图文：思科中国网络安全高级技术顾问喻超演讲

图为：思科中国网络安全高级技术顾问喻超演讲 (骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：思科中国网络安全高级技术顾问喻超演讲 (骆磊 摄)

祝福亲友 歌声传情 城市生活新主张 新浪爱问送你QQ车! 夜深了，我们只去爱吧

　　以下为喻超的发言实录：

　　各位来自电信界朋友下午好，非常高兴有这个机会向各位汇报一下思科安全方面的东西。

　　今天带来的题目是建设体系化安全运营网络，今天汇报提纲两部分，一个是思科看到运营商网络安全需求和建设体系化安全网络的构想。在建设互联网和安全过程当中看到一个变化，从思科角度看到运营商从以前安全生产，企业中了病毒发垃圾数据，运营商觉得是你企业自己的事情，历史的转折点是蠕虫事件，蠕虫造成骨干网瘫痪。从一个完全开放信任的体系，到今天变成下带基础承载网，这变化趋势非常大，从原来完全开放信任的网络变成一个需要控制的网络。从事后补救到做预警的快速响应，可能在电信界谈得比较多的安全管理中心，或流量异常监控等等都是相关的，需要从全局的方面看待安全的事件，而不是出了事找原因。这是我们看到很大的变化。为什么今天的主题叫体系化安全，可能单点安全解决不了问题，我们要一个体系化安全，待会儿也会介绍对思科来讲我们如何看待这个问题。最后一点是运营商环境下面大家比较关注的，从单纯的安全投入，钱投进去保护网络和用户，是不是可以变成钱回来，盈利的问题，这是我们看到的，前一段时间开会，运维的安全会议，可管理的服务之类等等，作为扩展来讲，思科提供一个可盈利的安全服务模型，把安全投入变成产品卖给企业用户。

　　思科看到这个以后整个技术发生变化，从基本安全，到但点产品，到多方面防护，到集成化安全，到今天提的自防御网络，从技术角度来讲就是可控的网络，而不是完全开放的，需要一个快速主动可以响应的网络，可以监控的网络，是一个协作式安全网络，思科是跟多个厂商进行合作的。我们对安全深层次的防御，如何做深度防御，这都是SP里面最核心的思想。

　　接下来介绍一下思科在建设体系化和安全运营网络的一些想法和我们解决方案，首先看建设运营商大型网络的时候，包括运营商内网外网，这有三大要素，我们提法体系化安全架构，完善的管控执行流程和强化安全意识，今天就汇报一下体系化安全架构部分，另外两部分有很多的标准大家可以参考，今天看一下体系化安全架构里面的层次和我们一些思路。

　　谈到体系化安全架构，首先要看一下标准，因为电信行业做什么事情都喜欢说标准，标准什么样，IT标准还是比较完整端到端的通信安全架构，首先回顾一下X.805是把一个网络分成三个层次，再分成数据控制和管理平面，面对八个安全元素，这八个元素从CIA扩展过来，数据加密、数据完整性和数据可用性扩展成八个安全元素。可能大家觉得三个要素不够扩充到八个，安全威胁分成五类，中断、毁坏、数据泄秘、破坏、攻击威胁几大类，然后映射到里面进行分析，先把网络分析三月个层次三个平面，得出九个模块，把八个安全要素映射到模块里面去，然后怎么满足八个安全要素的需求。这样大家可以看到是一个非常系统化有组织的方法实施网络安全评估和规划，但是看一下意义或不足，第一个是非常全面的，而且是一个系统化的科学方法，是面向八个元素的分析方法，一共有72个视角，每一个模块都要去比对八个元素，在思科看到这个安全标准以后，这个安全标准确实很完善很有意义，但是我们觉得还是要做一些优化。首先需要关注运营商业务网络的属性，核心业务安全是其中一个支撑，我们需要关注业务，我们不需要看到72个视角中复杂的方法，所以我们需要简化它，需要有针对性的，对不同网络属性进行定义，要增加对安全业务的描述，怎么赚钱。最后一个需要面对安全威胁的分析方法。比如第一道冲击过来我怎么防，不需要拿科学的词，们还是希望比较直接第一道冲击怎么防就完了。

　　所有东西都是为了业务属性服务的，所以对于运营商来讲，网络业务的持续性，业务可查性，业务可控性，业务可盈利性是四大要点，安全来讲是为这四大要点服务的，针对这四大要点提出网络安全的实施监控，网络安全可控性，还有网络安全增值服务，实际意义非常简单，持续运营，预警能力。接下来需要对运营商网络进行划分，因为运营商网络太复杂太大，所以先做了一个简单的划分，第一个是非信任域，接入网、城域网、公共无线网、骨干网。第二个是信任网，这做法不一样是一个相对封闭的网络，如果某个终端有黑客软件，我可以控制，开不开放的网络最大界限就是控制能力不同，内网可以控制，外网是不能控制的。还有一个既有内网也有外网。

　　接下来就是思科公司提出运营商网络安全架构，这里面借用X.805的概念，把网络划分成应用安全对象，网络服务安全对象，网络基础设备安全对象。然后分成管理、控制、数据三个平面。我们做的任何一件事情，任何一个方案都是为了这四个方向服务的。，所以这里面有很多业务也好，业务控制也好，基础网络架构保护也好，都是为了四大要点服务的，大家看这架构图比较复杂，是一个四维的图，但是是我们给出的一个网络安全体系架构，当我们真正分析网络方案的时候会简化。首先基于体系化的安全架构可以提出很多的解决方案，针对非信任域、中间域、信任域有很多解决方案，我们会提出相应的方案，但是思路都是一样的。我们分析一下有几个方法，第一个核心网络安全、这是属于非信任域，把信任域和中间域拿掉了，而且只关心核心网络，城域网放在别的地方不去管它，这就变成一个比较小的图，我们再看对业务的关注性，在核心网络里面关注什么，我们只关注可持续性和可监测性，盈利性也不是核心网考虑的问题，所以我们看到对于核心网两大要点关注就这两个，这样对应三个层次比较简单，核心网安全就不会考虑应用安全对象问题，比如ERP，电子邮件等不关心，所以核心网的安全只关心安全服务对象的层次，还有基础安全对象的层次。基础架构安全怎么做，基础网络设备安全怎么保护，基础安全服务层怎么保护，这样做的方方面面考虑很周到，按照这思路方法，关注核心网需要做什么。

　　对于安全运营管理也是一样它的关注点是监测性可控制性。不要关注可持续性和可盈利性。考虑可管理安全服务的时候又可以简化一些，在信任域里面可能不多，关注点就是可盈利性别的不是关注的内容，可管理服务里面，只关注网络安全服务对象的层次，底层基础架构不关心，上层应用对象也不关心，因为要靠服务挣钱，要盈利，不能把基础架构卖给用户不可能的，只能把服务卖给用户，这时候服务是关注的重点，要考虑服务怎么做，服务基础怎么做。城域网安全要四个点要关注，方方面面都要考虑，所以城域网就是非常小的典型的电信运营网，包括骨干、接入等等都有，其实城域网最复杂的。

　　思科运营商网络安全架构，就以这张图片为基础，实现以业务为核心的解决方案，我们关注电信运营网络发展要求的安全网络产品为支撑，为基础、安全管理安全服务为提供咨询。这是思科运营商网络安全架构技术支撑产品，我们讲的方案之外，今天没有讲产品只是讲一个思路，整个方案是要依靠防火墙、VPN，IDS，专业管理，路由器、交换机安全配置，还有安全顾问服务来支撑整个安全体系，我们不是把思路放在这，具体产品不管。

　　总结一下体制外运营网络我们是关注运营商四大业务要点，具体实施是融合性的安全要素，针对运营商不同因素提供解决方案，具有全面安全技术和产品支持的解决方案，具备安全服务盈利支持的解决方案，希望给运营商真正带来一些帮助，我的介绍就到这里，谢谢各位！