新形势下的电信网络安全

monday-12532

 

 
与不断发展的网络攻击手段相对应，网络安全防御理论和方法论在不断的发展之中。中国电信提出了采用体系化的安全保障方案，将网络安全管理和技术手段相结合等深度防御战略模型；中国网通在加固网络安全方面还特别提出内网安全和边界防护、管理的加强；中国移动就整个网络安全体系进行统一规划，抛开部门设置现状，以风险管理为核心、构建综合、系统的网络与信息安全标准体系，安全运行维护体系及安全技术防护体系。在运营商网络越来越走向安全的同时，背后的网络安全厂商均做出了巨大的努力与支持。此次专题，本刊将就电信市场现状及面临的安全热点问题，从不同角度与几位安全厂商共同探讨。
  企业如何进一步认识并理解电信网的安全？
  东软网络安全产品营销技术总监 李青山：
  时下，运营商的网络安全建设已经走在了前面，成熟的运营商们逐渐采用了渐进式的改良方案。东软有实力帮助运营商推动精细化运营，用不同方法帮运营商改善服务质量，提高服务效率，有效保障运营商业务系统的安全稳定运营。
  东软是国内较早关注电信行业应用软件系统建设的软件开发商与系统集成商之一，从1991年起开始进行电信计费、营帐与综合管理系统的研究工作。十六年来东软不仅在电信行业积累了丰厚的专业经验与业务知识，同时东软更加了解运营商的业务系统，这也是东软对比其它安全厂商的最大优势。
  东软精心打造的“因需而变，因御而安”的“安全魔方”可以说也是针对不同行业用户需求的整体网络安全解决方案。就电信市场而言，东软NetEye安全运维平台（SOC）、NetEye异常流量分析与响应系统（NTARS）以及基于多核处理器架构的高性能NetEye入侵防御系统（IPS），均可以随运营商的需求进行有针对性的部署与应用。
  了解运营商的业务推出适应性的产品是东软的优点，因为东软还为运营商提供综合营帐系统，既了解其业务又了解其网络，再加上东软和用户的紧密合作，在IT与电信的融合时代，东软愿意凭强大的研发实力为运营商的转型以及精细化运营提供服务。
  启明星辰公司：
  当前电信运营商的发展走到了关键阶段，寻找业务发展的新蓝海迫在眉睫。IDC数据中心作为电信主要业务收入和利润的重要来源之一，其安全被视为重中之重。此外，现阶段的网络攻击已经出现了以经济利益为驱动的趋势，而IDC承载了大量具有高度商业价值的业务和数据，更加成为网络攻击者的重要目标，因而，信IDC业务需要深层防御。
  纵观当前网络安全的局势，可以用两个“日益”来总结，一是攻击日益增多，另一个是手段日益复杂。据统计数据显示，70%以上的攻击通过应用层传播，由于它属于OSI最后的一层，我们称之为深层攻击行为。
  此外，IDC内部复杂多样的业务应用也增加了攻击判断的难度。在这种背景下，迫切需要为IDC运营的各种设备和系统加强深层入侵防御能力。因此，作为在线部署且具备实时深层分析，并能精确阻断入侵行为的入侵防御系统（IPS）成为IDC安全防御的宠儿。
  入侵防御系统是在线部署的安全设备，其面对的是日益复杂的业务系统和飞速变化的攻击方式，一旦出现误阻断，将给IDC用户和IDC运营商带来极大的损失。因此，IPS对攻击特征（或称攻击签名）描述准确性的要求非常高，要求误报率尽可能趋近于零。
  联想网御解决方案高级顾问 张鑫：
  电信网络安全包括可用性保障、服务质量保证、边界安全策略实施等，需要做到内外兼修。对外，运营商应考虑通过有效的技术手段，实现对客户服务质量的承诺；对内，主要考虑如何保障运营支撑系统、业务系统、管理系统处于一个安全的运行环境。
  在外部环境里，基于网络的攻击行为趋于主导，这种攻击手法越来越呈现出商业化与利益化的特点，它实施技术门槛低、规模越来越大。由于突如其来的大规模攻击，大大超越了相关电信和网通机房的出口带宽，内容服务商受到了严重的影响。基于这种现状，运营商应构建分层次的安全体系架构应对基于网络的攻击。联想网御推出了电信级异常流量管理解决方案，该方案采用高性能网络处理器平台，单台设备可以应对2.5Gbit/s攻击流，并支持集群配置，可以满足运营商大流量环境下的部署。
  在内部环境里，运营商一方面关心运营支撑系统的持续、稳定运行，另一方面考虑的是信息资产的安全保密。为了保证信息资产的安全，一方面要通过技术手段给予充分的支撑，另一方面是对相关人员进行行为审计。为了满足运营商内部的安全需求，联想网御针对电信市场不断进行技术研发，推出了二次身份认证解决方案、SSLVPN应用授权解决方案、文件保密解决方案等，可以很好地满足电信市场的安全需求。
  Juniper网络公司：
  随着信息技术在我国的广泛运用，信息系统已经成为金融、交通、能源等基础设施的神经中枢。电信网的安全状况直接影响这些基础设施的正常运行。我们应该重点关注电信网的安全问题，因为网络安全已成为企业网络建设的第一主题。特别目前互联网与电信网的融合，给电信网带来新的安全威胁。
  在Juniper看来，确保对电信企业网络的安全接入至关重要。JuniperUAC产品结合了基于身份的策略和端点智能，能够为电信运营商在整个网络提供实时可视性和策略控制，而无需考虑端点的类型、位置或状态如何。
  Juniper倡导一体化的网络安全架构，把传送、应用、威胁控制通过管理的方式形成一个整体，通过应用加速系统平台、安全接入的平台来满足企业广域网网关，远程接入等需求，通过控制群体与群体之间的安全通信、个体与群体之间的安全通信系统以及网络通信的优化和加速来实现一体化网络安全架构。
  SonicWALL公司：
  随着Internet信息爆炸性增长以及宽带网络的迅速普及，数据、语音甚至视频都可以在基于IP的网络平台上运行，IP几乎无所不能，大有三网合一的趋势。人们的工作和生活也越来越依赖于Internet及其应用。
  然而，安全问题是我们不得不考虑的问题。任何事情都有两个方面，IP网络带来了资源共享的方便，同时也带来了风险。网络安全问题已经不仅仅是最初的基于IP的访问控制能够解决的问题。在线交易，要求网络上身份的识别，确保网络交易的安全和不可抵赖性，同时确保数据不能在传输途中被篡改。各种服务器后台往往都有强大的数据库做支撑，数据库的安全性以及确保数据不被窃取和破坏非常紧迫。然而不幸的是各种病毒、入侵都尽可能的利用操作系统漏洞和数据库的漏洞窃取和破坏数据。网络安全问题成为涉及面极广的一个大的课题。
  在广域网、局域网，尤其是内网等安全方面，如何搭建并形成有效的保障体系？
    东软网络安全产品营销技术总监 李青山：
  东软在网络安全领域有10年的技术积累和大量的人力资源投入，不断创新推出高品质的信息安全产品和专业化的信息安全服务，产品线以边界防护、虚拟专用网、入侵防护、安全管理为主。东软推出的网络安全“安全魔方”整体解决方案，构建了三个管理维度。首先是技术与产品维度，东软网络安全产品分为网关类、管理类和组件类三大类，共14种核心产品。其中囊括了NetEyeSOC、NetEyeIPS及Ntars等。
  就骨干网而言，东软NetEye异常流量分析与响应系统（NTARS）主要用于对网络的监控检测和分析，通过对骨干网络流量信息和系统信息的收集，采用多种方法进行分析、检测，实时监控、检测骨干网络中DoS/DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件，提取异常特征，并启动报警和响应系统进行过滤、阻断和防御。
  在应用方面，为了解决Web应用安全、邮件服务器安全、数据库应用安全、蠕虫防护等难题，东软率先推出基于多核处理器架构的高性能IPS，并采用了区别其他产品的独创“应用净化”技术。NetEyeIPS拥有协议级分析和攻击防御能力，采用协议异常、漏洞特征、攻击特征和统计特征等多种方法来定义攻击检测防御规则，广泛适用于电信关键应用服务器和内网的安全防护。
  启明星辰公司：
  经过对网络的不断深入研究，启明星辰公司依托多年在入侵检测和攻防技术研究方面积累的丰富经验，自主研发并推出了在精确检测和阻断技术领域具有国际领先水平的天清入侵防御系统。
  不了解攻击技术的最新发展，就谈不上对入侵的有效防范。为了了解黑客活动的前沿状况，启明星辰专门建立了积极防御实验室(AD-LAB)，在最短时间内为天清IPS的用户提供防御最新攻击的能力。在天清入侵防御的产品设计中，启明星辰采用多种拥有专利的高效检测技术，如VFPR、基于原理的SQL注入检测等，将天清IPS的精确阻断能力提升至国际领先水平。
  天清入侵防御系统采用任务与虚拟CPU绑定的技术，基于任务特点合理分配并高效利用硬件资源，根据分析任务特征自动选择最优算法，提升匹配效率；其千兆数据吞吐量、微秒级的分析时延，完全可以适应电信IDC用户网络环境需求。在网络应用越来越广泛、各种类型的攻击行为层出不穷的时代，天清入侵防御系统这种深层安全防护产品，必将在确保业务系统的永续运行和保护网络安全方面起到重要的、不可替代的作用。
  联想网御解决方案高级顾问 张鑫：
  联想网御面对运营商市场，率先提出面向服务的安全解决方案。在广域网上，通过构架多级异常流量管理中心，抵御分布式拒绝服务对网络形成的危害，协助运营商实现对客户服务交付的承诺；在局域网内部，联想网御本着确保重点、适度保护、协调发展的原则，提出了体系化、层次化的安全保障体系建设方法，通过业务系统的安全域划分，基于业务的认证授权控制，业务行为的审计检查，实现运营商的内控要求以及相关符合规范性政策的实施。
  在刚刚结束的第五届中国CSO俱乐部大会暨2007年中国信息安全年会上，联想网御UTM防火墙摘取了惟一的一项编辑选择奖桂冠，联想网御2006年推出的PowerVUTM是国内第一个建立在ASIC架构上的综合安全网关产品。PowerV UTM采用联想网御独有的VSP通用安全平台和USE统一安全引擎，将防火墙、VPN、防病毒、IPS、防垃圾邮件、网页过滤等功能进行了无缝的集成。自2006年联想网御推出UTM产品至今，联想网御UTM凭着强大的功能、优异的性能和极佳的稳定性，迅速赢得了用户的认可，产品广泛地应用在电信等行业。
  Juniper网络公司：
  在广域网建设方面，路由器是技术还是产品，它最终干什么用，这个是我们考察的问题。数据库基于外部SAP的应用，甚至是数据的备份，这些都是广域网的通信，如果路由器性能再高，怎么解决这些应用层上的问题？网络是分七层的，七层上面还有应用的接口。所以这是为什么我们要往应用看，要以新的视觉看整个网络环境。
  我们在谈广域网的时候，谈的是应用的响应，这是最直接的。要以新的视觉考察广域网的图形。再有，减少广域网的成本，还包括压缩、带宽的提高、逻辑贷款的提高等诸如此类。最终就是，Juniper通过这些平台的架构，通过几大系统的完善，我们给电信运营商的安全提供的是从核心到边缘，一体化安全网络的应用方案，用它来解决企业通信当中的各个环节，用这是我们的一个诉求。
  SonicWALL公司：
  大致来说，网络安全涉及如下几个方面：基本的网络访问控制；VPN功能，可以通过IPSecVPN的客户端软件；硬件网络设备病毒过滤功能，先进的网络设备应该支持病毒过滤功能，把病毒限制在有限的范围之内；入侵防御系统，黑客企图进入网络，获得控制权，安装入侵防御系统必不可少。
  SonicWALL的PRO系列UTM设备和E系列千兆级UTM设备支持全部安全功能(SSLVPN由SonicWALL专用SSLVPN设备支持)，它可以简化部署，降低整体成本。 SonicWALL 邮件安全设备，解决垃圾邮件和钓鱼邮件以及邮件合规性问题。SonicWALL的连续数据保护和恢复设备CDP，以增量备份的方式确保企业数据的安全以及本地、异地备份和恢复。SonicWALL为用户提供从网络层，到应用层防护的全部解决方案及不可或缺的CDP增量数据备份和恢复功能。

monday-12532