——2011中国电信IP设备集中采购揭标
我们知道,中国的主干网络早已跨入了超百G时代,网络流量爆发式增长,也对网络安全设备的性能提出了新的要求。而且,随着传统固网电信运营商3G业务的推广,开启了移动互联网的新篇章,随之而来的网络安全建设也需要与时俱进。传统的电信网络主要以专有协议、专有网络为主,基本不会出现网络安全问题。而现在的移动网络从承载平台、业务系统到后台的支撑系统都越来越多地转移到了IP承载网络,与互联网的结合也越来越紧密。因此,互联网中大量存在的安全风险都将对运营商的移动网络形成威胁。如何在移动网络发展的同时进行安全体系建设,降低安全风险,成为摆在运营商面前一个急待解决的问题。
依托标准打造安全网络
网络安全建设有一个共性,就是都需要标准依托。而电信级网络安全建设从来不缺乏标准。中国通信标准化协会(CCSA)在2007年就完成了“电信网和互联网安全防护体系”的20多个标准的起草工作。其中,ITU-TX.1051(信息安全管理系统——电信需求ISMS-T)日益成为安全管理标准领域的一个基础标准。到今天,ISMS-T已经成为BS 7799和ISO 17799系列标准在电信领域的延伸,宣告了电信级网络安全开始向更高级别迈进,以确保互联网架构下的移动网络安全性。
以中国电信为例,用了几年的时间,中国电信完成了从固网向移动网络的转型,并且以IPv6为核心,搭建了一系列以新技术和新应用为基础的全新互联网架构。如果说固网时代的中国电信还没有太多网络安全问题需要面对的话,在互联网架构下的中国电信应用网络就不得不直面这个问题了。为了应对网络安全问题,中国电信每年都会开展IP设备集中采购工程,这项一年一度的集中采购在业内素以要求严格、测试规范而著称,每年都会有大量网络安全企业参与招标,最终通过设备测试的企业却为数不多。这也从一个侧面反映出,电信级的网络安全建设标准并不是可以轻易达到的。
提升服务认准IPv6
在互联网领域,IPv6就是一种“新能源”。目前中国电信正逐步从IPv4向IPv6过渡。尤其考虑的是如何推动ICT(Information and Communications Technology)向IPv6网络演进,毕竟ICT未来的基础就是IPv6。由于中国电信是全球首张IPv6 ISP服务运营商认证证书获得者,在提升IT/ICT服务能力方面,中国电信对网络安全设备选型的首要条件就是要具有IPv6认证。
在中国电信的规划中,2012年-2015年是IPv6规模商用阶段,这个阶段将完成网络和平台规模改造,业务逐步迁移,新型应用和用户规模持续扩大,中国电信必将面临新的网络安全挑战。转向IP互联网架构后,中国电信将受到来自于互联网的直接威胁,从业务系统互联网出口进入的黑客入侵攻击、大规模拒绝服务攻击(DDoS)等,一般的网络层网关类访问控制设备对此类攻击无能为力。对于DDoS攻击的防护可以通过在承载网部署流量分析系统和异常流量清洗系统对大规模攻击行为进行监控。对于大流量冲击可以利用深度包检测系统对业务流进行识别和控制。
设备集采选择合作伙伴
