超百G時代電信運營商的網(wǎng)絡安全戰(zhàn)略
我們知道,中國的主干網(wǎng)絡早已跨入了超百G時代,網(wǎng)絡流量爆發(fā)式增長,也對網(wǎng)絡安全設備的性能提出了新的要求。而且,隨著傳統(tǒng)固網(wǎng)電信運營商3G業(yè)務的推廣,開啟了移動互聯(lián)網(wǎng)的新篇章,隨之而來的網(wǎng)絡安全建設也需要與時俱進。傳統(tǒng)的電信網(wǎng)絡主要以專有協(xié)議、專有網(wǎng)絡為主,基本不會出現(xiàn)網(wǎng)絡安全問題。而現(xiàn)在的移動網(wǎng)絡從承載平臺、業(yè)務系統(tǒng)到后臺的支撐系統(tǒng)都越來越多地轉移到了IP承載網(wǎng)絡,與互聯(lián)網(wǎng)的結合也越來越緊密。因此,互聯(lián)網(wǎng)中大量存在的安全風險都將對運營商的移動網(wǎng)絡形成威脅。如何在移動網(wǎng)絡發(fā)展的同時進行安全體系建設,降低安全風險,成為擺在運營商面前一個急待解決的問題。
依托標準打造安全網(wǎng)絡
網(wǎng)絡安全建設有一個共性,就是都需要標準依托。而電信級網(wǎng)絡安全建設從來不缺乏標準。中國通信標準化協(xié)會(CCSA)在2007年就完成了“電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系”的20多個標準的起草工作。其中,ITU-TX.1051(信息安全管理系統(tǒng)——電信需求ISMS-T)日益成為安全管理標準領域的一個基礎標準。到今天,ISMS-T已經(jīng)成為BS7799和ISO17799系列標準在電信領域的延伸,宣告了電信級網(wǎng)絡安全開始向更高級別邁進,以確保互聯(lián)網(wǎng)架構下的移動網(wǎng)絡安全性。
以中國電信為例,用了幾年的時間,中國電信完成了從固網(wǎng)向移動網(wǎng)絡的轉型,并且以IPv6為核心,搭建了一系列以新技術和新應用為基礎的全新互聯(lián)網(wǎng)架構。如果說固網(wǎng)時代的中國電信還沒有太多網(wǎng)絡安全問題需要面對的話,在互聯(lián)網(wǎng)架構下的中國電信應用網(wǎng)絡就不得不直面這個問題了。為了應對網(wǎng)絡安全問題,中國電信每年都會開展IP設備集中采購工程,這項一年一度的集中采購在業(yè)內素以要求嚴格、測試規(guī)范而著稱,每年都會有大量網(wǎng)絡安全企業(yè)參與招標,最終通過設備測試的企業(yè)卻為數(shù)不多。這也從一個側面反映出,電信級的網(wǎng)絡安全建設標準并不是可以輕易達到的。
提升服務認準IPv6
在互聯(lián)網(wǎng)領域,IPv6就是一種“新能源”。目前中國電信正逐步從IPv4向IPv6過渡。尤其考慮的是如何推動ICT(InformationandCommunicationsTechnology)向IPv6網(wǎng)絡演進,畢竟ICT未來的基礎就是IPv6。由于中國電信是全球首張IPv6ISP服務運營商認證證書獲得者,在提升IT/ICT服務能力方面,中國電信對網(wǎng)絡安全設備選型的首要條件就是要具有IPv6認證。
在中國電信的規(guī)劃中,2012年-2015年是IPv6規(guī)模商用階段,這個階段將完成網(wǎng)絡和平臺規(guī)模改造,業(yè)務逐步遷移,新型應用和用戶規(guī)模持續(xù)擴大,中國電信必將面臨新的網(wǎng)絡安全挑戰(zhàn)。轉向IP互聯(lián)網(wǎng)架構后,中國電信將受到來自于互聯(lián)網(wǎng)的直接威脅,從業(yè)務系統(tǒng)互聯(lián)網(wǎng)出口進入的黑客入侵攻擊、大規(guī)模拒絕服務攻擊(DDoS)等,一般的網(wǎng)絡層網(wǎng)關類訪問控制設備對此類攻擊無能為力。對于DDoS攻擊的防護可以通過在承載網(wǎng)部署流量分析系統(tǒng)和異常流量清洗系統(tǒng)對大規(guī)模攻擊行為進行監(jiān)控。對于大流量沖擊可以利用深度包檢測系統(tǒng)對業(yè)務流進行識別和控制。
設備集采選擇合作伙伴
2011年,中國電信IP設備集中采購工程如期展開,此次圈定了總共超過15家網(wǎng)絡安全廠商參與其中,采購選型對產(chǎn)品特性提出了嚴格要求。對安全設備的測試主要從業(yè)務支撐能力(組網(wǎng)能力、多業(yè)務承載能力、抗攻擊功能)、設備性能(吞吐量、并發(fā)數(shù))、可靠性、成熟應用等方面進行全面綜合考慮,并從中國電信的支撐業(yè)務網(wǎng)、數(shù)據(jù)增值業(yè)務等各種應用場景出發(fā),對產(chǎn)品進行實際評判。
從最終中標結果來看,天融信公司的防火墻、入侵防御兩大類網(wǎng)關安全產(chǎn)品綜合排名第一,而且因為獲得了IPv6Forum授權的BII全球IPv6測試中心IPv6Ready認證標識,從而脫穎而出。在非網(wǎng)關類安全設備中,也有塔迪蘭、迪普科技等企業(yè)入圍,這些網(wǎng)絡安全企業(yè)將共同為中國電信網(wǎng)絡安全建設搭建起堅實屏障。
【編輯推薦】
