【IT168 特稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天,在分会之“ISP & ICP安全”会上,中国电信集团网运部处长吴湘东表示,中国电信集团公司初步构建SOC平台架构,其集中化、自动化的安全功能以及配套的管理能力,使所管辖范围内关键系统网络安全管理水平和安全运维能力得到有效提升。
据了解,网络的全IP趋势,使得通信网络从功能层次结构上变得简单和扁平化,业务的种类和提供方式更加灵活多样;但随之而来的网络维护复杂度和潜在的安全风险也在与日俱增,给现有的运行维护模式带来了巨大挑战。
最后,吴湘东表示,未来全IP网络运行维护的难度会持续增加。以下是中国电信集团网运部处长吴湘东发言实录:
吴湘东:各位网友,上午好!
非常荣幸有机会来参加CNCERT组织的2009中国计算机网络安全应急年会。根据会议安排,我在这里向各位介绍中国电信对于“全业务环境下的网络安全运营”的思路、想法或实践,以及遇到的问题。
主要介绍分为三部分:一是全业务环境下的网络安全挑战;二是网络安全保障体系;三是网络安全运营实践。
对于运营商来讲,我们和很多安全厂商和很多客户关心的角度会有所区别,我们更多的关注基础业务网和基础承载网本身的安全性。
第一部分:中国电信全业务介绍。
以固网、互联网、信息化内容应用等产品为核心要素,捆绑移动元素,发挥CDMA技术优势,在全业务领域为客户提供更为便捷、丰富的综合信息服务。在融合业务方面主要是三大部分,一是通信本身的基础功能;二是内容服务;三是应用方面的内容。
目前,有非常多的接入方式,从几大运营商来讲,中国电信由于发展等原因采用的终端也是最多的,我在这里画了一个IP承载图,IP承载对于中国电信来讲面临巨大地挑战。无论从国内范围来看,还是从全球范围来看,在全IP的承载上,中国电信在全球也走得比较靠前。
网络的全IP趋势,使得通信网络从功能层次结构上变得简单和扁平化,业务的种类和提供方式更加灵活多样;但随之而来的网络维护复杂度和潜在的安全风险也在与日俱增,给现有的运行维护模式带来了巨大挑战。
1、现有维护模式的挑战。
第一、目前,网络的全IP化打破了传统的地域和专业划分边界,基于传统网络的三级维护管理体系及按照交换、数据、传输、光线等专业划分的运维模式加大了运行维护的难度,大大降低了故障定位和处理速度。
第二、全IP网络下的故障或安全事件,通常会导致短时间内故障影响迅速传播,最终演变成全网性故障,全IP网络运维需要比传统网络运维具有更快的反映速度和全程全网协作能力。
2、现有运行维护管理能力的挑战。
第一、IP网络的开放性和业务承载的灵活性,给网络维护管理及业务质量监测带来了巨大占。取法有效手段快速发现质量劣化问题和准确完成故障定位,现有网络管理手段很难判断网络故障对业务的影响。
第二,全IP网络使运营商对业务的控制力不断减弱,业务网络与承载网络的维护边界变得模糊,导致网络维护工作的精细化程度越来越高,越来越复杂。
3、现有运行维护队伍能力的挑战。
第一,网络的全IP化要求运行维护人员具备跨专业的知识和维护技能,需要加强跨业务的学习培训。
第二,IP技术的开放性使得网络和业务演进的速度不断加快,新技术层出不穷,维护人员需要不断面临新的技术难题和维护问题,必须持续花费时间及成本不断提高各级维护人员的维护水平,确保全程全网的运行维护。
二、全业务经营给网络安全带来新的挑战
1、承载网络IP化。
本身对于承载网络的IP化来讲,带来更大的问题是业务网络都承载在其上面,对于业务网络的各个层面通过一张网如何做隔离?从技术上如何在网络上影射出来是一个很大的挑战,一旦隔离不好会带来很大的问题。很多用户对电信运营商有一种期望值,如何保障这种期望值也是一个比较大的问题。
2、终端智能化。
利用电信网络的安全漏洞,容易造成业务滥用、攻击、安全威胁发生的可能性变得越来越大,移动终端智能化容易引入更多安全威胁,影响用户对电信业务的使用。
3、接入多样化。
业务用户接入方式多样,用户精细化管控更加困难。
4、电信设计通用化。
三、全业务网络安全风险分析。
1、终端。
终端存在大量安全漏洞,容易被攻击、控制,成为攻击其他目标的工具;引发垃圾邮件、蠕虫病毒、网络攻击等大量网络安全事件发生。
2、接入网。
无线接入开放性,信号可接受范围内的人都可能构成潜在的安全威胁;假冒AP,对用户数据安全造成威胁。
3、核心网。
大流量DDOS攻击对骨干网络的正常运营和用户业务造成影响;网络设备、协议存在着安全漏洞风险。公众业务全网规模已经达到一万计以上,如果再多的话,会带来网络安全的威胁性。
4、业务网络。
控制信令在IP网传输,解决IP网络固有安全风险;系统存在安全漏洞风险,业务数据被窃取或篡改。比如,在今年的安全检查中发现了一个最大的问题,即目前中间件。以前,做成一个应用系统以后,大多关注成品安不安全。现在,应用软件工具的漏洞也是一种威胁,如何处置这些威胁也值得思考。
5、IT支撑。
网管、计费、认证等信息完整性,私密性或破坏,更加担心病毒的破坏。
四、中国电信网络安全现状。
第一,IP网网络安全工作。
1、中国电信通过技术手段的建设以及制定相关安全工作规范和流程,在各专项安全工作方面取得了一定的成效,针对IP网中垃圾邮件、蠕虫病毒、网络设备安全漏洞、虚假源地址流量等常见安全问题得到了有效抑制和处理。
2、中国电信集团公司初步构建SOC平台架构,其集中化、自动化的安全功能以及配套的管理能力,使所管辖范围内关键系统网络安全管理水平和安全运维能力得到有效提升。
第二,网络安全保障任重道远。
1、外部网络安全依然严峻,电信网络的安全运营面临的是庞大的黑客团体的挑战。网络攻击经济利益驱动更明显,网络黑色产业链危及互联网安全。
2、外部威胁层出不穷,僵尸网络攻击日益猖獗。
3、安全漏洞呈上升趋势,给网络安全带来严重隐患。
4、针对骨干网络设备、网络支撑系统的供给数量显著增加。
第二,网络安全蝴蝶效应愈发明显,网络安全保障需要多方配合。(如5.19断网事件是典型的蝴蝶效应)
对于运营商来说,我们也会采取新的监控措施,对于异常情况也会采取特殊处理手段。