各位领导、各位专家、各位来宾,大家中午好!今天我要跟大家分享的主题是电信网络安全建设。主要介绍电信运营商在网络安全方面的一些实践,建设的思路还有未来一些工作的设想。
我今天的介绍内容主要包括五个部分。首先介绍IP网络安全对于电信运营商的重要性。接着介绍电信运营商的安全视点,主要分析对于电信IP网络来说,应该进行哪些方面的一些安全能力的建设。第三是IP网安全现状分析,主要介绍现在电信IP网面临的一些安全问题以及目前的工作重点。第四方面是网络安全工作思路,主要介绍电信运营商在IP承载网安全以及DDOS攻击的防护、垃圾邮件处理这些专项工作中已经做的事情,以及取得的成效,最后简单介绍一下SOC体系的建设思路。
我们首先来看一下网络安全的定义,从这个定义可以看到对于电信运营商来说,网络安全究竟意味着什么?根据ISO74982的定义,安全就是最大程度地减少数据和资源被攻击的可能性,对于电信运营商来说,这些数据主要包括计费的数据,财务的数据还有各种的电信客户资料。资源包括各种电路的资源(也包含了各种客户的链路带宽),还有其他的像DNS系统、应用服务这些资源。攻击包括黑客入侵、网络蠕虫、拒绝服务攻击还有域名劫持等。对于电信运营商来说,网络安全主要就是保障上面所提到的这些数据和资源免受各种网络攻击的侵害。
下面我们简单看一下网络安全的几个属性。首先是网络安全目标的主体性,就是说对于不同的组织,其网络安全的视角是不尽相同的,大家都会从自己的利益和所处的角度出发来制订自己的安全目标,安全运营商也不例外。只要大家把自己本身应尽的网络安全的义务都做好了,那么我们整个社会的网络安全水平就会有一个比较大的提升。
第二个属性是相对性和实效性,就是说不存在绝对安全地的网络,还有就是网络的安全状态也是动态变化的,根据这个属性,电信运营商应该定期地去审视和评估网络的安全态势,并采取相应的一些措施来满足安全目标的要求。
第三个属性就是安全措施的多维性,为了达到预期安全目标,必须采取技术和管理等多维度的管控手段,只有实现技术和管理的有机融合,才能实现对于网络安全问题的一个多维的管控。技术层面包括各种静态的防护技术,动态的监测和响应技术的应用,在管理层面上包括了各种策略、方针、制度、流程的制订,还有电信内部安全组织架构、人员、组织的建设。
最后一点是国家相关职能部门的职责,就是在立法层面上应该依赖法律法规的威慑和网络犯罪的惩戒,这方面工作对于保障电信网络的安全性也是十分重要的。
下面来看一下对于电信网络来说,它的安全的重要性,前两个理由其实大家都应该是比较了解了,一是从IP网本身的本质来看,IP网本身就不是一个安全的网络。首先,IP网的开放性跟它的可控性、安全性就是一对不可调和的矛盾;其次,IP网所固有的一些信任与认证机制的缺失,是导致IP网内部的网络安全问题比较多的一个原因。第二个是从外部安全威胁来看,各种网络攻击,包括木马、病毒、DDOS攻击等形势依然严峻。
第三方面就是现在IP网的价值在提升,这体现在两个方面,一方面是整个社会的信息化的程度在提高。信息化程度的提高导致了我们整个社会生活对于互联网、对于IP网的依赖性在提高。第二,从电信运营商来看,现在电信承载网也有IP化的趋势,这两个方面的趋势就导致了电信IP网内在价值的提升,从而提高了其安全的重要性。
最后,电信IP网的安全重要性还体现在电信网络对重大社会活动的保障上,比如说对各种重大会议的通信保障,比如明年召开的北京奥运会的通信保障,都给电信运营商的网络安全提出了更高的要求。
下面我们来看一下电信运营商的安全视点。
从刚才介绍的网络安全的属性可以看出电信运营商在安全建设的方向。从网络安全目标的主体性可以看到,运营商应从自身和客户利益出发来审视其面临的突出的、紧迫的、重要的安全问题。
从网络安全的相对性和时效性来看,安全能力应该是在一定的限制条件的一个动态的平衡,所以电信运营商应该定期审视组织安全的态势,发现安全天平的失衡,通过必要的资金投入来维持安全平衡的砝码。
在安全措施的多维性上,对于每个安全问题都应该从技术、管理的维度来研究相应的对策,最终通过技术和管理的有机融合来形成安全能力。
具体分析电信网网络安全存在的一些风险,我们就可以得出针对目前的电信IP网络,我们应该着重进行哪些方面安全能力的建设。现在电信网络的安全缺陷主要可以归纳成以下几个方面:安全配置的错误、协议的安全缺陷、系统资源的局限性、信任机制的缺失以及软件安全的缺陷。因此针对这些缺陷,应该加强安全配置集中化管控能力、网络安全访问控制能力,全网异常流量分析和控制能力,网络安全的信任保障能力,软件漏洞的自动发现和自愈能力,以及安全事件的监控和分析能力等六方面能力的建设。
在安全配置集中管控能力方面,在技术上建立配置的集中分发和校验系统,在管理上就配套配置审核与更新的流程;在网络安全访问控制能力方面,在技术上建立网络安全的访问控制和隔离系统,在管理上配套建立信令、业务、管理三个平面的管控机制;在全网的异常流量分析和控制能力方面,技术上建立资源的监控和异常攻击监控系统,在管理上配套异常攻击处置流程和管理机制;在网络安全信任保障能力方面,在技术上建立CA技术的体系为业务和公众的服务来提供基础设施的保障,在管理上配套建立各种信任的管理机制;在软件漏洞自动发现和自愈能力以及安全事件的监控与分析能力方面,在技术上建立软件安全的漏洞扫描、加固系统,在管理上配套定期的评估和加固机制。
前面介绍了电信IP网络应该着重建设的安全能力,现在我们来谈一下电信IP网的安全现状以及工作重点。
对于目前电信运营商来说,在外部威胁方面,主要还是各种DDOS的攻击,就是利用网络发动的各种DDOS攻击,对于网络的正常运行构成了严重的威胁。随着这些DDOS攻击的频率的不断上升和规模的不断扩大,这类占用电信运营商大量的网络资源,还可能对城域网和IDC的出口造成拥塞。
刚才提到了外部的威胁,那么在内部呢?这主要包括几个方面的安全能力的缺失,包括网络安全漏洞的自动发现与治愈,全网联动的事件的监控和分析,全网异常流量的分析和控制,网络安全配置的集中化和管控,安全态势的综合分析以及高效运作网络安全管理等方面的能力,目前电信运营商网络安全工作应该着重进行这些能力的建设。
安全能力的建设主要是分技术和管理两个层面,在技术层面首先是建立一个层次化的安全的管控体系,然后是对电信的IP承载网进行安全的设计和优化,再次通过SOC的建设来完善各种安全能力。在管理层面上主要包括安全组织的建设和人员的保障,各种安全策略制度和流程的配套建设,以及完善安全评估、应急响应等安全保障机制。
下面绍电信运营商网络安全的工作思路。
刚才提到安全能力的缺失是引发安全问题的一个重要原因,所以说安全能力的建设是目前网络安全工作的重点。在安全能力的建设方面,电信运营商目前可考虑以下三方面工作:一是对于电信级IP承载网的安全设计和优化,二是对于业务网络平面化的安全隔离和控制,三是对于电信的关键业务和支撑系统进行专项的安全防护。
电信IP承载网的安全建设主要包括六个方面的内容:一是高冗余可靠的网络拓扑组织设计,二就是业务提供层和骨干层相互分离的设计,三是在边缘层对客户接入进行溯源,四是进行集中的安全检测和策略下发,五是利用QOS机制和路由协议加密的实现来提高整个网络的安全性,六是利用AAA和Syslog审计来加强认证授权和事后审计。
在高冗余可高可靠性的网络拓扑组织方面,首先电信IP承载网的网络核心POP节点之间采用全网状拓扑结构,任何一对拓扑节点之间采用双链路的互联,并且双链路是沿不同的物理传输路径,这样可确保核心层的安全可靠性,并且也能够控制各种故障的影响范围。
其次,任何汇接层节点,至少跟两个以上的核心节点相连,任何边缘的节点至少都跟两个核心或者汇接节点连接,并且IP电路都经由不同的物理传输路径。业务提供层和骨干层分离的网络结构,可以保证骨干网络的安全,有效地控制对客户网络安全的影响范围。
在客户接入溯源方面,电信运营商IP承载网应全网具备对所有客户接入的溯源能力,可以在业务接入路由器的业务接入端口上部署uRPF反向路径查找,能够控制针对客户和网络基础设施的伪地址的攻击。
在集中的安全检测和策略下发方面,可利用网管系统实现安全集中检测和策略下发,能够具备及时的安全报警能力和快速准确的策略下发能力。
在QOS跟路由协议方面,通过部署QOS技术和路由协议安全加密技术,来保证路由协议和路由信息交换的畅通,以及路由信息的完整和准确,同时通过QOS技术来抑制各种病毒等垃圾流量的传播。
在安全审计方面,通过部署全网集中的AAA和Syslog系统来确保各种操作和配置的安全权限的授权和事后审计。
除了做好IP承载网安全外,电信运营商业务网络的安全建设主要表现在平面化的安全的隔离与控制。即将业务网络分成信令平面、业务平面和管理平面,然后着重对各平面之间做访问控制。在各个平面的交叉访问点,还有外部跟各平面之间的控制点,就是主要的风险控制点。这三个平面之间应实现逻辑隔离,现在主要可采用MPLS/VPN技术、路由控制、IP地址隔离和访问控制等方式来实现。除此之外也应加强各个平面内部的防护,对于信令平面,主要是加强网元设备、信令和控制间的认证;在业务平面,主要是加强用户的认证和鉴权,并加强业务和网络资源使用的控制能力;在管理平面,主要是加强各网元设备和系统的安全配置,实施对设备和系统的访问控制,加强设备和应用的身份认证和授权,并且加强网络管理和业务终端安全管理。
在关键业务和支撑系统的安全防护方面,可通过部署漏洞扫描器,结合定期的安全漏洞评估和加固来及时发现和修补系统存在的安全漏洞,通过VPN的方式来实现远程登录的安全,在业务系统双链路上联电信运营商网络并采用双防火墙安全防护,在网络内部通过IDS系统来对内网的安全事件进行监控,并通过3A服务器实现授权的管理。
前面介绍了IP承载网的安全建设思路,下面接着介绍电信运营商在DDOS攻击防护和垃圾邮件处理这两个专项工作。先前已经提到了DDOS攻击是目前电信运营商面临的一个比较大的安全威胁,电信运营商应对这个问题主要有两个思路,一个思路是加强对DDOS攻击的内部安全防护,第二个思路是就是向外、向客户提供DDOS攻击防护的业务。在DDOS的内部防护主要就包括三个方面的工作。一是组织制度的保障,二是非法流量源头的遏制,三是对于异常流量的快速定位和处理。
在组织制度保障方面,就是完善DDOS攻击的应急流程,加速DDOS攻击事件的处理的效率,坚持例行安全应急演练,通过模拟实战演练锻炼队伍、总结DDOS攻击防护经验。
在遏制非法流量的源头方面,可在网络边缘部署相关的安全策略,对于虚假的原地址流量进行针对性的过滤,来遏制采用源地址欺骗技术的网络攻击和非法流量泛滥的势头。
在流量的快速定位和处理方面,通过异常流量的监控系统,对DDOS攻击进行快速的分析和定位,并且配合“黑洞路由”在网络边缘的快速阻断指向被攻击目标的流量,有效避免由于攻击引起的网络拥塞。
除了内部DDOS攻击防护之外,电信运营商应逐渐尝试对客户提供DDOS攻击的防护服务。DDOS攻击防护服务能够帮助客户自动地清洁针对于客户业务系统的DDOS恶意攻击流量,保证客户关键业务的连续性,客户无须进行设备的投资和网络的改动,就可以轻松地解除DDOS攻击的后顾之忧。DDOS攻击防护服务提供的主要业务内容包括安全基线的制订,流量的实时监控,攻击特征分析,防护策略制订、流量清洗服务,和攻击防护报告。
电信运营商开展DDOS攻击防护服务主要具备有四个方面的优势:一是有专家级的服务团队,二是具有比较丰富的骨干网的资源优势,三是电信级的维护和管理,最后是在可采取多种灵活的防护手段。
通过DDOS攻击防护服务可以给客户创造几个方面的价值,首先是可以保护客户信息资产,提高客户业务的连续性,二是可增强客户对于网络流量和安全的可见性,三是能够优化客户的IT投资,四是电信运营商为客户承担了被攻击的风险。
DDOS攻击防护在给用户带来好处的同时,也给电信运营商自身带来了好处。首先是可以节省网络资源,二可以同时保护电信运营商网络的网络和系统,三是可以提升电信网络的流量监控能力。
垃圾邮件的处理对于电信运营商也是一个比较头疼的问题,因为经常会由于垃圾邮件的问题导致大片的IP地址受到国际的一些反垃圾邮件组织的封堵。在垃圾邮件处理方面,电信运营商可主要是从组织制度保障,国际合作、信息系统自动化处理这三个方面开展工作。
在组织制度保障方面,应建立比较完整的垃圾邮件处理的工作体系,对于各种垃圾邮件的投诉可以快速、有效地进行处理;在国际合作方面,应与Spamhaus、MAPS等国际权威反垃圾邮件组织保持比较密切的工作联系;在信息系统的自动化处理方面,可开发垃圾邮件处理软件系统来进行垃圾邮件的自动高效统计分析,进而可了解全网垃圾邮件的发展态势,然后采取相应的措施。
最后介绍一下电信运营商SOC体系的建设思路。SOC(SecurityOperationCenter)平台可集成网络异常流量监控,安全事件的集中监控,安全风险的评估和垃圾邮件自动化处理等功能。
电信运营商SOC建设思路包括SOC平台的建设和SOC体系的建设。在SOC平台建设方面,首先是要形成涵盖全网的“两级平台、三级监控”的安全维护体系;二是在管理范围上,从电信运营商IP网络的安全监控,逐渐扩展到包括电信运营商内部的重要业务和支撑系统的安全监控,为电信运营商的网络和重要系统的安全监控、分析和管理提供全方位的技术手段;三是利用平台逐步实现安全管理能力从电信运营网络到客户网络的延伸,通过平台的完善,逐渐发展可管理安全业务平台的各种能力;四是为电信运营商网络安全业务的推出,提供业务运营层面的技术支撑;五是依托SOC平台,加强与各安全厂商、安全服务提供商的包括应急响应和安全管理服务等方面的多层次合作。
在SOC体系的建设方面,电信运营商首先应逐步建立从集团、省、地市的三级层次化SOC组织架构,落实安全管理职责;二是培养和完善网络安全队伍,逐步实现SOC维护和管理队伍的专业化、专职化;三是逐步建立和形成包括安全纲领、制度、流程、指南的层次化策略体系,为IP网络安全工作提供策略指引;四是建立健全SOC平台的各种运作流程、管理制度,保障SOC各项管理功能的落实。
以上就是我关于电信网络安全建设思路的演讲内容,谢谢大家。
