2004年，中国电信网络环境更加复杂，网络安全威胁更加严重，病毒、黑客、垃圾邮件等频繁困扰着企业和用户。网络安全对今天的电信运营商来说已是重中之重。随着电信网络从原来的信息传输通道走向今天的多元化网络平台，再加上运营商本身竞争的加大以及客户对服务质量的不断提升，电信网络的安全、可靠成了运营商必须面对的问题。正如在刚刚召开的2005第六届中国信息安全大会上，电信运营商代表指出：中国电信的网络安全工作总体上看还处于起步阶段，逐步建立健全网络安全保障体系已刻不容缓。

由于电信行业的网络系统逐渐基于Intranet体系结构，因此有人认为，当前电信网络安全遇到的一个重大挑战，就是安全威胁无处不在、无时不在。而电信网作为公众服务网络，对网络的访问者是无法从行为上加以管理和控制的，因此，只能通过技术手段加以防范。

然而，作为当局者的电信运营企业，如何在应用不断增加、系统逐步开放的情况下构建安全的网络体系呢？毕竟是技术在推动应用。本期我们特约以下几位行业的安全专家，就他们各自对电信网安全的认知和理解，什么样的电信网才是运营商希望看到的安全的网络，在电信网安全方面各企业分别专注于那些方面、特长是什么等问题进行剖析，在探讨中希望能够抛砖引玉，对电信网络的安全起到一定的推动作用。

重点防护、整体安全相结合

思科系统公司高级网络安全顾问喻超认为：

当前电信网络安全遇到的一个重大挑战，就是安全威胁无处不在、无时不在。而电信网作为公众服务网络，对网络的访问者是无法从行为上加以管理和控制的，因此，只能通过技术手段加以防范。我们说网络要全民皆兵，实际上网络访问者可以说全民皆“敌”。拒绝服务（DoS）攻击是一个典型的例子，攻击者可以控制成千上万的计算机，同时对某个目标进行访问，把带宽、服务器挤爆，正常的访问者无法得到服务。可见，网络上的各个环境、各个设备都要提高警觉性。

1．系统化的安全思路

思科公司提出自防御网络这个概念，就是本着系统、全面地解决网络安全问题的思路而来的。思科认为，网络和安全今后将密不可分，网络就要考虑安全问题，安全的网络才称得上网络。

思科公司始终坚持以客户需求为导向、以技术研发为根本，成功地构筑起业界最全面的网络通信产品体系，并形成了防火墙、IDS、VPN等领先的网络安全产品。2003年11月，思科正式对外公布自防御网络计划，希望通过系统化的途径实现网络安全。一年多以来，思科公司自防御网络计划之网络准入计划得到了IBM、趋势科技、赛门铁克、NAI、CA、微软等业界厂商的支持与合作，并先后收购了Twingo、Perfigo、Riverhead等新兴网络安全技术公司巩固自防御网络战略，同时在网络安全信息管理、IOS安全特性等方面投入大量研发。

2．电信网络的整体安全

安全已经成为思科产品线中必不可少的组成部分，安全功能已经嵌入到思科路由器、交换机、IOS等全部基础产品之中，单独的安全产品也已构成了完善的体系，思科有安全传输数据的VPN产品，还有防火墙、IDS、防DDoS攻击、安全信息管理（SIM）、NAC等。针对电信网络的需求特点，我们重点推荐安全信息管理、防DDoS和安全评估服务等内容。

思科智能安全信息管理中心是思科自防御网络在公众网络上的重要体现，其核心就是CiscoSIMS安全信息管理系统，它能够搜集电信网络上来自多家厂商设备、分布在不同地理位置的安全警报信息，将其精简后提供给网络安全管理人员。通过第三方开发的软件，可以对这些信息进行分析，提出建议措施，建议措施经过确认形成网络指令。如此循环往复，形成动态、闭环、自动化的网络安全管理，实现网络的整体安全。

3．重要客户重点保护

电信网络作为一个运营的网络，是要讲究效益的，如果对所有接入的用户提供同样水平的保护，不是心有余力不足，就是吃力不讨好。对含金量高的客户提供更多的保护，对一般的客户提供普通的保护，才是符合逻辑的选择。

思科智能化DDoS防护系统来自2004年4月份收购的Riverhead公司的创新技术，智能化DDoS防护系统由攻击检测系统和防护器Guard两部分构成。思科认为，DDoS智能防护系统非常适合部署在电信骨干网边缘，动态地为购买了该项服务的客户提供保护。同时，防护器作为一个资源共享的设备，它可以根据需要动态地对网络中的上百台服务器进行保护，谁被攻击，就去保护谁，这点对于电信企业非常重要。

4．安全专业服务

思科公司拥有的网络安全专家队伍，可以通过安全评估、安全规则的制定、安全机制的建立等手段，帮助电信运营商将网络的安全技术手段发挥到非常好的运营状态。在思科提供的互联网安全审计服务中，思科专家对网络进行“排查”，测试应用主机的安全性，发现系统中潜在安全隐患及漏洞，及时提供补救措施，提出安全建议，提高整体网络的安全性。

近年来，在网络运维中借助专业服务供应商的力量，已经成了电信行业的最新潮流和趋势。国际上领先的电信运营商如AT&T、澳大利亚Telestra、新加坡电讯(SingTel)就使用了思科系统公司的网络优化和安全评估服务。思科还可以提供电信网络安全规划、电信网络安全部署等多种安全专业服务。

缓解网络威胁保护宽带客户

Juniper网络新技术部亚太区销售经理SimonNewstead则认为：

间谍软件、恶意软件、蠕虫、特洛伊木马、病毒、网页仿冒以及域欺骗攻击等威胁，使宽带用户安全性成为运营商的重大业务问题。无论采用哪种物理接入方式（DSL、有线、FTTH或宽带无线），运营商都面临着巨大的挑战。

1．对IDP和宽带网智能策略执行的认识

亚太各国近期爆发的蠕虫攻击和来势汹汹的拒绝服务攻击让我们了解到，网络基础设施已不仅是攻击的传输途径，它现已成为攻击目标。如今以太网大规模在韩国、日本及其他国家铺设，再加上高明的蠕虫不断对“笨拙”的设备进行攻击，运营商自身也日益暴露在安全风险之中。

过去，某些运营商实施了入侵检测系统，以帮助保护网络基础设施安全。这些解决方案能够对穿过网络的数据包进行被动检测，但几乎不能缓解任何即时攻击。即便检测到攻击，系统也不提供简单快捷的方法将攻击与特定网络用户相关联，从而无法立刻阻止不良流量的传输。

运营商还实施了另一种客户端防护方法，即在客户端运行由运营商提供防病毒或防间谍软件。但这种方法除了成本高昂外，而且不能全面缓解攻击。虽然它能够解决病毒问题，但却无法处理应用层网络攻击，如发动高明的缓冲溢出攻击的Slammer或Sasser蠕虫，还有在此类危害严重的攻击发生时防病毒软件无法防护的蠕虫。

运营商必须能够识别感染了计算机病毒或蠕虫的宽带用户以及有恶意行为的用户，并采取适当的防范措施。只有将先进的入侵检测与防护（IDP）功能与宽带网络的智能策略执行功能结合在一起的网络解决方案，才能满足以上要求。

2．基于网络的威胁缓解

Juniper网络开发并推出了动态流量安全性与控制解决方案，通过使网元协同工作来识别并牵制可疑和危险的流量。动态流量安全性与控制解决方案使运营商能够为企业客户及住宅宽带客户提供增值的防护服务。实施该解决方案的运营商，现已能够经济高效地逐用户或逐应用识别攻击，并能够快速有效地缓解这些攻击。

该解决方案由一系列经过验证的、功能强大的运营商产品组成：Juniper Netscreen-IDP（入侵检测与防护）平台、Juniper E-系列运营商边缘路由器以及灵活的SDX-300业务部署系统。

IDP设备可以直接安装在用户数据路径中，以便识别用户传播的任何蠕虫或病毒。IDP设备也可以在网络上处理所有的用户流量。一旦识别出并验证了问题后，IDP设备将向SDX网关发送消息。接到消息后，SDX网关立即采取行动以减轻受感染流量对网络的负面影响。SDX可智能地将策略应用到E-系列路由器，以便将受感染的用户流量重新定向到强制网络门户。强制网络门户将通知用户出现了问题，并向客户提供保护系统的适当建议。在病毒从用户系统中清除后，用户便可继续开展正常活动。

3．解决方案及优势

Juniper网络动态流量安全性与控制解决方案，还能通过优化网络基础设施性能的策略应用，识别并控制对等间流量。利用IDP技术，运营商现已能够深入洞悉网络层和应用层的流量流，从而能够观察并辨别相关带宽使用模式的特征。通过深层检测流量，IDP设备可提供具体的用户行为信息并识别对等间流量。运营商可基于带宽使用情况对用户进行分类，并可借此机会推出创新的分级价格体系，以增加收入。

动态流量安全性与控制解决方案可提供许多主要优势，包括：能够快速识别、自动隔离并通知受感染的客户；通过提供病毒修复指南的强制网络门户页面，帮助修复后的客户动态恢复正常业务；对受感染的网络区域或客户动态应用修改策略，以将最新的病毒属性添加在内；逐用户地深入了解流量流及流量模式；动态控制并限制对等间流量；使用基于硬件的网元提供数千兆规模的解决方案等。

利用VSOC构建整体安全的电信网

启明星辰信息技术有限公司电信事业部总经理王雷对整个电信网的安全则有自己的看法。

他认为，作为国家基础设施的重要组成部分，电信网目前已经从原来“电路交换为主”的话音业务全面转向话音、数据、多媒体、视频、电子商务等综合业务的多元化网络平台。与普通企业相比，电信运营商的信息安全系统不仅部署地域分散、规模庞大，而且与业务系统耦合性较高，传统上对于电信网的安全考虑往往是关注IT设备自身的安全问题，并将分散在各处、不同种类的安全防护设备分别管理。但如今的电信网已经和互联网拥有了广泛的互联、互通性，电信网系统本身的开放性也在不断增大，与计算机网络一样，内部误用、拒绝服务攻击、外部入侵、病毒和蠕虫等各类各层次的安全威胁层出不穷，这就要求相应的控制对策也必须同步跟进，否则原有的防范措施就可能由于落后而失效，从而导致整个电信网安全保障的失败。

1．统一管理平台VSOC实现动态监控

面对最新的发展形势，启明星辰认为电信网络安全要从全局角度出发，并为其专门提供了业界领先的VSOC（VenusSecurityOperation Center）启明星辰安全运营中心解决方案，帮助电信运营商将现有安全系统纳入统一的管理平台，实现安全形势全局分析和动态监控。 VSOC是针对传统管理方式的重大变革，它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理，从而帮助电信运营商构建一个整体安全的电信网络。

2．VSOC的结构及功能

启明星辰安全运营中心由“四个中心、五个功能模块”组成，“四个中心”是漏洞评估中心、事件监控中心、综合分析决策支持与预警中心和响应管理中心，而“五个功能模块”包括策略配置管理、资源管理、用户管理、安全知识管理和中心自身安全。

其中，事件监控中心主要监控各网络设备、操作系统的日志信息，而通过漏洞评估中心可以掌握全网各系统中的安全漏洞情况，综合分析决策支持与预警中心是平台的核心模块，能够接收来自安全事件监控中心的事件，依据资产管理和漏洞评估中心进行综合的事件协同关联分析，并基于资产（CIA属性+价值）进行风险评估分析。

在五个模块中，策略和配置管理模块可以进一步完善整个IP网络的安全策略体系建设，安全知识管理模块能够保证各级安全运营中心之间的信息通畅和管理信息的高效、安全传递，资产管理主要是管理VSOC监控范围的各个系统和设备，是风险管理、事件监控协同工作和分析的基础。用户管理模块对用户可以访问的资源权限进行细致的划分，具备安全可靠的分级及分类用户管理功能。

3．VSOC对电信网的安全优势

启明星辰安全运营中心的主要功能包括：安全事件集中收集和处理、实时事件关联分析、漏洞关联分析、资产管理、风险评估、安全事件监控、安全策略配置管理、漏洞评估管理、响应管理、全面知识管理、多样化显示方式、安全智能、丰富直观的报表以及广泛的平台支持。

一个好的安全解决方案应该是根据用户的业务模式、业务目标、安全需求等为用户“量身定制”的，定制化的效果有时比自身的功能有多强大还要重要，所以为用户提供方案时，不能只关注产品功能是否满足要求，还要有持续的产品开发能力及服务支持能力。启明星辰通过不断的为国内外电信运营商提供服务，积累了丰富实战经验，不断完善自己的体系、整理出自己的方法，为电信企业提供更好的产品与服务。电信企业不管是应用何种品牌的防火墙系统、入侵监测系统、防病毒系统、漏洞扫描系统，启明星辰VSOC都能够从这些主流安全系统收集安全事件数据，并可以和网管系统实现结合管理。

不拘一格构建可靠的防御系统

诺基亚企业解决方案事业部中国区技术经理王磊指出，近年来，在网络运维中

借助专业服务供应商的力量，已经成了电信行业的最新潮流和趋势。针对特殊信息安全的形势，电信企业应从主动防护与被动监控、全面防护与重点防护相结合的角度出发，搭建具有主动防御能力的深层防御安全体系。诺基亚凭借多年电信设备的研发经验，推出了业界领先的网络安全解决方案，其性能卓越、可靠，管理便捷，并可以进行扩展，在提高用户投资回报的同时，保护用户的投资。

诺基亚最近推出的基于SSLVPN技术的诺基亚安全接入系统为企业提供了一个经济高效的基于SSL浏览器的接入方式，企业可随时随地通过任一接入设备开展业务，同时还可保证网络的安全性和完整性。

1．综合的安全体系

诺基亚安全解决方案采用分层架构，由硬件平台、操作系统、应用系统和管理系统四层组成，实现高度可靠、高度安全的防护功能。

诺基亚IP系列安全平台是诺基亚专为网络安全量身定制的产品，是专门设计的、坚固可靠的硬件平台，具有更高的可用性和灵活的可扩充性，这些产品能够为各种规模的企业提供安全可靠的网络环境。其中IP2250/1260/1220/IP740吞吐量高达GB级，可以满足数据中心、大型企业用户的需求；IP130/40专为为小型办公室及远程办公室使用；其它型号则适用于中型机构/企业。

IPSO操作系统是诺基亚的优化操作系统，具有IP及加强网络安全功能，效力强大，足以用作大流量数据中心网络安全应用，也可用于企业的小规模办事处。内置的IP路由功能，例如符合IPv6标准，令IPSO适用于现在及日后的IP网络。IPSO除了作为防火墙、VPN及入侵侦测系统的安全操作系统，还可用于移动电话网络GSM、GPRS及3G网络，引导并监控移动数据，并支持网络之间的漫游边界网关应用方案。

在应用方面，诺基亚网络安全解决方案集成了CheckPoint等业内非常好的的安全应用，强大的网络安全功能包括防火墙、VPN、入侵侦测、内容保护安全、电子邮件保护等等。此外，诺基亚还于2002年成立了诺基亚网络安全产品开发商联盟，以便用户可以选择第三方的应用程序在诺基亚值得信赖的企业安全平台上运行。

2．网络安全方案特点

由于电信网络的复杂性，诺基亚安全设备的部署非常简单。所有必要的准备工作都在出厂前就完成了，客户拿到的产品是有安全针对性且节省空间的设备，专门为易于维护而设计，不再需要额外的安装配置。

在高可靠性方面，网络需要7x24小时不间断运行。诺基亚的解决方案通过冗余硬件技术以及IP集群技术，实现硬件设备的高度可靠性。而且，还通过与CheckPoint等合作伙伴的紧密合作，通过对硬件、操作系统和应用进行极其严格的全面测试，确保整体解决方案具有优秀的稳定性。同时，CheckPointVPN-1for Nokia是基于“状态检测”技术的高速防火墙，可以最大限度地保证电子商务交易的安全性和成功率。另外，Check Point防火墙和VPN功能的集成，简化了网络管理。融合的整体解决方案不是安全产品的简单组合，更需要协同发挥效能，确保网络的全程安全，这样的解决方案才是最受用户关注的。

转载地址：http://www.netsp.com.cn/Article/netsafe/others/200506/20050611200900.html