传统与新兴安全投入并不矛盾
《通信世界周刊》:就贵公司的了解,相比传统网络安全、传统业务安全(如DDoS攻击),新业务的部署安全是否是运营商面临的所有安全挑战中最严重和最迫切的?为什么?
唐洪玉:之所以称之为新业务,主要是指采取新的技术或是运营模式。从技术角度上来看,新的技术势必面临新的挑战,要求运营商在入侵者发现甚至完成渗透之前就构建起完善的防护体系;另一方面,运营模式的革新会带来更复杂的安全挑战,特别是云计算等新模式的引入,需要运营商在保证业务连续性和开放性的同时,在部署、甚至规划之初就要考虑好。
《通信世界周刊》:运营商虽然对各种新业务寄予厚望,但是,业界有人认为云计算、物联网等均还是发展在初级阶段,其安全威胁并没有传统安全威胁严重,所以业界更该关注传统网络安全攻击,对此您如何看?
唐洪玉:传统网络安全和新业务的安全,应该都要关注,不能厚此薄彼。在运营商竞争日益竞争的今天,新业务更加成为提升企业竞争力的重要筹码,而安全问题又很可能成为新业务推广的瓶颈,因此,需要关注新业务安全的研究和解决方案的开发。
冯勇:云计算是需要从两个方面看。一方面我们一直认为云计算是“旧酒装新瓶”,对现有网络或者现有网络构架并没有颠覆性的变更,它是运营模式的变化,它还是动态的构架。从技术角度上来讲并没有变化很多。另一方面,就是云计算可以实现IT外包模式,借助运营商强大技术支撑能力,不用每个企业自己培养IT运维人员,只要关注自己的内容,安全、可扩展性等问题都交给专业的运营商。
从技术上讲,运营商对云安全的投入并不会减少对传统安全系统的投入(两者本来就是一个延续)。但是云化之后所有的应用偏向于Web化,网络防火墙变成应用防火墙。这就增加了应用和Web网站的安全威胁,需要更多的投入。
陈凯:移动互联网和云安全都有安全的需求,但都是建立在互联网基础上。我个人认为,这两个没有本质的界限。对运营商来讲,应该还是随着业务的发展需求来决定的,当前的业务需求需要迫切解决新兴安全问题的话,那么新兴安全则是关键。如果运营商对新的安全问题只是处于探讨研究阶段,那传统的安全依然是投入和关注重点。目前看,新兴安全体系依然出于探讨研究阶段。
从新业务入网环节弥补安全缺失
《通信世界周刊》:目前,就您了解,运营商在新业务安全系统建设方面的情况如何?有哪些迫切需求?
唐洪玉:从一个业务系统的生命周期来看,需要从规划阶段就开始引入安全,在开发和测试阶段就要进行安全控制。然而,现实让运营商,往往比较无奈,运营商很难对一个新业务系统的安全开发做到有效把控。不过,在入网阶段进行控制是非常有效的弥补手段,即在新业务入网的时候进行严格的安全准入控制。这里引入安全基线的概念,安全基线就是业务系统保证安全运行最低的也是最基本的安全要求。梳理并建立安全基线,并在入网的时候基于安全基线进行检查,可以在很大程度上减少未来运营中的安全隐患。
对于云计算服务而言,迫切需要解决的需求有虚拟化安全、身份管理、数据安全等。其中,虚拟化的安全,包括两个方面的问题:一是虚拟技术本身的安全,二是虚拟化引入的新的安全问题,安全需求有:虚拟镜像文件的加密存储和完整性检查、VM 的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM监控、VM安全迁移等等。
《通信世界周刊》:为保障运营商和企业推广新产业的安全,贵公司在推出了怎么样的安全战略和方案?这些方案能给运营商和企业带去怎么样的好处?与其他竞争对手相比,有哪些核心优势?
冯勇:云的运维是很大的问题,云构架很简单,管理却很困难,F5可以给运用商提供管理平台。具体而言,F5会在服务器前面做应用交付,做负载分担,F5有一个专门的产品叫ASM,它置于用户的应用前面,可以做网络层的安全,使网络和安全架构师可以全面、透明地管理其应用安全环境的多个层次。F5的竞争核心是专注用户,更关注用户的体验、用户的需求响应速度。我们比竞争对手更关注两个方面,第一是应用,第二是客户维护。
