宽带互联网安全增值业务探讨

2[冯正余]冯正余广州金鹏集团系统设备事业部技术支持部经理，工程师，华中理工大学电子与信息工程专业硕士，目前研究方向为通信工程。宽带互联网业务蓬勃发展的同时，安全问题也日趋严重，危害攻击传播速度快，影响范围全球化，本文从运营商的角度着重探讨了运营商如何评析安全增值业务市场、潜在的客户群；同时，在众多的安全防御技术里如何挑选合适的技术方案，采用合理的框架进行安全中心的建设，以便提供可运营的增值安全业务；最后列举了安全增值业务的营销模式。摘要关键词：安全增值业务安全中心抗DDOS营销模式宽带互联网安全增值业务探讨1开展安全增值业务的背景及目的互联网的发展已经深入到人们的生活，成为人们日常交流的平台，而企业、商家们则早已将互联网作为其“门市部”，随着网络安全情况的恶化，他们对基础运营商的选择观念和方式开始随之发生了变化，促使基础运营商不能只考虑提供基础连接业务，更多的是需要提供互联网增值电信业务。与此同时，黑客软件、网络攻击工具唾手可得，致命的是这些软件工具更具危险性，更容易使用，所谓的黑客不再需要高深知识与技术，互联网上任何一位网友都可以成为极具杀伤力的攻击者。而且现在危害的目标和范围从最初的一台计算机扩展到一个网络，甚至是整个全球网络，传播速度也从当初月/周作为计时单位，到现在其危害的传播速度已快到用秒作为计时单位。图1显示了网络安全威胁和防御的演进。图1网络安全威胁和防御的演进通信热点通信热点2009.1.广东通信技术3可见，互联网安全问题的危害日益严重，侵害着人们使用互联网的信心，尤其是在互联网上开展商业活动的商业客户。因此整合网络资源，增强网络安全功能，发展互联网安全增值业务，留住老客户，赢得新客户，提高整体竞争力成为运营商面临的一个新课题。当然，这个课题也是运营商在当前有效增值业务缺乏的情况下可以尝试挖掘的一个新金矿。2安全增值业务的潜在客户当前国内运营商在互联网接入方式上主要有如下3种类型：(1)大客户专线接入：主要服务于政府、企业、网吧、内容供应商以及中小企业，租用线路上网，提供互联网接入以及各种增值业务。(2)宽带接入：主要服务于个人、家庭，提供宽带上网为主，未来在VoIP、IPTV业务上会有很大的发展空间。(3)虚拟专网：主要服务于政府、企业，提供虚拟专网VPN业务。同时运营商还利用互联网作为一个平台提供IDC、电子商务等平台性业务，包括：主机托管、虚拟主机、主机租用、虚拟存储等多种形式的业务。运营商如何为这些客户提供安全增值服务，不仅仅是一个技术问题，更是一个商业模式问题。客户的感知和认可度是安全增值业务成败的关键，换言之，安全业务市场将首先服务于谁？对市场的开拓和发展至关重要，也将影响运营商安全产品的品牌。不同的客户对安全管理有不同的理解和要求，自身在安全管理等方面的投入也不同。因此，我们可以从互补的角度来分析安全业务潜在的客户群，包括对客户的技术力量互补，对客户的投资互补，不仅提供增值的安全服务，同时提供差分的业务，实现精细化运营。通过市场调查与分析，我们发现“安全增值业务”主要的目标客户群为以下的3类用户：(1)客户的业务系统比较重要，特别是金融和证券行业。这类行业由于自身的业务比较重要，对网络的安全需求也特别高，也会自行购买一些安全设备作为防护，但还是会被可能存在的安全威胁所困扰。正如业界所说的，“三分技术、七分管理”的理论，买了安全设备并不是就安全了，需要把它变成“可管理的”安全设备；在市场调研中，他们均表示对电信运营商提供的“安全增值平台”有需求，也希望将部分网络安全交给电信运营商来负责管理。由于金融、证券行业在电信业务缴纳的资费比较高，只要安全增值业务对他们有确实的保障，他们是比较容易接受高价值的安全增值业务，再加上这些行业对IT建设和网络安全方面的投资建设比较重视，而且银监会等上级监管部门也发文规定了相关的技术要求，因此金融、证券这类行业是电信运营商发展“安全增值平台”的首批客户。(2)从事互联网业务的行业，如网游公司网游、互联网公司是电信运营商宽带业务的大客户，有较强的安全意识和防护实力，防火墙、防病毒等基本安全设备已经部署到位。但对于大流量DDoS攻击，网游公司时常会遇到，但一直没有很好的防护手段。建议把他们已部署的安全设备一起纳入“安全增值平台”统一管理，做到“可看、可查”和“可控、可管”，有效的保障他们互联网业务的安全运营。因此网游等提供互联网业务的行业用户，也是电信运营商拓展“安全增值平台”的首批客户。(3)网吧行业网吧行业由于竞争激烈，频频发生雇佣黑客进行DDOS攻击的事件。但由于网吧用户对带宽与价格十分敏感，可以考虑一些灵活的营销方式，如初期采用“免费试用”和“按次收费”相结合的方式进行市场推广。3网络安全技术及安全增值业务分类网络攻击威胁技术多种多样，可以说在ISO定义的网络七层模型中，每一层都会受到安全威胁与攻击，每一层都会产生出相应的安全保护技术。但是网络安全并不能象七层模型那样清晰分类，事实上，网络安全难以从某个技术角度进行归类，它好比我们现实生活中的社会安全宽带互联网安全增值业务探讨通信热点通信热点4一样，复杂多样。当前安全防御技术或系统至少有如下种类：(1)网络基础类，主要是指二层网络和三层网络的保护。早期人们没有关注的二层网络开始涌现出越来越多新的攻击手段，有MAC泛滥攻击、DCHP通讯欺骗、ARP欺骗攻击、SPT生成数BPUD包攻击等；(2)网络准入类；(3)终端、主机安全防护类；(4)入侵攻击的检测与防护类，如拒绝服务攻击；应用层防护类，主要针对四层之上应用层的保护，通常有防火墙技术，应用层检查与控制技术；(5)内容安全控制类，典型的有防病毒、蠕虫、恶意软件等；……是否所有安全防护技术都适合成为运营商的安全增值业务呢？是否投资下去就有市场、就能有产出回报呢？我们先从运营商的角度来看，其可触及的网络安全从界面上划分如下：(1)自身网络基础安全，主要是运营商运营网络的自身安全防御能力，如果没有考虑这些运营网络的安全措施，那么所有的安全防护体系、安全增值业务将成为建立在沙滩上的高楼大厦，随时都有可能崩溃与倒塌。(2)运营商业务的安全性，运营商给用户提供的业务是否是安全的？这无疑是运营商职责范围内应考虑的事，否则该业务就根本无法开展。(3)承载在运营商业务之上的用户业务的安全性，当前运营商给用户提供的宽带互联网业务很大部分是管道类业务，也就是说运营商给用户提供一条通往互联网的连接管道，如典型的宽带上网业务，运营商仅负责把用户连接上互联网，其他的可以一律不管，不关心你在互联网上做什么，自然也不对用户受到来自互联网的安全攻击进行负责。很明显我们可以看出，前两项的安全是必须的，但这是运营商的投资成本，里面再多再先进的安全防御技术不能给运营商产生安全增值业务，只能作为运营商优劣评价参考。运营商需要在第3方面产生其安全增值业务，这将指引运营商可以选择哪种适合的安全防御技术产生何种安全增值业务，并建设其安全中心的建设。因此，运营商可以从当前技术实现手段、用户建设互补性等方面选择一些安全防御系统作为其增值业务，才能有较好的投资回报。如当前的热门抗DDOS攻击，它具备多用户可共用性/虚拟性，运营商建设综合成本低，而用户自行建设则成本高；也具备业务多样性，适合多种用户的需求，用户A需要长期保护，用户B需要临时按需保护等。运营商可将这些类似的安全防御技术归类成“适合产生安全增值业务类”。其他的则可一统归类于“不适合产生安全增值业务类”，如网络准入类，内容安全控制类等，运营商可凭借其技术力量、经验将“不适合产生安全增值业务类”的安全防御技术以安全顾问的角色为用户提供安全评估服务。随着时间、技术的发展和市场需求的变化，“不适合产生安全增值业务类”是可以转变成“适合产生安全增值业务类”的。4安全中心的建设目前信息安全的攻击行为已经从单一、简单的攻击，发展成大流量、系统化、多网络层并行的攻击，用户应用系统的复杂度也不断加大，一个可控、可管的专业安全解决方案是最佳的选择，而一个集中、统一的安全增值业务平台是运营商开展安全增值业务的基础和核心，通过对客户网络的安全监控和管理，获得一个综合、全面的安全报告，真正做到主动预防、实时检测、自动响应。根据以上分析，从安全防护技术来看，运营商安全中心可以主要提供如下业务：(1)抗DDOS/拒绝服务攻击，即流量清洗；(2)防病毒；(3)入侵检测；(4)访问过滤，即防火墙。(5)安全评估因此，安全中心的构成框架可由3部分组成，如图2所示。通信热点通信热点通信热点2009.1.广东通信技术5图2安全中心的构成框架4.1检测系统包括网络入侵检测和异常流量检测，构成一个全局的监控系统。检测系统宜分布式部署，放置在需要安全可视性的所有网段上，例如大客户专线接入点、IDC出口、托管主机前等。检测系统应采用旁路方式实时进行网络流量分析，避免自身成为流量瓶颈。而且检测系统应可以隐没于网络之中，外界无法探测到其用于监控网络流量接口，运营商可通过入侵检测系统独立的管理接口实现对其管理。入侵检测可基于主机，也可基于网络的，运营商宜采用基于网络的入侵检测系统，扩展性和共享性强。入侵检测设备能够检测穿越网络的非法行为，例如黑客发动的袭击，使用户能够快速对安全问题作出反应。检测设备形态应是多种的，可以是专用盒式的检测设备，也可以做成板块模块插入相应的路由器、交换机里。另外，流量异常检测系统还可以由流量采集分析系统充当，如netflow采集器等。当检测系统检测到非法行为、异常流量后，应不仅可以向后台系统通报行为细节，还可以控制、触发安全执行系统中的相关设备执行阻断非法行为、清洗非法流量等动作。4.2执行系统安全执行系统主要由具备拦截、阻断、过滤、丢弃非法数据包功能的设备构成，可以包括设备的安全功能设置，如路由器ACL、交换机VACL、黑洞路由等，也可以是专业的安全产品，如防火墙、IPS入侵保护系统、Guard安全卫士等。执行系统可以和检测系统联动，由检测系统触发控制安全功能的开启和关闭，也可以由运营商的操作人员按需手动进行开启和关闭。相对检测系统的分布部署而言，执行系统在运营商安全增值业务开展初期建议集中部署，便于集中管理维护，且尽量“靠近攻击源头”，如为某个大客户网络抗击来自城域网外的DDOS攻击，Guard安全卫士部署在城域网出口更优于部署在专线接入点。安全系统解决方案应支持虚拟化功能，尤其是在IDC里，为不同的用户安全需求执行不同的安全策略，互不冲突干扰。4.3后台系统运营商结合业务需要并基于安全产品提供的北向接口开发综合的后台系统，对于后台系统而言，检测系统和执行系统可称为“前端系统”，后台系统用于管理这些前端系统，收集前段系统的告警、日志、事件等并整理、分析出定制的业务报表。建议具有如下特点：(1)具备设备数据收集、信息关联分析、业务报表生成等功能。支持主流厂家网络设备、主机系统和安全系统采集，收集前端子系统的安全设备的所有安全事件信息。采用规则关联分析、统计分析等技术深入分析前端子系统的安全事件信息，发现可能的攻击行为和异常现象，为用户提供全方位的安全视图。可定制各种业务报表。(2)针对“安全增值业务中心”的不断扩展，后端子系统可以进行相应的升级和扩展，以适应未来的要求。(3)后端子系统担负着“安全增值业务中心”的管理、配置和展现功能，其安全性会对整个业务系统产生重要影响，甚至会改变网络运行方式和运行状态。因此其自身安全性非常重要。系统在设计时进行了多方面的安全考虑和保护。更重要的是后台系统应设有对外服务网站，进一步提升用户对信息安全的感知，借助统一的安全增值服务网站，供用户登陆、查询，并展现用户网络所面临的信息宽带互联网安全增值业务探讨通信热点通信热点通信热点6安全威胁。用户可以实时在网络上通过“现场下单”的方式，订购相应的信息安全套餐，并部署安全防御策略。提供一定期限的“免费试用（体验）”，提升用户对安全增值服务的真实感知，创造市场商机。5安全增值业务营销模式安全增值业务建议采用租赁服务模式进行业务推广。客户根据自身网络和信息安全需求，通过购买“安全增值业务