通信學論文-讓安全技術為運營增值.doc

通信學論文-讓安全技術為運營增值隨著信息技術的發(fā)展，固網(wǎng)運營商主要的業(yè)務已經(jīng)由固話業(yè)務向IP寬帶業(yè)務進行轉(zhuǎn)化，城域網(wǎng)的寬帶接入和IDC的帶寬出租已經(jīng)成為其有效的盈利手段。然而隨著網(wǎng)絡業(yè)務的飽和，如何在現(xiàn)有網(wǎng)絡上給客戶提供更豐富的增值業(yè)務，已經(jīng)成為各大運營商考慮的重點。借鑒國外增值業(yè)務的發(fā)展模式，一方面合作運營模式受到全球普遍關注和認同，另一方面安全增值業(yè)務也得到了廣泛的開展。加拿大貝爾、日本NTT、美國AT&T、英國電信、韓國電信都開展了針對企業(yè)和終端用戶的安全增值業(yè)務，特別是英國電信推出了針對企業(yè)和團體的安全服務，其服務項目有20項之多，包括了DDoS的流量清洗、郵件加密、URL過濾、以及安全評估和加密的多種服務。城域網(wǎng)安全增值方案近幾年城域網(wǎng)得到了飛速的發(fā)展，城域網(wǎng)的接入形式也從有線的網(wǎng)絡向無線網(wǎng)絡發(fā)展，城域網(wǎng)絡上承載的業(yè)務也有單一的上網(wǎng)和專線業(yè)務向VoIP、IPTV融合的多業(yè)務網(wǎng)絡發(fā)展。城域網(wǎng)也稱為本地網(wǎng)，以中國電信網(wǎng)絡為例，其骨干網(wǎng)ChinaNet已經(jīng)延伸到300多個城市，CN2網(wǎng)絡也擴展到200多個城市，所以本地城域網(wǎng)絡將會被兩張網(wǎng)絡承載。ChinaNet將承載普通Internet上網(wǎng)業(yè)務，而CN2網(wǎng)絡將承載VPN、VoIP、IPTV等對服務質(zhì)量要求比較高的業(yè)務。城域網(wǎng)的用戶分類及業(yè)務大客戶(包括政府、大型企業(yè))：租用電信的網(wǎng)絡訪問Internet，或租用專線建立內(nèi)部的專網(wǎng)；建立了自己服務器中心，提供企業(yè)內(nèi)部的網(wǎng)站、郵件等業(yè)務；利用網(wǎng)絡專線建立開展企業(yè)內(nèi)部的VoIP或視頻會議系統(tǒng)。網(wǎng)吧、話吧：租用線路開展經(jīng)營性業(yè)務。機場、酒店等：給客戶提供增值服務，同時也是基礎性的服務。中小企業(yè)：租用線路上網(wǎng)。個人用戶：目前主要的業(yè)務是寬帶上網(wǎng)，未來在VoIP、IPTV業(yè)務上會有很大的發(fā)展。城域網(wǎng)常見攻擊種類型針對大客戶服務器及路由器的DDOS攻擊；針對核心業(yè)務設備的攻擊，如對VoIP的軟交換設備、IPTV中的組播服務器、其中的中間服務器(如點播系統(tǒng))的攻擊；針對中小企業(yè)終端、服務器、郵件系統(tǒng)等的攻擊；針對個人用戶終端的木馬、病毒攻擊由此可以看出，由于城域網(wǎng)有各種網(wǎng)絡的接入點，諸如BAS接入、交換機接入、AR接入、PE-CE接入等等；而且接入的客戶也各種各樣，如企業(yè)大客戶、網(wǎng)吧運營用戶、普通接入用戶等；接入的業(yè)務也多種多樣，如寬帶接入、VoIP接入、IPTV接入等等。所以應當首先在各個接入網(wǎng)關解決安全問題，除了在路由交換設備上面完成相關訪問控制以外，我們也應當部署專門的安全網(wǎng)關設備，如防火墻、UTM、病毒網(wǎng)關、垃圾郵件網(wǎng)關等等。同時，城域網(wǎng)出口也是安全部署的重點，由于城域網(wǎng)是由地市公司進行負責維護，所以城域網(wǎng)入口就是防護骨干有害流量進入的重點，部署DDOS防護系統(tǒng)、DPI檢測系統(tǒng)是維護城域網(wǎng)安全的基礎。IDC安全增值方案從近年來IDC業(yè)務的開展情況來看，原有靠出租帶寬和機柜的業(yè)務方式，已經(jīng)顯得老套，滿足不了日益復雜的網(wǎng)絡應用和系統(tǒng)應用的需求，也難以說服高端用戶，并從高端用戶那里幫助電信獲取更多的利潤。同時，IDC同行業(yè)競爭也日趨白熱化，從目前IDC業(yè)內(nèi)對于業(yè)務發(fā)展的普遍認識來看，為了鞏固現(xiàn)有客戶，滿足其他中小型客戶的需求，并不斷引入高端優(yōu)質(zhì)客戶，已經(jīng)普遍認可要為客戶量身訂制多元化的服務，以傳統(tǒng)業(yè)務之外的增值業(yè)務來留住和發(fā)展客戶。與此同時，隨著近年來惡性和重大安全事件的相繼發(fā)生，網(wǎng)絡安全已經(jīng)成為擺在人們面前的一個日益嚴峻的話題。在IDC的托管用戶群體中，很多用戶對IT的依賴正變得越來越大，如電子商務、門戶網(wǎng)站、行業(yè)性網(wǎng)站、網(wǎng)絡游戲、對外貿(mào)易等行業(yè)用戶，托管系統(tǒng)的安全性、穩(wěn)定性、可靠性成為客戶運維人員首要關心的問題；而電信作為服務器托管的提供商，加之電信在網(wǎng)民心目中一貫具有的ISP提供商的形象，不可避免地具有為客戶提供干凈、安全的網(wǎng)絡空間，保持客戶業(yè)務系統(tǒng)正常、安全運轉(zhuǎn)的責任。另一方面，電信的IDC運維人員在日常工作過程中，也經(jīng)常接到例如密碼被篡改、系統(tǒng)入侵等安全方面的投訴，這些投訴和處理的結(jié)果也直接關系到電信IDC在托管客戶心目中的形象和客戶的去留。綜合以上兩方面來看，從安全的角度入手，為IDC托管客戶提供全面而細致的安全增值服務，肯定可以滿足相當多客戶的安全需求，解決客戶日常頭痛的安全問題，提高電信的客戶滿意度。特別是在目前IDC安全增值服務還沒有十分成熟的情況下，誰走在了前列，誰能第一時間為客戶打造安全、合理、有效的安全服務，誰將能率先留住客戶的心。IDC托管用戶分類傳統(tǒng)大客戶(政府、大企業(yè))：具備基礎維護能力，希望獲得專業(yè)技術服務；重視安全，資金充裕?；ヂ?lián)網(wǎng)企業(yè)(網(wǎng)游、視頻服務、電子商務、二級IDC)：業(yè)務開展對IDC環(huán)境的依賴度高；具備相對完備的技術力量；重視安全，在安全建設上愿意投資。中小企業(yè)：技術力量較弱，對運營商比較依賴；希望花最少的錢享受較為專業(yè)的服務。IDC安全問題分類安全對抗類：網(wǎng)絡鏈路中斷(ARP攻擊)、主機數(shù)據(jù)存儲災難；帶寬消耗型DDoS攻擊；應用型DDoS攻擊(DNS、網(wǎng)游、視頻)、Web應用攻擊(SQL注入、網(wǎng)頁篡改)、惡意代碼(網(wǎng)站掛馬、病毒攻擊)、僵尸召喚(成為BotNet的一部分)、垃圾郵件、新興應用攻擊(視頻、VOIP)、內(nèi)容欺詐(Phishing)。安全合規(guī)類：根據(jù)行業(yè)/企業(yè)的差異性；非法內(nèi)容。安全管理類：業(yè)務流量分布統(tǒng)計；設備/應用日志分析。鏈接典型運營商IDC安全應用項目安全漏洞通告：對安全漏洞信息進行實時的跟蹤和整理，定期提供給用戶，便于用戶提前制定應對策略，真正做到未雨綢繆。郵件形式定期發(fā)給用戶，用戶也可以通過自服務平臺查詢安全漏洞歷史信息。系統(tǒng)掃描：定期對用戶服務器操作系統(tǒng)進行漏洞掃描，查找系統(tǒng)漏洞，并將掃描結(jié)果以檢查報告形式提交用戶。系統(tǒng)加固：對于系統(tǒng)掃描/安全評估中發(fā)現(xiàn)的系統(tǒng)漏洞和薄弱環(huán)節(jié)進行修補操作，提供加固報告。攻擊監(jiān)測：實時監(jiān)控訪問用戶設備的流量，判斷是否存在漏洞利用型的攻擊行為，一旦發(fā)現(xiàn)攻擊，及時通知