【IT168 特稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天,在分会之“ISP & ICP安全”会上,中国电信集团网运部处长吴湘东表示,中国电信集团公司初步构建SOC平台架构,其集中化、自动化的安全功能以及配套的管理能力,使所管辖范围内关键系统网络安全管理水平和安全运维能力得到有效提升。
据了解,网络的全IP趋势,使得通信网络从功能层次结构上变得简单和扁平化,业务的种类和提供方式更加灵活多样;但随之而来的网络维护复杂度和潜在的安全风险也在与日俱增,给现有的运行维护模式带来了巨大挑战。
最后,吴湘东表示,未来全IP网络运行维护的难度会持续增加。以下是中国电信集团网运部处长吴湘东发言实录:
吴湘东:各位网友,上午好!
非常荣幸有机会来参加CNCERT组织的2009中国计算机网络安全应急年会。根据会议安排,我在这里向各位介绍中国电信对于“全业务环境下的网络安全运营”的思路、想法或实践,以及遇到的问题。
主要介绍分为三部分:一是全业务环境下的网络安全挑战;二是网络安全保障体系;三是网络安全运营实践。
对于运营商来讲,我们和很多安全厂商和很多客户关心的角度会有所区别,我们更多的关注基础业务网和基础承载网本身的安全性。
第一部分:中国电信全业务介绍。
以固网、互联网、信息化内容应用等产品为核心要素,捆绑移动元素,发挥CDMA技术优势,在全业务领域为客户提供更为便捷、丰富的综合信息服务。在融合业务方面主要是三大部分,一是通信本身的基础功能;二是内容服务;三是应用方面的内容。
目前,有非常多的接入方式,从几大运营商来讲,中国电信由于发展等原因采用的终端也是最多的,我在这里画了一个IP承载图,IP承载对于中国电信来讲面临巨大地挑战。无论从国内范围来看,还是从全球范围来看,在全IP的承载上,中国电信在全球也走得比较靠前。
网络的全IP趋势,使得通信网络从功能层次结构上变得简单和扁平化,业务的种类和提供方式更加灵活多样;但随之而来的网络维护复杂度和潜在的安全风险也在与日俱增,给现有的运行维护模式带来了巨大挑战。
1、现有维护模式的挑战。
第一、目前,网络的全IP化打破了传统的地域和专业划分边界,基于传统网络的三级维护管理体系及按照交换、数据、传输、光线等专业划分的运维模式加大了运行维护的难度,大大降低了故障定位和处理速度。
第二、全IP网络下的故障或安全事件,通常会导致短时间内故障影响迅速传播,最终演变成全网性故障,全IP网络运维需要比传统网络运维具有更快的反映速度和全程全网协作能力。
2、现有运行维护管理能力的挑战。
第一、IP网络的开放性和业务承载的灵活性,给网络维护管理及业务质量监测带来了巨大占。取法有效手段快速发现质量劣化问题和准确完成故障定位,现有网络管理手段很难判断网络故障对业务的影响。
第二,全IP网络使运营商对业务的控制力不断减弱,业务网络与承载网络的维护边界变得模糊,导致网络维护工作的精细化程度越来越高,越来越复杂。
3、现有运行维护队伍能力的挑战。
第一,网络的全IP化要求运行维护人员具备跨专业的知识和维护技能,需要加强跨业务的学习培训。
第二,IP技术的开放性使得网络和业务演进的速度不断加快,新技术层出不穷,维护人员需要不断面临新的技术难题和维护问题,必须持续花费时间及成本不断提高各级维护人员的维护水平,确保全程全网的运行维护。
二、全业务经营给网络安全带来新的挑战
1、承载网络IP化。
本身对于承载网络的IP化来讲,带来更大的问题是业务网络都承载在其上面,对于业务网络的各个层面通过一张网如何做隔离?从技术上如何在网络上影射出来是一个很大的挑战,一旦隔离不好会带来很大的问题。很多用户对电信运营商有一种期望值,如何保障这种期望值也是一个比较大的问题。
2、终端智能化。
利用电信网络的安全漏洞,容易造成业务滥用、攻击、安全威胁发生的可能性变得越来越大,移动终端智能化容易引入更多安全威胁,影响用户对电信业务的使用。
3、接入多样化。
业务用户接入方式多样,用户精细化管控更加困难。
4、电信设计通用化。
三、全业务网络安全风险分析。
1、终端。
终端存在大量安全漏洞,容易被攻击、控制,成为攻击其他目标的工具;引发垃圾邮件、蠕虫病毒、网络攻击等大量网络安全事件发生。
2、接入网。
无线接入开放性,信号可接受范围内的人都可能构成潜在的安全威胁;假冒AP,对用户数据安全造成威胁。
3、核心网。
大流量DDOS攻击对骨干网络的正常运营和用户业务造成影响;网络设备、协议存在着安全漏洞风险。公众业务全网规模已经达到一万计以上,如果再多的话,会带来网络安全的威胁性。
4、业务网络。
控制信令在IP网传输,解决IP网络固有安全风险;系统存在安全漏洞风险,业务数据被窃取或篡改。比如,在今年的安全检查中发现了一个最大的问题,即目前中间件。以前,做成一个应用系统以后,大多关注成品安不安全。现在,应用软件工具的漏洞也是一种威胁,如何处置这些威胁也值得思考。
5、IT支撑。
网管、计费、认证等信息完整性,私密性或破坏,更加担心病毒的破坏。
四、中国电信网络安全现状。
第一,IP网网络安全工作。
1、中国电信通过技术手段的建设以及制定相关安全工作规范和流程,在各专项安全工作方面取得了一定的成效,针对IP网中垃圾邮件、蠕虫病毒、网络设备安全漏洞、虚假源地址流量等常见安全问题得到了有效抑制和处理。
2、中国电信集团公司初步构建SOC平台架构,其集中化、自动化的安全功能以及配套的管理能力,使所管辖范围内关键系统网络安全管理水平和安全运维能力得到有效提升。
第二,网络安全保障任重道远。
1、外部网络安全依然严峻,电信网络的安全运营面临的是庞大的黑客团体的挑战。网络攻击经济利益驱动更明显,网络黑色产业链危及互联网安全。
2、外部威胁层出不穷,僵尸网络攻击日益猖獗。
3、安全漏洞呈上升趋势,给网络安全带来严重隐患。
4、针对骨干网络设备、网络支撑系统的供给数量显著增加。
第二,网络安全蝴蝶效应愈发明显,网络安全保障需要多方配合。(如5.19断网事件是典型的蝴蝶效应)
对于运营商来说,我们也会采取新的监控措施,对于异常情况也会采取特殊处理手段。
第二部分:网络安全保障体系。
一、网络安全工程建设。
1、通过网络设计与优化,保障网络内在的健壮性;
2、清晰划分网络业务、控制和管理平面,采用多种技术手段隔离管控、防范安全问题的扩散;
3、在各平面采用访问控制、身份认证、授权、审计、流量控制等多种防护手段加强平面内的安全性。
二、静态安全防护。
根据网络的安全建设需求,通过周期性的网络安全工程建设,实现静态网络安全防护。
三、动态安全运营。
通过安全检测、响应等安全基础设施以及相关安全管理组织、制定和流程的配套建设,实现网络运营过程的动态安全防护。中国电信的安全运营体系建设,通过技术手段在运营阶段的有效检控和分析,促进安全工程建设设计、实施和验收阶段安全需求的针对性;提升安全产品设施的管理水平和使用效能。
1、静态安全防护在控制平面主要是保障基础设施的安全;在管理平面主要保证通信设备使用的安全;在业务平面上面向用户系统采用MPLS等手段保障这些系统的正常运转。
2、承载网络安全。
网络平面分割,控制安全问题的影响范围;网络设备安全加固,这是一个最基础的措施;在用户接入控制方面采取更严厉的措施,站在运营商的角度非常希望网络实名制等手段的逐步实施,在用户接入控制做得更完善,或者说是有一些依据;路由安全在保障承载网安全方面会有一些措施;各大运营商都会对不同流量(垃圾流量、病毒流量)进行控制,做分层管控。
3、业务网络安全。
根据业务网络的不同分层监控,对应用安全和本身安全方面做一些措施。
4、IT支撑系统安全。
在这里提一个比较特别的地方,即灾备建设。在出现问题的时候,可能会采取牺牲低级别业务来保障高级别业务客户的设备使用,我们觉得他们可能更重要吧。
5、通过安全事件检测和响应等安全基础设施的建设,持续提升网络安全技术能力。
6、建立健全安全管理制度、流程,提升网络安全运营水平。
第三部分:网络安全运营实践。
一、网络安全运营体系建设。
配套完善SOC组织体系,建立健全SOC策略体系,持续稳步推进SOC平台建设,实现全业务网络安全运营。
通过建设SOC平台,实现全网安全可视可管可控;通过建设SOC实体机构,实现专业运营;通过制定标准化运作流程和管理制度,提高SOC运行效率。
二、网络安全运营管理范畴。
1、IP承载网、业务网络和业务支撑系统;
2、中国电信内部互联网应用网络和业务系统;
3、互联网接入用户有安全代维服务需求的电信网络接入用户。
加强网络安全防护能力,一是对病毒流量、虚假源地址流量进行过滤,在网络边缘部署相关策略,对病毒采取相应的措施。二是加强设备安全监控和管理。三是提高应急响应能力,有针对域名系统流程等方面的建立。
探索主动防御模式,一是研究和探索僵尸网络监测系统,同时对僵尸网络做一些处理。二是建立异常流量监测系统,及时定位攻击,并通过全网联动的防御体系保障重点客户的业务可用性。三是建立DNS安全分析监控系统,及时发现异常响应,保障业务科用性。
精细化管理,通过提高网络运营水平,根据安全代维和管理对象的重要性级别,进行侧重点不同的威胁管理和脆弱性管理。
发展可管理安全业务,从运营商角度来看,避免客户网络安全影响电信大网的安全;增加新的业务增长点;提升客户对电信基本业务的粘性和客户满意度,提升整体竞争力;对于用户来讲,低投入的情况下获得专业的安全业务,实现对重要系统的安全状态的可视和可控,实施效果和可行性将会好很多。
总之,中国电信做好充分准备来迎接全业务、全IP带来的挑战,互联网业务、IP网业务的概念是交叉在一起的,安全工作任重道远,还需要我们做更多的事情。正如昨天王局长所说的,对于互联网来说未知远远大于已知,大家一起探索更可行、有效的安全手段,我们也会在部里的指挥下把安全工作做好。
谢谢各位!
主持人闫宏强:吴处长您好,我有三个问题。您刚才提到全网IP维护挑战,我想问您,您认为这种挑战是在转型过程中存在的阵痛?还是它会长期存在的?比如,全IP的故障定位就比固网的故障定位要难。第二个问题是如果要培养的话,注重哪些方面的技术培养?是不是会引进相关的技术证书认证?第三个问题是请您再谈谈蜜罐问题。
吴湘东:站在我个人的角度来说比较乐观,全IP网络运行维护的难度会持续增加,但我觉得它谈不上是一种阵痛,应该是所有运营商,包括在座的所有人要努力提高的一种技能,对于互联网说,在下一代互联网的争论还没有定型的情况下,这就不能称之为阵痛了,如果超过了十年的话,就需要我们去努力提高掌控它的能力,这个过程可能会比较长。我在内部也讲,业务网络可能会变得越来越集中化,大家看交换机就知道,原来本地网都有交换机,现在都没有了,都是以省为单位进行监控,到一个国家是以国家为范围来部署它的业务网络,只能说这种变化对于运营商、安全厂商、终端厂商来讲,监控它的能力要跟随它的变化而提高。
说到安全人员的培训,从运营商的角度来说会有一点点区别,我们更多的会先面向大网的本身安全,再灌注大网安全的情况下去保障信息系统的安全,然后再去关心所有终端客户的安全性。按照这种级别来区分所谓的QS的话,我们关注的人员可能会先从网络册来进行安排,企业对认证应该会做一些试点吧。
蜜罐是在CNCERT的统一指挥领导下一起做的系统,本身也涉及到中国电信网络,尤其是固网宽带这一块儿目前的规模相对比较大,在中国电信延伸点、入户率相对比较高的情况下做的事情。
主持人闫宏强:中国电信运行着全球最大的一张IP网,在网络结构日趋复杂,业务种类繁多的情况下确实是一个很大的挑战,中国电信在极大地管理难度问题实行精细化管理、静态和动态结合的管理,应该说付出了很多的努力。中国电信把自身企业网的安全和互联网大环境安全,已经从思想上结合在一起,包括对垃圾邮件、病毒邮件进行过滤,是一个非常好的趋势,值得大家借鉴。