聚焦非传统领域 提升电信网络与信息安全

迈克菲：为全业务运营商提供全方位灵活的安全保护　迈克菲软件有限公司　是全球入侵防护和安全风　险管理解决方案供应商，　全球几乎８０％的运营商都　是其客户，最近几年也加　强了与我国电信运营商的　甚至超过了美国、英国与德国的基本人口总和，迈克菲对中　国市场非常重视。　与中小型企业对安全的需求不同，大型企业要有更灵　活、更可管理的措施。迈克菲的网络安全解决方案包括终端　安全解决方案有两个优势：一是可以进行中央管理，很多产　品可在ＥＰＯ安全平台上进行统一管理；二是灵活性特别高。　合作。例￣１１２００９年迈克菲　针对中国移动提出了其主　干网、数据中心以及网络　服务器的解决方案，并为　中国联通和中国电信提供　了／ＤＣ的安全保护等。　迈克菲全球电信解　决方案事业部副总裁Ｐａｕｌ　Ｓｔｉｃｈ表示，中国内地的运营商网络　规模都是世界上最大的，像中国移动拥有５亿多的移动用户，　天融信：准确把握运营商的安全诉裘　运营商的基础网络设　施以及客户群、链路、服　务体系是其天生的优势，　如何在基础设施上把安全　问题一并解决掉是他们的　迫切需求，国外运营商如　ＡＴ＆Ｔ、英国电信已经开　始尝试，他们目前基本是　通过收购安全厂商，或者　跟安全厂商合作，来提供　安全服务。　国内运营商通过这几　年的安全建设，已经从分　散的、静态的安全防护产品过渡到了局部或者全面的安全事　件管理上。如何提供以客户为中心的端到端的安全防护，或　者从静态网络设备防护的基础上提升到以业务目标为核心的　动态防护上是下～步需要关注的问题。　天融信在跟国内运营商沟通时发现，如今安全系统的建　设思路发生了转变，过去的整体解决方案是从底下往上思考　问题，出现了安全问题就去配套搜集可能会出现安全问题的　事件，提供安全设备解决单点的保护或者是对单个企业的某　一个保护，而现在在建设安全系统时，天融信希望能够与运　１Ｏ６　ｏＮＳＴＥＣＨＮｏＬＪＤＧ、，／２０１　ｏ　・５　对客户企业来说，如果有很多不一样的产品，他们肯定会选　择最好的，因此管理这个产品要有整合的过程，不管是分析　数据或者是统一制定策略到每一个产品等，一个安全产品跟　另外的安全产品之间的整合关系是客户企业会首先考虑的。　迈克菲的平台非常开放，其服务可与很多产品进行整合，这　样可以帮助客户及时灵活地分析安全事件，最主要的是可以　大幅降低成本，在改善运营效率、实现资源优化、节能减排　方面也起着至关重要的作用。此外，迈克菲拥有自主的内容　研发团队，其产品的第三方认证准确率非常高。　营商及其客户合作，从上至下来思考。　电信运营商在进行安全建设时最关心的问题是：安全　系统建完之后如何为其他业务系统提供安全可靠的支撑；如　何将原有的安全建设提高一个层次，比如从资产管理、事件　管理提高到以业务为目标的安全建设，甚至更高的层次，如　以领导要求为核心的安全建设；如何从传统业务模式中把安　全作为增值服务提炼出来，更好地对外提供服务；建好的安　全系统如何结合自身的业务特点进行市场化运营，比如结合　运营商线路资源、ＩＰ承载网、优质客户资源等。　天融信与运营商进行了反反复复的探讨，电信运营商　的首要任务是确保业务质量。天融信采用了ＧＡＰ（服务质　量差距）模型，以客户服务为核心，从业务指标、应用架　构层面等进行分解，构建了基于业务目标的统一安全管理　支撑系统，确保业务质量。　天融信副总裁刘辉告诉记者，发展到今天客户购买的　安全设备已经很多了，但能否真正解决问题，就看现有的设　备能不能形成一套合理的体系，天融信准确地把握了运营商　的诉求，因此提供的服务能跟运营商的运维管理模式结合起　来，作为后台支撑与运营商共同为客户提供良好的监控、运　维、应急等服务，未来天融信还可以提供咨询类整体数据中　心解决方案的服务。这是天融信解决客户问题尤其是大客户　问题的思路。　电信技　鏖明星餍：业务是根本，知件是灵魂　启明星辰首席战略官　个业务安全涉及方方面面，很难考虑周全，因此潘柱廷建议　潘柱廷认为，风险的３个要　用户考虑安全问题时，在经济投入产出允许的情况下尽量多　素（业务、威胁和措施）　部署防护措施，尽管部署防护措施会有副作用，但只有尽量　多地加大纵深和缓冲，安全才会更有保证。　潘柱廷表示，在他的眼中真正有价值的安全公司是有知　中，威胁是资产的函数，　措施是威胁的函数，三　要素之间的关系不是平等　件（Ｋｎｏｗｗａｒｅ）的公司，它会有安全团队、安全实验室去研　的，业务是最根本的。从　业务模型来看，如用户使　用手机终端通过通信网络　转到ＩＰ网络访问服务器，　这就是一个业务过程，把　这样的业务铺开，每个环　节都会有安全威胁。　在经过２００８年奥运会的安保之后，启明星辰对解决安全　问题有了新的思路，即基于缓冲的安全。启明星辰帮助奥运　会的官方网站搜狐网做了一道安全监控，其实搜狐自己也部　署了安防系统，加上原中国网通的安全体系，还有外围很多　安全的主管机构，整个奥运期间没有发生安全事故。因为一　诺基亚西门子：电信业务安全需全面部署　传统电信运营商提　供ＩＰ化之后的业务（如　ＧＰＩＫＳ、ＷＡＰ、ＷＬＡＮ等）　面临着许多威胁，如软交换　或ＩＭＳ网络里，电话经常被　监听；大家司空见惯的垃圾　短信、彩信病毒，就是电信　网络与传统ＩＰ网络结合之后　出现的新问题。最初，运营　商的垃圾短信可能是完全在　电信网里进行过滤，但是发　展到现在开始在传统的Ｎｏ．７　信令网络里进行，这为运营　商提出了很大的难题。在网络融合的时代，移动网络ＩＰ化是不　可阻挡的趋势，这给运营商带来利益的同时，也引入了风险。　许多传统ＩＰ的问题在逐步向电信领域渗透，比如虚假主　叫等电信欺诈问题，这些问题真正产生的原因和相关解决方　式在业界讨论的比较少。诺基亚西门子公司首席安全解决方　案顾问李宝华认为发生这种问题的根本原因是传统通信网络　的ＩＰ化演进，互联网的攻击被引入到了通信网络，而通信网　究检测的知识，它的产品会带有知识库。就拿安全防护中最　重要的检测技术来说，比如病毒检测有病毒特征库，漏洞扫　描有漏洞库，安全管理平台有关联规则库，恶意网站检测有　黑名单库，这些最有价值的东西就是知件。如果没有知件，　扫描起来是没有意义的。若把软件比作肉体，知件则是灵　魂，启明星辰很幸运选择了检测技术作为它进入安全领域的　开始。　归根到底，安全防护还是要从业务、威胁和措施来综合　考虑，这是最传统、最基本的方法，希望众多安全厂商能够　更多地在知件上下工夫，铺开业务看应用防护，除了安全本　身的特征，攻击特征、漏洞威胁的知识，还应该了解客户的　知识、服务器的知识、业务的知识，更好地服务客户。　络的原有特点依然存在，解决这些问题不单是在ＩＰ网络就能　处理，需要将两者结合才能彻底消除。　移动互联网的安全问题实际上是要解决端到端的安全问　题，从智能手机到运营商的ＩＰ承载网络，到运营商提供的核　心业务乃至于对第三方ＳＰ的管理，每个层面都会有不同的挑　战和问题。　当前电信业务主要有３类安全问题，盗用、伪用和滥用，　其本质都是由于ＩＰ化造成的。针对这些问题，诺基亚西门子主　要从协议、设备、网络、服务４个层面为运营商提供全方位的　专业安全评估，而不仅仅是从ＩＴ的角度。李宝华说，电信安全　是一个多层次的综合安全问题，它的保障不能仅依赖于简单ＩＴ　设备（如防火墙）的部署。诺基亚西门子既有通信行业背景又　有ＩＴ行业的背景，因此我们不仅能够帮助客户解决Ｉｐ层面的安　全老三样问题，还能更加深入到两者的结合。　根据国际电联所提供的电信业务安全建议，把整体安全　分成三个层面：第一个是基础设施层面，包括操作系统、网　络设备、数据库；第二是通信服务层面；第三是业务应用层　面，包括接入层、承载层、核心层。以前业界更多地是关注　第一层面，因此诺基亚西门子在提供解决方案时会在第二层　面和第三层面有更多的考虑和建议。　ｗｗｗ．１ｌｍ．ｃＯｍ．ｃｎ　１　Ｏ７　安恒信息：解决Ｗｅｂ感　麦　察臻　如今网络威胁已经　护。例如，针对业务支撑系统中涉及的敏感数据访问，如读　从传统的主机和网络攻击　取、更新、删除等操作无法实现有效审计；数据库账户操作　升级为应用和数据库攻　过程是否违规或存在恶意操作，没有合规的监控手段；客户　击，安全风险正在全方位　端工具众多，缺乏有效地规范措施。　加剧。诸如网上营业厅等　以前的ｗｅｂ攻击大多是炫耀性地篡改网页，现在越来越　对外直接面对客户服务的　多的是受黑客产业链的利益驱使挂马盗取客户的信息，如网　业务系统，随时都面临着　上营业厅的后台本身有大量有价值的数据，这些数据本身就　恶意攻击的嗅探和破坏尝　具有商业价值。　试。从运营商的角度看，　杭州安恒信息科技有限公司　安恒从两个方面着手解决了目前Ｗｅｂ应用层防护面临　Ｗｅｂ安全主要面临以下问　的问题：一方面在众多业务系统的更新上线之前，从风险评　题：一是攻击方式繁多、　首席安全顾问范渊　估的角度出发，对应用层弱点进行全方位检测，包括源代码　易变形；二是为保证端到　的白盒测试、黑盒测试等，尽可能在系统上线前对其进行加　端的安全，很多网上营业　固；另一方面，在应用系统的前端部署相应的应用层安全　厅采用ＨＴＴＰＳＪＪ￣Ｉ密通道，但这与ＩＤＳ、ＩＰＳ防范理念相冲突；　防护设备，如ｗｅｂ应用防火墙等，降低业务系统受攻击的风　对外服务方面，运营商业务支撑环境如ＢＳＳ、呼叫中心、ＯＡ　险。我国运营商的防火墙很多是用ＩＰＳ改造成的，最大的问题　等，有很多面向公网的系统，安全威胁层出不穷。　是无法对ＨＴＴＰＳ进行防护，另外也会影响性能。安恒的Ｗｅｂ　运营商要细分市场，要想抓住重点目标用户群，就必须　应用防火墙使用最新的架构模型，可对整个ＨＴＴＰ／ＨＴＴＰＳ及　充分利用好数据，做好数据经营工作，而做好这项工作的实　应用层数据进行深度检测分析，最终对所有弱点进行全方位　质就是运营商应具有良好的业务支撑环境及安全意识，但是　的防护。　现有的安全环境无法针对Ｗｅｂ应用层的攻击实现全方位的防　如对本文内容有任何观点或评论．请发Ｅ—ｍａｉｌ￣ｅｄｉｔｏｒ＠ｔｔｍ　ｃｏｒｔ３　ｃｆｌ。　烽　Ｉ鼷ｌｌ运蕾商需要电值级Ｐ１　具备电信级的可管理性。同时，烽火通信的ＰＴＮ解决方案定　烽火通信认为，在ＰＴＮ方面，运营商的需求可归纳为三　点：第一，运营商希望ＰＴＮ是电信级网络，即能提供端到端　位于一个柔性的网络，组网灵活，保护手段完善，对全业务　提供差异化支撑，确保ＰＴ　Ｎ技术深度应用以后，运营商初期　部署的网络可以继续发挥价值，最大限度地帮助运营商规避　风险。　的电信级业务和安全性，电信级的操作、维护、管理手段；　第二，ＰＴＮ应该是一个柔性的网络，希望ＰＴＮ可以提供从简　单的链型到复杂的Ｍｅｓｈ组网，从９９．９９９％安全性至０允许丢包　业务的差异化服务；第三，希望ＰＴＮ的总体成本比较低。为　满足这些需求，烽火通信延续其电信级产品与网络的理念，　推出了全方位的解决方案，包括ＣｉＴ１ＫＡＮＳ　６００系列硬件平　台、ｅ—Ｆｉｅ　ＯＴＮＰｌｒａｎｎｅｒ网络规划软件、统一的控制平面和网　管系统。　目前，烽火通信已经同国内３０多个省级运营商开展了　ＰＴＮ建设合作，出货量过万端。后期，烽火通信还将继续深　入研宄ＰＴＮ解决方案，系列化产品会越来越完善，更完整地　覆盖细分市场。同时，烽火通信还将继续加强同产业各方的　合作，推动ＰＴＮ产业的发展。在同运营商的合作方面，将加　强在网络建设方面全程的合作，包括网络设计、规划、建设　为满足运营商电信级的要求，烽火通信ＰＴＮ硬件平台　在设计之初就从电信级理念出发，推山厂诸如各层次完整　的ＯＡＭ功能，环网、双归等网络保护功能。在网管平台方　及维护的全过程。在芯片方面，烽火通信在继续保持同现有　围际领先的芯片厂商合作的基础上，还将开发一些具有自主　知识产权的关键芯片。皿　ＩＩＩ　面，烽火通信为ＰＴＮ承袭和优化了既有ＯＴＮ［￣管系统，该系　统采用可视化界面，提供子网级的端到端网管能力，使ＰＴＮ　如对本文内容有任何观点或评论．请发Ｅ—ｍａｉｌ￣－ｅｄｉｔｏｒ＠ｔｉｍ　ｃｏｒｎ　ｃａ　１Ｏ８　￣ＣＯＭＭＵＮＩＣＡＴＩＯＮＳ　ＴＥＣＨＮｏｌ　ｏＧ、，／２Ｏ１Ｏ・　５