关于运营商专有安全解决方案的思考 (2006-11-29 15:12:52)

前两天参加第二届2006’电信行业网络信息安全管理高峰论坛，在讨论的时候有人提出了是否能够提供针对运营商独有的信息安全解决方案的问题，觉得会上演讲的相关信息和内容基本上对非运营商都适用，而不是运营商专有的信息安全解决方案。当时在会场上我没有发言，一方面想听听大家的声音，另外一方面还考虑的不成熟，现在还是想记录下来目前的想法，供有识之士参考吧。

我觉得运营商独有的安全解决方案存在如下三个方面（或者角度）：

1、 传统运营商独有交换网络的安全。

2、 对外运营数据网的安全。

3、 对内支撑承载网的安全。

一、传统运营商独有交换网络的安全。

对于运营商来讲，其相对于其它行业所独有的特点就是运营了电话（固定或移动）网络，而这些网络是运营商的核心，也是其区别于其它企业的一个关键。关于电话网络的安全问题，从最初的“电话飞客”开始就是一个令运营商头痛的问题。但是，随着程控技术的发展，瘦终端模式使得传统电话网络上安全问题变得相对容易得到控制，对于技术水平的要求也是非常高的，其研究的人也越来越少，当然，这并不是说就没有安全问题，而是说其安全问题相对容易得到控制。另外一个层面来讲，由于目前的程控交换机的控制层面是由控制和网管终端来完成的，所以网管终端的安全反倒是一个比较大的短板。但是，随着新的3G技术等的引入，程控网的承载出现IP化的趋势，NGN网络的发展，也加剧了这个进程，交换网络的安全问题也从根本上越来越解决IP网络的安全问题了。

二、对外运营数据网的安全

其实，作为互联网的一部分，电信运营商的网络和其它的网络也并没有本质的区别，但是目前在宽带网上所关注的所谓安全问题，如P2P、IM、带宽占用等，这些问题实际上对于宽带网并没有实质性的安全损害或者威胁，只是对运营商的业务会产生影响，所以我更同意会上一位朋友的说法：“借安全之名，行业务之事”。数据网上用户的流量本身所造成的后果只是对流量带宽的占用，对于用户本身来讲是正常流量，但是却消耗了宽带网自身大量的带宽，也消耗了大量的出口带宽和并发连接，目前运营商想提供自身业务的情况下，如IPTV等，则由于这些P2P流量存在，导致运营商自身提供业务可能无法体现优势，这是目前运营商想尝试封堵或者疏导P2P流量的本质所在。另外，在数据网上存在的DDoS攻击问题，其实质问题也并不是对数据网自身造成影响，而是对处于数据网边缘的运营商自身服务或者边缘用户的业务造成影响，进一步导致运营商无法很好的保障数据网所提供业务的服务质量。排除上述问题，实质上的数据网的安全问题就集中到了数据网的承载设备自身的安全，而这些安全问题的解决，在目前的技术条件下，就只能够由设备自身提供的安全措施来保障了，至少到目前为止，我还没有看到有真正的可以串入到如此高带宽的数据网上面的安全设备或者措施是真正可用的产品，即使存在，也是旁路的记录分析，而不是实时防护。

三、对内支撑承载网的安全。

在运营商的对内支撑承载网部分，一般主要指DCN上所承载的各项运营商内部系统，BSS、CSS、OSS以及OA/MIS等。这些业务自身实际上与大型企业的业务系统并没有本质的区别，所面临的安全问题与其它大型企业所面临的安全问题都基本相同。如果说有运营商独有的解决方案则是由于运营商自身独有的组网特点和管理模式相关的。如运营商的终端问题相较其它企业要复杂的多，有业务终端、维护终端、客服终端、办公终端及合作伙伴终端，还分移动终端及远程终端等，同时这些终端又分布在不同的业务区域和归属，其使用部门、使用目的及访问权限等均不相同，其数量又是非常的庞大，管理维护及安全考虑都相对于其它企业都复杂一些，而考虑安全解决方案的时候都必须要考虑到这些特点，从这个角度上看，我们说这是针对运营商说独有的安全解决方案也不为过。

关于这方面的一点想法希望能够起到抛砖引玉的作用，也希望有识之士拍砖！