演讲主题：IP网络安全

演讲内容：中国网通北京分公司网络运维部 吴思坚

各位上午好，我来自中国网通北京分公司的网运部，大会给我们一个题目就是做一个关于IP网络安全的技术和经验交流，我想因为在座的各位也都是这里面的专家，我只从运营商的角度谈一下我们的一些关注点。我的发言主要分三个部分。前两个部分应该说还是一些教课书上可以看到的东西，互联网的安全问题还有一般的技术应对的一些措施，这是从我们的角度来看。第三部分是从我们自己，在一个运营网络上的这种管理的一些过程，然后谈一些自己的这些观点。

刚才主持人已经提到，就是因为IP网络是一个开放性的网络，所以在IP网络上这个安全性的问题一直是伴随着网络的发展持续地、不断地一直在发展着，这里面我们最主要原来提到的都是对信息安全的威胁。

对信息安全的威胁来自于哪几个方面？一个是说在网络上的这些参与者，一个是对这个网络信息和系统的扫描，尝试能取得的服务，比如说尝试登录一个其他人的系统，或者说使用这个非注册的这种服务，这个一般我们都认为是一种攻击前期的警讯。

第二个就是这种监听的方式，他也是因为这个网络的特性，因为像以太网本身用这种广播方式来传递信息的，所以说在很多公司的内部，因为现在还可以用这种方式来提取服务，我们认为这也是一种威胁的来源吧。
第三个是大家知道的这种拒绝服务的威胁，它这个主要的目的就是要瘫痪别人的系统，然后取得这个伪装系统的身份，这个首先它会消耗掉大量的服务的能力，甚至能造成系统的崩溃。
第四种就是恶意的程序，包括病毒这样的恶意的方式，是在系统有漏洞的时候这种攻击可以使到这个系统，引发比较严重的灾情。这是从人为的恶意的角度来说，对信息安全一些比较普遍的这种威胁。随着这个时间的发展，这个攻击技术也在不断地提升，这个攻击趋势现在我们简要地说，主要是看这两个，一个是技术的提升，随着这个技术的不断普及，这个入侵者的网络知识、能力我们也觉得是在日益增加，这个实际上是对一个网络的这个管理者也好，还是运营者也好，实际上都提出了更加严格或者严酷的要求。

第二个是这种攻击的工具现在也非常多，大家都是这个方面的专家，我就不再详细地说了，这个技术应对这一部分，总体来说也是这几个基本的手段，一个是这种扫毒和侦毒的过程。第二个是邮件的过滤，第三个是入侵监测通告，还有这种损害的管理。第四个防火墙是大家都知道的最基本的网络防护设备。第五个实际上是在现实网络上运用的比较多的，就是这个网络的负载平衡，这个网络的负载平衡实际上不光是对恶意攻击，包括对提升网络本身的品质来说，它首先是提升这个服务的有效性。第六种比较常用的方式就是VPN的方式，尤其在跨越不安全的网断的时候，VPN是来提供各个所有网站之间的这种传输的安全性。这个也是一种比较常见的技术应对的方式吧。

第七个现在用这种公钥、密钥这种方式，尤其是在这种网际的网络上，通过这个来对用户的身份和这个来进行授予，还有授予权限，这个可能是因为本身他自己这种比较难以破解的私密性，所以呢对这个网络安全的服务，应该是能够提供更严谨的方式。

第八其实就不只一条了，还有很多很多，这个可能待会儿很多厂家是不是要提供一些更新的产品也好、构思也好供我们来学习。

但是从这个网络运营的角度来说，我们主要觉得趋势可能主要是以下三点，以往的网络安全这种保护更多的是一种被动的防御，现在是提倡这种主动的防御，怎么一个主动方式，实际上还是有很多种想法的！总体来说就是不能一味地靠这种防和护。第二个就是这个产品叠加形象策略管理型的过渡，第三个是从安全产品的单一产品向集中管理来过渡。前面这两条都讲得比较虚，而且是大家都比较耳熟能详的东西，实际上我一直在想这个问题，因为今天这个问题，实际上互联网的安全未必就是说只是信息的安全，我们把网络安全基本上定义在两个层面，一个是网络本身的安全，还有网络上所跑的所有的信息的安全。实际上要从这两个方面来说，这两个方面是非常相关联的。因为北京网通在世界上来说，运营管理的这个IP网络应该是一个比较庞大而且比较复杂的网。现在上面宽带用户大概是将近240万，还有很多比较重要的这些客户。所以我们从网络安全方面，想介绍一下我们基本管理的一些想法，这个不仅仅是从技术这个层面，还有一些我们自己的平常的一些措施。

大概想分这么几个方面，第一个是关键网络系统的安全保障，其实现在跟十年前、五年前最大的区别就是人们越来越离不开互联网，就是说IP网以前是通信业务的一个分支，现在实际上已经是最重要的一个基础的网络了，而且上面的业务也是在不断地更新、发展，网络规模也非常地大。所以现在IP网的安全，实际上已经可以说是这个公众和社会能享受这个网络服务品质的一个最基本的安全条件。所以我们在管理措施上，一个是从设备，还有一个管理，还有对上层的应用。还有我们自身内部的一些工作，可以说从不同的层面来普遍地提高这个安全管理的能力。

这个表大概我们这么分一下，从安全问题来看，首先是IP网本身的安全性，其次是IP网络设备的安全，然后是网络质量的安全，这个网络质量的安全，像这种DDOS攻击，你网络本身设备没有任何异常的情况下，因为有这种异常的流量，对你网络的服务实际上造成很大的威胁。还有网络信息上的安全，这个尤其在北京，我们前一段时间刚结束完十七大的保障，现在国家对这部分也是非常地重视。还有网管系统的安全，还有其他应用系统的安全，主要从这几个方面，我们从不同的方面去看他的安全问题，可能存在在哪些地方，然后提出相应的解决措施。
从这个上面我们又分这么几个小的部分，一个是控制层面的安全部署。这里面包括像路由协议，还有用户接入策略，这个可以说是，一个是大网还有一个是跟用户相关的这些策略，这个是从网络的，我们自身网络对这个网络控制的层面来说，简单说一下，因为里面有一些技术细节，我们以后有机会再细细地交流。

我们想说，因为今天的题目是运营网络，就是说我在这个网络本身，已经具备的情况下，我们怎么来把它管理得更好。从管理层面这个角度来说，可能要分一些具体的方法，一个是配置的模板，首先尤其在一个非常庞大的网络上，它这个配置的一致性和配置的合理性、配置的安全性这个都非常重要，我们所有的网络上的这些配置都是有一套机制来审批、最后来认可，最后最大的目标主要是要减少这个配置的随意性和人为的这种隐患。

第二个是数据配置，在一个数据模板已经具备的情况下，实际上人还是有误操作这种可能性，有两种理论，一种理论是更相信机器，一种理论是更相信人，实际上这个很难说。不管是机器和人都有可能在犯错误。所以在这个具体的配置方面，包括对这种双人的操作机制，还有一些事先审核、事后复合的机制，这些都是很重要的。
第三种策略就是我们网络设备的升级，因为互联网发展非常快，设备更新也非常快，包括这个版本、包括有一些新的产品出来，我们可以说是有主动的，也有被动的，就是不断在攻击，怎么在这个过程当中，确保这种安全性。
网络变更是比设备升级更大一点儿的范围，就是说一些可能比较大范围的调整，这个实际上这么大的网络，它的这种网络变更的事件是非常多的。但是我相信大家有很多同事都生活在北京，可能感觉到并不多，实际上这个也是一个比较周密的计划、安排。还有就是我们首先所有的这种网络变更肯定是放在这种业务闲时和业务量比较少的时段，包括我们有一些预先的流量的调整这些措施，可能大家感觉并不是非常地明显，这个可以说也是我们日常工作当中经常要做的一件事情。

还有一个就是这个方案的审定，因为就从这5年来说，5年前我们做了一个比较大的调整，因为北京以前本地IP网是有两个，5年前把它合成了一个。在这5年来实际上真正的北京的网络可能从规模上又扩大了好几倍，在这个过程当中，凡是实施这种比较重大的网络调整，我们都肯定是有一个比较严密的专家论证、审定、严格操作那么一个过程。文档管理，这个就不详细说了，因为这个对各个公司来说，文档管理都是非常关键的一块，最主要就是说一个是管理、一个是备份。我们觉得这两条可能是两个比较重要的方面。地址的管理，这主要是指IP地址的管理，因为我们本身的网络自身有自身的网络管理、维护，还有提供业务，还有整个给公众的这一部分，这个实际上也是为了整体网络的冗余性，还有它的备份能力。

登录的认证这个也不细说了，因为也是大家都比较熟悉的。访问控制也是，因为运营网络最大的困惑就是，它对非常非常多，而且是你根本无法预计的人和公众开放着你的网络，尤其现在我们在IP网上有很多网管，实际上他跟公网还是有一定的联系的，怎么在这个过程当中要进行这种非常严密的控制，这个我们觉得在管理层面也是一个非常重要的点。

口令的管理，口令管理因为在网络上运行的各种业务系统非常地多，所以这里面我们觉得技术只是其中的一个方面，而真正这种管理的层次也好、管理的严谨度也好，是更为重要的。当然这里面还是有一些大家比较公认的技术方式，比如说口令选取的方式、更改的周期啊，这是一个纯技术的手段，但是真正的技术还是要靠这种比较严格的管理，才能起到真正的作用。这个指的是对一些服务的屏蔽，这个现在也不多说了。

备份，实际上可能还不太全，首先第一个是硬件的备份。实际上北京网络很多很多的结点，尤其这种比较重要的结点，实际上都是双路由、双备份的，所以它本身通过这种流量负载均担的方式，首先要这个业务基本上能够得到一个非常平滑的保障。这种硬件的备份还体现在如果说出现故障，进行网络的这种刚才前面讲到的更换也好、变更也好，在这些过程当中，这个都是为了保证这个网络非常平稳的业务不受影响。这里面，因为刚才提到硬件备份，我补充一点。实际上不光是硬件设备，包括在硬件设备之上，我们所有的线路、所有的系统实际上这都要考虑备份。所以讲到这儿，就想到一个什么问题？就是说，不知道是不是所有的国外运营商也都是这么做，总体来讲，这种冗余也好备份是非常重要的，尤其在这种关键的点上。

但是实际上这对运营商来讲，可能是一个比较高的成本压力，对设备商来讲可能是一个利好的事。而且这个同时也增加了网络的复杂性。我想这是一件必须做的事情，可能也有一些情况也是不得不为的事情。这个我想可能跟我最后想讲的这么一个想法还是有关的。先说一下这个备份造成这种成本的压力比较大，当然还是必须要做。因为软件的备份那就不用说了，可能是在任何一个企业网上对设备的配置文件、操作系统，还有它上面所有的这种关键应用的这种备份都是非常强调的。

其实网通在上市之后，受到萨班斯法的管理，我们觉得在这方面可能国外的监管机构考虑的更加周全，因为以前我们这个备份是做的，但是现在我们通过萨班斯法审计的过程当中发现他们也特别强调异地的备份，而且他对异地备份强调得非常地严格。以前我们的理解，是不是不同的楼就算异地，它这个不行，一定是不同的物理地址，这也是一个经验吧。

还有一个就是，备份包括硬件和软件，我们觉得比较重要的一点，因为网络随时在进行不断地调整，我们要时刻保持在你的备份的软件也好、硬件也好。它的配置还有它的内容要跟在线网上运营的设备是完全的一致性，否则的话事后再去更改就会比较麻烦。

刚才主要讲的是从13个方面对这种日常管理的方式上，对这个运营网络的安全的一些想法。尤其这两年，更多是强调在流量层面。上次听了一个21世纪互联网的这个专题演讲，巫院士说下一代互联网应该是什么样子。实际上我们现在觉得，我们虽然在做对流量层面进行管理，但是我觉得就现有的、目前的IP网的这种结构来说，这方面的工作已经越来越难做了，可能是到了一种量变到质变的这么一个过渡期间的一个前夜吧。但是在目前的这个网络上还是应该来做的，首先对流量要进行这种分析，现在呢，因为原来的业务非常简单，10年前就是上网发发邮件。现在这个互联网上可以说所有你能想到的通信的这种信息，各种不同的业务流都会在上面跑。

当然我们要首先从运营商的角度来说，是要决绝对地保障这些合法的业务流、非常通畅的业务流。但是其实这上面还是有很多异常的流量，首先是一个国家政策和法律的要求，还有一个确实也是我们自身对网络安全的要求，比如说病毒。这些异常流量我们都要提供不同的方式来对它进行比较严密的监控。对网络应用的监控现在只是提了一下，可能最多的也就是垃圾邮件，因为国际上现在对垃圾邮件，也是监控得比较严，如果你网络上垃圾邮件比较泛滥的话，会降低你整个运营商的信用等级，所以主要是垃圾邮件这一块。

刚才前面讲的是最主要部分，就是我们关键网络的一些运营保障的方式，我想可能从网通来讲，一个是我们跟在座的各位，有些运营商我们是相互借鉴，跟我们很多的设备提供商也好、服务提供商也好，我们是可以说是相互依存的这么一个关系吧。我们说这些也是希望我们能得到大家的了解和共鸣，可能对我们今后的合作还是有些益处的。

下面再简单地讲几个方面，一个是关键运行系统的保障，就举一个DNS防护的例子吧，对这种两种不同的系统，可能一个是比如对这个系统，我们在前端怎么设置防火墙来进行这种服务的登录的安全限制和保护。比如对于这个系统是用交换机来进行地址的访问和控制，这个实际上可以说，这个PPT里面一方面是不能写很全，另外一方面确实也写不全，这里面真正能做的东西还是很多的，今天只是说提供这么一个思路，或者是考虑问题的一个方式，供大家交流一下。

下面说一下，也是一个举例子，比如说反垃圾邮件这个事情，现在不管是国际上还是信产部，对用户接收和发送不良信息的邮件，实际上都对运营商有这种相应的要求，所以我们只能对这个采取措施，对进出邮件采取监控。重点现在基本是两类，一个是内容的过滤、还有一个是模型。通过这种方式，可以滤掉90%，或者95%以上的这些不良邮件，这个实际上对运营商来说是一个比较额外的工作。

真正这个第四条说是日常安全维护，分了两点，一个是日常维护、还有一个是网络安全扫描，这个安全漏洞扫描，现在可能是做得比较频繁一些。

第五个是因为北京是首都，刚才我跟江苏电信那位同志在底下交流，我说我很羡慕南方是在商言商，但北京不行。它很多除了企业以外，还承担了很多政治上的责任，所以尤其在北京互联网的安全，从我们北京网通来说是重中之重的工作。所以我们本身有一个互联网的网络安全的管理小组。

然后我们觉得是建立一套比较完整的网络安全的预警、还有预防的体制。这里面又分这么几个部分，一个是安全事件的分级、信息的临测、预警和预防的行动，还有支撑系统。这个是从机制上来说，从流程上来说可能一个是分级响应的程序，因为其实这个上面事件的严重性，还有这种危害性也是有很大的差异的。所以分不同的情况来进行不同的响应，它这个处理流程也是要分级的。这里面还有一个也是通信管理局、信产部非常要求严格的，就是这个信息通报的制度。因为运营商它是公众的网络，所以也要承担社会的职责，就是比如这种情况的话，还需要很快地跟政府的相关的部门进行汇报和沟通。

第四个是后期的处置，可以说在这方面我们也是取得了一定的成果，就是说因为现在对网络的这种危害，实际上有些是触犯到法律的层面了，像这种情况怎么来处置，还是要提供一些相应的技术手段和管理手段，来为事后的追溯提供基础条件。

第五个方面是这种应急的保障准备，就是说刚才提到这些东西，你从事后来看肯定都是来不及的，怎么能在事前、在预案的这个方面，在事件没有发现前尽可能想得比较多一点、想得比较全一点，这个是一个比较重要的点。所以我们在这几个，一个是这种预案的管理、预案的制定、预案的演练，包括最后预案的这种评估，在这些方面可能是比较着重地考虑了这些方面的内容，还有一个应急的队伍，这个应急的队伍就是说应该把这个比较高水平的人员形成一个虚拟的团队，来应对这些突发的事件。还有人员培训，这是说参与到整个过程当中的，每一位员工也好、每一位操作人员也好，都要对这个预案本身的情况要非常清楚。

下面三个一个是安全处理的、一个是安全应急的，还有一个是病毒的安全应急的这么一个方案。前面讲了这些方面以后，我们想介绍一下，我们去年出了一个北京网通的互联网安全规范，这个首先就是中国网通集团下了一系列的要求，要求加强这个互联网安全工作，所以我们就在这个要求的前提下，另外结合了这么多年在网络安全方面的工作、过程，制定了这么一个规范。这个规范主要也是有几个方面。我们觉得一个安全的网络，或者是一个把它尽可能设计的也好、管理的也好，比较安全的网络可能是要从不同的层次来说，我们从三个方面来说是技术标准、维护管理还有应急措施。但是从真正细的地方来讲，实际上我想可能是从设备的安全，首先这跟设备商的这些工作就是有相当大的关系。

实际上现在我们发现确实有些厂家他的设备本身存在漏洞，或者是在运行了很长时间以后，发现存在漏洞，这个是对我们是一个比较大的不好的、恶劣的影响，设备本身的安全。然后你在网络结构上的安全，刚才我讲到这种冗余性也好、备份也好、还有你负载均衡也好、网络结构也好，都是从网络上的安全角度考虑。

今天可能是说单纯从这个技术和这个我们自己做的工作这方面来讲，主要也是讲这些。但是实际上我一直这两天，就是昨天准备这个，我就一直想一个问题，就是实际上大家天天在讲网络安全，可能我觉得可能坐在这会场里的每位同事、或者每位先生、每位女士可能想法不是很一样的。就是从个人来讲，一个网络的使用者来讲，他在自己使用的时候，是非常希望有一个安全的网络的。但是对某些恶意的使用者来说，对他来说，网络安全对他又是一个比较新鲜的事件，对设备商来讲，为了网络安全实际上是需要付出，实际上也是一个机会吧，可以说是机会，同时也是一个挑战。因为对新设备是个机会，对你以往的设备是个挑战。对运营商来讲也是一样的。就是说我们这个安全的话题就是说今天2007，明年2008年好像永远谈不完，但是什么时候能把这个安全的问题，变得不那么沉重，能变得稍微松宽一点。

所以最后就想说这么一个意思，就是说营造和谐有序的网络安全环境的问题。实际上刚才提到了一些，可能更多的在互联网上或者信息安全的层面上来说的，但是实际上真正从运营商的角度来说，我们为安全付出的成本确实非常高，而且有很多都是中国特色的。比如说把铜缆给割掉了去卖铜去了。还有施工的时候一下子把你的主干光缆给挖断了。还有很多东西，实际上我觉得从总体社会来讲，从各个方面的，可能在别的方面一个比较小的努力，就可以在你这儿省掉很大成本，总觉得这个社会的总成本太高，所以在这里面我们也是从，真是从一个运营商的角度来讲，我们也是不断地加深这方面的理解和经验的积累。所以我们首先第一个立足自身的话，就是提高我们自己这个运营网络安全的体系的架构，首先确保自己不出问题，我想这是一个最核心的要点了。

我们这个当中，刚才这里面提到了一些，就是这个阶段啊，一个阶段、一个阶段，可能这个阶段要不断地延续下去。从我们来讲，首先这种工作，最主要的目标一个是保护自身的利益，同时更多的是保护使用网络者的这些公众，还有这些社会的利益，提高整个网络的可信度、提高网络整个的安全性和可靠性。但是实际上从某一个方面，不管从任何一个方面所做的努力毕竟是有限的。实际上我们也是非常希望能逐步地达到一个比较和谐、有序的状况，包括政府、包括法律、包括设备厂商、包括运营商、包括客户自身的共同努力，能营造出一些越来越和谐、越来越有序的安全环境，让我们以后这些话题越来越少，谢谢大家！