模板
教程
环境
性能
功能
管理
电信业安全:问题分析与管理对策
电信行业的业务性质决定了电信用户对网络安全应用有其特点,无论是在应用深度还是在应用广度上都相应比较成熟,而且其在网络安全上的投入也较其他行业较多。据赛迪预测,合并前的四大运营商在网络安全上已累计投入8000万元以上。
根据我们在电信行业的经验,目前,在电信领域内,针对不同运营商网络的安全状况,安全问题主要集中在如下方面:
在各类运营商中,由于网络结构的不合理造成的安全故障,或者由于安全事故造成网络结构脆弱点的故障占了相当大的比重。其中,中国电信由于经过长期的发展,其自身客户积累及技术积累已非其他运营商可比,网络经过三期,四期甚至五期的改造扩容后,网络结构已相对比较完善,骨干及国际出口的吞吐量较其他运营商有绝对优势,网络的抗流量攻击能力较好。其他运营商由于开展数据业务时间较晚,为了快速的搭建起全国性的数据网络,吸引客户资源。在时间和资金有限的前提下,容易造成网络结构存在一定的安全隐患,重点表现在网络结构中的瓶颈现象。尤其在宽带接入业务中,通常缺乏对客户的控制和流量管理功能,容易造成大量用户共同使用一个低速出口,从而导致网络的抗流量攻击能力显著降低以及业务质量的下降。
主机及应用系统往往是黑客入侵的目标,电信行业中多以类UNIX系统作为各类业务的基础平台。因此,主机及应用系统的被入侵,也是电信行业目前安全状况中比较严重的现象。随着中国加入WTO,外资进入中国电信领域,服务的概念将在电信行业中日见突出,而主机及应用系统的受损,将极大的影响运营商的品牌形象,从而导致客户的流失。
此外,还有一个有趣的问题值得重视,即根据对国内已发生的主机被入侵事件的统计,在被入侵的主机中,绝大多数入侵者还未对该主机做不可逆的破坏操作。可见,现有的案例尚不足以说明入侵现象的危害,而对主机及应用系统的维护更需加强,以防患于未然。
安全领域内,每天都有新的漏洞或入侵方式的出现,作为运营商来说,必须培养一支安全水平能够跟上国际形势的运维队伍。目前,由于地域,经验等因素的差距。各类运营商之间,以及不同地域的运营商之间的运维人员在安全意识、安全水平上存在很大的差距,具体可以分为以下三种情况:能够发现安全问题,并能正确处理;能够发现安全问题,但无力处理;不能发现安全问题。由于人员素质的差异,提高运维人员的安全水平和安全意识对运营商来说是刻不容缓的事情。
对于不能发现安全问题和虽能发现而不能正确处理的情况,运营商通常将采购安全产品对网络进行防护,但是由于对安全产品的策略调整不及时以及对安全产品的过渡信赖,往往使人员更加松懈。实际情况中,部分业务主机往往会被入侵甚至安装后门长达半年以上,窃取用户资料(用户名及密码)及相关敏感信息。
对于能够发现安全问题并能正确处理的运营商,通常自身已建立了一套比较完整的安全管理机制,并采用专业安全服务配合部分安全产品,由安全服务商提供完整的咨询,增强,审计和响应服务。从而将运维人员从简单的重复性高的工作中解脱出来,更多的关注安全技术的发展。
随着安全问题的日渐严重,各类运营商对安全的需求形成了最初的安全产品需求。就各类安全产品的部署情况,目前在几大运营商中,防火墙、防病毒、审计系统、入侵检测系统、访问控制系统等等的安全产品都已有案例。根据我们对客户的调查得到的结论却是,这些安全产品的部署并未对网络的安全状况带来显著的改善。原因如下:
安全产品不同于生产网络中的设备,安全产品发挥其功效是依靠其自身的安全策略的作用。例如防火墙的规则集、病毒的过滤策略、入侵检测的报警触发条件及细到单一用户的访问控制策略。
有些甚至不能满足安全产品策略制定的基本要求——满足且仅满足运营商的业务体系及业务流程的安全需求。
运营商的网络通常会随着业务的发展做局部或大范围的调整,无论是网络结构的调整,还是业务的新增扩展,都需要对安全产品的安全策略及时做相应的调整以适应新的需求。
随着安全领域的发展。安全服务已逐渐被电信行业所接受,其中所提供的咨询、审计、增强、响应、管理等服务内容作为产品的补充,业已成为电信安全项目中的基本需求。
针对电信行业的安全服务,目前主要由产品厂商与专业安全服务商提供,前者围绕自身产品提供相关的安全服务,后者则围绕运营商的具体业务,已部署设施(不仅仅是安全产品)提供安全服务。由于现在各类运营商总部在全年投资计划中还未把安全服务项目作为预算中的一部分,因此目前运营商采购的安全服务基本上是绑定在其他扩容或新增项目中。
电信行业的网络安全问题从深度上看是一个长期存在的问题,从广度上看应该是一个包括管理和技术等多个层面的综合体。我们应该意识到,任何网络安全和数据保护的防范措施都是有一定的限度,一劳永逸的信息安全体系是不存在的。技术与产品只是保护信息安全的一个方面,而通过服务商的介入,制定出适当完备的网络安全策略才是实现电信行业网络安全的前提。所以说,高水平的网络安全技术队伍是保证,严格的管理则是关键。
(责任编辑
