首页 >> 赛门铁克第4期 >> 资讯 >> 正文
 
引入第三方应对IP网络安全挑战
http://www.cww.net.cn   2009年9月8日 11:42    赛迪网    

    5月19日,由于暴风影音域名解析系统遭受攻击,江苏、河北、山西、广西、浙江等省多个运营商递归域名解析服务器拥塞,进而发生了大面积用户断网事故。

    5月19日,由于暴风影音域名解析系统遭受攻击,江苏、河北、山西、广西、浙江等省多个运营商递归域名解析服务器拥塞,进而发生了大面积用户断网事故。事实上,在以互联网为代表的IP网络上,类似的攻击层出不穷,只是影响大小不一。

    凭借高度的灵活性和突出的性价比,IP网络逐渐成为运营商承载包括移动业务在内的各种业务的首选平台。但随着网络IP化的全面推开,IP协议的缺陷将深入到整个电信网络的方方面面:首先,虽然IP网络端到端的透明性使网络应用开发接口完全开放,从而带来了IP网络无限的发展空间,但是,IP网络的缺陷也随着网络节点和拓扑数量的提高而不断累积,潜在的风险越来越大;其次,在多个业务承载于同一网络的情况下,业务之间相互影响,继而带来更多安全风险,比如,在统一的IP承载网上,各种攻击可能将影响到话音业务的质量;第三,网络和业务的相对分离,导致了业务层面不能全面考虑网络资源情况,滥用网络资源时有发生,对运营商的业务控制力提出了极大挑战。而无论网络的硬件、软件、物理环境、操作管理、恶意代码以及管理越权等安全问题,都有可能对IP网络的正常运行带来影响。

    既要发展IP网络,又要面对IP网络本身固有的风险,运营商何去何从?

    成功应对IP网络突发事件的启示

    “5·19”事件中,某省电信公司的做法足以给我们启示。故障发生后,该公司的系统维护人员的手机收到告警信息,告警数据反映DNS服务器用户请求数据突然升高,超过正常数据量的4倍。经过人工采样数据的分析,维护技术人员对故障进行了定位,并立即启动了应急处理预案。经过采取屏蔽操作等人工干预措施,故障在15分钟内恢复,该公司所有用户均未受影响。

    从中可以看出,虽然无法从根本上消除IP网络带来的隐患,但是在建设IP全网安全智能管理平台的同时,通过基于网络优化及网络薄弱环节分析的网络安全管理、设置网络安全事件处置预案、定期演练、提高维护人员的技术能力、对网络关键部位实施必要值守等措施,可以将网络安全事故的影响降到最小。

    IP化时代的运维挑战

    但是,目前运营商的网络维护按照交换、无线、传输、数据、动力、网管支撑等专业进行领域划分,这种运维方式无形中成为了全网IP化背景下网络维护的障碍。

    首先,IP网络下的故障或安全事件,通常会导致短时间内故障影响迅速传播,最终演变成全网故障。因此,IP网络运维需要比传统网络运维具有更快的反应速度。而按专业划分的运维模式直接导致了运维边界和接口的增加,这不但增加了网络维护的难度,降低了对故障的反应速度,同时,也使运维责任不清,增加了沟通交流的成本。

    其次,与传统网络通过网管系统进行系统维护管理的方式不同,IP系统大多以命令行的运维方式为主。对于维护传统交换、传输等系统的工程师而言,技术能力的继承性成为了运营商不得不考虑的问题,运营商必须花费大量的时间及成本逐步提高维护人员的技术水平。这样,时效性就成为了关键。而运营商技术维护人员的技术能力建设往往会落后于网络的建设。

    最后,由于大多数运营商采用了分期建设、集中采购招标的网络建设方式,使得绝大多数省级运营商在同一张IP网络内至少面对2家以上的设备供应商,多者甚至达到4到6家。这赋予IP网络前所未有的复杂性。运营商不但需要维护各种应用场景,应对各种各样的技术难题,还要熟悉若干家不同的设备供应商的设备、面对不同的联系接口和各种各样的处理流程、配置若干种备品备件,这无疑成为了运营商网络运维的又一障碍,不但增加网络安全运行的风险系数,而且增加了网络运营成本OPEX以及CAPEX

    运营商急需第三方能力补充

    故此,运营商需要在以下几个方面着手,尽快解决组织结构和和技术能力给网络运维带来的挑战。

    首先,加快建设IP网络统一智能管理平台,尽量以统一、可视的手段降低运维人员技术门槛。

    其次,在相关领域整合现有管理组织结构,特别在承载网络层面,充分利用IP技术的特点,逐步统一到IP网络运维上来,减少人员接口,明晰责任,提高故障处理效率。

    再次,在运营商运维人员技术能力向IP技术逐步迁移和提升的过程中,在运营商技术支持能力尚未完全建立的情况下,充分引入和利用设备供应商的技术支持能力作为补充,在现场运维、故障处理、网络优化等多领域发挥其专业的特长,保证网络建设与安全维护同步进行。

    而针对上述网络IP化过程中运营商对网络运维支撑的独特要求,爱立信推出了一个全新的服务体系——IP全网支撑服务。爱立信IP全网支撑服务包括了基础类、扩展类以及定制类三类服务项目,其中,基础类支持服务主要关注运营商日常基本运维需求,扩展类支持服务则涵盖针对提高网络安全系数、降低事故造成的损失、提高网络防风险能力所开展的各种分析、评估、设计与规划支持等服务,定制类支持服务则能够为客户解决相对个别的实际问题开展相关专项服务。

    为实现快速、准确、高效的维护目标,爱立信组建了包括驻场维护层、核心支持层以及培训拓展层在内的技术支持体系,在项目经理统一协调下进行运作。由维护工程师、资深专家、渠道专员和培训专家组成的立体支持体系,能够帮助运营商第一时间处理故障,迅速恢复业务。

    在多设备网络的维护方面,作为全球最大的电信解决方案提供商,爱立信每年在全球各种主要技术标准的固定网络和移动网络中管理800多个网络建设、扩容或升级项目,爱立信在多厂商和多技术环境中为运营商、企业和国家安全以及公共安全机构提供超过2000个系统集成项目。在IP网络建设领域,爱立信不但可以独立提供IP网络中所涉及的核心、边缘接入等主要设备,更与Juniper、Cisco、Extreme等主流设备供应商建立了长期的战略合作关系,有能力为客户提供端到端的IP网络解决方案。

    要发展IP网络,就要面对IP网络存在的无法预知的风险,如何在网络IP化过程中,在减少投资成本和运维成本的同时,增加网络安全系数,降低网络运维风险,引入第三方是一个运营商应该考虑的选项。

编 辑:徐亮
关键字搜索:IP  网络安全  
相关新闻
每日新闻排行
企业黄页
会议活动