作 者:CWW
通信世界网(CWW)4月16日消息 今天,“2009通信网络和信息安全高层论坛”在北京南粤苑宾馆隆重举行。会议由人民邮电出版社主办、信通传媒承办。会议得到了工业和信息化部、中国电信集团、中国移动集团、中国联通集团等相关部门的大力支持。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为中国电信安全专家团队咨询专家 郭亮
个人简介
郭亮:中国电信安全专家团队咨询专家,1998年中国Linux俱乐部创始人之一,曾参与RHLinux6.2内核的汉化与Linux底层内核技术的开发;NANOG(全球网络运营技术讲坛)中国分支CNNOG创建人,负责安全专业的技术选题和安全技术推广工作;中国通信企业协会运维专业委员会委员,负责网络安全专业技术论坛;中国计算机协会信息安全专业委员会委员;NSP-SEC安全组织成员;曾参与2008年中国电信互联网攻击溯源项目的建设;参与银监会等部委的奥运信息安全保障工作;工业和信息化部安全接入试点工作专家组成员。
演讲实录
郭亮:非常感谢人民邮电出版社,也非常感谢大家来参与,以及我们的兄弟执行单位。我的题目完全是基于我在中国电信工作的一些实践和我的理解。
现在互联网上的安全,本身有很多的问题和需要我们每个人去参与和解决的。同时,中国电信作为中国最大的互联网的运营商来说,我想它自身面临的安全问题也是值得我们探讨的。这两个问题融合在一起,我们把它作为一个问题去看待就是我的构想。
4个小的方面把我的构想跟大家分享一下。
第一,这些东西有一些是国家政策出台的,还有些是每个人看到的文章,这是因为每个人的应用、每个人的生活,以及我们现在很多重要的信息系统,国家的民航等核心的内容,都承载在互联网之上。我刚才跟兄弟单位负责安全运维的同仁交流过,我们自己有一些省的核心数据,通过互联网报到集团总部进行运行,这个过程也涉及到网络的安全。可以把它看为我们整个日常生活中的关键点。
我们看到,现在来讲整个互联网的安全,我个人认为最大的问题是没有覆盖面比较广的团队。实际上,我在做很多专业公司的人员,包括我们午间休息的时候,我也看到了像绿盟科技有非常炫的Vedio在展示他们的监控能力和手段。但是,我们真正到全国的每一个省、市、县,前面很多的题目讲到,我们的DDoS攻击、肉鸡,其实是在很多很普通的PC上承载的。很多我们的核心系统会有专业的人员杀毒、过滤,但是真正普通用户的电脑,往往是肉鸡的承载机。那么,我们很少有这样覆盖全国的体系和人才队伍,来管理和管控我们这样服务的架构。
另外,现在有一些新的模式出现,比如说SaaS,就是基于软件服务相结合的模式正在推出。有一种模式是Web2.0,我自己在想,有没有办法把Web2.0和我们所需要关注的安全问题,和所需要建立的安全管理的体系和技术结合起来呢?我觉得其实是有一些可以探讨的地方。
因为现在上午的同事讲过了关于SOC的话题,以及传统SOC的应用出现的盲点,我认为从根本上而言,就是因为我们的应用不是太广泛。为什么这么说呢?作为运营商自身而言,我们用这些安全工具管理的面,其实相对是比较单一的,只有我们自身的业务系统。而正因为这样,它的安全事件和频率并不会太高,我们对于它的关注度由一开始的很热衷,对于安全的神秘未知的了解,到最后1、2个月都没有什么故障告警,对于它就不关注了。反而在互联网上,经常有用户的密码被盗窃了,我想可以在互联网上架构一个安全管控的系统。
我觉得基于互联网建设安全服务体系已经有了好的依据和基础,因为我觉得现在互联网的速度,以及用户对于互联网的依赖性,已经把安全需求和我们通过互联网可以管控的点,已经延伸到了每一个客户的终端和面前。
我们来看看安全服务体系发展的方向,它到底应该怎么样把客户的安全需求和互联网的优势相结合起来。我自己的建议是说,我们其实跟兄弟单位,跟我们的专业公司,形成一个互联网的安全服务体系。这样不仅可以保障我们自身的网络安全,也可以对于网络当中承载的系统,比如说网银、银行的信息系统的覆盖面。
第二,通过产业的体系建设,基本上可以把我们的产业带动起来。因为很多的产品,它的更新换代相对是滞后的。这是因为用户对于它的应用的了解和体现不太充分。我们其实有一个构想,就是能不能在北京建立我们的安全管控中心,对于我们每一个区进行设定二级管理中心,并对我们每一个区的安全管理形成属地化管理。有一个现在比较流行的区域管理的模式,行政片区的划分。我觉得通过这种模式,我们在北京建立一个全国的总控中心,然后在上海建立一个覆盖整个华东的安全管理中心,把我们整个华东的问题统一起来报到北京,这样的话,我再由北京向全国转发。当然,也可以在各个片区之间进行一个横向的交流。如果有了这么一个体系,我相信全国只要有一个点有安全问题,我们就可以集中化的管控和解决。
第二个来讲,我自己的角度而言,我们通过这么多年对于互联网的建设、对于骨干网的建设、对于骨干网的流量的管理和处理的经验来看,我们现在在骨干网上已经有了一些流量的管理和DDoS攻击流量的处理办法和手段。现在在全国13个数据核心,基本上都已经部署了我们DDoS攻击的防御能力,应该过100G了。这种基础的电路域的传输之上,我们可以把一些比较好的厂家的产品、工具,作为推向客户端的模式推向客户端,结合我们安全管理的模式,因为它的设备到客户端以后,它的管理怎么来管。并不是说每一个企业、每一个互联网单元,因为每一个用户是一个互联网单元,这些管理单元并不具备完全管理单元和安全意识的能力。在这种情况之下,如果我们能够建成这样的管理体系,把用户的安全拿过来替他管理、替他做日常的维护,我觉得其实能够集约化的解决很多社会的安全问题。
再往上,其实我们可以建立不安全的外包模式,把我们这些安全专业的人员的知识库、资深的安全技术经理,以他们的知识,通过互联网推送到用户端,以及到最高的专业的应急响应安全服务。这样,可以把我们针对像民航、电力,包括我们这些核心的国家的企业、比较大的企业,可以把他们的问题集中化的从网络层到设备层,逐级地往上推动管理起来。因为如果我们有了基础的数据,我们再对它做更高层的安全服务的保障,我们没有很多这样的数据在手里,我们做得相对是准确和高效的。
这个服务体系实际上是一个构想,所谓的安全运营的东西,我们可以把我们基于电信的业务保障的能力体现出来,可以把我们应用系统的安全及我们对客户日常应用的邮件、下载,都通过营运中心的模式推送出去。
我们可以建立一个覆盖全国的管控中心,它由我们厂家或者是专业的IT公司、专业技术的安全团队,甚至是国外顶级的团队合作,在这边形成一个安全支撑的核心中心。我们把各种类型的安全事件收集起来,形成一个专家的知识库,同时我们把这些知识库,通过我们核心的管控中心向全国推送,保障我们的安全运营、保障我们企业、保障我们客户。应该说,首先是保障我们互联网运营单位,像电信、移动、联通他们的运营网的安全。我们在这边可以把我们对用户的远程评估服务、故障排查、安全预警等等都融合到了一起。我们有了这个体系结构之后,就可以把我们运营的业务管理起来,也能够把我们客户的安全服务,通过我们这种管控中心的形式,形成一个客户的档案。你需要什么业务要先挂钩,很多的时候我们的安全事件是因为新的业务系统上线导致的。我们有一个非常好的健康档案,你什么时候做了什么事情,对于你的健康,网络状况、系统状况产生了什么影响,这样可以很好地给用户提供一个系统架构建议。这样,可以非常有效地把我们互联网的安全监控展现出来。通过这样的支撑体系,基本上可以把我们安全的管控服务和方法,向我们互联网的个人用户到家庭、到企业,甚至到我们整个互联网安全性上推送和管理。