前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全运营方案主题范文,仅供参考,欢迎阅读并收藏。
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2 电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
此次大会由杭州市人民政府、中国网络空间安全协会、浙江省网信办、浙江省公安厅、浙江省经信委、云栖大会组委会指导,中国信息产业商会信息安全产业分会、阿里云计算有限公司、杭州安恒信息技术有限公司主办,浙江省计算机信息系统安全协会、杭州市网络安全协会、北京洋浦伟业科技发展有限公司、飞塔信息科技(北京)有限公司、北京元支点信息安全技术有限公司、北京珊瑚灵御科技有限公司协办。
本届大会以“安若磐石,云之所栖”为主题,以全新的国际视野,洞悉全球云安全发展趋势;围绕“中国网络安全创新分享”这一主题,共同研讨探索适应我国国情的网络安全发展的道路,共商凝聚共识,整合资源的网络安全创新新模式。
大会由公安部第一研究所原所长、计算机安全专委会主任严明主持,并宣读了杭州市委副书记、市政府党组书记、市长张鸿铭对大会发来的贺信。参加本次大会的致辞和重要演讲的嘉宾有,中央网信办网络安全协调局副局长胡啸,浙江省公安厅副厅长石小忠,浙江省经信委总工程师厉敏,中国信息产业商会信息安全产业分会理事长朱胜涛,公安部网络安全保卫局总工程师郭启全,国家信息中心专家委员会副主任、国家信息化专家咨询委员会委员宁家骏等领导和专家。另外,来自全国各地政府机构、公安部门、信息安全科研单位、央企、金融、运营商、互联网、军工各行业信息安全决策人员、信息安全主管、CIO、媒体等1500余人出席了本次大会。
专家论道产业安全
郭启全总工在演讲“加强创新和能力协同 全力保卫国家关键信息基础设施安全”中提到,国家对网络安全提出了新的要求,首先就是要健全和完善国家信息安全等级保护制度,强化关键信息基础设施保护。《网络安全法(草案)》中也提出明确要求,国家实施网络安全等级保护制度。
等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,从2014年3月开始,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入了2.0时代。
全新的《网络安全等级保护基本要求》涵盖了6个部分的内容:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求以及大数据安全扩展要求。
宁家骏指出,开展关键信息基础设施网络安全检查至关重要,安全检查是从涉及国计民生的关键业务入手,理清可能影响关键业务运转的信息系统和工业控制系统,准确掌握关键信息基础设施的安全状况,科学评估面临的网络安全风险,以查促管、以查促防、以查促改、以查促建,同时为构建关键信息基础设施安全保障体系提供基础性数据和参考。
他建议,充分借鉴国外关键基础设施网络安全保护相关法律,分析我国现有立法的不足和主要问题,抓紧建立我国关键基础设施网络安全法律体系,从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者何所有者的运营资质要求。同时通过关键基础设施网络安全态势感知、积极稳妥推动关键基础设施相关产品的国产替代、开展安全检查评测督促关键基础设施运营单位加强管理等方案促进我国关键基础设施网络安全与信息化的大发展。
聚焦G20杭州峰会安保
安恒信息CSO刘志乐在演讲中表示,杭州安恒信息技术有限公司作为本次大会网络安保和应急支撑工作的主要技术支撑单位,历经近360天精心准备、投入309位技术骨干参与到G20峰会网络安保任务。通过企业自主知识产权的最新大数据态势感知系统及应急处置工具箱、工控检查工具箱等二十多种产品平台,为G20峰会网络安保构建了全网全程网络安保和应急支撑监测体系、防御体系和服务体系,经过G20峰会全程考验,安恒信息圆满完成为本次峰会相关重要信息系统、关键基础设施、省市两级重要信息系统提供网络安全保障的安保任务。
安恒信息网络安保团队以远程和现场人员安全检测,结合部署基于云与大数据技术的远程安全监测、大会系统现场各重要驻点安全值守、会议安保指挥中心四方互联,多地支撑的形式,为大会召开保驾护航。他以本次峰会核心信息系统为例介绍道,安恒信息安保团队共发现高危以上漏洞438个,共拦截3300万次攻击。经风暴中心分析,攻击来自于41个国家和地区。
DT时代的云计算安全
阿里云安全资深总监肖力表示,云计算时代所面临的安全挑战并不比传统安全所面临的问题要少,甚至于相较之下更加复杂。通过10多年在安全领域的积累,阿里云建立了一支全球顶级的云计算安全团队,有完善的基础设施,并且有更快的安全应急时间,能及时发现高危的安全漏洞信息,用最短时间修复,帮助用户应对安全问题。
据普华永道统计,目前69%的企业正在使用基于云的安全服务,阿里云保护云上37%的数百万的网站,每天防御8亿次各类攻击,每天识别并防御35000个恶意IP,每天防御2000次DDoS攻击。安全从来就不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决,云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战,目前阿里云安全生态市场已有包括安恒信息在内的79家生态厂商、168款安全产品。
阿里云首席安全研究员、云盾负责人吴翰清在大会上首次了“阿里云云盾混合云解决方案”,混合云解决方案由阿里云安全团队与数梦工场联合开发、交付,支持公共云、专有云、线下IDC全场景覆盖,让企业拥有与阿里云一样的世界级安全能力与体验效果:包括安全态势感知大屏、海量宽带和快速扩容、大数据安全分析、威胁情报支持和0DAY快速反应能力。
模块化是混合云云盾解决方案的一大体验亮点。阿里云云盾的安全能力和服务,用“可插拔”的模式,模块化输入。用户可以按需购买,按需启用,解决以往线下解决方案不灵活、投入大的缺点。
安恒密盾2.0
安恒密盾安全产品经理杨锦峰做题为“打造你的钉钉移动应用安全之路(密盾2.0)”的演讲。
和几年前华为与3Com合资相比,“华赛”此次合作显得更加扑朔迷离。
5月22日,华为和赛门铁克成立合资公司的传闻终于得以证实。
在中国陷入“误删门”危机的赛门铁克携手华为在美国宣布:双方将在中国成都组建一家合资公司,开发针对全球电信运营商和企业的安全与存储的软件。
华为将为新公司注入电信存储与安全业务,包括750名员工,持有51%的股权;赛门铁克注入部分企业存储和安全软件许可,外加1.5亿现金,持有49%的股份。
而对于协议是否涉及到了日后股权结构变更的内容、新公司将如何具体运营等问题,接受记者采访的华为公司相关人士表示,不方便透露。“到目前为止,合资公司的名称还没有最后
确定。”
合作扑朔迷离
在“华赛”合资已成定局时,华为特意向媒体澄清,华为公司副总裁、首席电信科学家李一男不会介入到新公司的运营中去。此前,李一男因具备独立操盘企业的经验,以及其创办的港湾网络涉及过类似业务,而被坊间认定为新公司CEO的不二人选。
“新公司CEO由华为公司总裁任正非本人亲自担任,董事长一职则由赛门铁克董事长兼CEO约翰•汤普森出任。” 华为内部相关人士回复记者,合资公司的管理团队将主要由华为和赛门铁克派出的代表组成。董事会将有9名成员,5名来自华为,4名来自赛门铁克。
由于赛门铁克对外称,新公司的市场除了电信运营商外,还有企业级市场。因此,不少舆论认为,华为会借助赛门铁克在企业和个人终端强有力的影响力,重返企业级市场。甚至有分析认为,华为可能会把去年收购的港湾网络资产剥离,注入到新公司中去。
华为相关人士则强调,华为注入到新公司的是电信领域的存储与网络安全业务,包括提供知识产权许可、研发能力、成熟的制造工艺和工程技术,以及华为成功的集成供应链和集成产品开发管理实践。
业内资深人士胡女士也从侧面证实,至少目前,华为不太可能这么做。其一,当年港湾网络所涉及到的网络安全和网管软件业务,只是其和一些安全厂商进行合作的副业,其主干研发力量并未因收购而进入到华为,一部分留在合作方启明星辰公司; 还有一部分重新创业,与清华大学学子创办了信息安全公司清大安科。
其二,去年11月,华为将H3C(华为3Com)49%的股份作价8.82亿美元转让给3Com时,双方签订的竞购协议约定18个月内不直接竞争。“但是,这并不意味着我们和企业级市场绝缘了。” 一位华为员工在MSN上告诉记者,“‘华三’的主要业务范围是中低端路由器和交换机,华为在这18个月内,可以在这一业务范围之外展开其他业务。况且,协议的所规定的时限制不过是一年半。”
事实上,由于华为公司一贯性的“寡言”作风,以及“华赛”合资还在进行过程当中,使得本次合资同几年前华为和3Com的合资相比,显得更加神秘和扑朔迷离,甚至充满戏剧性。
但从熟知华为的人士处得知,华为早就在为“华赛”运营做准备。“五一”长假刚过,华为就启动了存储及网络安全产品线的大规模招聘,涉及软、硬件、测试、系统、质量管理以及营销等十余个岗位,工作地点大多位于深圳,北京和成都也有分布。其中不少职位还是专场招聘,最晚截止时间持续到10月左右。
而华为对存储及网络安全市场的野心早已昭然若揭。华为一直在试图将电信级的网络安全提到一个新的高度,以形成自己的“安全”优势。截至去年8月份,华为安全产品和解决方案研发累计投入11亿元,已推出成熟的系列化产品和解决方案,产品包括存储设备、服务器、安全产品、软件与系统集成、企业语音几个方面。
运营尚存悬念
几乎所有的被采访对象都一致认为,华为和赛门铁克的合作是一个互补领域里的强强合作,而以前华为同3Com、西门子等公司的合作是属于同一领域的强强联手。
“对华为而言,在同一领域的那些试探性合资,或许因出售股份赚到了钱,但从业务结果上来看,并不算成功。”电信分析师谭先生表示,因为母公司们在某些领域存在竞争,貌合神离,利益不是完整的。而华为这次和赛门铁克的合资,不存在这些包袱,双方的利益目标是一致的。从理论上来讲,“华赛”合资,合力要大于以往的合资公司。
因此,部分接受采访的人士认为,“华赛”对华为有双重意义。一是作为华为All IP和FMC战略的一部分,低成本、高效益地补全其安全产品线。二是通过先提供专业的安全及存储解决方案,为将来再次全面切入到企业数据通信市场做铺垫。
业内资深人士冀先生认为,华为对企业级市场一直比较犹豫,既希望通过进入企业级市场“熨平”电信级市场大起大落的波峰波谷,又不希望在企业级市场投入太多的资源,影响自己在电信级市场上的核心竞争力。“和赛门铁克的合作或许是一个两全其美的办法。”
而“华赛”对赛门铁克而言,也有双重意义。一方面,赛门铁克在安全和存储领域的声望主要还是集中在企业和终端领域,电信则是一个新领域,借助华为,赛门铁克可以快速切入到其垂涎已久的新兴市场;另一方面,赛门铁克可以借助华为的硬件实力,给客户提供整体解决方案。
事实上,“华赛”合资公司的业务范围既包括电信运营商,又包括了企业级用户。那么,在企业级用户上,“华赛”合资公司是否和赛门铁克母公司形成竞争呢?华为是否将其电信领域的存储与网络安全业务全部注入到“华赛”合资公司当中去了呢?新公司将如何启动其运营呢?华为和赛门铁克均没有给记者明确的答复。
华为有关人士告诉记者,“华赛”将给华为提供OEM产品,为客户提供领先的安全与存储解决方案,作为华为端到端解决方案的一部分。由此,电信分析师谭先生推断,“华赛”合资公司从成立起,就有了一个大客户――华为,但是这一客户,有可能使“华赛”丧失另外一部分OEM客户。“但这些并不防碍别的电信设备厂商模仿华为,结盟赛门铁克,除非赛门铁克同华为另有补充协议。”
第二届国家网络安全宣传周近日在北京中华世纪坛如期举行,本届宣传周沿用首届“共建网络安全,共享网络文明”主题。期间,腾讯与启明星辰联合宣布达成战略合作,并面向企业市场推出全面的终端安全解决方案――云子可信网络防病毒系统,建立国内强强联合的企业安全服务战略联盟,为“互联网+”国家战略落地提供终端安全服务。
安全行业加速整合
启明星辰副总裁兼首席战略官潘柱廷表示:“新时期企业安全形势已经发生了巨大变化。企业防御需求,从合规性需求向内在需求变化,而网络入侵等安全威胁也越来越体系化、形势更加严峻。”启明星辰、腾讯的战略合作,凸显中国自主安全技术联盟的实力,符合国家网络强国的战略方针。
过去,无论是企业终端安全,还是用户终端安全,不同领域内的安全厂商虽均有推出自己主打的安全产品,但国内的企业终端安全服务市场分散,行业整合度不高,企业终端安全产品在安全防护上大多是孤军奋战,不同厂商之间难以形成产品联动,鲜有及时联动的完整的企业终端安全解决方案;近两年频繁发生的企业网络遭受攻击、用户数据泄露事件,引发安全厂商对企业终端安全问题的关注。
腾讯副总裁马斌认为,互联网化呈现了三个业态,分别是智能化、数据化和实时化,其中最重要的一点就是互联网的安全,腾讯认为互联网+安全才能更加有效的保证互联网化的顺利进行。
面对互联网的发展与变化,各行各业都在进行朝向“互联网+”的转型,无论是国家级,企业级或是个人用户都在做“互联网+”的建设,而在云、管、端的每个层面都需要构筑完善,“互联网+”要如何才能在安全的生态环境下进行是一个重要的课题,启明星辰首席战略官潘柱廷表示:“安全在‘互联网+’的进程中已经不止是‘加’的关系,而是‘乘’的关系。”反过来说,如果对网络安全的问题没有投入足够的注意力,那么之前在互联网方面的积累可能会变成一种灾害,企业必须提升网络安全建设水平。
安全厂商需要各抒己长、协同合作给用户带来最好的网络安全解决方案。启明星辰首席战略官潘柱廷表示:“安全厂商不存在什么‘一招鲜’,而是需要做好自己擅长的,而后同其他企业协同合作一同完善网络安全体系。”
正如启明星辰副总裁欧阳梅雯所言:“企业级的市场很大,只有一家供应商是不健康的,只有多家供应商共同为用户服务,有竞争,有相互合作,也有追赶,才能为用户提供最健康的生态环境。我们希望和友商之间,通过良性竞争的方式让用户得到最安全、最实惠、最好的产品。”
在此背景下,腾讯与启明星辰的合作秉承“开放、联合、共享”的原则,通过开放腾讯安全云库的能力给启明星辰,结合启明星辰对网络安全的深层理解和安全产品研发能力,为国内企业级市场提供安全产品,并希望以此来推动“互联网+”的落地与演进。
优势互补
共筑企业安全生态圈
据了解,云子可信结合了启明星辰在企业级市场安全威胁管理方面近20年的深厚技术沉淀,以及腾讯在终端安全防护领域长达16年的深厚技术积累,可谓继承了双方的“最强基因”。马斌表示,云子可信是“双方打破壁垒,实现强强联合、优势互补,针对企业内网终端用户容易遇到的各类问题,提供一整套的完整终端管控安全解决方案。”
据了解,通过双方的技术结合,云子可信解决方案打通B端企业和C端用户,在全球首创了B端企业+C端用户双向沟通的高效管理模式――全景、全面、高效的全方位管理模式,构建了企业安全的新生态。
云子可信网络防病毒系统颠覆了传统企业安全防护产品的运营模式,首次采取“安全+管理”的一体化架构,并融合了腾讯TAV自主研发杀毒引擎、安全云库、云引擎等核心技术优势,以及启明星辰多年服务企业安全的运营经验,代表了中国自主企业安全的最好水平。
根据双方达成的战略协议,云子可信网络防病毒系统将由启明星辰负责产品和渠道运营,而腾讯输出引擎和云服务等核心技术。启明星辰是国内信息安全行业的领军企业,拥有横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域共计百余个产品型号,同时还是我国规模最大的国家级网络安全研究基地。启明星辰曾完成包括国家发改委产业化示范工程,国家科技部863计划、国家科技支撑计划等国家级科研项目近百项,拥有丰富的企业级安全产品设计、开发经验。
云子可信网络防病毒系统致力于为企业级用户提供终端的全面安全防护,并有以下特色:
云部署模式――云子可信网络防病毒系统采用了云部署模式,一方面通过检测特征云的方式,及时更新至病毒特征库;另一方面,为企业级用户提供了云查杀的模式,减少客户端PC的额外计算开销,提升用户的使用体验。
一键安全――云子可信网络防病毒系统充分考虑了终端安全产品使用习惯,摒弃了复杂的交互界面,提供一键式安全防护。
管理+安全――云子可信网络防病毒系统不仅仅是杀毒软件,针对企业内网终端用户容易遇到的各类问题,如机器变慢甚至死机、关键信息泄露、越权的网络访问等,也提供了相应的解决方案。实现了真正意义上的完整终端管控安全解决方案。
此外,云子可信的恶意代码分析技术即源于启明星辰ADLab――多年来一直保持亚洲地区CVE漏洞数量领先的地位,在恶意代码分析技术方面也有着深厚的技术积累。
腾讯安全则将全球最大的风险管理数据库――安全云库开放给云子可信,让这套终端安全威胁整体解决方案可以为用户提供强有力的安全检测能力,避免由于访问恶意域名导致的各类损失,维护用户的安全上网环境。腾讯自主研发的TAV反病毒引擎对于木马、病毒、蠕虫、僵尸程序等均有极高的识别和处理能力,通过云子可信结合云查杀的虚拟执行技术,可以对各类复杂甚至是未知恶意代码进行完美识别和查杀,同时保证终端用户的使用体验。
那么,瞻博网络眼中的未来网络什么样,它又将遭遇怎样的挑战?在关注云计算网络的同时,瞻博网络在今年的世界移动通信大会上,又一举推出了针对移动未来网络的六大产品和解决方案,强势出击移动网络。瞻博网络服务层技术事业部执行副总裁兼总经理Mark Bauhaus认为,无论未来网络如何变化,以Junos为核心的平台将能够以统一、开放、安全的技术特色帮助客户从容应对。
移动安全需求凸显
刘保华:今年我参加了世界移动通信大会,发现移动通信市场已经从技术驱动变为用户应用驱动。我也注意到瞻博网络在会上推出了全新的移动未来网络的技术框架。那么它要解决移动运营商未来发展中的哪些问题?
Mark Bauhaus:移动运营商面临着一些新的挑战:第一,智能手机等多样性终端设备的数量在飞速增长;第二,移动应用和服务种类不断增加;第三,富媒体流量增加,视频应用越来越多。对于移动运营商来说,他们最棘手的问题是如何保证网络的经济性,以及如何改善用户体验。正是针对这些需求,瞻博推出了由新软件及移动解决方案构成的全新技术框架。它基于开放标准和灵活的软件平台,采用Juniper MX 3D 系列通用边界路由器和SRX系列服务网关,同时结合瞻博及合作伙伴的创新应用,可以帮助移动运营商部署基于Junos软件的开放安全的移动网络。
刘保华:移动运营商目前普遍持有乐观的看法,LTE呼之欲出,很多厂商都开始进行了LTE试验网的建设。针对LTE ,Juniper做了哪些准备?
Mark Bauhaus:目前,在全球最大的30家移动运营商当中,有27家正在使用瞻博的产品,在LTE环境中,我们同样会是非常重要的方案提供商。我们已经看到了移动运营商在LTE演进过程中面临的挑战,这包括卸载、视频应用、移动安全以及网络扩展性等问题。更为不幸的是,很多移动运营商结构和设备混乱,不同的操作系统运行在不同的平台之上,这就意味着在LTE建成之后,它们还将面临很多的问题。瞻博强调,不管采用哪种路线,哪种架构,我们的操作系统平台都是一致的,这是我们在保护投资、提供持续系统可用性及运营连续性等方面的承诺。
我们把这种理念应用到移动运营商的网络扩展方面,最新的平台MX 3D系列通用边界路由器使用同样的操作系统和同样的基础层,使得用户拥有非常平滑的升级路线,不仅保护原有投资,升级也更为简单。
除了网络扩展,移动运营商的第二个挑战就是如何在服务层卸载数据包。我们知道服务层产品价格昂贵,也不具扩展性,而现实环境中,移动运营商70%的流量都是普通的互联网网络流量,根本无需到服务层处理。为此,新的瞻博流量管理解决方案把70%无需服务层处理的流量直接卸载到互联网,这样可以大幅度降低用户成本。尤其在移动运营商向LTE网络的演进过程中,这种解决方案非常受欢迎,因为它很好地处理了目前基础架构经济性的问题。
第三个挑战就是视频等富媒体带来的流量带宽问题。随着终端用户的移动,他们在观看视频等对带宽延时敏感的富媒体时,带宽会随着移动位置急剧增长或减少,平滑体验是重要挑战。因此网络就需要适应这种需求,保证数据缓冲能力,确保终端用户视频体验。我们新推出的Juniper媒体流解决方案可以对媒体的流量进行优化,减少流量和网络堵塞。
接下来的挑战就是移动网络的安全性问题。我们知道,移动网络攻击方式已经从3年前的12种增加到现在的500多种。另一方面,更多的终端用户使用不同的终端设备并希望用于不同的业务,这同样带来了更多的安全问题。我们认为,移动网络安全应该包括三方面内容:第一,针对数据内容本身的安全保护,包括对数据中心提供安全保护;第二,针对网络的安全保护;第三,针对终端设备的安全保护。瞻博为此在世界移动通信大会上首次推出了端到端的移动安全解决方案,SRX系列业务网关比业界平均速度快6倍,业内首款Junos Pulse客户端软件可以提供接入安全、名称核准和内容加密,而且它可以通过下载方式运行在Symbian、Android、iPhone智能手机上,以及使用微软操作系统或者苹果操作系统的电脑上。
整合安全是趋势
刘保华:业界有一种看法,认为安全厂商未来不会独立存在,它们会和其他厂商进行整合。你认为未来整个网络安全的发展趋势是什么?
Mark Bauhaus:安全是一个非常广泛的领域,我认为在市场上一定会有基于不同技术的多家厂商和多个解决方案存在,但在安全领域,整合的趋势也是有目共睹的,因为用户需要整体的安全,我们认为网络发展趋势将是更加集成、更为简化。瞻博网络向客户提供面向未来十年的网络价值,把安全、交换、路由融为一体,使得网络更简单、更经济。
要知道,市场上很多厂商推出的整合性产品并非真正的整合产品,可能包括不同的刀片、不同的设备,有着不同的操作系统,并提供不同的服务,这些产品在网络上是互不兼容的多个节点。而瞻博无论在路由、交换还是安全方面都采用同样的操作系统和平台――从用户的网络角度看,它相当于通过一个设备提供多种多样的服务,在网络层面上它只是一个节点。
此外,瞻博安全战略的另一个重要方向就是注重合作伙伴关系,我们没有的安全解决方案可以通过合作伙伴向用户提供。我们不针对桌面电脑来提供安全防护,但是MacAfee、微软、赛门铁克的桌面防护产品可以运行在我们开发的高性能网络里,这可以为客户带来更多价值。
刘保华:不久前我刚刚与Blade公司全球CEO进行了交流,他讲到了Blade的操作系统和Junos的融合:在新推出的一款刀片服务器交换机中应用了Junos的授权,形成了操作系统和操作系统之间的整合。未来,不可能所有数据中心都采用Junos操作系统,你们肯定会是采用广泛的合作伙伴战略。那么瞻博的合作计划进展如何?
Mark Bauhaus:我们在不断研发和推进下一代操作系统Junos,它不仅可以支持安全性能,还可以把安全性能带到交换领域和路由领域。瞻博认为网络是开放的而不是私有的,在开放的网络当中,每个厂商各有强项。我们一直对合作伙伴采取开放的态度,Blade公司是其中之一,我们的做法就是把瞻博的硬件、技术、操作系统授权给Blade公司,以供它在此基础上进行集成。实际上,我们还把操作系统通过其他方式向合作伙伴开放,比如与MacAfee、微软、赛门铁克合作推出的业内首款针对移动设备的、可下载的客户端安全软件Junos Pulse,与视频企业合作集成关于视频的解决方案,和IBM紧密合作集成NetCool产品,与Dell等企业通过OEM合作方式集成到它们的产品里。目前,我们和50多家厂商建立了合作伙伴关系,并希望这个数字在未来能继续增加。
刘保华:那么,瞻博收购NetScreen后,原来的操作系统是否会继续存在?如果都统一到下一代网络使用同一个操作系统,是否反而不能完全满足用户多样化的需求?
Mark Bauhaus:NetScreen的产品包括其操作系统将会长时间存在,因为它在运营商和企业用户中都已经拥有了非常强大的客户基础,瞻博也会继续推出新的产品来支持这条产品线的发展,帮助我们的客户能够继续使用成熟、强大的安全解决方案。同时,瞻博也有很多客户已经向未来的下一代网络演进,也就是他们把路由、交换、安全统一结合在一起,我们将向他们推出Junos操作系统。所以我们有两种客户,我们希望都能够满足他们的需求。
在操作系统方面我们必须要区分清楚的是,有一种操作系统是计算操作系统,还有一种操作系统是网络操作系统,它们的功能完全不一样。在计算操作系统领域,Windows、Linux、Unix将长期并存,每一种都有不同的应用平台支持,这对于多样化的应用来说是非常适合的存在方式。但是对于高性能的网络,操作系统则完全不一样:网络操作系统的管理层和数据层是完全分开的,而且要有非常高的无故障率。针对未来网络的新的操作系统,一定要建立在快速、强大的硅片处理能力之上,而且要有强大的处理富媒体的能力。
瞻博网络是目前市场上惟一一家在广泛的网络领域提供同一个网络操作系统的厂商,这个操作系统既可以提供很好的网络服务,又可以支持高性能网络运作,同时可以在路由、交换和安全领域支持三方面的应用,并不断升级更新。与其他使用互相独立、互不兼容的操作系统厂商的产品相比,Junos一体化操作系统可以为用户节省40%-50%的总拥有成本,而使用起来更加容易。
云时代的新问题
刘保华:云时代下,数据中心正在发生新的变化。业界最近有一种新的说法:以网络为核心建设数据中心。这一理念的代表就是思科。但是之前的数据中心都是以计算厂商为主导,以存储、服务器为核心的。瞻博的数据中心战略将自己定位在什么位置,怎么处理和计算厂商之间的关系?
Mark Bauhaus:首先我们要看客户的需求,客户希望有更多的选择还是更少的选择呢?显然,数据中心的管理人员最不愿意看到的一件事就是,私有的解决方案强迫客户必须要购买同一品牌的存储设备、服务器、网络设备,客户希望有更多的服务器提供商和更多网络提供商,可以在更多产品 中进行选择,这样才能提供最好的经济性,满足用户对体验的要求。我们认为客户给我们一个非常清楚的声音,特别是在国际金融危机的背景下,客户第一要更多的选择,第二要有更好的经济性,第三更好的体验。
所以我们认为差异化的战略和丰富的产品线满足了客户的需求,可为下一个网络十年做好准备,通过和合作伙伴的合作可为客户带来更多的价值。我们与IBM、Dell、Oracle和HP等厂商的合作,在满足客户对存储和计算产品需求的同时,也满足它们对高性能网络的需求。与网络和存储一体化厂商相比,我们可以通过合作让客户选择更多网络产品、存储产品和计算产品。
刘保华:目前安全问题是阻碍公有云发展的最大障碍之一。你怎么看待未来的云时代,在服务交付过程中的最大风险。瞻博网络在云计算安全的防护上做了哪些技术准备?
Mark Bauhaus:云计算时代下,风险无时无刻不在变化,风险的数量和多样性也在不断增加。这些风险包括网络攻击、有组织的网络犯罪,也包括不是基于算法而是基于行为服务的中断。而且风险不仅仅来自外部还来自内部,比如我们的员工和合作伙伴。我们认为,下一个十年的网络安全应该是端到端整体安全的概念,从客户端、网络到数据内容,还有对用户的识别与接入控制。
特别是网络安全,网络运用的规模之大是以前从来没有过的,而且内容繁多,网上音乐店、网上视频店都受到追捧。原有云计算的安全解决方案重点在于怎样使这些流量通过防火墙,但是传统的安全解决方案没有料到智能手机的出现开放了更多和后台相互沟通的端点,这样防火墙就不仅要处理简单的带宽,还要处理一些进程。这就是为什么我们的解决方案具有120G流量的最高性能处理能力,而且不仅支持一万多个接入,在SRX高端平台上还可以支持上千万的接入点。
瞻博还撰写了关于虚拟化安全问题的白皮书,特别谈到了虚拟化情况下的云安全。今天,瞻博可以提供的解决方案是完整的安全解决方案,涵盖从用户端、网络安全到云内容的安全,能够对带宽、进程、服务进行保护。我们认为未来云计算的发展不仅有公共云,也会有私有云,两者将共同存在。IBM也选择了瞻博的技术架构来运行IBM试验云。
关键词:网络安全;发展特点;发展趋势
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)36-8626-02
网络安全技术的不断创新关系着网络安全产业的可持续发展,也是网络用户日益增长的市场需求。目前,我国的网络安全技术的发展在现阶段呈现出一些显著的特点,表现出一定的发展趋势,把握住这些发展特点和发展趋势,对于网络安全产业的创新和网络用户的安全使用都具有重要的指导作用。
1 网络安全技术的发展特点
1.1 网络保护层面不断增加
以往的网络安全系统在保护层面上涵盖范围较窄,只是单纯的对相关数据资料和信息资料的输送过程进行保护,在手段上也使用效率较为低下的物理层加密解密方法,这种传统的网络维护方法,生产投入的成本资金较高,也没有适应现代化发展的扩展增容功能。随着计算机技术的不断发展,全技术也在不断提升,安全技术也在向链接层保护的方向发展。尤其是在当今社会,网络的普遍商业化,随之出现了对商务网络信息对话、信息交流、信息传输的进行安全保护的网络安全技术。随着人们的需求和行业业务的发展变化,安全技术的上升空间潜力巨大,加大对网络安全技术的研究与创新,将有效的促进网络信息的正常交流,维持安全稳定的网络市场秩序。
1.2 保护内容在不断增加
由于人们的生活需求日益多样化,以及市场业务的不断扩大,必然要求网络安全技术的保护内容和保护范围相应增加和扩大。就目前的发展状况来看,网络安全技术的应用范围包括对各种访问以及各种视听信息的有效监控,对这种具有数据窃取和病毒侵害的危险网络行为的有效检测,对各种不良网络信息的筛选过滤,对系统漏洞的扫描与修复,应急通信和应急备份等多种内容。网安全技术内涵的不断增加为网络安全产业展示了广阔的发展前景。
1.3 安全组成系统在不断增加
随着现代化技术的发展,网络在向着系统化、产业化的方向发展,具备了企业式的可运营性、可操作性和一定的盈利性。因此,网络安全技术也被提升到知识产权维护的层面,并制定了很多具有指导性的网络技术安全协议。根据现阶段网络发展方向来看,网络安全技术在保护层面和保护内容上都在不断增加和深入,整体防御功能也在不断加强,网络安全技术的组成系统将不断增加,这些发展趋势都为网络安全设备的联动和管理提供了一体化的解决方案。
1.4 主动防御功能增强
以往的网络安全保护功能往往表现的较为被动,其运作方式主要是根据已经发现的攻击方式和病毒入侵,在网络中寻找与之相克制的网络防御技术,以达到发现或阻挡攻击侵害的目的。被动的网络防御在及时性上有很大欠缺,而主动的安全监测与危险信息防御,则针对正常的网络行为来建立数据模型,将所有的网络数据和正常模式下相匹配的网络安全技术作出处理和应用,以便阻挡潜在的未知攻击,做到防患于未然。网络安全技术从被动防御向主动防御发展,是网络安全技术的一个显著特点,新的攻击技术和攻击手段在不断变化,防御功能的技术和手段也要不断升级,才能避免网络安全风险带来的网络信息资产损失。
2 网络安全技术的发展趋势
2.1 网络溯源技术和法律支持系统将不断发展
网络安全技术不断发展,网络攻击技术也在不断升级,这种对抗状况不仅将继续存在,而且还会发展的越来越激烈,而这种对立局面之所以发生,主要就是因为网络溯源技术没有得到很好的应用。如果采用了先进的网络溯源技术,就可以将各种不利的信息内容、非法的网络行为、恶意的网络攻击进行追本溯源,找到其行为的使用用户终端,这样有利于网络安全事故找到始作俑者。但是目前网络溯源技术的发展还比较缓慢,主要是因为人们普遍没有认识到网络溯源技术的重要性,没有对网络溯源技术进行更加深入的研究与开发,也没有相关的法律规范与网络溯源技术进行紧密结合。这些原因导致了网络溯源技术不被重视,也没有很好的推广和发展。
在当今社会,网络对人们的社会生活和日常生活发挥着越来越重要的作用,网络的规模也在不断扩大,除了民用网络融入人们的生活,社会经济行为也在依靠网络建立商用网络,各种信息资产的所面对的安全威胁仅仅依靠网络安全技术的维护还远远不够。作为网络的使用者和建设者,不仅要靠网络安全防护技术来进行安全维护和防范,还要依靠法律手段来为网络信息做安全保障,通过法律手段对黑客行为进行法律制裁,并对过相应的网络立法规范来打击黑客对网络的各种破坏,预防这种网络犯罪的发生。要想使打击网络违法犯罪的工作有效地展开,就需要对网络进行有效的监管和功能更加强大的网络溯源技术支撑。实行网络监管,能够大大提高网络的安全性,但是只依靠监管又会限制用户使用网络的自由性,对用户使用网络的便捷性造成一定程度的影响,也不利于网络业务的积极创新,不利于网络经济的迅速发展,所以,就要积极对网络溯源技术进行深入研究和开发,以网络溯源技术来辅助网络安全监管工作,为相关的法律政策提供相应的技术支持。
2.2 不断支持差异性安全业务
随着网络技术的不断发展,运营商对于网络安全方面的资金投入将不断增加,尤其是三网融合的发展,促进了综合性的网络技术生成和应用。对于运营商来说,针对某一领域进行持续的投入,必然希望能够从这一领域获得相应的资本回报,由此才能促进自身的发展,获取良好的收益,所以,把对网络安全技术的资金投入转化成具有经济效益的资本输出,将网络安全技术转变为一种运营业务,对于运营商的经济发展和效益增长都有重要意义。
以往的单一的安全防御机制不仅工作效率低下,而且在运行过程中效率低下,浪费了很多网络资源。不能够满足各种类型的差异性业务,也不利于信息资产产值的提升。所以,要针对不同需求的网络业务提供不同等级的、个性化的安全保护技术和手段,体现安全需求的差异性特征。
2.3 融合安全技术体系将逐步完善
以往的网络通信协议一般都很少考虑协议中有关网络安全方面的内容,在实际运行过程中,一旦出现了网络安全事故,再采取补救措施就显得为时已晚。针对这种情况,为了增强网络安全协议中信息交流的安全性,IPSec、IKE、TLS等现行通用的安全协议应运而生,并在目前的网络发展和运行中得到广泛的应用。认识到网络安全技术的重要性,新的网络通信协议就开始与融合性的综合性技术相结合,为网络安全技术的发展注入新的内容。根据这种发展趋势可以预见,具备相应安全机制和融合性新技术的的网络通信协议将是网络安全技术的发展方向。
2.4 中小型企业的网络安全市场具有很大的发展潜力
随着企业网络的日渐普及,中小型企业对于网络的的应用和依赖程度也在逐渐增加,中小型企业的重要信息数据和文件也开始在网络上进行传输和应用,基于对企业自身的数据信息的安全性考虑,中小型企业对于网络安全技术和网络安全市场会给与必要的重视。近年来,病毒的入侵和黑客的攻击开始频繁出现,中小型企业本身的网络防护技术就比较薄弱,为了保证自身的安全,在研究的网络安全形势下,中小型企业要获得持续、健康、稳步的发展,就必须重视网络安全技术的研究与开发。目前,中小型企业的IT应用已经逐步完善,企业的网络安全防护意识也在逐渐加强,在以后的网络商务发展中会更加重视网络安全系统建设。中小型企业的网络安全产品应更加注重实用性,合理地设置市场价格,尽力满足用户的多样化需求。在安装及维护方面要做到简单易行,方便用户掌握和使用网络安全技术软件。现今,我国的中小型企业网络安全市场正在稳步发展,随着人们对网络安全的重视和需求,中小型企业的具有很大的发展潜力。
2.5 不断开发新的网络安全技术
随着网络技术的不断发展,我国在网络病毒预防与拦截、信息加密与解密、漏洞修复与补充、防火墙技术等方面均有显著地成绩,取得了较为领先的自主技术,但是从国际市场角度来看,我国的网络安全技术与国际领先水平还有一段距离,我国只有不断推动网络技术的发展创新和科技进步,才能保障国内产业、部门的信息安全。同时,网络安全技术的升级与创新也是市场的需求,至于不断推动技术进步,才能满足用户的多样化需求,以应对不断发展变化的病毒入侵和黑客攻击。从网络安全技术产业来看,技术创新是一个企业不断发张壮大的有力保障,国家鼓励科技创新,并给与企业必要的政策支持和资金支持,网络安全产业在关键领域和科技发展前沿掌握核心技术,在国际上拥有自主知识产权,对于我国网络信息社会的健康发展和科技兴国都有重要意义。
总之,网络安全技术在不断发展壮大,当溯源技术得到广泛的推广和应用时,网络安全技术也在相应提升,通信技术的不断升级也将促进网络信息技术的发展,这些变化趋势也会促进差异性的安全业务系统的完善。中小企业要把握网络安全技术的发展特点和发展趋势,不断创新新技术,挖掘潜力市场,满足用户的多样化需求,促进网络安全产业的持续发展。
参考文献:
[1] 郑志彬.信息网络安全威胁及技术发展趋势[J].电信科学,2009(2).
1.1安全架构方面
在有线交换设备上集成无线交换功能、IDS功能、防火墙功能等是目前厂商较为认可的模式,把安全业务卡插在机架式设备上,就可以实现无线安全业务与交换设备的高度缝合。而这些安全业务卡是电信级硬件平台,可以轻松实现用户网络安全的深度防护。
1.2终端接入方面
在网络应用的过程中,安全威胁是无处不在,尤其终端因其使用者维护水平参差不齐的原因更易成为网络安全威胁的突出对象。比如补丁不及时更新、防病毒措施不到位、系统安全的错误配置等。为了实现全面的安全管理,需要对无线和有线终端的接入进行统一控制。较为成熟的有华三一体化终端接入方案EAD。其解决方案图如2,华三的EAD解决方案支持的身份认证有L2TP、Portal、802.1X。其中L2TP是终端用户通过互联网接入用户内部网的场景,该方式相对较少见。802.1X则是对接入层均为H3C交换机的场景适用。Portal是用于适应用户网接入设备品牌较多不统一的场景,这种模式是最为常见。
1.3接入控制统一管理方面
由于早期的无线网络与有线网络是相对比较独立的,网络管理员需要两套独立的认证系统分别对无线和有线网络进行认证管理,工作量大。对用户而言需要记住两套账户和密码,不方便用户使用。一体化认证系统既可以让用户认证共用802.1x、计费等服务,也可以实现无线网相关业务的策略控制。从而简化管理,并降低维护成本。
2园区无线网络安全解决方案
2.1统一的身份管理
本方案认证管理平台提供了多种身份系统对接功能,可以与常见的基于LDAP的系统如CA、WindowsAD进行对接,也可以通过RadiusProxy功能与其他Radius服务器对接,可兼容80%以上的身份系统,账号可以实现批量导入,较好的解决了统一身份的问题。是一个可兼容无线、有线、VPN的多平台身份认证系统,采用这个平台即可同时管理无线、有线和VPN的认证用户,并且为每个用户制定统一的网络权限,无论用户在公司外部或内部接入,都可以使用同一套账号密码,享受用户所分配的网络权限。
2.2计费管理
方案支持多种计费类型,提供后付、预付等计费业务,可按流量、时长等进行计费。计费类型达数十种之多,其中每种计费类型又可衍生出多种计费策略。可实现基础计费管理、精细化计费管理以及用户与账户分离的运营管理方式。(1)基础计费管理:基础计费策略由模板直接定义,可实现免费、包天、包月、流量、时长、有限流量、有限时长、国内外流量区分费率、国内包月国际流量预付/后付的计费策略。在此基础之上定义包季度、包学期、包学年、或任意时间段的计费策略。(2)精细化计费管理:可定制不同区域、不同日期段、不同时间段、不同Vlan、不同接入设备类型、上网时长各区间、上网出/入流量各区间不同的计费策略,实现灵活、精细的计费。
2.3用户、账户分离的运营管理方式
用户与账户一对一、多对一、一对多、多对多的方式实现了用户与账户的独立管理,实现公共账户、私人账号、多业务账户的科学管理。
关键词:软交换;网络安全;安全区
中图分类号:F626.3 文献标识码:A
软交换网络一个很大的优势就是具有开放性的平台和接口,这样可以方便的进行业务扩展,这样各种第三方的业务以及网络都可以方便的和电信网络实现无缝连接。这就导致电信网络的规模以及业务类型十分的反正,传统互联网所面临的病毒、黑客等危险也随之蔓延到电信网络上,从而给运营商的服务造成巨大的威胁。因此,对于软交换来说,能否做好安全保障工作是一个非常重要的环节。随着软交换技术的使用以及推广,这就导致软交换面临着传统的网络安全问题。同时,软交换网络和传统网络相比还有自身的一些特点,因此其安全问题也具有自身的一些特点。在进行软交换安全防护的过程当中一般都是从软交换设备本身以及网络这两个大的方面为切入点来进行的。首先应该确保软交换的相关设备自身在设置上的安全,并且做好相应的硬件和软件防护工作,从而使软交换设备自身具有一定的安全防护能力。而对于网络的安全,则是对于软交换的承载网络安全采取相应的措施,建立健全完善的保护机制,防止通过网络对软交换设备造成的攻击。
在软交换网络建设过程当中一定要同时抓好软交换设备安全以及网络安全,两者相辅相成,缺一不可。运营商首先要在思想上引起足够的重视,做好相应的软交换安全保障工作。
1软交换面临的主要安全隐患
软交换所面临的安全问题十分多样,种类层出不穷,但是大体可以分为以下几个方面:第一,网络安全,主要是软交换网络自身的安全;第二,终端安全,终端主要是指用户侧的终端设备。当前对于用户终端的病毒以及攻击十分常见,由于软交换网络无法对其进行有效的防范,因此往往利用终端对网络发起攻击,进而对软交换的设备产生影响;第三,设备安全,主要是指各种软交换的承载设备自身的安全,这种安全隐患大多都是由于设备运行不规范或者是外部对其进行攻击。
2软交换安全服务措施
由于软交换所面临的安全隐患十分繁多,因此必须做好相应的防范工作,为用户提供安全的服务,可以通过以下几个方面的措施来实现。
2.1保密性。应该采取相应的手段对软交换网络中传递的数据进行相应的加密,从而防止没有经过授权的用户非法截留数据。这样讲数据以加密的形式传递,即使数据被截留,那么也没法进行解读。除此之外,应该做好相应的数据传输端口的防护工作,防止非法对相应的端口进行监听,保护数据的安全性。
2.2认证。建立严密的身份认证程序,防止用户合法身份被盗用,而对资源进行窃取。对于数据传输之前双方的身份以及数据来源进行认证,从而保证通信双方都具有相应的合法身份和对应的权限。将业务和实体身份进行捆绑,防止身份被盗用或者是伪装欺骗。
2.3完整性。为了防止未经授权的用户对数据继续非法修改,可以利用VPN技术进行通信。为了防止数据受到损坏,可以积极采用数字签名以及其它的完整性检测技术地数据完整性进行检测。
2.4 访问控制。通过完善的授权机制对于网络中的关键部分提供保护,对于相应的访问者进行等级划分,具备相应的等级才能够访问相应的资源,防止对于没有权限的资源进行使用。建立完善的数据库,用于存储安全认证信息,用户进行认证时需要将信息进行严格的比对。对于认证信息数据库也应该设立较高的等级,防止数据库被非法篡改。
2.5安全协议。目前应用较多的是IPSEC,SSL/TLS。至于MPLS, 严格地说它并不是一种安全协议, 其主要用途是兼容和并存目前各种IP路由和ATM交换技术, 提供一种更加具有弹性和扩充性的、效率更高的交换路由技术, 它对网络安全贡献应主要在于流量方面。
3软交换安全方案
软交换网络安全的实现, 有多种方案可供选择,下面介绍的IPSEC(ESP遂道模式)+SSL/TLS+认证服务器/策略服务器+FW/NAT是一种可运营解决方案。IPSec 体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,可以保证互通性,并且可以提供嵌套安全服务。另外对IPV6 而言它是一个强制标准,是今后发展的一个趋势。
IPSec协议主要由AH (认证头)协议, ESP(封装安全载荷)协议和负责密钥管理的IKE(因特网密钥交换) 协议三个协议组成。认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。ESP协议除了提供数据完整性校验、身份认证和防重放保护外, 同时提供加密。ESP 的加密和认证是可选的, 要求支持这两种算法中的至少一种算法, 但不能同时置为空。根据要求, ESP 协议必须支持下列算法: 第一,使用CBC 模式的DES算法。第二,使用MD5的HMAC算法。第三,使用SHA-1的HMAC算法。第四,空认证算法。第五,空加密算法。数据完整性可以通过校验码(MD5) 来保证;数据身份认证通过在待认证数据中加入一个共享密钥来实现;报头中的序列号可以防止重放攻击。IKE协议主要在通信双方建立连接时规定使用的IPSec协议类型、加密算法、加密和认证密钥等属性,并负责维护。IKE采用自动模式进行管理, IKE的实现可支持协商虚拟专业网(VPN),也可从用于在事先并不知道的远程访问接入方式。
认证系统和策略系统对商用软交换系统而言是必不可少的。它们在管理层面上实施访问控制、信息验证、信息保密性等措施,可以为网络提供安全保证。同时, 认证服务可以提计费的准确性,保证网络的商业运营。
防火墙/NAT 是保证网络安全必不可少的一部分。防火墙种类繁多,它在较交换中的窍越问题可以通过两种方法实现:一是使用TCP;二是用短于关闭墙口时长为周期,不断发送消息,维持端口开启
4结束语
基于软交换的NGN 网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,以IP作为承载媒体的软交换所面临的一些安全隐患, 实际是目前IP 网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,软交换才能够在新的电信网中持久稳定的发挥作用,并成为解决话音、数据、视频多媒体通信需求的有效解决方法, 并最终完成“三网合一”。
网络安全工作是一个以管理为主的系统工程, 靠的是“三分技术,七分管理”, 因此必须制定一系列的安全管理制度、安全评估和风险处置手段、应急预案等, 这些措施应覆盖网络安全的各个方面,达到能够解决的安全问题及时解决,可以减轻的安全问题进行加固,不能解决的问题编制应急预案减少安全威胁。与此同时,需要强有力的管理来保障这些制度和手段落到实处。
参考文献:
[1] 徐鹏,廖建新,吴乃星,马旭涛.基于软交换的集群媒体服务器的安全问题及其解决方案[J].计算机应用研究,2006(6).
什么是新的安全架构?这些新的安全架构又有哪些特点呢?专注于安全的解决方案提供商Check Point(以色列捷邦安全软件科技有限公司)日前推出了Check Point Infinity网络安全架构。该架构旨在满足企业组织的关键性需求。Check Point Infinity是首个跨网络、云端和移动设备的统一安全平台,提供无与伦比的威胁防护功能,可保护客户免遭日益增加的网络攻击威胁。
“Check Point Infinity是我们力求构建安全架构总体设想的巅峰之作,它能够跨网络、云端和移动设备,将我们可提供的最佳安全性、最佳情报水平、最佳管理能力进行统一。”Check Point产品管理副总裁 Gabi Reish说道,“此架构旨在确保组织已做好万全之策,足以应对未来 IT中复杂多变的动态格局。原理非常简单,统一安全架构将借助提供更有效、更实用的IT运营,保证各种环境中的企业安全。”
Check Point Infinity 通过提供三个关键要素的独特组合来实现这一设想:
第一,该安全平台利用通用平台、威胁情报共享和开放式基础设施,跨所有网络、云端和移动设备提供无与伦比的安全性。
第二,该平台采取先l制人的威胁防护,注重预防,以便在最复杂的已知和未知攻击发生之前进行拦截。
第三,该平台将统一整合的系统,通过单一控制台进行单独管理、模块化策略管理与威胁可见性集成,从而有效实现安全集中化。
Check Point Infinity使企业能够掌控自身安全性,并将其整体IT运营作为单一内聚架构进行保护和管理,从而为企业自己的业务运营和客户带来益处。
Check Point为客户提供面向未来的创新解决方案。技术的进步推动组织在运营方式上做出无数次改进,而这些进步已经改变了企业所应采取的安全方法。Check Point Infinity满足了对前瞻性架构的这种需求,此外还引入了如下新功能。
第一,安全管理功能。新的R80.10具备数十种新型功能和增强功能,其中包括独特的策略层、多区安全保护和增强性性能,使组织能够随时随地获得保护,无惧任何威胁。
第二,该平台可服务企业,提供云端防护。Check Point vSEC Cloud Security更新的综合性产品组合与私有云和公有云平台相结合,从而确保云环境受到保护。
第三,该平台可为移动设备提供安全防护。全新的SandBlast Mobile是独有的统一性跨平台解决方案,能够保护企业免受针对移动设备的漏洞攻击。SandBlast Mobile可以检测和拦截已知与未知恶意软件,并将中毒的Wi-Fi网络、中间人攻击,以及SMS钓鱼诈骗拒之门外。
第四,最新推出的Check Point反勒索软件技术能够保护企业远离网络勒索,即使面对最复杂的勒索软件也能提供完善保护。
第五,Check Point推出全新的更高端的44000和64000安全网关,上述设备分别具备42Gbps和636Gbps吞吐量。该系列产品还包括多刀片机架产品,以支持不断增长的网络动态需求,同时提供未来网络安全所需的更高的可靠性和性能。