莫讓“100－1=0”——談信息化背景下的通信網(wǎng)絡(luò)安全(2008-01-15 08:10:14)通信網(wǎng)絡(luò)的普及和演進(jìn)讓人們改變了信息溝通的方式，并且在推進(jìn)信息化的過(guò)程中與多種社會(huì)經(jīng)濟(jì)生活有著十分緊密的

莫讓“100－1=0”

——談信息化背景下的通信網(wǎng)絡(luò)安全

(2008-01-15 08:10:14)

通信網(wǎng)絡(luò)的普及和演進(jìn)讓人們改變了信息溝通的方式，并且在推進(jìn)信息化的過(guò)程中與多種社會(huì)經(jīng)濟(jì)生活有著十分緊密的關(guān)聯(lián)。這種關(guān)聯(lián)一方面帶來(lái)了巨大的社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值，另一方面也意味著巨大的潛在危險(xiǎn)——一旦通信網(wǎng)絡(luò)出現(xiàn)安全事故，就有可能使成千上萬(wàn)人之間的溝通出現(xiàn)障礙，帶來(lái)社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值的無(wú)法預(yù)料的損失?！?00－1=0”，1次網(wǎng)絡(luò)安全故障，有可能讓100次網(wǎng)絡(luò)暢通帶來(lái)的全部成果付之東流，這是我們不愿意看到的。

那么，對(duì)于通信網(wǎng)絡(luò)而言，安全到底意味著什么？根據(jù)相關(guān)定義，通信網(wǎng)絡(luò)安全就是指最大限度地減少數(shù)據(jù)和資源被攻擊的可能性。對(duì)于電信運(yùn)營(yíng)商來(lái)說(shuō)，這些數(shù)據(jù)主要包括計(jì)費(fèi)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)以及各種電信客戶(hù)資料等；資源包括各種電路資源和帶寬資源、DNS 系統(tǒng)、應(yīng)用服務(wù)等；攻擊包括黑客入侵、網(wǎng)絡(luò)蠕蟲(chóng)、拒絕服務(wù)攻擊以及域名劫持等。因此，對(duì)于電信運(yùn)營(yíng)商來(lái)說(shuō)，網(wǎng)絡(luò)安全主要就是保障上述數(shù)據(jù)和資源免受各種網(wǎng)絡(luò)攻擊的侵害。

從實(shí)際情況來(lái)看，目前網(wǎng)絡(luò)安全的問(wèn)題發(fā)生背后往往有利益驅(qū)動(dòng)，這也決定了網(wǎng)絡(luò)安全工作將是長(zhǎng)期和艱巨的。據(jù)有關(guān)資料表明，目前網(wǎng)絡(luò)攻擊者的攻擊目標(biāo)比較明確，針對(duì)不同的網(wǎng)站和用戶(hù)，采用不同的攻擊手段和攻擊行為，趨利化特點(diǎn)比較突出。惡意代碼的目的性也比較強(qiáng)，有后門(mén)、蠕蟲(chóng)、木馬、間諜軟件、即時(shí)通信軟件等，傳播的途徑和種類(lèi)也比較多。據(jù)數(shù)據(jù)統(tǒng)計(jì)，2007年上半年中國(guó)內(nèi)地約有100多萬(wàn)個(gè)IP 地址被植入木馬。在這樣的情況下，電信運(yùn)營(yíng)商的網(wǎng)絡(luò)正面臨嚴(yán)重的威脅。因此，如何最大限度地化解這種潛在危險(xiǎn)，盡可能確保通信網(wǎng)絡(luò)安全，是當(dāng)前整個(gè)行業(yè)需要面對(duì)的重大課題。解決這一課題，一方面要依靠技術(shù)創(chuàng)新，另一方面也要依靠建立健全安全機(jī)制，強(qiáng)化安全管理。

目前，網(wǎng)絡(luò)的演進(jìn)方向是IP 化，而且在各運(yùn)營(yíng)商的努力推動(dòng)下，大多數(shù)的業(yè)務(wù)都已經(jīng)遷移到IP 網(wǎng)絡(luò)上來(lái)，下一步所有的業(yè)務(wù)都要向全I(xiàn)P 網(wǎng)絡(luò)上遷移。IP 的優(yōu)勢(shì)是開(kāi)放、簡(jiǎn)單，但在QoS 和可靠性方面有明顯的缺陷，特別是在全I(xiàn)P 網(wǎng)絡(luò)承載多業(yè)務(wù)的時(shí)代，安全問(wèn)題已經(jīng)越來(lái)越重要。目前來(lái)看，IP 網(wǎng)絡(luò)主要面臨著兩個(gè)方面的挑戰(zhàn)。一是IP 網(wǎng)絡(luò)的存活性挑戰(zhàn)。附加再多的QoS 、VPN 等保障措施，如果沒(méi)有安全保障，網(wǎng)絡(luò)就很容易癱瘓。導(dǎo)致癱瘓的原因很多，如非法路由攻擊、DOS 攻擊等。攻擊導(dǎo)致了互聯(lián)網(wǎng)的擁塞，使很多基于互聯(lián)網(wǎng)的電信應(yīng)用都無(wú)法使用，導(dǎo)致很多有價(jià)值商業(yè)客戶(hù)的流失。二是帶寬可用性的挑戰(zhàn)。電信運(yùn)營(yíng)商一直在不斷地進(jìn)行網(wǎng)絡(luò)擴(kuò)容，但很多帶寬被P2P 等無(wú)價(jià)值的應(yīng)用所侵占，使“帶寬增加而收入不增加”的現(xiàn)象越來(lái)越明顯。此外，目前國(guó)際標(biāo)準(zhǔn)組織在制訂標(biāo)準(zhǔn)的過(guò)程中對(duì)安全的重視程度不夠，形成一些管理、技術(shù)上的漏洞，給網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊等留下可乘之機(jī)。

為了從技術(shù)上盡量提高IP 網(wǎng)絡(luò)的安全性，業(yè)界很多企業(yè)做了大量的技術(shù)開(kāi)發(fā)工作，并且形成了豐富的解決方案，如流量分析、行為分析等，一方面提高網(wǎng)絡(luò)的預(yù)防水平，另一方面提高網(wǎng)絡(luò)的修復(fù)能力和備份能力。這是一個(gè)涉及體系架構(gòu)設(shè)計(jì)、資源配置和局部解決方案在內(nèi)的系統(tǒng)解決方案，需要建立相應(yīng)的安全技術(shù)體系。具體內(nèi)容包括網(wǎng)絡(luò)安全漏洞的自動(dòng)發(fā)現(xiàn)與治愈、全網(wǎng)聯(lián)動(dòng)的事件監(jiān)控和分析、全網(wǎng)異常流量的分析和控制、網(wǎng)絡(luò)安全配置的集中

化和管控、安全態(tài)勢(shì)的綜合分析以及高效運(yùn)作網(wǎng)絡(luò)安全管理等方面的能力。

由此也可以看出，除了技術(shù)體系的保障之外，管理也很重要。甚至有專(zhuān)家提出，保障網(wǎng)絡(luò)安全“三分靠技術(shù)，七分靠管理”。對(duì)電信運(yùn)營(yíng)商而言，安全能力的建設(shè)也是分技術(shù)和管理兩個(gè)層面，在技術(shù)層面首先是建立一個(gè)層次化的安全的管控體系，其次是對(duì)電信的IP 承載網(wǎng)進(jìn)行安全的設(shè)計(jì)和優(yōu)化，然后通過(guò)安全管理中心的建設(shè)來(lái)完善各種安全能力。在管理層面上主要包括安全組織的建設(shè)和人員的保障，各種安全策略制度和流程的配套建設(shè)，以及完善安全評(píng)估、應(yīng)急響應(yīng)等安全保障機(jī)制。其中在應(yīng)急響應(yīng)方面，應(yīng)建立健全信息安全應(yīng)急處理的協(xié)調(diào)機(jī)制，進(jìn)一步完善各類(lèi)突發(fā)事件的應(yīng)急預(yù)案，健全應(yīng)急指揮體系，落實(shí)應(yīng)急隊(duì)伍和保障條件。尤其是要高度重視基礎(chǔ)信息網(wǎng)絡(luò)，當(dāng)然包括電信網(wǎng)絡(luò)和重要信息系統(tǒng)的應(yīng)急處理工作和備份建設(shè)，做到事件有預(yù)案、處置有流程、應(yīng)急有措施，要最大限度地化解信息安全風(fēng)險(xiǎn)。

總之，任何的網(wǎng)絡(luò)都不可能時(shí)刻保證100的完好率，網(wǎng)絡(luò)一定會(huì)有不可用時(shí)間，但是網(wǎng)絡(luò)上承載的信息通信服務(wù)不允許有中斷，從多個(gè)層面入手來(lái)提高通信網(wǎng)絡(luò)安全水平，這是我們的最大目標(biāo)。