【IT168 特稿】11月6日至7日,由人民邮电报社、中国信息产业网主办,埃普威承办的“2009中国通信行业网络信息安全峰会(第四届)”在北京举行,400余名专业人士参会,围绕业界关注的网络信息安全热点问题进行了深入探讨。与会专家认为,在3G和全业务时代,业界应进一步提高对网络信息安全工作的重视,加强产业合作共同应对网络信息安全挑战。
在为期两天的会议上,来自工业和信息化部、公安部、中国信息安全认证中心、国家计算机网络应急技术处理协调中心、中国移动、中国电信、中国联通、电信研究院等部门与机构的专家发表了精彩演讲。同时,大会还邀请了通信行业网络信息安全建设的主流厂商,如:华为、RSA、赛门铁克、联想ThinkPad、绿盟、启明星辰、东软、Citrix思杰、安域领创等,围绕今年的热点网络信息安全问题进行了探讨。
通信行业网络信息安全进入快速建设、深入发展的新阶段
今年,我国通信行业的网络信息安全建设走过了不平凡的一年:通信行业圆满完成国庆60周年通信安全保障任务,工业和信息化部正式发布《通信网络安全防护监督管理办法(征求意见稿)》,工业和信息化部信息安全协调司和通信保障局加快加大网络安全行业调研、管理与促进工作,三大运营商网络安全防护体系建设取得更大成绩。纵观全年和明年的发展趋势,通信行业网络信息安全工作已经进入一个快速建设、深入发展的新阶段。
同时,随着互联网广泛深入渗透到人们生活和社会生产各个领域,网络与信息安全问题日益突出,已成为世界各国普遍关注的问题。近年来,政府在加强网络与信息安全管理方面做了大量的工作,取得了积极的成效,但是任务依然艰巨繁重,今后要继续坚持积极发展、加强管理、趋利避害、为我所用的原则,坚持发展与管理并重,继续加强网络与信息安全管理。
目前,3G与全业务运营面临深入发展,前三季度中国移动、中国电信、中国联通三家企业已经完成3G投资961亿元,所以本次研讨会主题定为“网络信息安全保障3G与全业务运营”,具有重要的现实意义。围绕这个主题,与会专家进行了深入而又热烈的讨论,并达成了几点共识。
第一,在推进3G和全业务运营过程中,需进一步加大网络信息安全建设投入力度,提升通信信息品质和安全性,提升客户体验。截至9月底,全国电话用户总数达到10.4亿:固定电话用户3.2亿,移动电话用户7.2亿;互联网网民达到3.6亿,其中互联网宽带用户达到9933万。特别是随着3G和移动互联网信息安全建设投入力度,提升通信信息品质和安全性,提升客户体验非常重要和紧迫。
第二,深入“两化”融合的服务需求,进一步加强网络信息安全服务。当前,融合创新成为全球通信业发展的趋势,成为重要的发展方向,我们要把握这个机遇,加快融合创新,拓宽发展思路,进一步提高我国信息通信业的综合实力,深入“两化”融合的服务需求,充分发挥信息通信技术的优势,为工业发展提供全面、适用、可靠的信息化解决方案,其中,运营商整合产业链,向各行业提供网络信息安全服务成为大势所趋。
第三,应对安全挑战,加强产业链交流。随着网络信息安全对于通信行业的重要性和紧迫性越发突出,大力加强产业链各方的交流,形成定期论坛交流机制成为行业共识。
保障3G与全业务运营,大会精彩视点:
运营商关注热点一:安全的移动互联网与可信网络
移动互联网目前发展迅猛,作为定位于一个开放的信息承载网络,向固定用户和移动用户在内的所有用户提供IP电话、电子邮件、Web业务、FTP业务、电子商务等业务、WAP业务、基于位置信息的业务、短消息结合业务等具有移动特色的因特网服务,移动互联网的安全性越来越受到通信行业的重视。
中国移动通信集团设计院副院长兼总工程师张同须发表题为《高可信网络与互联网安全》的主题演讲,从可信网络的概念、要素、架构入题,结合中国移动全业务运营的策略,高屋建瓴、具可操作性的对移动互联网的安全进行了描述,指出移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面,包含外部威胁和内部管控、第三方管理等多个方位的安全需求,因此应全面考虑不同层面、多个方位的立体防护策略。还从移动互联网的定位、安全域划分、建设原则、建设阶段等全面的解析了中国移动的移动互联网安全规划和建设策略。
同时,对于通信行业重点关注的可信网络,张院长也进行了精彩的论述,在可信网络中,网络系统的行为及其结果可预期和评估、行为状态可监控、异常行为可控制。实现可信网络,需要提供可靠的安全服务体系结构、保障网络服务的可生存性、提供强大的监控能力。得到了与会代表的共鸣和热烈反响。
运营商关注热点二:运营商发挥网络优势,面向外部提供安全服务
深入“两化”融合的服务需求,充分发挥信息通信技术的优势,为工业发展提供全面、适用、可靠的信息化解决方案,其中,运营商整合产业链,向各行业提供网络信息安全服务成为大势所趋。在欧美,根据DataMonitor的数据,安全管理服务从2004年到2008年每年增长率约为27%。同时,安全管理服务已成为ISP抢占企业客户的杀手锏、安全服务商逐渐集中于电信运营商和安全厂商。据埃普威研究分析,目前国内安全服务市场已经成熟,并具备规模化运营的条件,而运营商具备开始安全服务的先天优势,目前中国电信、中国联通等运营商已经形成了成熟的4大类安全服务业务:包括信息安全运营维护保障服务、信息安全风险评估服务、信息安全规划服务以及信息安全实施服务。信息安全服务发展势头强劲,行业、政府、大企业需求潜力巨大,将成为我国电信运营市场增长最快的业务之一。
中国联通集团中网威信电子安全服务有限公司产品开发部王炳辉总经理发表题为《发挥运营商资源优势,开展中国联通网络信息安全外包服务》的主题演讲。以网络安全服务市场开题,结合中国联通的网络优势和政府政策的大力支持,全面开展外包服务业务。并介绍了其在信息安全服务方面取得的成绩。来自中国电信集团系统集成有限责任公司安全服务部的副经理郭亮发表题为《中国电信安全运营服务业务体系架构》的主题演讲。郭亮从当前运营商服务的背景出发,谈及业务发展的阶段和思路,从资源优势和可展开的安全服务着手,邀请产业链各方,特别是安全研究机构和厂商一起加入到中国电信全业务运营下的安全服务。
运营商关注热点三:最新电信行业安全热点探析与解决之道
云安全,缔造和谐信息世界
华为作为本峰会连续四届首要合作伙伴,为长期保障通信行业网络信息安全工作做出了卓越贡献。会上,华为存储与网络安全产品研究部部长孙志敏先生指出:目前全球网络信息安全威胁有三大趋势:一是全球安全威胁急剧增长;二是安全攻击产业化发展;三是WEB安全成为重中之重。应对这些趋势,华为和与会代表分享了华为云安全思考与实践,详细阐述了通过华为全球部署的采集设备,实时获得网络流量,通过先进的网络流量分析技术和动态扫描技术,实时检测网络中的威胁,并使用全球安全中心实现安全数据的共享和交换,构建华为的云安全体系。
与会代表普遍认为,华为云安全实现全方位端到端防御,支撑运营商大力推广的安全增值服务,提升IDC主机信誉度,保障运营商的安全稳定运营。
华为另外两名资深安全专家还获邀在“僵尸网络”、“城域网安全”、“Web应用安全”等运营商最关注领域进行深入探析,分享了华为领先的解决方案。
云计算与云安全非常好的实践
云安全的建立,需要四方面的基础包括:1、需要海量的客户端(安全云端的建立);2、需要专业的安全技术和经验(云中不仅仅是“水”);3、需要大量的资金和技术投入;4、可以是开放的系统,允许合作伙伴的加入。
赛门铁克作为安全、存储等领域的全球领先者,由高级系统架构师雷冲发表了《与您共享云安全非常好的实践》的精彩主题演讲。从云计算技术分析、服务模式建立、云安全保障等方面分享在云计算、云安全、网络安全等领域的前沿优势,为企业和运营商提供高可靠的网络安全保障。
运营商安全增值业务创新
运营商安全增值业务,从国内外的情况来看,具体分成几个领域:内容安全服务、实时监控服务、防火墙服务、企业恢复服务、邮件安全服务、储存安全服务、防DDOS服务、入侵检测服务、安全认证服务等。安全增值业务创新,其实是整体安全解决方案的创新。
RSA大中华区高级信息安全系统架构师司马丽维发表了题为《助力运营商安全增值创新:电信安全增值服务解决方案》的演讲,分享了基于风险管理的安全体系架构为企业提供了一套可视化、全方位的信息安全解决方案。RSA针对业务需求层面,在安全运维管理、审计、数据保护、认证、防欺诈、虚拟化安全、存储安全等方面提供了基于风险管理的低成本、高可见度、端到端安全解决方案,《财富 500 强》中 90% 以上的企业选定RSA作为安全保护合作伙伴。
创新安全技术提供全方位PC终端安全防护
PC终端是网络信息安全管理体系中的关键部分,据联想大中华区商用事业部技术总监岳小芥介绍,作为PC行业终端安全领域的倡导者和践行者,联想ThinkPad多年来不断致力于为商业用户提供简单、实用的笔记本安全解决方案,以满足商业用户对成本、效率、管理和安全的需求:ThinkPad于2001年就在业界率先使用了内嵌安全芯片技术;在2004年又首先推出了生物加密技术的配备了指纹识别器的笔记本,以及密码管理器,带智能卡的USB 键盘等一系列业界领先的安全技术。
除此之外,ThinkPad还能提供给客户随需应变的安全构架,以及包括APS(主动硬盘保护)技术, R&R(应急与恢复系统)技术等在内的一系列联想独有的TVT 安全软件组合。更于今年在ThinkPad旗舰新品T400s系列上创新了指纹开机功能。用户可以用刷指纹代替以往的电源开机按钮,快速进入桌面系统。这些创新安全技术组合在一起不但成就了联想ThinkPad笔记本电脑的高安全性,也使得ThinkPad成为了业界唯一能够提供完整硬件和软件安全解决方案的笔记本电脑品牌,能够帮助商业用户在越来越复杂的商业环境中实现更高的可管理性和安全性。
省运营商安全实践和思考
省运营商站在网络安全建设的第一线,其真知灼见与实践非常有针对性。
中国移动通信集团安徽公司信息系统部的张磊总经理发表题为《构建健康、稳定、安全的支撑网运营环境》的主题演讲。张磊从地方运营商面临的安全形势和已经采取的措施出发,结合案例,分享了安徽移动在安全问题上的实践和取得的成绩,以科学发展观的态度面对未来信息安全的建设。
中国电信上海公司信息网络部的陈磊发表题为《电信运营商在安全领域的挑战及应对》为主题的演讲。陈磊以网络安全新形势为出发点,强调建立整套网络安全的防护体系的迫切性和重要性,建立安全预警和防护机制,从而为云计算、新业务和应用开发提供安全稳定的网络。
运营商WEB门户网站安全应对与防护
根据Gattner的数据分析, 80%基于WEB的应用或多或少都存在安全问题,其中很大一部分是相当严重的问题。WEB 应用系统的安全性越来越引起人们的高度关注,绿盟资深方案技术总监田民提醒运营商需在门户上应有综合整体防护体系的安全策略,并就运营商WEB门户网站安全防护进行了全面的分析,针对现阶段运营商门户网站安全威胁及其根源,从WEB应用生命周期的角度出发,遵循WEB应用的生命周期分析各个阶段存在的安全隐患,提出建立事前(防患于未然)、事中(攻防之关键)、事后(最后的防线)的综合整体防护体系,实现运营商网站的分阶段、多层面的全面防护,充分保障门户网站安全。并在运营商实际部署中取得了良好的效果。绿盟科技是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司之一。
探析3G业务安全,掌控安全风险
随着3G的普及,各种手机新业务在为用户带来便捷性的同时,如何保护他们在虚拟空间中的安全、如何有效监管、如何创造阳光绿色的安全环境,将对运营商、服务内容提供商、移动互联网企业、终端厂商提出更高的要求。整个产业链在获得极大机遇的同时,将面临更大的挑战,而安全问题首当其冲。启明星辰首席战略官潘柱廷发表题为《反思与变易:用例方法实解电信运营商的风险立方体》的主题演讲,潘柱廷深刻揭示了各种各样不断出现的网络安全问题与现象,从威胁与应对、风险与可控等方面探讨解决之道。启明星辰作为民族信息安全的旗舰厂商,成立十三年来凭借具有完全自主知识产权的安全产品、实力雄厚的研究团队和高效的科技市场结合能力得到了通信运营商的充分肯定。在3G创新化业务开展如火如荼之际,启明星辰以技术创新、客户需求为导向,为运营商的3G业务安全提供坚实的后盾,保障3G新业务的顺利推广。
运营商信息安全整体部署实施策略
东软作为国内知名的信息安全厂商,近年来成立专门的解决方案验证中心,致力于信息安全整体部署实施策略效果的研究。“平台化”和”中国式”逐渐成为了当前实施策略的主要研究内容。电信速度下的瓶颈需要“中国式”的智慧来解决,让瓶颈促生更有智慧的安全产品。东软凭借全系列完全自主知识产权的信息安全产品与服务,会继续提供更多充满创新智慧的电信运营商信息安全解决方案。会议期间,东软集团股份有限公司网络安全产品营销中心技术总监曹鹏给大家带来精彩的演讲——《谁制造了电信速度下的安全瓶颈》,同时东软向客户展示了NetEye明星产品—网络流量分析与响应系统(NTARS),让与会运营商代表对东软安全的网络流量分析与响应系统(NTARS)有了更深入、全面的认识。
虚拟化构建的集中与交付的架构,实现更深层次安全性
安全本质上是一种服务,是对现有业务的保驾护航,目前,虚拟化集中体系的好处在安全上越发得到体现:数据被保留在数据中心,前台设备与操作和实际数据彼此隔离,虚拟化传输使实际数据和网络隔离,避免了网络安全风险,而且实现了对终端的细致监测。大大提高了业务连续性与管理效率。思杰系统(Citrix System)大中华区产品及市场总监陶欣发表题为《构建随业务而动的虚拟化IT新架构》的主题演讲,陶欣以IT视角理解安全的问题,并指出:虚拟化构建的集中与交付的架构,是基于业务的、是可靠的、是灵活的,是一种更深层次的安全。作为全球领先的虚拟化及应用交付基础架构厂商,思杰系统公司(Citrix Systems)在全球为数百万用户简化计算,以按需服务的方式向使用任何设备的任何用户随时随地交付应用。近年来,思杰在中国市场以其端到端虚拟化解决方案满足了中国企业不断变化的业务及市场需求并提高投资回报率;得到了包括广东移动,惠州移动等电信以及众多行业客户的认同。
借助专业扫描工具,轻松应对WEB应用安全
目前在web应用层存在非常高的安全风险。发现并确定这些web应用的安全漏洞,诸如SQL注入、跨站脚本攻击、网络木马、数据库信息泄露等,普遍流行的方式是借助一个能够对应用层漏洞进行深度挖掘和验证的专业工具,通过工具能够对主流数据库进行安全配置审计,对应用逻辑进行勾画,还原SSL数据流,进行深度的安全分析等。
2009年三大运营商在WEB应用安全领域,均加大了投入力度,本次峰会特设WEB应用安全专场,针对Web-数据库构架应用系统中典型安全漏洞及流行的攻击技术进行了深入的探析,业界WEB安全主流扫描工具WebRavor拥有者安域领创公司,现场演示了该产品基于渗透性测试的方法,实现对Web 应用的深度漏洞探测,帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全、可靠的Web 应用服务。该工具已经在中国移动、中国电信、中国联通进行了非常成功的部署。
2009年度通信行业网络信息安全优秀解决方案一览
作为每届峰会的重头戏,本届峰会一如既往组织运营商专家,共同评选并推荐通信行业网络信息安全优秀解决方案。本年度方案包括:
《深度分析——抵制网络黑色潜流——华为公司僵尸网络检测解决方案》、《为运营商打造疏而不漏的终端安全管理平台——华为公司终端安全管理解决方案》、《赛门铁克一个安全的终端也是受到妥善管理的终端解决方案》、《赛门铁克的新一代防病毒技术解决方案》、《RSA SecurID 认证令牌解决方案》、《RSA enVision安全和信息事件管理解决方案》、《客户端安全网络安全的大前提——联想ThinkPad全面安全解决方案》、《绿盟整治低俗内容安全审计解决方案》、《绿盟运营商门户网站安全解决方案》、《启明星辰适用于电信运营商的集中帐号管理系统解决方案》、《启明星辰基于天玥网络安全审计系统(堡垒机)的运维行为综合审计解决方案》、《Citrix思杰电信运营营业厅安全快速扩展解决方案》、《东软电信运营商安全运维平台(SOC)解决方案》和《WebRavor安域领创运营商Web应用安全解决方案》。
更多详情请参考第四届2009通信行业网络信息安全峰会官方网站专题:http://www.epnovo.com/20091106/