论文部分内容阅读
随着通信网络、业务、终端的进一步融合,尤其是终端更加智能化并具备开放的操作系统,IP面临严重的安全挑战,比如说P2P的滥用、病毒、DDoS攻击的泛滥,还有其他针对网络带宽和业务可用性的攻击等。
这是一个日益尖锐的问题,但现有的电信标准体系尚无法解决这些挑战。因此说,安全威胁已经成为全IP的通用威胁。
IP的三大安全挑战
IP化是電信网络公认的发展方向,所有的业务都要向全IP迁移,在这个过程中,运营商面临着三大安全挑战:
第一个挑战就是网络的存活性挑战。QoS再好的网络,如果没有安全保障,网络就瘫痪了。导致瘫痪的原因很多,如非法路由攻击,造成路由振荡,或是通过DDoS攻击占用CPU资源和内存资源等。
第二个挑战是带宽的可用性的挑战。运营商不断地建设网络,不断地扩容,但是带宽更多地被泛滥的P2P侵占了——从统计数据来看,国内运营网络65%~80%的带宽被P2P占用。
第三个挑战是目前的标准组织,如ITU、3GPP、ETSI等对全IP架构下的业务缺乏安全方面的定义和研究。现在的标准虽然做了很多QoS、CAC的定义,但是对安全的考虑是没有的。这不仅会降低客户的体验,而且影响运营商的收入。
举一个简单的例子,当智能终端在访问多媒体业务时,如果有病毒,即使他是金牌客户,QoS也是无法识别的,这就导致了客户体验的下降。这说明一个问题,缺乏安全标准的NGN体系不能保障体验质量(QOE:Quality of Experience)。
QoS是网络的指标,QoE是客户感知的指标,QoE的安全问题已经成为运营商、标准组织以及设备供应商共同面临的课题。
安全防御三步走
运营商应对这些挑战,也是一个阶梯性的发展过程,可分三个阶段来走。
第一阶段:安全防御,开源节流
安全建设第一阶段目标是要实现开源节流。开源节流阶段对安全设备存在很多功能性的需求,如DDoS流量清洗、P2P监控、非法VoIP控制、非法私接控制、绿色上网、垃圾邮件过滤、僵尸主机(即被木马程序控制的用户主机)定位等等,归纳起来就是流量清洗和安全加固。
当然,安全加固和流量清洗系统要兼顾考虑、统一部署,采用同一个平台。这个平台不仅仅能限制P2P,还能限制非法VoIP、私拉私接,同时还要能够进行DDoS攻击流量的清洗,并提供大客户的安全运营,帮助商业客户具备流量攻击的防御能力。
第二阶段:实现精细化运营
第二阶段通过安全设备和现有的网络设备的联动,来提供精细化的运营,丰富运营手段,从以前的“用户+时长”两维运营模式,发展到“用户+时长+业务”的三维精细化运营。
这个阶段提供的安全业务更加丰富,比如:多PC上网的管理、P2P的控制、商业客户安全宽带、绿色上网、企业VPN、VoIP监控,另外还可以提供P2P的运营、VoIP的运营。
第三阶段:内容运营
现在中国有超过两亿的互联网用户,是一个非常巨大的资源,运营商除了提供管道以外还能提供什么东西?现在大家都在考虑内容的运营,从一个管道运营商向内容运营商转型,但这个“内容”是否安全,也需要考虑。
如何建设一个安全、可靠、可信任的网络,解决电信业务向全IP迁移的通用威胁,是运营商、标准组织以及设备供应商共同面临的课题。
毕竟他们的目标是一致的,最终要实现安全架构的标准化、体系化、安全、和谐的全IP网络。
这是一个日益尖锐的问题,但现有的电信标准体系尚无法解决这些挑战。因此说,安全威胁已经成为全IP的通用威胁。
IP的三大安全挑战
IP化是電信网络公认的发展方向,所有的业务都要向全IP迁移,在这个过程中,运营商面临着三大安全挑战:
第一个挑战就是网络的存活性挑战。QoS再好的网络,如果没有安全保障,网络就瘫痪了。导致瘫痪的原因很多,如非法路由攻击,造成路由振荡,或是通过DDoS攻击占用CPU资源和内存资源等。
第二个挑战是带宽的可用性的挑战。运营商不断地建设网络,不断地扩容,但是带宽更多地被泛滥的P2P侵占了——从统计数据来看,国内运营网络65%~80%的带宽被P2P占用。
第三个挑战是目前的标准组织,如ITU、3GPP、ETSI等对全IP架构下的业务缺乏安全方面的定义和研究。现在的标准虽然做了很多QoS、CAC的定义,但是对安全的考虑是没有的。这不仅会降低客户的体验,而且影响运营商的收入。
举一个简单的例子,当智能终端在访问多媒体业务时,如果有病毒,即使他是金牌客户,QoS也是无法识别的,这就导致了客户体验的下降。这说明一个问题,缺乏安全标准的NGN体系不能保障体验质量(QOE:Quality of Experience)。
QoS是网络的指标,QoE是客户感知的指标,QoE的安全问题已经成为运营商、标准组织以及设备供应商共同面临的课题。
安全防御三步走
运营商应对这些挑战,也是一个阶梯性的发展过程,可分三个阶段来走。
第一阶段:安全防御,开源节流
安全建设第一阶段目标是要实现开源节流。开源节流阶段对安全设备存在很多功能性的需求,如DDoS流量清洗、P2P监控、非法VoIP控制、非法私接控制、绿色上网、垃圾邮件过滤、僵尸主机(即被木马程序控制的用户主机)定位等等,归纳起来就是流量清洗和安全加固。
当然,安全加固和流量清洗系统要兼顾考虑、统一部署,采用同一个平台。这个平台不仅仅能限制P2P,还能限制非法VoIP、私拉私接,同时还要能够进行DDoS攻击流量的清洗,并提供大客户的安全运营,帮助商业客户具备流量攻击的防御能力。
第二阶段:实现精细化运营
第二阶段通过安全设备和现有的网络设备的联动,来提供精细化的运营,丰富运营手段,从以前的“用户+时长”两维运营模式,发展到“用户+时长+业务”的三维精细化运营。
这个阶段提供的安全业务更加丰富,比如:多PC上网的管理、P2P的控制、商业客户安全宽带、绿色上网、企业VPN、VoIP监控,另外还可以提供P2P的运营、VoIP的运营。
第三阶段:内容运营
现在中国有超过两亿的互联网用户,是一个非常巨大的资源,运营商除了提供管道以外还能提供什么东西?现在大家都在考虑内容的运营,从一个管道运营商向内容运营商转型,但这个“内容”是否安全,也需要考虑。
如何建设一个安全、可靠、可信任的网络,解决电信业务向全IP迁移的通用威胁,是运营商、标准组织以及设备供应商共同面临的课题。
毕竟他们的目标是一致的,最终要实现安全架构的标准化、体系化、安全、和谐的全IP网络。