我们知道,中国的主干网络早已跨入了超百G时代,网络流量爆发式增长,也对网络安全设备的性能提出了新的要求。而且,随着传统固网电信运营商3G业务的推广,开启了移动互联网的新篇章,随之而来的网络安全建设也需要与时俱进。传统的电信网络主要以专有协议、专有网络为主,基本不会出现网络安全问题。而现在的移动网络从承载平台、业务系统到后台的支撑系统都越来越多地转移到了IP承载网络,与互联网的结合也越来越紧密。因此,互联网中大量存在的安全风险都将对运营商的移动网络形成威胁。如何在移动网络发展的同时进行安全体系建设,降低安全风险,成为摆在运营商面前一个急待解决的问题。
依托标准打造安全网络
网络安全建设有一个共性,就是都需要标准依托。而电信级网络安全建设从来不缺乏标准。中国通信标准化协会(CCSA)在2007年就完成了“电信网和互联网安全防护体系”的20多个标准的起草工作。其中,ITU-TX.1051(信息安全管理系统——电信需求ISMS-T)日益成为安全管理标准领域的一个基础标准。到今天,ISMS-T已经成为BS7799和ISO17799系列标准在电信领域的延伸,宣告了电信级网络安全开始向更高级别迈进,以确保互联网架构下的移动网络安全性。
以中国电信为例,用了几年的时间,中国电信完成了从固网向移动网络的转型,并且以IPv6为核心,搭建了一系列以新技术和新应用为基础的全新互联网架构。如果说固网时代的中国电信还没有太多网络安全问题需要面对的话,在互联网架构下的中国电信应用网络就不得不直面这个问题了。为了应对网络安全问题,中国电信每年都会开展IP设备集中采购工程,这项一年一度的集中采购在业内素以要求严格、测试规范而著称,每年都会有大量网络安全企业参与招标,最终通过设备测试的企业却为数不多。这也从一个侧面反映出,电信级的网络安全建设标准并不是可以轻易达到的。
提升服务认准IPv6
在互联网领域,IPv6就是一种“新能源”。目前中国电信正逐步从IPv4向IPv6过渡。尤其考虑的是如何推动ICT(InformationandCommunicationsTechnology)向IPv6网络演进,毕竟ICT未来的基础就是IPv6。由于中国电信是全球首张IPv6ISP服务运营商认证证书获得者,在提升IT/ICT服务能力方面,中国电信对网络安全设备选型的首要条件就是要具有IPv6认证。
在中国电信的规划中,2012年-2015年是IPv6规模商用阶段,这个阶段将完成网络和平台规模改造,业务逐步迁移,新型应用和用户规模持续扩大,中国电信必将面临新的网络安全挑战。转向IP互联网架构后,中国电信将受到来自于互联网的直接威胁,从业务系统互联网出口进入的黑客入侵攻击、大规模拒绝服务攻击(DDoS)等,一般的网络层网关类访问控制设备对此类攻击无能为力。对于DDoS攻击的防护可以通过在承载网部署流量分析系统和异常流量清洗系统对大规模攻击行为进行监控。对于大流量冲击可以利用深度包检测系统对业务流进行识别和控制。
设备集采选择合作伙伴
2011年,中国电信IP设备集中采购工程如期展开,此次圈定了总共超过15家网络安全厂商参与其中,采购选型对产品特性提出了严格要求。对安全设备的测试主要从业务支撑能力(组网能力、多业务承载能力、抗攻击功能)、设备性能(吞吐量、并发数)、可靠性、成熟应用等方面进行全面综合考虑,并从中国电信的支撑业务网、数据增值业务等各种应用场景出发,对产品进行实际评判。
从最终中标结果来看,天融信公司的防火墙、入侵防御两大类网关安全产品综合排名第一,而且因为获得了IPv6Forum授权的BII全球IPv6测试中心IPv6Ready认证标识,从而脱颖而出。在非网关类安全设备中,也有塔迪兰、迪普科技等企业入围,这些网络安全企业将共同为中国电信网络安全建设搭建起坚实屏障。
【编辑推荐】