第二部分：网络安全保障体系。

　　一、网络安全工程建设。

　　1、通过网络设计与优化，保障网络内在的健壮性;

　　2、清晰划分网络业务、控制和管理平面，采用多种技术手段隔离管控、防范安全问题的扩散;

　　3、在各平面采用访问控制、身份认证、授权、审计、流量控制等多种防护手段加强平面内的安全性。

　　二、静态安全防护。

　　根据网络的安全建设需求，通过周期性的网络安全工程建设，实现静态网络安全防护。

　　三、动态安全运营。

　　通过安全检测、响应等安全基础设施以及相关安全管理组织、制定和流程的配套建设，实现网络运营过程的动态安全防护。中国电信的安全运营体系建设，通过技术手段在运营阶段的有效检控和分析，促进安全工程建设设计、实施和验收阶段安全需求的针对性;提升安全产品设施的管理水平和使用效能。

　　1、静态安全防护在控制平面主要是保障基础设施的安全;在管理平面主要保证通信设备使用的安全;在业务平面上面向用户系统采用MPLS等手段保障这些系统的正常运转。

　　2、承载网络安全。

　　网络平面分割，控制安全问题的影响范围;网络设备安全加固，这是一个最基础的措施;在用户接入控制方面采取更严厉的措施，站在运营商的角度非常希望网络实名制等手段的逐步实施，在用户接入控制做得更完善，或者说是有一些依据;路由安全在保障承载网安全方面会有一些措施;各大运营商都会对不同流量(垃圾流量、病毒流量)进行控制，做分层管控。

　　3、业务网络安全。

　　根据业务网络的不同分层监控，对应用安全和本身安全方面做一些措施。

　　4、IT支撑系统安全。

　　在这里提一个比较特别的地方，即灾备建设。在出现问题的时候，可能会采取牺牲低级别业务来保障高级别业务客户的设备使用，我们觉得他们可能更重要吧。

　　5、通过安全事件检测和响应等安全基础设施的建设，持续提升网络安全技术能力。

　　6、建立健全安全管理制度、流程，提升网络安全运营水平。

　　第三部分：网络安全运营实践。

　　一、网络安全运营体系建设。

　　配套完善SOC组织体系，建立健全SOC策略体系，持续稳步推进SOC平台建设，实现全业务网络安全运营。

　　通过建设SOC平台，实现全网安全可视可管可控;通过建设SOC实体机构，实现专业运营;通过制定标准化运作流程和管理制度，提高SOC运行效率。

　　二、网络安全运营管理范畴。

　　1、IP承载网、业务网络和业务支撑系统;

　　2、中国电信内部互联网应用网络和业务系统;

　　3、互联网接入用户有安全代维服务需求的电信网络接入用户。

　　加强网络安全防护能力，一是对病毒流量、虚假源地址流量进行过滤，在网络边缘部署相关策略，对病毒采取相应的措施。二是加强设备安全监控和管理。三是提高应急响应能力，有针对域名系统流程等方面的建立。

　　探索主动防御模式，一是研究和探索僵尸网络监测系统，同时对僵尸网络做一些处理。二是建立异常流量监测系统，及时定位攻击，并通过全网联动的防御体系保障重点客户的业务可用性。三是建立DNS安全分析监控系统，及时发现异常响应，保障业务科用性。

　　精细化管理，通过提高网络运营水平，根据安全代维和管理对象的重要性级别，进行侧重点不同的威胁管理和脆弱性管理。

　　发展可管理安全业务，从运营商角度来看，避免客户网络安全影响电信大网的安全;增加新的业务增长点;提升客户对电信基本业务的粘性和客户满意度，提升整体竞争力;对于用户来讲，低投入的情况下获得专业的安全业务，实现对重要系统的安全状态的可视和可控，实施效果和可行性将会好很多。

　　总之，中国电信做好充分准备来迎接全业务、全IP带来的挑战，互联网业务、IP网业务的概念是交叉在一起的，安全工作任重道远，还需要我们做更多的事情。正如昨天王局长所说的，对于互联网来说未知远远大于已知，大家一起探索更可行、有效的安全手段，我们也会在部里的指挥下把安全工作做好。

　　谢谢各位!

　　主持人闫宏强：吴处长您好，我有三个问题。您刚才提到全网IP维护挑战，我想问您，您认为这种挑战是在转型过程中存在的阵痛?还是它会长期存在的?比如，全IP的故障定位就比固网的故障定位要难。第二个问题是如果要培养的话，注重哪些方面的技术培养?是不是会引进相关的技术证书认证?第三个问题是请您再谈谈蜜罐问题。

　　吴湘东：站在我个人的角度来说比较乐观，全IP网络运行维护的难度会持续增加，但我觉得它谈不上是一种阵痛，应该是所有运营商，包括在座的所有人要努力提高的一种技能，对于互联网说，在下一代互联网的争论还没有定型的情况下，这就不能称之为阵痛了，如果超过了十年的话，就需要我们去努力提高掌控它的能力，这个过程可能会比较长。我在内部也讲，业务网络可能会变得越来越集中化，大家看交换机就知道，原来本地网都有交换机，现在都没有了，都是以省为单位进行监控，到一个国家是以国家为范围来部署它的业务网络，只能说这种变化对于运营商、安全厂商、终端厂商来讲，监控它的能力要跟随它的变化而提高。

　　说到安全人员的培训，从运营商的角度来说会有一点点区别，我们更多的会先面向大网的本身安全，再灌注大网安全的情况下去保障信息系统的安全，然后再去关心所有终端客户的安全性。按照这种级别来区分所谓的QS的话，我们关注的人员可能会先从网络册来进行安排，企业对认证应该会做一些试点吧。

　　蜜罐是在CNCERT的统一指挥领导下一起做的系统，本身也涉及到中国电信网络，尤其是固网宽带这一块儿目前的规模相对比较大，在中国电信延伸点、入户率相对比较高的情况下做的事情。

　　主持人闫宏强：中国电信运行着全球最大的一张IP网，在网络结构日趋复杂，业务种类繁多的情况下确实是一个很大的挑战，中国电信在极大地管理难度问题实行精细化管理、静态和动态结合的管理，应该说付出了很多的努力。中国电信把自身企业网的安全和互联网大环境安全，已经从思想上结合在一起，包括对垃圾邮件、病毒邮件进行过滤，是一个非常好的趋势，值得大家借鉴。