全业务运营下,网络和信息安全的管理工作成为一个重要问题,落实安全等级防护要求,成为我国信息通信产业的迫切要求。据悉,三家电信运营商中,只有中国移动有专门的网络安全管理部门。业界专家建议中国电信和中国联通的网络信息安全管理“要实体化,不能虚化”。
被访人:
中国电信股份有限公司北京研究院网络业务研究部高级工程师 赵阳
思科系统(中国)网络技术有限公司安全产品事业部技术专家 郭庆
Hillstone山石网科副总裁 赵彦利
东软网络安全产品营销中心资深技术顾问 刘欣宇
通信世界:当前在电信运营商的网络信息安全方面表现出来哪些趋势和特点?
赵阳:目前的一个发展趋势是,在大网信息安全上,电信运营商已经开始使用等级保护系统。在4月16日贵刊召开的“2009通信网络和信息安全高层论坛”中,工业和信息化部通信保障局的熊四皓副局长指出,等级保护系统已经成为常态化工作,这说明,网络安全的防护工作日益重要,且已提到日常工作中来。
就中国电信而言,当前主要应用于中国安全服务领域,借助等级保护制度延伸对政企客户、集团客户和个体客户等的服务。
郭庆:我认为当前电信运营商的网络安全具有如下新特点:运营商3G全业务标志着网络全面IP化与移动互联网时代的起航,手机上网将导致“好”“坏”信息更及时传递到移动中的个人,除了众所周知的DDOS、僵尸木马等威胁,还出现了利用WAP网关协议漏洞为用户强行定制业务造成的经济损失和社会不良影响,以及盗用账户口令等的新型经济犯罪。
安全建设需要契机,2008年中国电信抓住奥运安保需求及时在骨干、城域网全面部署Anti-DDOS服务,不到半年收回全部投资,为久谈未果的安全增值服务探索出一条明路。今年僵尸网络、木马成为新的技术威胁手段,谁先将它成功转化为Anti-Botnet服务,谁就再一次占得了先机。
NOC与SOC二合一是电信网络安全管理建设的新趋势,安全设备作为标准“网元”融入网络安全管理是新的方向。新一代的SOC建设将直接支持前台的业务销售,如针对大客户异常报警、攻击报警、带宽分布等,甚至还能联动威胁处理中心。
刘欣宇:电信运营商作为中国最早接触网络技术的行业,对网络安全的理解在通用行业处于领先地位。随着安全技术的飞速发展和电信行业对网络安全需求的不断提升,电信运营商已经把越来越多的安全技术应用到网络中。通过这么多年的努力,电信运营商行业已经具备了相对完善的安全保障体系。但随着技术的发展,还需不断的提升,以帮助企业创造更大的价值。
通信世界:当前电信运营商的网络安全难点或亟待解决的问题是什么?目前电信运营商在网络安全和信息安全方面有哪些需求?
刘欣宇:随着网络IP化技术的日趋发展,网络IP化的成熟程度直接决定了固话和移动宽带的性能和稳定性。相对于固网,移动网络的优势在于可以随时随地自由获取固网通信所提供的服务,但如今移动网络业务的单一性已经使得这一优势不那么突出,对于移动运营商来说,最直接的结果是严重降低利润,“增量不增收”已经成为困扰电信企业的首要问题。
赵彦利:根据我们的实践经验,中国移动公司在各个营业厅和代办点接入BOSS网时主要有以下几个方面的需求。第一,保障BOSS网不受各营业厅/代办点的影响。在营业厅和代办点发生安全事故时,提供手段可将营业厅的网络与BOSS网络进行隔离,同时提供对安全事件进行诊断、排除故障的手段。第二,对营业厅和代办点业务人员的访问进行认证和审计。中国移动公司BOSS系统必须对其操作人员进行身份认证,要求操作人员身份合法,并且要求记录哪个操作人员在什么时间访问了哪些服务器。第三,要求地市的网管有权限对认证系统进行维护和管理。通过省中心的网管对市中心网管进行授权后,地市的网管人员对认证系统进行维护和管理。个别营业直接接入到省中心BOSS网,其认证系统直接由省中心网管人员进行管理和维护。
通信世界:萨班斯法案对网络安全产品的能力也提出了新的要求,具体情况是怎样的?
赵彦利:中国的萨班斯法案还未出台,但美国SOX404法案是为了保障股民的利益,具体体现在对上市企业信息的管理和防止数据外泄及篡改方面。这些都需要网络防护基础之上的安全建设。
现有的安全产品例如防火墙,对于访问的记录都是基于IP地址的,其日志记录的内容很难满足萨班斯法案的要求。所以,不论是应用系统还是安全系统都需要做到以“人”为本。从审计角度来说,要在安全时间或者访问记录中落实到具体的负责人而不是“IP地址”。
通信世界:云计算、虚拟化时代来临,在信息应用和内容管控等方面,应如何加大信息时代全网安全的管理?
刘欣宇:对于电信运营商这类“大网”来说,可以分4个层面做安全防护:一是网络本身,我们可以通过安全域的划分使网络的结构趋于合理,安全域趋于合理;二是系统本身,各类设备自身要具备相当的安全机制,定期做设备的评估和加固;三是网络安全体系的建设,通过防火墙、IDS、IPS、异常流量分析和响应系统等提供基础防护手段;四是建立全网的IT安全运维平台,在基础防护的机制下,使得全网安全体系形成一个真正的整体,保证全网安全的管理便利性和高效性。
