通信世界网(CWW)4月16日消息 今天,“2009通信网络和信息安全高层论坛”在北京南粤苑宾馆隆重举行。会议由人民邮电出版社主办、信通传媒承办。会议得到了工业和信息化部、中国电信集团、中国移动集团、中国联通集团等相关部门的大力支持。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为中国电信北京研究院主任工程师 赵阳
个人简介
赵阳,中国电信北京研究院主任工程师,博士,从事电信网络运营及研发工作10余年,近年牵头完成的网络信息安全研究项目包括:“国家信息安全保障指标体系IAIS—固网子课题”、历年“中国电信网络安全评估、加固及应急保障研究”、“信产部网络安全等级防护试点项目”、“中国电信等级保护全网安全级别定级”、“信产部电信网及互联网安全防护系列标准起草”等。
演讲实录
赵阳:我的演讲题目是《基于大规模网络安全防护体系的可管理安全服务研究》。
为什么提到大规模网络安全防护体系呢?通过近几年的研究,我发现大家做安全服务的特别多,有做各种各样SOC的。我发现其实能够我有效地起到安全的防护作用的平台、体系实际上不多。为什么?因为网络的问题、安全的问题,它是在互联网上存在的问题,它是一个大网的问题,如果再一个企业内,你安装一个SOC就可以了。这应该是在我这个范围内,可以解决我小的问题。但是,从网络的发展来看,特别是从攻和防两方面来看,目前的趋势我和黄博士交流,应该是攻的趋势比防的趋势演进得快,所以防呈现一个被动的趋势。在这种情况下,我们如何探讨在大规模的网络下,探讨安全防护体系的议题。
首先是从网络安全需求、政策及挑战陈述一下,然后是大规模网络安全防护及服务一体化的思路。第三部分主要是在这个思路的基础上,如何实现它,这也是一个研究性质的。应该说前三块,不代表中国电信的任何目前的状况,仅仅是一种探讨的问题。只有最后一块,可能不如我们郭亮经理讲得多,我最后说一下我们服务的状况。
所以,重点是放在研究的探讨上。
首先,说目前国内安全市场的现状,通过调研的趋势来看,中国安全服务市场,应该是呈现加速递增的状态,特别是跟国外相比。国外目前安全服务这一块,他占的规模市场比例是57%,在咱们国内,目前只占到20%多的对末。所以,再加上我们过类的政策和国家的要求,这个趋势是不容置疑的。
从需求分析来看,主要是来自于三个方面,一个是业务的驱动,本身各类用到网络的企业是非常多的,他安全的需求从他自身的业务的运行,或者是盈利的模式也好,在这个业务需求上,也是非常突出的。再一块是价值的驱动,这成了一个产业链的问题了,从下游到上游产业链有一个潜在的驱动。还有一个是政策合规的驱动,大家知道等级保护国家有强制性的标准体系,到目前已经是逐步建立起来了。而且,可能近几年也会呈现一个强化的趋势。
今天上午我们的熊局长讲到了,这几年电信行业的安全,包括各类网络的安全也提到工作议事日程上来了。那么,这是给出了国家等级保护及电信安全防护演进的现状,这个图我不再细述了,主要从几个方面。包括了从国家级、行业级、监管制度等方面,一直到安全的认证。刚才黄博士主要是讲了从国家到地方、到行业它的认证制度也是在逐步完善。所以,这也体现出我们国家目前在网络和信息安全方面的工作的重要性,也是逐步地加大的。
那么,在这种情况下,我提出来做大规模网络安全防护的需求,自然而然应该作为我们无论是运营商或者是安全厂商,特别是做SOC的,应该有一些思路做这个事情。在这里,存在几个方面的机遇和挑战。
一个是等级保护的政策,首先有一个制度,这个制度规范了三个方面的东西。一个是风险评估的常态化,还有一个是应急灾备的常态化,还有一个是等级测评,所有的网络测评必须保证等级,大于三级以上的要怎么样,这都是有明确规定的。
再一个是攻防技术的发展。大家知道,攻击的技术是日新月异的,所谓道高一幅魔到一尺,防护的技术也是随着攻击的技术不断的发展而改进的。那么,在这个发展趋势下,可能存在着运营商设备的改进,和平有不同的功能放在网络的层面上,如何把这些防护的手段组织起来,需要用系统防护的技术来进行有效的组合。那么,这几方面的技术,包含了如下六个方面,也就是可以对应为业界常说的模型。可能在末新这一块有新的演进,可能在安全监控的技术也有新的研究方向。还有恶意代码防范和应急相应技术,这是它重要的研究方向。最后是灾备,这一块的发展方向有哪几块。
在这种情况下,我们提出了大规模网络安全防护及服务的一体化。这是什么含义?比如说SOC体系全部都布置了,不知好了首先保证我们大网业务的安全,在这个基础之上,我们可以推出大规模网络对政企客户、家庭客户、个人客户提供安全的服务,这就是我们一体化思路。
这个思路我的片子很短,就三张。首先是大规模网络安全目标架构,这个目标架构跟目前NGN的发展思路应该是有一个配套的。那么,右边这个是NGN的对应的几个层次,它ITU-T分了几个层次。对于运营商的安全网络架构分了几个层次,横着分承载网的安全、业务层的安全、应用层的安全,这艺术是IT支撑网络的安全。这个目标有一个架构去做,有一个标准放在这里。
这个图给出了基础网络安全防护体系及安全服务体系的一体化的思路。下面这一块主要是针对基础网络这一块,有一个安全体系。基础是有一些电信网、互联网的基础防护的设施和各类的防护设备。通过SOC体系、等级保护体系、应急灾备体系,可以有效地把这些措施组织起来。我们可以对我们的客户,当然是我们保证我们自己网络安全的基础上,对我们的客户提供专业的网络安全管理。
这更是超前的想法,目前SOC没有做到这一步,这是怎么一个超前呢?这不见得正确,但是跟大家探讨一下。
大规模网络安全防护的架构的设想,这个设想下面没有什么稀奇的,这是对于各类防护设备如何进行收集。设想主要是加入这么一个东西,从二级以上加入一个态势感知系统。这个东西是在网络安全业界正在研究的热点问题,这套东西本来的出处是来自于空中的交通管制系统,最早是民航系统来用的。原来是把攻和防两方面的态势,能够有效地抓住和判断出来,然后能够根据攻的态势的发展,能够有效地预知,预知之后可以对网络的攻击起到一个主动的防范的思路。
这边是一个常态化的SOC的体系,但是它的区别在于攻和防的信息,主要是来自于态势感知。同样,这个体系里面也反映了一个所谓的APPDRR(音译)的模型思路。