殷康:电信IP NGN的安全架构和策略
今天跟大家交流一下在做IP NGN的安全架构是什么样。今天来了很多政府官员和做安全策略的官员,稍微给大家介绍一下。美国从“911”开始对核心的基础的重要性做了一个研究,有很多领域,其中最重要的一个领域就是电信的基础建设。大概有8各行业被美国政府认为是核心的基础建设,包括交通、政府的设施、电信网、通信网、水、银行等等,所有这些垂直的行业都需要依赖于电信网、IP网,所以IP网的影响确实比较大。美国政府专门对IP网络做了一个国家级的策略,发生恐怖主义应该有哪些应急的措施,从国家的层面来说应该有哪些优先级别。政府需要跟私营企业,要依赖于市场的机制和创新力量合作,大家携起手来共铸一个安全的网络,我想这也有利于我们中国构筑安全网络方面的一些需求。
今天我们讲信息的安全和网络的安全很大的原因是什么呢?是我们面临一个全新的网络技术,大家原来可能都是做通信的,我本人也是做交换机开发的,包括在东南亚,7、8年前来思科做IP和电信网的设计,一个情况大家都所知道,原来我们熟悉的交换网、电话网和我们现在看到的网完全不一样,原来的网所有人是设计应用、设计功能,而现在显然IP这样的网络是完全不一样的概念了,就像我们刚才说到的IP网络带来一个很大的灵活、开放性,使我们每一个人都成为网络的主人,可以在网络上设计应用、可以在网络上成就他的事业,这是一个很大的不一样,用户也是多方面的,从这个角度来说给我们提供了很大的一个安全问题,IP网络是管理物理安全的一个网络,在物理层上可以把资源隔离好就完了,但我们现在面临的下一代网络是完全不一样的,从这点来说有两点值得我们思考。一方面,我们绝对不能用传统网络的观念或者安全的观念考虑现在的网。另外,我们不能用传统的管理、控制来管理新的网。另外,我们面临的安全挑战也是新的,所需要采用的安全技术也是新的。所以必须采用新的策略、新的技术、新的思维来做这件事情,这已经是一个现实。
我们可以看到电信运营商建了一张网以后已经面临着很大安全的挑战,电信运营商对一些关键的业务基本上还缺乏足够的安全保护措施,我们经常会看到被攻击的现象。对这个网的流量、流向也是缺乏了解的,所以有很多端到端的资源、业务、带宽被盗用。特别是在中国这样的国家,网民越来越多,跟国际上相比中国互联网受到的攻击也在上升,DDOS攻击令网络服务瘫痪,这样就有可能影响我们网络的基础建设,特别是是攻击的量越来越大,从1G到2G到现在的10个G,这是我们遇到新的挑战。这里面有各种的攻击情况,所以这是电信运营商面临的新挑战。
我们重点关键业务属性是什么,一般运营商要对业务有一个可控、可查的要求,关键是这些业务都能够持续的盈利,根据这些要求我们来设计安全策略,一个非常现实的问题在IP网上面,不是一个安全的策略、或者一个安全的产品或者一个措施就能把所有安全的问题都解决,这需要我们长期思考、长期建立策略、长期进行保护和建设的网关。从这个角度来说,运营商的安全策略和安全的蓝图一般要考虑一些实际、有效的措施,把关键重点的业务需求做好安全规划,这些规划必须得到有效实施,也必须有相对的灵活性,也要对运营商的网络进行分析,针对不同的分析要有不同的解决方案和策略,这必须经过我们认真的思考来全面考虑所谓安全的解决方案,这是我们一直在谈的未来走向。从这个角度来说运营商应该把挑战变成他盈利、业务的目标,把安全服务变成可盈利的解决方案推给我们的最终用户、推给企业,这也是运营商非常期待的一个事。
从这些角度来说我觉得运营商已经开始对网络的安全观念有所改变,以前都是出了事以后想办法补救,到现在建立预警或快速响应的机制,原来互联网业务都是开放的,都是这样认为的,觉得管不了,到现在IP网络怎样平衡,由单点安全问题变成整体的安全思考,不是一台机器出现安全的漏洞、安全的事故,而是从整体方面解决安全整体策略。所以我们看到安全的解决方案不断的从单点解决方案变成一个整体的解决方案,最还会变成可盈利的业务,这是我们希望看到的。
尽管安全的解决按很多,但运营商在建IP NGN的时候需要一个比较清楚的基础构架背景,不能说等出了事以后再解决,我们认为可能要考虑三个方面。第一,想办法把IP建设的网智能可控,既要保证用户正常操作,还要让网络中所有的流都是可控的。第二,到底网络里面的流量是怎样的情况,流量的分布是怎么样、流向怎么样,所有用户跟流量的关联、关系怎么样,我们都需要看到。也就是网络的各个层面都是可见的。第三,你要想办法智能可、立体检测。从这些角度来说运营商的安全其实不是一个单点的产品、一个应用软件就能解决的,我们看到的问题需要一个整体架构来解决运营商安全问题,首先要对网可视,一体检测,各个层面能够做清理、做分类,从这个基础上做到可控,这里面有一些支柱性的解决方案,包括怎么解决身份验证的问题,使我的网络在某种角度上做到可以被检测,然后使得这个网能够智能可控,这就需要跟我们的业务设备在某种角度上有一些关联和偶合,从而增强控制能力。另外还需要进行隔离,当然再一个IP网上,就更需要一个新的措施如果发现故障把损失缩小到最小。
我们可以看出电信运营商的网络其实很难找到一个解决方案就可以把这些全部解决,这需要整体思考来整体考虑所谓的基础架构的问题。基于这样思考的理念,思科这些多年有各种不同小的机制、小的观点,其实这个IP的网络,大家可能有一个印象,QOS没有安全就不好,这是3、4年的印象,其实看近十年来应该说每一年IP技术上的创新都发展的非常快,基本上一年的创新就相当过去十年的创新,包括在安全上面也有很多、很多的机制和解决方案。比如说信用和管理的解决方案,IP网怎么溯源,不能非常极端考虑这个问题,因为一极端以后就有可能把用户完全绑死,这个网还应该有安全性、可扩展性,所以必须要对安全网有深刻认识的情况下才能提出一个很好的方案。其次对IP网怎么做到可视,很多人后来在讨论IP网我根本不知道怎么回事,但是很多路由的技术在五年前都有,但是我们问起来很多管理IP的人员基本上都没有相关的机制,所以我们应该把这些机制运用起来才会起到很好的保护作用。对网络的事件进行分析,使得网源的事件都相互关联。应用管理也是很大的事,这里面也有很多的机制,我就不一一介绍。区别隔离,我觉得在这一两年内,IP技术走向电信运营有很大的进步,我八年前到思科是从电信进去的,那时候还不能做到软件的升级换代,这种技术基本上是在近两三年才出现的,那个地方是面对物理层的管理,只需要管理物理层的通道,而在IP网上有控制层面和数字层面,不但控制层面需要CPU的功能,重要的是数字层面也同样需要CPU功能。三年前思科诞生了路由系统和路由软件,可以把里面很多资源进行虚拟划分和隔离,这样带来了很大的一个技术,叫做SDR。最后是策略,很重要的是在边缘的路由器上面要有智能机制。然后把这里面的很多机制联在一起,可以组成很多、很多的解决方案来应对你的安全问题。
思科就是主要由局部解决方案走向智能系统的体系架构这样一个过程,到最近两三年的趋势是使得整个IP网增强智能性,有一个自防御的功能。自防御系统也有三个阶段,把刚才讲到这么多的功能集成到一个模式里面,可以协同性的提供安全性的保护,使得网络有一种自适应式的防御能力,这是我们考虑的很重要的一个方案,而且一般大的运营商也采用了这种方案。
原来大家都知道IP网作为一个承载网,然后在上面加了一些端点设备,实际上我们是想把这些融合到IP网的技术里面去,这样就可以能够把安全机制跟网有一个协同,使得IP网有一个自我防御能力,我们任何时候都需要做安全工作,不是说不需要。我们更需要把这个形成一个通用的机制,然后融合到网络里面,再需要一些新的安全机制,然后再融合到网络中。这就是一个循环的框架,也是我们所希望的。思科能把这些结合起来变成智能的一个网络,这是思科提出的IP NGN的理念,我们更强调分离以后业务和承载怎样进行智能的偶合产生新的NGN的理念。
运营商提出了一些所谓安全的策略,把各个角度都覆盖以后还要对网络进行信任级别的划分,一般划分为三部分,一部分是非信任域;一部分是中间域;还有就是信任域比如OA网、DCN网等。我们分别进行实施网络解决方案,其中甚至你在某个IP包上有什么样的措施我们都有建议。宏观上的建议大概有这么三个内容,最大的问题应该说是Core/MAN,我们所做的就是流量分析和流量清洗,从而做到流量控制。如果对所谓的完全保护起来的,当然要想办法对受威胁的攻击进行跟踪,我们有各种各样的解决方案。简单的说需要对网络进行信任的分割然后采取各种各样的解决方案。最后比较关键的是我们给运营商提出,想办法把网络安全变成它的可盈利的业务,国外大的电信运营商都是以这样的思想思考。
这里再花点时间介绍一个案例,这一两年设计的IP网,无论是国干的IP技术还是省干的IP技术,这一两年在上面的技术创新可能相当于过去十年的技术创新。国干网主要有北京、上海、广州各建12G清洗中心,防护基础架构与VIP。总之在网络里面提供清洗业务基本上是电信运营商采用的一种机制。
最后再花点时间给大家介绍一个思科的案例,思科自己大概在全球有5万员工,既可以用手机也可以用互联网,可以想像有很大安全上面的问题,如果E-mail发掉了以后我的竞争对手很有可能看到,我们用的设备都是通过专门渠道进行保护的。我在思科工作八年,最大的感觉是什么呢?在这个网络上面有视频、各种数据、语音数据,三年前全部依赖一个融合的网,我们去年推出一个新的业务叫做“网真业务”,大家可以做成一个会议室、网络的代理或者秘书等等,这些都是在网上做到的。我可以告诉大家,我这几年经历的结果,我觉得在IP网上传递语音的挑战可以说越来越小,因为语音在IP网上的端点做的越来越好,这些指标都已经放宽了很多,比如说掉包率从以前1%的要求到现在扩大到了10%。但是网真不一样,掉包率要求万分之五,这比语音更是一个数量级的要求。所以我觉得大家有时间的话可以到思科的实验室来看,已经有很多人来体验过,这是建立在一个可靠、有保证的IP网上。所以从这个角度上来说,我们面临的挑战不小,但我作为一个NGN的架构师我们对这个领域还是有很大的信心,也非常感谢大家在这儿花那么多时间听我演讲,谢谢大家。
友情链接:
