫切的問題。本期對話邀請三位深入到電信網(wǎng)安全第一線的企業(yè)專家，就如何從IT基礎(chǔ)設(shè)施層面保障新時(shí)期的電信網(wǎng)安全的相關(guān)問題進(jìn)行探討，希望能帶來一些啟示。

IT基礎(chǔ)設(shè)施安全意義重大

通信世界：當(dāng)前，在全業(yè)務(wù)運(yùn)營、網(wǎng)絡(luò)IP化以及3G正式商用的情況下，電信網(wǎng)面臨著新的安全問題，您如何看待電信網(wǎng)安全面臨的新挑戰(zhàn)？怎樣看待IT基礎(chǔ)設(shè)施對于電信網(wǎng)安全的重要性？

高壯志：三大運(yùn)營商的全業(yè)務(wù)運(yùn)營，尤其是在3G業(yè)務(wù)的開展后，普遍存在IT基礎(chǔ)設(shè)施滯后業(yè)務(wù)發(fā)展的情況。此外，由于架構(gòu)的調(diào)整，IT基礎(chǔ)設(shè)施的建設(shè)也或多或少地受到了影響，但這也為運(yùn)營商梳理自己的IT基礎(chǔ)架構(gòu)、更好地規(guī)劃基礎(chǔ)設(shè)施、更好地支撐業(yè)務(wù)發(fā)展提供了一個(gè)時(shí)機(jī)。

運(yùn)營商全業(yè)務(wù)運(yùn)營和3G所帶來的新業(yè)務(wù)將使得IT基礎(chǔ)架構(gòu)的復(fù)雜度明顯增加，各項(xiàng)數(shù)據(jù)業(yè)務(wù)的大力開展相對以往的業(yè)務(wù)類型也給IT基礎(chǔ)架構(gòu)帶來了不小的考驗(yàn)。以增值業(yè)務(wù)為例，它的網(wǎng)絡(luò)架構(gòu)不再是一個(gè)相對封閉的網(wǎng)絡(luò)，需要與眾多的合作伙伴接口，比其它業(yè)務(wù)復(fù)雜了許多，這都對運(yùn)營商的網(wǎng)絡(luò)架構(gòu)提出了更高的要求。

RichardTing：傳統(tǒng)意義上的電信網(wǎng)安全與互聯(lián)網(wǎng)安全之間的界限已經(jīng)越來越模糊，電信網(wǎng)絡(luò)安全的挑戰(zhàn)更多地來自于用戶端，其中交換網(wǎng)絡(luò)安全和用戶數(shù)據(jù)安全最應(yīng)該引起重視。

電信網(wǎng)絡(luò)向NGN的演進(jìn)使交換網(wǎng)絡(luò)的安全問題面臨嚴(yán)峻挑戰(zhàn)。作為管理者應(yīng)該對網(wǎng)絡(luò)安全采取新的技術(shù)手段，以保證軟交換網(wǎng)絡(luò)中的相關(guān)設(shè)備不會(huì)受到非法攻擊。由于IP網(wǎng)成為軟交換技術(shù)的承載網(wǎng)，網(wǎng)絡(luò)安全問題尤其突出。

網(wǎng)絡(luò)功能增強(qiáng)導(dǎo)致了用戶數(shù)據(jù)安全問題。目前，交互式業(yè)務(wù)以及基于NGN的多媒體業(yè)務(wù)不斷增長，用戶的隱私保護(hù)問題成為電信運(yùn)營商不可回避的問題，電信運(yùn)營商和互聯(lián)網(wǎng)服務(wù)商有責(zé)任采取技術(shù)手段，保護(hù)用戶的賬戶信息和通信信息的安全。

在IT基礎(chǔ)設(shè)施對網(wǎng)絡(luò)安全起到最根本性作用，是網(wǎng)絡(luò)安全最根本的環(huán)節(jié)。

移動(dòng)互聯(lián)網(wǎng)帶來新威脅

通信世界：3G的全面商用催生了移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來，在移動(dòng)互聯(lián)網(wǎng)時(shí)代，對電信網(wǎng)安全提出了哪些新的要求？IT基礎(chǔ)設(shè)施層面如何對待？

RichardTing：移動(dòng)互聯(lián)網(wǎng)的誕生和發(fā)展是一種必然。移動(dòng)互聯(lián)網(wǎng)終端可以接入移動(dòng)通信網(wǎng)絡(luò)，應(yīng)用公眾互聯(lián)網(wǎng)服務(wù)。相對而言，移動(dòng)互聯(lián)網(wǎng)對網(wǎng)絡(luò)安全的要求更高，用戶的行為及隱私更需要進(jìn)行保護(hù)。但是，目前移動(dòng)互聯(lián)網(wǎng)在各方面存在嚴(yán)重的安全漏洞，使用戶無法安全使用。比如，移動(dòng)互聯(lián)網(wǎng)終端承載了大量的個(gè)人業(yè)務(wù)和私密信息，對終端使用者的身份鑒別、信息的加密以及安全通信等各種終端安全技術(shù)將成為強(qiáng)大安全保障。

萬慧星：3G時(shí)代的到來催化了移動(dòng)互聯(lián)網(wǎng)的蓬勃發(fā)展，大量移動(dòng)智能終端的加入使得無線網(wǎng)絡(luò)安全面臨著前所未有的威脅。除了傳統(tǒng)的安全威脅，一些針對3G網(wǎng)絡(luò)的特有威脅也浮出水面�？傮w來看，3G網(wǎng)絡(luò)面臨的威脅有如下幾類：未授權(quán)的數(shù)據(jù)訪問、數(shù)據(jù)完整性威脅、拒絕服務(wù)攻擊、信息竊取和篡改、未授權(quán)的服務(wù)訪問。這就要求移動(dòng)運(yùn)營商不僅要具有傳統(tǒng)網(wǎng)絡(luò)攻擊的防御能力，還要具有抵抗新型攻擊和潛在威脅的能力。

IT基礎(chǔ)設(shè)施是運(yùn)營商提供網(wǎng)絡(luò)通信的基礎(chǔ)，一旦這些設(shè)施受到攻擊并且缺少有效防護(hù)，后果不堪設(shè)想。因此對于IT基礎(chǔ)設(shè)施的防護(hù)要考慮全面，進(jìn)行全方位，層次化的保護(hù)。比如對整個(gè)網(wǎng)絡(luò)進(jìn)行層次劃分，分別對每個(gè)層次進(jìn)行分級保護(hù)。尤其對那些提供核心業(yè)務(wù)的關(guān)鍵組件和節(jié)點(diǎn)，進(jìn)行多層次安全防護(hù)。

IT基礎(chǔ)設(shè)施安全不再只是技術(shù)問題

通信世界：IT基礎(chǔ)設(shè)施故障、數(shù)據(jù)丟失、宕機(jī)、負(fù)載過高或閑置、病毒、人為操作失誤等，這些IT系統(tǒng)問題將直接影響電信行業(yè)業(yè)務(wù)系統(tǒng)的正常運(yùn)行，比如前段時(shí)間南方數(shù)省出現(xiàn)了網(wǎng)絡(luò)癱瘓的情況，事故原因是系DNS域名解析故障，您認(rèn)為這對目前的電信網(wǎng)安全提出了怎樣的警示？

高壯志：透過5.19網(wǎng)絡(luò)癱瘓事件，可以發(fā)現(xiàn)網(wǎng)絡(luò)安全不再只是技術(shù)的問題，更不是通過上幾個(gè)安全設(shè)備或系統(tǒng)能夠解決的，安全的隱患來自于人。一方面是運(yùn)營商自身，包括安全管理制度、安全管理流程以及維護(hù)人員的經(jīng)驗(yàn)。另一方面是所謂的黑客。常言道，道高一尺魔高一丈，如何保證IT基礎(chǔ)設(shè)施的安全，那就應(yīng)該做到魔高一尺道高一丈。

以往維護(hù)人員比較關(guān)注設(shè)備和系統(tǒng)的常態(tài)運(yùn)行，在安全角度上重視度不夠，處理安全事件的經(jīng)驗(yàn)還需要加強(qiáng)。運(yùn)維人員是否對目前數(shù)據(jù)庫所有的帳號使用情況都比較了解，是否了解對于遠(yuǎn)程訪問的控制情況、對第三方服務(wù)人員的管理情況。所以電信網(wǎng)安全的投資應(yīng)該圍繞維護(hù)人員，以幫助他們更有效地工作、更有效地發(fā)現(xiàn)問題，幫助維護(hù)部門建立更有效地展開運(yùn)維流程。

RichardTing：網(wǎng)絡(luò)的潛在威脅繼續(xù)增長，網(wǎng)絡(luò)信息安全形勢依舊嚴(yán)峻。目前，由于改革的配套設(shè)施不夠健全，電信市場在多運(yùn)營商條件下的監(jiān)管措施并不配套，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化，這樣的局面給電信網(wǎng)絡(luò)安全帶來了很大的挑戰(zhàn)。各個(gè)運(yùn)營企業(yè)獨(dú)自承擔(dān)網(wǎng)絡(luò)的建設(shè)、規(guī)劃。這樣，一旦網(wǎng)絡(luò)癱瘓，就出現(xiàn)了運(yùn)營商之間是否能夠相互支援的問題。

目前，IT基礎(chǔ)設(shè)施管理越來越重要，它是業(yè)務(wù)連續(xù)性、系統(tǒng)整合、應(yīng)用服務(wù)的基礎(chǔ)。但隨著IT基礎(chǔ)設(shè)施越來越復(fù)雜，對其的管理也越來越困難。許多企業(yè)都需要花費(fèi)大量的IT資源和預(yù)算來保持關(guān)鍵服務(wù)可用并高效運(yùn)行，但由于企業(yè)不能達(dá)到應(yīng)用集成管理的水平，而只能將其作為單獨(dú)的孤島來進(jìn)行管理，相互之間很少甚至完全沒有關(guān)聯(lián)，很難實(shí)現(xiàn)基礎(chǔ)設(shè)施的統(tǒng)一協(xié)調(diào)管理。因此對復(fù)雜IT基礎(chǔ)設(shè)施的高效管理成為客戶面臨的最大挑戰(zhàn)之一。

萬慧星：DNS是十分重要的IT基礎(chǔ)網(wǎng)絡(luò)設(shè)施，對互聯(lián)網(wǎng)服務(wù)至關(guān)重要。對于運(yùn)營商而言，如何保障DNS系統(tǒng)的安全，是一個(gè)非常重要的問題。目前，DNS系統(tǒng)面臨的安全問題主要有DoS/DDoS、域名劫持、IP欺騙、緩存投毒、服務(wù)器權(quán)限入侵等等。

針對DNS安全防護(hù)，以保障其業(yè)務(wù)的可用性為最重要目標(biāo)，按時(shí)間順序，進(jìn)行事前評估加固、事中實(shí)時(shí)防御、事后分析取證的三個(gè)階段的全面的安全建設(shè)。在安全評估加固階段，主要包括對系統(tǒng)安全漏洞、系統(tǒng)安全功能、系統(tǒng)配置安全、系統(tǒng)代碼安全、系統(tǒng)日志審計(jì)等方面進(jìn)行全方位的檢查評估、攻擊驗(yàn)證與滲透測試，然后進(jìn)行DNS系統(tǒng)加固，同時(shí)要進(jìn)行合理的DNS容量設(shè)計(jì)和規(guī)劃。在實(shí)時(shí)防御階段，主要是通過部署DDoS防護(hù)產(chǎn)品、防火墻、IPS、UTM等安全設(shè)備，進(jìn)行DNS系統(tǒng)的實(shí)時(shí)防護(hù)。在分析取證階段，一是要保障DNS系統(tǒng)的業(yè)務(wù)連續(xù)性，二是應(yīng)具備還原分析能力，可以利用相應(yīng)的日志或其他分析系統(tǒng)數(shù)據(jù)，確定攻擊的原因、系統(tǒng)的漏洞，為后續(xù)進(jìn)一步加固提供依據(jù)。

IT基礎(chǔ)設(shè)施虛擬化提出新要求

通信世界：在IT基礎(chǔ)設(shè)施走向虛擬化之后，其安全的保障卻有些落后，很少有公司注意到虛擬化技術(shù)對安全需求。到目前為止，大多數(shù)與虛擬化有關(guān)的安全產(chǎn)品要么基于虛擬化的設(shè)備，要么在虛擬機(jī)上部署代理。這些方法具有一定的靈活性，但是在一定程度上限制了對虛擬機(jī)內(nèi)部進(jìn)行的訪問，就此，結(jié)合您公司的虛擬化安全策略，您是怎么看待的？

RichardTing：虛擬化基礎(chǔ)設(shè)施對安全運(yùn)營的影響很大。

首先，虛擬基礎(chǔ)設(shè)施常常是動(dòng)態(tài)的。實(shí)時(shí)轉(zhuǎn)移技術(shù)允許虛擬機(jī)實(shí)時(shí)地從一個(gè)主機(jī)轉(zhuǎn)移到另一個(gè)主機(jī)。虛擬機(jī)在這樣一個(gè)環(huán)境里自動(dòng)移動(dòng)從而重新實(shí)現(xiàn)負(fù)載平衡，以減少電源消耗和硬件故障。虛擬基礎(chǔ)設(shè)施的運(yùn)行往往創(chuàng)建一個(gè)幾乎不斷變化的環(huán)境。

其次，虛擬化技術(shù)正在被運(yùn)營到應(yīng)用程序、服務(wù)器、存儲(chǔ)以及網(wǎng)絡(luò)等多個(gè)應(yīng)用當(dāng)中。虛擬化都把物理基礎(chǔ)設(shè)施隱藏在一個(gè)抽象層，并且提供邏輯實(shí)例的封裝。當(dāng)你查找一個(gè)故障或者一個(gè)安全報(bào)警根本原因的時(shí)候，你需要揭開這個(gè)面紗和查看虛擬化層后面的東西。這種事情說起來容易做起來難。

最后，因?yàn)樘摂M化可以讓管理員在很短的時(shí)間內(nèi)，虛擬地對以太服務(wù)器進(jìn)行控制，這樣縮短了服務(wù)器的生命周期，從而使服務(wù)去向無形的設(shè)備轉(zhuǎn)變。