相关专题:
对话嘉宾
神州数码信息服务集团
集成服务战略本部方案规划设计部副总经理高壮志
绿盟科技行业营销中心 万慧星
SonicWALL亚太区副总裁 Richard Ting
对话主持
本刊记者李鹏
当前,我国的电信运营业正在经历着新的变化,3G的正式商用、全业务运营和电信网全IP化使三大运营商进入了一个全新的运营时期。在这个时期,电信网的安全也面临着诸多新的变化,如何通过新的安全策略来解决新的安全问题,并做到预先防范是运营商面临的非常迫切的问题。本期对话邀请三位深入到电信网安全第一线的企业专家,就如何从IT基础设施层面保障新时期的电信网安全的相关问题进行探讨,希望能带来一些启示。
IT基础设施安全意义重大
通信世界:当前,在全业务运营、网络IP化以及3G正式商用的情况下,电信网面临着新的安全问题,您如何看待电信网安全面临的新挑战?怎样看待IT基础设施对于电信网安全的重要性?
高壮志:三大运营商的全业务运营,尤其是在3G业务的开展后,普遍存在IT基础设施滞后业务发展的情况。此外,由于架构的调整,IT基础设施的建设也或多或少地受到了影响,但这也为运营商梳理自己的IT基础架构、更好地规划基础设施、更好地支撑业务发展提供了一个时机。
运营商全业务运营和3G所带来的新业务将使得IT基础架构的复杂度明显增加,各项数据业务的大力开展相对以往的业务类型也给IT基础架构带来了不小的考验。以增值业务为例,它的网络架构不再是一个相对封闭的网络,需要与众多的合作伙伴接口,比其它业务复杂了许多,这都对运营商的网络架构提出了更高的要求。
RichardTing:传统意义上的电信网安全与互联网安全之间的界限已经越来越模糊,电信网络安全的挑战更多地来自于用户端,其中交换网络安全和用户数据安全最应该引起重视。
电信网络向NGN的演进使交换网络的安全问题面临严峻挑战。作为管理者应该对网络安全采取新的技术手段,以保证软交换网络中的相关设备不会受到非法攻击。由于IP网成为软交换技术的承载网,网络安全问题尤其突出。
网络功能增强导致了用户数据安全问题。目前,交互式业务以及基于NGN的多媒体业务不断增长,用户的隐私保护问题成为电信运营商不可回避的问题,电信运营商和互联网服务商有责任采取技术手段,保护用户的账户信息和通信信息的安全。
在IT基础设施对网络安全起到最根本性作用,是网络安全最根本的环节。
移动互联网带来新威胁
通信世界:3G的全面商用催生了移动互联网时代的到来,在移动互联网时代,对电信网安全提出了哪些新的要求?IT基础设施层面如何对待?
RichardTing:移动互联网的诞生和发展是一种必然。移动互联网终端可以接入移动通信网络,应用公众互联网服务。相对而言,移动互联网对网络安全的要求更高,用户的行为及隐私更需要进行保护。但是,目前移动互联网在各方面存在严重的安全漏洞,使用户无法安全使用。比如,移动互联网终端承载了大量的个人业务和私密信息,对终端使用者的身份鉴别、信息的加密以及安全通信等各种终端安全技术将成为强大安全保障。
万慧星:3G时代的到来催化了移动互联网的蓬勃发展,大量移动智能终端的加入使得无线网络安全面临着前所未有的威胁。除了传统的安全威胁,一些针对3G网络的特有威胁也浮出水面。总体来看,3G网络面临的威胁有如下几类:未授权的数据访问、数据完整性威胁、拒绝服务攻击、信息窃取和篡改、未授权的服务访问。这就要求移动运营商不仅要具有传统网络攻击的防御能力,还要具有抵抗新型攻击和潜在威胁的能力。
IT基础设施是运营商提供网络通信的基础,一旦这些设施受到攻击并且缺少有效防护,后果不堪设想。因此对于IT基础设施的防护要考虑全面,进行全方位,层次化的保护。比如对整个网络进行层次划分,分别对每个层次进行分级保护。尤其对那些提供核心业务的关键组件和节点,进行多层次安全防护。
IT基础设施安全不再只是技术问题
通信世界:IT基础设施故障、数据丢失、宕机、负载过高或闲置、病毒、人为操作失误等,这些IT系统问题将直接影响电信行业业务系统的正常运行,比如前段时间南方数省出现了网络瘫痪的情况,事故原因是系DNS域名解析故障,您认为这对目前的电信网安全提出了怎样的警示?
高壮志:透过5.19网络瘫痪事件,可以发现网络安全不再只是技术的问题,更不是通过上几个安全设备或系统能够解决的,安全的隐患来自于人。一方面是运营商自身,包括安全管理制度、安全管理流程以及维护人员的经验。另一方面是所谓的黑客。常言道,道高一尺魔高一丈,如何保证IT基础设施的安全,那就应该做到魔高一尺道高一丈。
以往维护人员比较关注设备和系统的常态运行,在安全角度上重视度不够,处理安全事件的经验还需要加强。运维人员是否对目前数据库所有的帐号使用情况都比较了解,是否了解对于远程访问的控制情况、对第三方服务人员的管理情况。所以电信网安全的投资应该围绕维护人员,以帮助他们更有效地工作、更有效地发现问题,帮助维护部门建立更有效地展开运维流程。
RichardTing:网络的潜在威胁继续增长,网络信息安全形势依旧严峻。目前,由于改革的配套设施不够健全,电信市场在多运营商条件下的监管措施并不配套,行业主管部门在这方面的监管力度明显弱化,这样的局面给电信网络安全带来了很大的挑战。各个运营企业独自承担网络的建设、规划。这样,一旦网络瘫痪,就出现了运营商之间是否能够相互支援的问题。
目前,IT基础设施管理越来越重要,它是业务连续性、系统整合、应用服务的基础。但随着IT基础设施越来越复杂,对其的管理也越来越困难。许多企业都需要花费大量的IT资源和预算来保持关键服务可用并高效运行,但由于企业不能达到应用集成管理的水平,而只能将其作为单独的孤岛来进行管理,相互之间很少甚至完全没有关联,很难实现基础设施的统一协调管理。因此对复杂IT基础设施的高效管理成为客户面临的最大挑战之一。
万慧星:DNS是十分重要的IT基础网络设施,对互联网服务至关重要。对于运营商而言,如何保障DNS系统的安全,是一个非常重要的问题。目前,DNS系统面临的安全问题主要有DoS/DDoS、域名劫持、IP欺骗、缓存投毒、服务器权限入侵等等。
针对DNS安全防护,以保障其业务的可用性为最重要目标,按时间顺序,进行事前评估加固、事中实时防御、事后分析取证的三个阶段的全面的安全建设。在安全评估加固阶段,主要包括对系统安全漏洞、系统安全功能、系统配置安全、系统代码安全、系统日志审计等方面进行全方位的检查评估、攻击验证与渗透测试,然后进行DNS系统加固,同时要进行合理的DNS容量设计和规划。在实时防御阶段,主要是通过部署DDoS防护产品、防火墙、IPS、UTM等安全设备,进行DNS系统的实时防护。在分析取证阶段,一是要保障DNS系统的业务连续性,二是应具备还原分析能力,可以利用相应的日志或其他分析系统数据,确定攻击的原因、系统的漏洞,为后续进一步加固提供依据。
IT基础设施虚拟化提出新要求
通信世界:在IT基础设施走向虚拟化之后,其安全的保障却有些落后,很少有公司注意到虚拟化技术对安全需求。到目前为止,大多数与虚拟化有关的安全产品要么基于虚拟化的设备,要么在虚拟机上部署代理。这些方法具有一定的灵活性,但是在一定程度上限制了对虚拟机内部进行的访问,就此,结合您公司的虚拟化安全策略,您是怎么看待的?
RichardTing:虚拟化基础设施对安全运营的影响很大。
首先,虚拟基础设施常常是动态的。实时转移技术允许虚拟机实时地从一个主机转移到另一个主机。虚拟机在这样一个环境里自动移动从而重新实现负载平衡,以减少电源消耗和硬件故障。虚拟基础设施的运行往往创建一个几乎不断变化的环境。
其次,虚拟化技术正在被运营到应用程序、服务器、存储以及网络等多个应用当中。虚拟化都把物理基础设施隐藏在一个抽象层,并且提供逻辑实例的封装。当你查找一个故障或者一个安全报警根本原因的时候,你需要揭开这个面纱和查看虚拟化层后面的东西。这种事情说起来容易做起来难。
最后,因为虚拟化可以让管理员在很短的时间内,虚拟地对以太服务器进行控制,这样缩短了服务器的生命周期,从而使服务去向无形的设备转变。
