中国电信集团网络安全实验室技术负责人金华敏
各位领导、各位专家、各位来宾,大家中午好!今天我要跟大家分享的主题是电信网络安全建设。主要介绍电信运营商在网络安全方面的一些实践,建设的思路还有未来一些工作的设想。
我今天的介绍内容主要包括五个部分。首先介绍IP网络安全对于电信运营商的重要性。接着介绍电信运营商的安全视点,主要分析对于电信IP网络来说,应该进行哪些方面的一些安全能力的建设。第三是IP网安全现状分析,主要介绍现在电信IP网面临的一些安全问题以及目前的工作重点。第四方面是网络安全工作思路,主要介绍电信运营商在IP承载网安全以及DDOS攻击的防护、垃圾邮件处理这些专项工作中已经做的事情,以及取得的成效,最后简单介绍一下SOC体系的建设思路。
我们首先来看一下网络安全的定义,从这个定义可以看到对于电信运营商来说,网络安全究竟意味着什么?根据ISO74982的定义,安全就是最大程度地减少数据和资源被攻击的可能性,对于电信运营商来说,这些数据主要包括计费的数据,财务的数据还有各种的电信客户资料。资源包括各种电路的资源(也包含了各种客户的链路带宽),还有其他的像DNS系统、应用服务这些资源。攻击包括黑客入侵、网络蠕虫、拒绝服务攻击还有域名劫持等。对于电信运营商来说,网络安全主要就是保障上面所提到的这些数据和资源免受各种网络攻击的侵害。
下面我们简单看一下网络安全的几个属性。首先是网络安全目标的主体性,就是说对于不同的组织,其网络安全的视角是不尽相同的,大家都会从自己的利益和所处的角度出发来制订自己的安全目标,安全运营商也不例外。只要大家把自己本身应尽的网络安全的义务都做好了,那么我们整个社会的网络安全水平就会有一个比较大的提升。
第二个属性是相对性和实效性,就是说不存在绝对安全地的网络,还有就是网络的安全状态也是动态变化的,根据这个属性,电信运营商应该定期地去审视和评估网络的安全态势,并采取相应的一些措施来满足安全目标的要求。
第三个属性就是安全措施的多维性,为了达到预期安全目标,必须采取技术和管理等多维度的管控手段,只有实现技术和管理的有机融合,才能实现对于网络安全问题的一个多维的管控。技术层面包括各种静态的防护技术,动态的监测和响应技术的应用,在管理层面上包括了各种策略、方针、制度、流程的制订,还有电信内部安全组织架构、人员、组织的建设。
最后一点是国家相关职能部门的职责,就是在立法层面上应该依赖法律法规的威慑和网络犯罪的惩戒,这方面工作对于保障电信网络的安全性也是十分重要的。
下面来看一下对于电信网络来说,它的安全的重要性,前两个理由其实大家都应该是比较了解了,一是从IP网本身的本质来看,IP网本身就不是一个安全的网络。首先,IP网的开放性跟它的可控性、安全性就是一对不可调和的矛盾;其次,IP网所固有的一些信任与认证机制的缺失,是导致IP网内部的网络安全问题比较多的一个原因。第二个是从外部安全威胁来看,各种网络攻击,包括木马、病毒、DDOS攻击等形势依然严峻。
第三方面就是现在IP网的价值在提升,这体现在两个方面,一方面是整个社会的信息化的程度在提高。信息化程度的提高导致了我们整个社会生活对于互联网、对于IP网的依赖性在提高。第二,从电信运营商来看,现在电信承载网也有IP化的趋势,这两个方面的趋势就导致了电信IP网内在价值的提升,从而提高了其安全的重要性。
最后,电信IP网的安全重要性还体现在电信网络对重大社会活动的保障上,比如说对各种重大会议的通信保障,比如明年召开的北京奥运会的通信保障,都给电信运营商的网络安全提出了更高的要求。
下面我们来看一下电信运营商的安全视点。
从刚才介绍的网络安全的属性可以看出电信运营商在安全建设的方向。从网络安全目标的主体性可以看到,运营商应从自身和客户利益出发来审视其面临的突出的、紧迫的、重要的安全问题。
从网络安全的相对性和时效性来看,安全能力应该是在一定的限制条件的一个动态的平衡,所以电信运营商应该定期审视组织安全的态势,发现安全天平的失衡,通过必要的资金投入来维持安全平衡的砝码。
在安全措施的多维性上,对于每个安全问题都应该从技术、管理的维度来研究相应的对策,最终通过技术和管理的有机融合来形成安全能力。
具体分析电信网网络安全存在的一些风险,我们就可以得出针对目前的电信IP网络,我们应该着重进行哪些方面安全能力的建设。现在电信网络的安全缺陷主要可以归纳成以下几个方面:安全配置的错误、协议的安全缺陷、系统资源的局限性、信任机制的缺失以及软件安全的缺陷。因此针对这些缺陷,应该加强安全配置集中化管控能力、网络安全访问控制能力,全网异常流量分析和控制能力,网络安全的信任保障能力,软件漏洞的自动发现和自愈能力,以及安全事件的监控和分析能力等六方面能力的建设。
在安全配置集中管控能力方面,在技术上建立配置的集中分发和校验系统,在管理上就配套配置审核与更新的流程;在网络安全访问控制能力方面,在技术上建立网络安全的访问控制和隔离系统,在管理上配套建立信令、业务、管理三个平面的管控机制;在全网的异常流量分析和控制能力方面,技术上建立资源的监控和异常攻击监控系统,在管理上配套异常攻击处置流程和管理机制;在网络安全信任保障能力方面,在技术上建立CA技术的体系为业务和公众的服务来提供基础设施的保障,在管理上配套建立各种信任的管理机制;在软件漏洞自动发现和自愈能力以及安全事件的监控与分析能力方面,在技术上建立软件安全的漏洞扫描、加固系统,在管理上配套定期的评估和加固机制。
前面介绍了电信IP网络应该着重建设的安全能力,现在我们来谈一下电信IP网的安全现状以及工作重点。
对于目前电信运营商来说,在外部威胁方面,主要还是各种DDOS的攻击,就是利用网络发动的各种DDOS攻击,对于网络的正常运行构成了严重的威胁。随着这些DDOS攻击的频率的不断上升和规模的不断扩大,这类占用电信运营商大量的网络资源,还可能对城域网和IDC的出口造成拥塞。
刚才提到了外部的威胁,那么在内部呢?这主要包括几个方面的安全能力的缺失,包括网络安全漏洞的自动发现与治愈,全网联动的事件的监控和分析,全网异常流量的分析和控制,网络安全配置的集中化和管控,安全态势的综合分析以及高效运作网络安全管理等方面的能力,目前电信运营商网络安全工作应该着重进行这些能力的建设。
安全能力的建设主要是分技术和管理两个层面,在技术层面首先是建立一个层次化的安全的管控体系,然后是对电信的IP承载网进行安全的设计和优化,再次通过SOC的建设来完善各种安全能力。在管理层面上主要包括安全组织的建设和人员的保障,各种安全策略制度和流程的配套建设,以及完善安全评估、应急响应等安全保障机制。
下面绍电信运营商网络安全的工作思路。
刚才提到安全能力的缺失是引发安全问题的一个重要原因,所以说安全能力的建设是目前网络安全工作的重点。在安全能力的建设方面,电信运营商目前可考虑以下三方面工作:一是对于电信级IP承载网的安全设计和优化,二是对于业务网络平面化的安全隔离和控制,三是对于电信的关键业务和支撑系统进行专项的安全防护。
电信IP承载网的安全建设主要包括六个方面的内容:一是高冗余可靠的网络拓扑组织设计,二就是业务提供层和骨干层相互分离的设计,三是在边缘层对客户接入进行溯源,四是进行集中的安全检测和策略下发,五是利用QOS机制和路由协议加密的实现来提高整个网络的安全性,六是利用AAA和Syslog审计来加强认证授权和事后审计。