我們知道，中國的主干網(wǎng)絡(luò)早已跨入了超百G時代，網(wǎng)絡(luò)流量爆發(fā)式增長，也對網(wǎng)絡(luò)安全設(shè)備的性能提出了新的要求。而且，隨著傳統(tǒng)固網(wǎng)電信運營商3G業(yè)務(wù)的推廣，開啟了移動互聯(lián)網(wǎng)的新篇章，隨之而來的網(wǎng)絡(luò)安全建設(shè)也需要與時俱進。傳統(tǒng)的電信網(wǎng)絡(luò)主要以專有協(xié)議、專有網(wǎng)絡(luò)為主，基本不會出現(xiàn)網(wǎng)絡(luò)安全問題。而現(xiàn)在的移動網(wǎng)絡(luò)從承載平臺、業(yè)務(wù)系統(tǒng)到后臺的支撐系統(tǒng)都越來越多地轉(zhuǎn)移到了IP承載網(wǎng)絡(luò)，與互聯(lián)網(wǎng)的結(jié)合也越來越緊密。因此，互聯(lián)網(wǎng)中大量存在的安全風險都將對運營商的移動網(wǎng)絡(luò)形成威脅。如何在移動網(wǎng)絡(luò)發(fā)展的同時進行安全體系建設(shè)，降低安全風險，成為擺在運營商面前一個急待解決的問題。

依托標準打造安全網(wǎng)絡(luò)

網(wǎng)絡(luò)安全建設(shè)有一個共性，就是都需要標準依托。而電信級網(wǎng)絡(luò)安全建設(shè)從來不缺乏標準。中國通信標準化協(xié)會(CCSA)在2007年就完成了“電信網(wǎng)和互聯(lián)網(wǎng)安全防護體系”的20多個標準的起草工作。其中，ITU-TX.1051(信息安全管理系統(tǒng)——電信需求ISMS-T)日益成為安全管理標準領(lǐng)域的一個基礎(chǔ)標準。到今天，ISMS-T已經(jīng)成為BS7799和ISO17799系列標準在電信領(lǐng)域的延伸，宣告了電信級網(wǎng)絡(luò)安全開始向更高級別邁進，以確?；ヂ?lián)網(wǎng)架構(gòu)下的移動網(wǎng)絡(luò)安全性。

以中國電信為例，用了幾年的時間，中國電信完成了從固網(wǎng)向移動網(wǎng)絡(luò)的轉(zhuǎn)型，并且以IPv6為核心，搭建了一系列以新技術(shù)和新應(yīng)用為基礎(chǔ)的全新互聯(lián)網(wǎng)架構(gòu)。如果說固網(wǎng)時代的中國電信還沒有太多網(wǎng)絡(luò)安全問題需要面對的話，在互聯(lián)網(wǎng)架構(gòu)下的中國電信應(yīng)用網(wǎng)絡(luò)就不得不直面這個問題了。為了應(yīng)對網(wǎng)絡(luò)安全問題，中國電信每年都會開展IP設(shè)備集中采購工程，這項一年一度的集中采購在業(yè)內(nèi)素以要求嚴格、測試規(guī)范而著稱，每年都會有大量網(wǎng)絡(luò)安全企業(yè)參與招標，最終通過設(shè)備測試的企業(yè)卻為數(shù)不多。這也從一個側(cè)面反映出，電信級的網(wǎng)絡(luò)安全建設(shè)標準并不是可以輕易達到的。

提升服務(wù)認準IPv6

在互聯(lián)網(wǎng)領(lǐng)域，IPv6就是一種“新能源”。目前中國電信正逐步從IPv4向IPv6過渡。尤其考慮的是如何推動ICT(InformationandCommunicationsTechnology)向IPv6網(wǎng)絡(luò)演進，畢竟ICT未來的基礎(chǔ)就是IPv6。由于中國電信是全球首張IPv6ISP服務(wù)運營商認證證書獲得者，在提升IT/ICT服務(wù)能力方面，中國電信對網(wǎng)絡(luò)安全設(shè)備選型的首要條件就是要具有IPv6認證。

在中國電信的規(guī)劃中，2012年-2015年是IPv6規(guī)模商用階段，這個階段將完成網(wǎng)絡(luò)和平臺規(guī)模改造，業(yè)務(wù)逐步遷移，新型應(yīng)用和用戶規(guī)模持續(xù)擴大，中國電信必將面臨新的網(wǎng)絡(luò)安全挑戰(zhàn)。轉(zhuǎn)向IP互聯(lián)網(wǎng)架構(gòu)后，中國電信將受到來自于互聯(lián)網(wǎng)的直接威脅，從業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)出口進入的黑客入侵攻擊、大規(guī)模拒絕服務(wù)攻擊(DDoS)等，一般的網(wǎng)絡(luò)層網(wǎng)關(guān)類訪問控制設(shè)備對此類攻擊無能為力。對于DDoS攻擊的防護可以通過在承載網(wǎng)部署流量分析系統(tǒng)和異常流量清洗系統(tǒng)對大規(guī)模攻擊行為進行監(jiān)控。對于大流量沖擊可以利用深度包檢測系統(tǒng)對業(yè)務(wù)流進行識別和控制。

設(shè)備集采選擇合作伙伴

2011年，中國電信IP設(shè)備集中采購工程如期展開，此次圈定了總共超過15家網(wǎng)絡(luò)安全廠商參與其中，采購選型對產(chǎn)品特性提出了嚴格要求。對安全設(shè)備的測試主要從業(yè)務(wù)支撐能力(組網(wǎng)能力、多業(yè)務(wù)承載能力、抗攻擊功能)、設(shè)備性能(吞吐量、并發(fā)數(shù))、可靠性、成熟應(yīng)用等方面進行全面綜合考慮，并從中國電信的支撐業(yè)務(wù)網(wǎng)、數(shù)據(jù)增值業(yè)務(wù)等各種應(yīng)用場景出發(fā)，對產(chǎn)品進行實際評判。

從最終中標結(jié)果來看，天融信公司的防火墻、入侵防御兩大類網(wǎng)關(guān)安全產(chǎn)品綜合排名第一，而且因為獲得了IPv6Forum授權(quán)的BII全球IPv6測試中心IPv6Ready認證標識，從而脫穎而出。在非網(wǎng)關(guān)類安全設(shè)備中，也有塔迪蘭、迪普科技等企業(yè)入圍，這些網(wǎng)絡(luò)安全企業(yè)將共同為中國電信網(wǎng)絡(luò)安全建設(shè)搭建起堅實屏障。

【編輯推薦】

1. 下一代防火墻熱潮退后的冷思考
2. 分析稱企業(yè)應(yīng)警惕IPv6所帶來的安全風險
3. 各種防火墻出擊　企業(yè)安全路在何方？
4. IPv6無法解決全部安全問題