ALL IP网络的安全对策.doc

随着网络、业务、终端的不断融合，尤其是终端变得更加智能化并采用开放的操作系统，ALL IP网络面临着严重的安全挑战：P2P滥用、病毒、DDOS攻击，针对网络带宽和业务可用性的攻击等等，已成为日益尖锐的问题，而现有的电信标准体系尚无法解决。 ALL IP网络的安全挑战 网络的存活性 运营商已建设了很多正在运营的IP网络，如中国移动的CMNET、中国电信的163网、中国联通的165网等。这些IP网承载了大量的业务信息，网络的安全性将决定运营商的运营安全。QoS再好的网络，如果没有安全保障，网络一旦瘫痪就丧失了可用性。同时，很多针对IDC、商用客户的攻击导致高价值商业客户流失，从而收入降低。导致瘫痪的原因很多，如非法路由攻击造成路由振荡；通过DDOS的攻击占用CPU资源和内存资源，等等。 CN、OA同样面临很大的安全威胁，表现在被攻击、非法访问、信息泄漏等。一台电脑感染了病毒，迅速在内网传播开来，影响工作效率不说，严重的是可能被种植了木马。你的重要文件、产品规划、运营报表就从后门被传播出去了，在网上公开出售，这种危害对企业的影响是难以估量的。 庆幸的是，有些运营商已经意识到这些问题并开始内网的加固，但大部分尚处于观望或初步的试验阶段。 网络带宽的可用性 运营商不断地建设网络，不断地扩容，但是带宽被泛滥的P2P侵占了。从统计数据来看，中国的IP网络65%-80%的带宽被P2P占用了。坊间有一个笑话，称“运营商一扩容，微软就发笑”。实际上不仅仅是微软发笑，同类的IM供应商都在发笑，当然还有无牌照运营VoIP的黑话吧。不断扩容的带宽总是被类似P2P的流量占用，造成增量不增收。 如果网络带宽不够了，解决方法还是有的。因为光纤总是可以扩容的，带宽不够就扩光纤、扩传输、扩承载网，即使投资很大，技术瓶颈也不大。但对于3G无线网，问题就比较大，它可能会占据我们宝贵的空口资源。 标准体系的缺失 目前的标准组织，如ITU、3GPP、ETSI等对ALL IP架构下的业务缺乏安全方面的定义和研究。现在的标准做了很多QoS、CAC的定义，但是对安全的考虑是没有的。这不仅会降低客户的体验，而且会影响运营商的收入。 举一个简单的例子：智能终端可以不通过IMS，下载或自己编写一个SIP Client，彼此间通过IP地址/端口号就可以直接通信，这就造成运营商话务量的损失。再如：智能终端在访问多媒体业务时，如果有病毒，即使他是金牌客户，QoS也是无法识别的，这就导致了客户体验的下降。 缺乏安全标准的ALL IP网络不能保障体验质量（QoE：Quality of Experience）。QoS是网络的指标，QoE是客户感知的指标。安全问题是对QoE的最大威胁，这个威胁是各运营商、各标准组织以及各设备供应商面临的共同课题。 安全对策 应对这些挑战，是一个阶梯性的发展过程，可以分三个阶段来走。 安全防御，开源节流 安全建设第一阶段目标是要实现开源节流。 所谓“节流”，即通过部署异常流量清洗系统，降低运营系统被攻击的频率，减少带宽拥塞，保障商业客户的服务质量；通过部署DPI设备（如华为的业务监控网关SIG）来保证带宽的可用性，限制私接、P2P滥用和非法VoIP。 在节流的同时，我们可以适当地做一些“开源”的工作，就是做一些安全的集成。一方面可以增加收入，另一方面可以逐渐地控制终端，并进入IT领域。所有的运营商都把微软当作潜在竞争对手，为什么？因为微软控制了桌面。但是微软要和运营商竞争，必须要通过运营商的管道。如果运营商可以通过管道把终端控制住，将来就可以在终端上面做任何业务。通过分析发现，对于安全运营的投资，它的回收周期要明显地优于纯宽带的投资。如果在现有宽带业务的基础上面做一些安全的业务，它的回收周期更短。 开源节流阶段对安全设备有一些功能需求，如DDOS流量清洗、P2P监控、非法VoIP控制、非法私接控制、绿色上网、垃圾邮件过滤、僵尸主机（即被木马程序控制的用户主机）定位等等，归纳起来就是流量清洗和安全加固。 那么，是不是每一个功能都要接一个“小盒子”上去呢？中国的运营商从九十年代初开始建设IP网络，从最早的二层网络到三层网络，再到三层网络+基于BRAS的宽带接入控制，已经成为一个精品网络。但是这个精品网络面临很多的安全威胁，不可能针对每种威胁都部署一个“小盒子”进去。比如说P2P限制加一个“盒子”，非法上网加一个“盒子”， DDOS防护加一个“盒子”，与BAS的联动再加一个“盒子”……这些千差万别的系统加到我们的网络里，复杂度大大增加，造成了网络的不可控和不可管理，而且可扩展性非常差。另外，这样一个精品的网络，由于