莫讓“100－1=0”——談信息化背景下的通信網(wǎng)絡(luò)安全(2008-01-15 08:10:14)通信網(wǎng)絡(luò)的普及和演進讓人們改變了信息溝通的方式，并且在推進信息化的過程中與多種社會經(jīng)濟生活有著十分緊密的

莫讓“100－1=0”

——談信息化背景下的通信網(wǎng)絡(luò)安全

(2008-01-15 08:10:14)

通信網(wǎng)絡(luò)的普及和演進讓人們改變了信息溝通的方式，并且在推進信息化的過程中與多種社會經(jīng)濟生活有著十分緊密的關(guān)聯(lián)。這種關(guān)聯(lián)一方面帶來了巨大的社會價值和經(jīng)濟價值，另一方面也意味著巨大的潛在危險——一旦通信網(wǎng)絡(luò)出現(xiàn)安全事故，就有可能使成千上萬人之間的溝通出現(xiàn)障礙，帶來社會價值和經(jīng)濟價值的無法預(yù)料的損失。“100－1=0”，1次網(wǎng)絡(luò)安全故障，有可能讓100次網(wǎng)絡(luò)暢通帶來的全部成果付之東流，這是我們不愿意看到的。

那么，對于通信網(wǎng)絡(luò)而言，安全到底意味著什么？根據(jù)相關(guān)定義，通信網(wǎng)絡(luò)安全就是指最大限度地減少數(shù)據(jù)和資源被攻擊的可能性。對于電信運營商來說，這些數(shù)據(jù)主要包括計費數(shù)據(jù)、財務(wù)數(shù)據(jù)以及各種電信客戶資料等；資源包括各種電路資源和帶寬資源、DNS 系統(tǒng)、應(yīng)用服務(wù)等；攻擊包括黑客入侵、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊以及域名劫持等。因此，對于電信運營商來說，網(wǎng)絡(luò)安全主要就是保障上述數(shù)據(jù)和資源免受各種網(wǎng)絡(luò)攻擊的侵害。

從實際情況來看，目前網(wǎng)絡(luò)安全的問題發(fā)生背后往往有利益驅(qū)動，這也決定了網(wǎng)絡(luò)安全工作將是長期和艱巨的。據(jù)有關(guān)資料表明，目前網(wǎng)絡(luò)攻擊者的攻擊目標(biāo)比較明確，針對不同的網(wǎng)站和用戶，采用不同的攻擊手段和攻擊行為，趨利化特點比較突出。惡意代碼的目的性也比較強，有后門、蠕蟲、木馬、間諜軟件、即時通信軟件等，傳播的途徑和種類也比較多。據(jù)數(shù)據(jù)統(tǒng)計，2007年上半年中國內(nèi)地約有100多萬個IP 地址被植入木馬。在這樣的情況下，電信運營商的網(wǎng)絡(luò)正面臨嚴(yán)重的威脅。因此，如何最大限度地化解這種潛在危險，盡可能確保通信網(wǎng)絡(luò)安全，是當(dāng)前整個行業(yè)需要面對的重大課題。解決這一課題，一方面要依靠技術(shù)創(chuàng)新，另一方面也要依靠建立健全安全機制，強化安全管理。

目前，網(wǎng)絡(luò)的演進方向是IP 化，而且在各運營商的努力推動下，大多數(shù)的業(yè)務(wù)都已經(jīng)遷移到IP 網(wǎng)絡(luò)上來，下一步所有的業(yè)務(wù)都要向全IP 網(wǎng)絡(luò)上遷移。IP 的優(yōu)勢是開放、簡單，但在QoS 和可靠性方面有明顯的缺陷，特別是在全IP 網(wǎng)絡(luò)承載多業(yè)務(wù)的時代，安全問題已經(jīng)越來越重要。目前來看，IP 網(wǎng)絡(luò)主要面臨著兩個方面的挑戰(zhàn)。一是IP 網(wǎng)絡(luò)的存活性挑戰(zhàn)。附加再多的QoS 、VPN 等保障措施，如果沒有安全保障，網(wǎng)絡(luò)就很容易癱瘓。導(dǎo)致癱瘓的原因很多，如非法路由攻擊、DOS 攻擊等。攻擊導(dǎo)致了互聯(lián)網(wǎng)的擁塞，使很多基于互聯(lián)網(wǎng)的電信應(yīng)用都無法使用，導(dǎo)致很多有價值商業(yè)客戶的流失。二是帶寬可用性的挑戰(zhàn)。電信運營商一直在不斷地進行網(wǎng)絡(luò)擴容，但很多帶寬被P2P 等無價值的應(yīng)用所侵占，使“帶寬增加而收入不增加”的現(xiàn)象越來越明顯。此外，目前國際標(biāo)準(zhǔn)組織在制訂標(biāo)準(zhǔn)的過程中對安全的重視程度不夠，形成一些管理、技術(shù)上的漏洞，給網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊等留下可乘之機。

為了從技術(shù)上盡量提高IP 網(wǎng)絡(luò)的安全性，業(yè)界很多企業(yè)做了大量的技術(shù)開發(fā)工作，并且形成了豐富的解決方案，如流量分析、行為分析等，一方面提高網(wǎng)絡(luò)的預(yù)防水平，另一方面提高網(wǎng)絡(luò)的修復(fù)能力和備份能力。這是一個涉及體系架構(gòu)設(shè)計、資源配置和局部解決方案在內(nèi)的系統(tǒng)解決方案，需要建立相應(yīng)的安全技術(shù)體系。具體內(nèi)容包括網(wǎng)絡(luò)安全漏洞的自動發(fā)現(xiàn)與治愈、全網(wǎng)聯(lián)動的事件監(jiān)控和分析、全網(wǎng)異常流量的分析和控制、網(wǎng)絡(luò)安全配置的集中

化和管控、安全態(tài)勢的綜合分析以及高效運作網(wǎng)絡(luò)安全管理等方面的能力。

由此也可以看出，除了技術(shù)體系的保障之外，管理也很重要。甚至有專家提出，保障網(wǎng)絡(luò)安全“三分靠技術(shù)，七分靠管理”。對電信運營商而言，安全能力的建設(shè)也是分技術(shù)和管理兩個層面，在技術(shù)層面首先是建立一個層次化的安全的管控體系，其次是對電信的IP 承載網(wǎng)進行安全的設(shè)計和優(yōu)化，然后通過安全管理中心的建設(shè)來完善各種安全能力。在管理層面上主要包括安全組織的建設(shè)和人員的保障，各種安全策略制度和流程的配套建設(shè)，以及完善安全評估、應(yīng)急響應(yīng)等安全保障機制。其中在應(yīng)急響應(yīng)方面，應(yīng)建立健全信息安全應(yīng)急處理的協(xié)調(diào)機制，進一步完善各類突發(fā)事件的應(yīng)急預(yù)案，健全應(yīng)急指揮體系，落實應(yīng)急隊伍和保障條件。尤其是要高度重視基礎(chǔ)信息網(wǎng)絡(luò)，當(dāng)然包括電信網(wǎng)絡(luò)和重要信息系統(tǒng)的應(yīng)急處理工作和備份建設(shè)，做到事件有預(yù)案、處置有流程、應(yīng)急有措施，要最大限度地化解信息安全風(fēng)險。

總之，任何的網(wǎng)絡(luò)都不可能時刻保證100的完好率，網(wǎng)絡(luò)一定會有不可用時間，但是網(wǎng)絡(luò)上承載的信息通信服務(wù)不允許有中斷，從多個層面入手來提高通信網(wǎng)絡(luò)安全水平，這是我們的最大目標(biāo)。