领先企业纵论网络安全解决之道

来源：通讯世界作者：出处：巧巧读书 2006-05-25 进入讨论组

　　中兴通讯：安全总控保护企业信息安全

　　中兴通讯信息安全总体解决方案将近十年的企业信息安全建设经验与国际先进的信息安全体系相融合，将信息安全技术、信息安全管理有机的结合在一起，将信息安全产品通过与信息资产和组织中的员工相对应，建立起一套完整的信息安全管理与执行的解决方案——安全总控中心(SOC)，提供了一套应对萨班斯法案，完善海外上市公司内控机制的有力工具。

　　安全总控中心是中兴通讯先进安全理念的集中体现，也是安全管理的有效平台。中兴通讯在总控中心中提供统一认证、安全监控、安全审计、安全考核、安全事件处理、安全任务管理、风险评估、风险分析、知识中心等功能模块，总控中心和企业中的员工的信息、组织信息、帐户管理等数据库相结合，将安全事件、安全状况关联到人和组织，可以有效地将安全管理思想落到实处。这是单个信息安全产品所不能实现的。

　　中兴通讯的SOC产品具有以下特点：基于国际信息安全体系(ISO27001)的安全管理和管控措施，并部分结合了ITIL、COBIT等内容，是信息安全技术体系和信息安全管理体系互动的桥梁和纽带；注重长期效果，使安全达到可管理、可操作的目标；为企业信息安全管理提供了统一的平台；具有良好的可拆分性、可扩展性、高容错性、高可用性、模块化；是SOX法案符合性的重要支持工具之一。

　　在某国内大型运营商终端安全项目中，中兴通讯提供了一个先进可靠的终端安全解决方案，以安全总控中心(SOC)为核心，有机集成终端安全产品(防病毒、网络接入控制、安全策略管理与分发、安全策略执行、个人防火墙、资产管理与软件分发)，为客户提供了一个统一的安全管理平台，实现了安全的全局可控，有效提高了信息安全水平，降低了信息安全风险。

　　爱立信：3G中的IP安全急需关注

　　众所周知，3G网络的特点是IP化，3GPP标准的演进也的确是一个逐渐向IP迫近的过程，换句话说，最终所有的3G相关流量都要以IP作为承载。如果IP承载网不安全，3G流量又有何安全可言？

　　要想解决安全问题，就要从安全问题的源头说起。其实，IP的安全问题源自开放。互联网的开放性，决定了其必须永远要面对众多的安全挑战这一特性。

　　对比以前提出的简单的“多网合一”概念，爱立信提出的方案为“Diffserv多网合一”，区别于原先概念中对不同流量的简单合并，对不同流量不同的安全需求、QoS需求、互连互通需求加以分析后，合并同类项，并分别进行传输。这个理念有些类似于Differserv QoS模型中的BA和PHB之间的关系，但BA的分类条件扩大到了安全领域，PHB则可类比于不同的VPN。流量分类的原则大体有两条：能封闭的尽量封闭，能开放的尽量开放。换句话说，自我保护的最佳手段就是远离威胁，而对于那些天生与威胁“为伍”的流量，则要尽量将其剥离出来，用尽量简单、对业务影响最小、代价也最低的手段将这些威胁的影响范围控制在最小。

　　要实现上述概念，显然对IP承载网提出了更高的要求。传统意义上的IP承载网，最重要的功能是提供高效可靠的连通，而3G承载网则需要在这个基础上能够将流量按照需求区别对待、分别传输。这就为已经很成熟但却并未得到太多实际应用的MPLS VPN技术提供了一展身手的舞台。事实上，中国移动、中国电信等国内运营商都早已建好了可提供MPLS VPN的骨干网。

　　可以说是万事俱备了，那还差什么呢？差的就是如何将不同类型的3G流量按照其安全需求归类，并用VPN加以隔离和传输。这实际上是将3G这一通信概念同VPN这一数据传输概念相结合，并最终形成3G VPN安全解决方案的过程，其核心思想就是在最大程度地发挥IP传输带来的便利的同时，最大限度地降低由于不同IP流量之间的相互影响造成的安全隐患。

　　任何一个网络设计，其核心是架构，好的架构可以对很多问题具有天生的免疫力，3G网络安全设计也不例外，这其中，3G 传输网的安全架构又是整体安全架构的重要组成部分。爱立信基于其全球3G网络设计经验，总结并创造了MPBN (MOBILE PACKET BACKBONE NETWORK)这套完整的3G解决方案。在这套方案中，3G网络安全被从各个角度进行了详细的诠释，不仅仅包括上面提到的IP传输网的角度，还包括了安全域的角度。相信来自爱立信全球的经验一定能够帮助中国的各家运营商构建起全球最安全的3G网络。

　　上海贝尔阿尔卡特：NGN安全四大注意

　　NGN作为承载在分组网络之上的下一代通信网络，继承了分组IP网络的主要安全问题,包括黑客DOS攻击、病毒蠕虫木马的入侵、非法扫描、地址欺骗等。NGN核心系统位置相对集中,业务覆盖面广,NGN核心系统的安全成为NGN安全的重中之重。NGN终端多为有复杂操作系统的智能终端,接入的形式多种多样,位置分散, 常与常规的数据终端同处于一个环境,使得终端系统遭到攻击的可能性大大增加。IAD/IP Phone等终端及用户通过冒用截获的帐号进行非法接入,电话盗打,电话骚扰。NGN系统采用媒体流与控制分离的思路,客观上增加了安全监控的难度。分组IP承载网络是影响NGN安全性的重要方面,NGN网络安全需要全方位的、整体的安全体系。

　　NGN网络的安全问题是软交换商用过程中需要面对和解决的主要问题，上海贝尔阿尔卡特的NGN解决方案从设计上强调了以下功能及措施以确保网络的安全和稳定性。首先，跟踪NGN系统面临的不断变化的各种安全威胁,启用严格的网络安全机制，系统关闭任何不使用的网络服务，防止非法用户通过非法的服务入侵设备；通过隔离、过滤、监测、认证、加密等手段降低遭受攻击的可能性，并检测、记录攻击的发生，保证攻击的可溯源性。

　　其次，制定NGN安全标准规范。由于各厂家在保证NGN安全方面的做法不尽相同,迫切需要有关部门能够统一协调,制定统一规范,以保证NGN系统在业务提供、信令、IP承载、终端等层面保证NGN系统的互联互通及NGN业务的安全提供。第三，对NGN的SIP、BICC、H248、Sigtran等协议安全要进行深入研究。最后，关注NGN终端接入的安全。当前NGN核心系统的建设采用物理隔离，VPN逻辑隔离，以及采用防火墙等安全设备,安全基本上得到保证。在NGN终端层面，由于网络接入形式多种多样，面临的安全风险很多，给NGN整个系统的安全带来了隐患，所以需要业界建立标准的NGN终端接入安全体系。

　　朗讯：安全网络创造电信新价值

　　每一个业务提供商，不论是电信运营商、企业还是政府机构，都面临着日益增长的安全性问题。威胁无处不在，并潜在地影响着企业的正常商业运行，而如何识别、分析、应对不同的风险成为每个企业必须面对的问题。

　　在今年的3GSM大会上，朗讯科技签署的一系列合同中，既包含了受欧盟信息社会和媒体常务理事会委托进行一项综合性研究。根据协议，朗讯及其研发机构贝尔实验室将分析影响欧洲电子通信基础设施(包括互联网和移动网)可用性的因素。包括识别和分析核心(骨干)、移动和无线网中存在的威胁和弱点及其产生的影响，为公共权威机构及市场各方提供推荐方案，以保护欧洲电子通信基础设施的安全，并减轻潜在威胁和弱点可能带来的后果。

　　一些主流运营商已经意识到，电信网络的全IP化的趋势对运营商就是一个很大的挑战，在这种情况下，网络的规划，网络的设计，网络运营各个环节都必须要充分认识到网络安全的问题。在越来越强的竞争压力下，电信运营商的客户对网络和服务保障的要求越来越高。而业务的连续性和应急恢复能力将是确保良好运营、增强综合竞争能力的前提。

　　运营商通过专业的业务连续性评估与规划服务，将综合提升业务竞争能力。在确保业务连续性和良好运营方面，一个成功的例子是中国电信与朗讯的合作。为了增强综合竞争能力，中国电信认识到需要系统化地了解自身哪些方面需要改进才能够最优地保护自己的网络、系统地提高网络灾难恢复能力从而保障业务收入的持续性。

　　朗讯全球服务为中国电信提供的业务连续性和灾难恢复评估咨询服务项目，以某省电信固网为研究对象，运用朗讯经过验证的方法论和贝尔实验室的专业工具，对各种潜在的灾难和威胁对目标网络的影响进行了详细的分析。通过量化的风险和业务影响分析，找到了目标网络存在的主要问题及需要改进之处，并按优先次序提出了改进和缓解建议。转载:http://www.qqread.com/erp/12/l569155004.html 更多内容请看路由安全配置专题、网络管理实用手册、系统安全设置专题，或进入讨论组讨论。