运营商网络安全需主动防御

全业务运营下，网络和信息安全的管理工作成为一个重要问题，落实安全等级防护要求，成为我国信息通信产业的迫切要求。据悉，三家电信运营商中，只有中国移动有专门的网络安全管理部门。业界专家建议中国电信和中国联通的网络信息安全管理“要实体化，不能虚化”。　　本刊记者 李新苗　　被访人：中国电信股份有限公司北京研究院网络业务研究部高级工程师 赵阳　　思科系统(中国)网络技术有限公司安全产品事业部技术专家 郭庆　　Hillstone山石网科副总裁 赵彦利　　东软网络安全产品营销中心资深技术顾问 刘欣宇　　通信世界：当前在电信运营商的网络信息安全方面表现出来哪些趋势和特点？　　赵阳：目前的一个发展趋势是，在大网信息安全上，电信运营商已经开始使用等级保护系统。在4月16日贵刊召开的“2009通信网络和信息安全高层论坛”中，工业和信息化部通信保障局的熊四皓副局长指出，等级保护系统已经成为常态化工作，这说明，网络安全的防护工作日益重要，且已提到日常工作中来。　　就中国电信而言，当前主要应用于中国安全服务领域，借助等级保护制度延伸对政企客户、集团客户和个体客户等的服务。　　郭庆：我认为当前电信运营商的网络安全具有如下新特点：运营商3G全业务标志着网络全面IP化与移动互联网时代的起航，手机上网将导致“好”“坏”信息更及时传递到移动中的个人，除了众所周知的DDOS、僵尸木马等威胁，还出现了利用WAP网关协议漏洞为用户强行定制业务造成的经济损失和社会不良影响，以及盗用账户口令等的新型经济犯罪。　　安全建设需要契机，2008年中国电信抓住奥运安保需求及时在骨干、城域网全面部署Anti-DDOS服务，不到半年收回全部投资，为久谈未果的安全增值服务探索出一条明路。今年僵尸网络、木马成为新的技术威胁手段，谁先将它成功转化为Anti-Botnet服务，谁就再一次占得了先机。　　NOC与SOC二合一是电信网络安全管理建设的新趋势，安全设备作为标准“网元”融入网络安全管理是新的方向。新一代的SOC建设将直接支持前台的业务销售，如针对大客户异常报警、攻击报警、带宽分布等，甚至还能联动威胁处理中心。　　刘欣宇：电信运营商作为中国最早接触网络技术的行业，对网络安全的理解在通用行业处于领先地位。随着安全技术的飞速发展和电信行业对网络安全需求的不断提升，电信运营商已经把越来越多的安全技术应用到网络中。通过这么多年的努力，电信运营商行业已经具备了相对完善的安全保障体系。但随着技术的发展，还需不断的提升，以帮助企业创造更大的价值。　　通信世界：当前电信运营商的网络安全难点或亟待解决的问题是什么？目前电信运营商在网络安全和信息安全方面有哪些需求？　　刘欣宇：随着网络IP化技术的日趋发展，网络IP化的成熟程度直接决定了固话和移动宽带的性能和稳定性。相对于固网，移动网络的优势在于可以随时随地自由获取固网通信所提供的服务，但如今移动网络业务的单一性已经使得这一优势不那么突出，对于移动运营商来说，最直接的结果是严重降低利润，“增量不增收”已经成为困扰电信企业的首要问题。　　赵彦利：根据我们的实践经验，中国移动公司在各个营业厅和代办点接入BOSS网时主要有以下几个方面的需求。第一，保障BOSS网不受各营业厅/代办点的影响。在营业厅和代办点发生安全事故时，提供手段可将营业厅的网络与BOSS网络进行隔离，同时提供对安全事件进行诊断、排除故障的手段。第二，对营业厅和代办点业务人员的访问进行认证和审计。中国移动公司BOSS系统必须对其操作人员进行身份认证，要求操作人员身份合法，并且要求记录哪个操作人员在什么时间访问了哪些服务器。第三，要求地市的网管有权限对认证系统进行维护和管理。通过省中心的网管对市中心网管进行授权后，地市的网管人员对认证系统进行维护和管理。个别营业直接接入到省中心BOSS网，其认证系统直接由省中心网管人员进行管理和维护。　　通信世界：萨班斯法案对网络安全产品的能力也提出了新的要求，具体情况是怎样的？　　赵彦利：中国的萨班斯法案还未出台，但美国SOX404法案是为了保障股民的利益，具体体现在对上市企业信息的管理和防止数据外泄及篡改方面。这些都需要网络防护基础之上的安全建设。　　现有的安全产品例如防火墙，对于访问的记录都是基于IP地址的，其日志记录的内容很难满足萨班斯法案的要求。所以，不论是应用系统还是安全系统都需要做到以“人”为本。从审计角度来说，要在安全时间或者访问记录中落实到具体的负责人而不是“IP地址”。　　通信世界：云计算、虚拟化时代来临，在信息应用和内容管控等方面，应如何加大信息时代全网安全的管理？　　刘欣宇：对于电信运营商这类“大网”来说，可以分4个层面做安全防护：一是网络本身，我们可以通过安全域的划分使网络的结构趋于合理，安全域趋于合理；二是系统本身，各类设备自身要具备相当的安全机制，定期做设备的评估和加固；三是网络安全体系的建设，通过防火墙、IDS、IPS、异常流量分析和响应系统等提供基础防护手段；四是建立全网的IT安全运维平台，在基础防护的机制下，使得全网安全体系形成一个真正的整体，保证全网安全的管理便利性和高效性。