通信世界网(CWW)4月12日消息 由中国通信学会主办的2012年中国电信业信息与网络安全高层论坛今天正式召开,本次论坛针对“十二五”重要信息系统安全与云安全策略进行讨论,同时针对通信网络与信息安全领域的重点和难点问题进行探究。通信世界网将全程对本次会议进行直播。
天融信高级咨询顾问 徐懿巍
以下为演讲实录:
徐懿巍:
各位领导!各位来宾!大家好!电信行业的安全增值服务的实践和创新,这是我的题目。报告主题包括三个方面。首先我们简单来阐述一下我们对电信业的安全服务的一个理解。第二个就是天融信公司在这方面我们做了哪些实践的工作,第三是通过我们几年来的实践经验,我们总结了一些问题,同时也做了一些思考和探索。在这里跟在座的各位一起分享一下。
我们对安全增值服务的一个理解,本身它作为一种担心行业给用户提供的这种安全服务,本身是具有技能孵化的很多的特点。作为孵化来讲,现在各个行业普遍都认识到了,孵化是整个产业转型和发展的必然支持,同时,它也是产业国际化分工,这样一个灌溉式的跨越式的发展。作为服务化的概念来讲,非常重要的一点是最终的交付品是某种基于信息平台的服务,强调的是某种信息平台的一个服务,这个是对孵化的一个概念的解释。我们认为电信业,作为一种孵化产业,既不是单纯的硬件,也不是单纯的软件,而是在这个基础之上,依托,为用户提供了一个可感知的,价值可传递的这样一个基于信息平台的服务,这个是对我们安全信息服务的一种理解,这个服务到底应该是什么样的?我们认为关键主要在于三个方面。
第一,基于用户需要什么。我们以前做了很多事情,更多的是从我们有什么,能做什么去考虑,但实际上我们关注的应该是用户需要的是什么?
第二,用户需要我们用什么样的方式,来给用户提供服务。
第三,用户愿意为这个服务花多少钱。
这是我们认为比较关键的三个要点,我们会在后面的报告当中有所体现。
作为安全服务具体落地到服务产品上,我们可以首先看一下国外在这方面是怎么做的。我在这里列举了三个运营商,一个是AT和T,增值服务包括几类,包括防火墙管理,安全咨询,威胁的管理,身份证,流量清洗等等这方面的服务。移动电信,他做的服务大同小异,提供了很多针对个人及企业数据的在线式的存储和恢复,也是有自己的一些服务特色。他的服务强调的是72小时的服务,提供在线式的安全防护,安全监控,安全态势的展示,及帮助用户做安全事件的发现、防御和处置。这是国外运营商比较体现的一些做法,他们的一个共同点,一是把我们所熟知的安全产品,一些人员的经验,包装和服务的产品,提供给我们。第二个是为用户提供一个可感知服务价值的一个途径,无论是通过最终交付的统计数据也好,通过给用户提供一种功能也好,最终希望把整个服务的价值,能够以一种比较好的方式,让用户感知到。作为国内的用户,我们现在的用户在安全方面,主要是传统需求的一些延伸,主要覆盖了包括像内部安全,外室安全,数据安全,以及边界的安全等等,我们可以把这一些安全方面的需求做一个梳理。对于用户来讲无非需要几个方面,第一安全防护能力能得到提升,不管买什么样的安全产品,什么样的安全服务,最终的目的是希望自己的安全防护能力能有一个提升。
对安全状况的时时的监控,现在的用户不满足于仅仅买一个安全产品部署在网络里,可以网络时时的看到我当时的安装到底是什么样子。第三点就是对安全事件及时知晓,一旦发生,用户发现在尽可能的时间内,知道这个事件的发生,从而采取第二个防护措施。第四点是安全态势的总结和分析,也就是说用户希望看到自己在安全方面的投资,到底取得什么样的收益,遭到攻击的纪律有多少,损失有多大?范围有多大?这是我们比较关心的问题。一旦发生安全事故以后,希望有快速处理的手段。针对一些重要的安全事件,希望能有一个分析的溯源的一个过程,不光要知道对我造成什么样的影响,还希望知道到底是什么人,什么组织对我发起的这种攻击行为,必要的时候会通过一些法律的途径进行解决,这个是现在我们认为国内用户体验的一个安全需求。
