中国电信上海研究院：电信运营商网络安全实践及安全服务

电信运营商网络安全实践及安全服务-SPSecurity中国电信股份有限公司上海研究院张连营zhangly@sttri.com.cn2008-11-7电信运营商IP网络安全实践电信运营商网络安全服务提纲2电信运营商网络面临安全挑战重点业务的安全保护，保障关键业务（DNS，Radius等）能够正常提供服务对网络流量及状况的及时了解各种热点应用如P2P（下载、流媒体等）、IM等，在促进宽带网络的高速发展的同时，对电信运营商来讲是一个巨大的挑战占用大量的网络资源，改变了电信网络流量的模式，带宽阻塞问题层出不穷，已经影响宽带业务正常的营运，给电信运营商的优质业务带来了巨大的冲击，最终致使新的基于IP的电信级应用无法有效实施大客户（如政企客户、IDC业务等）被攻击，影响业务收入DDOS攻击令网络服务瘫痪服务被盗用等网络安全投资与收益问题3针对网络设备网管服务接口或网络设备的软件漏洞进行DOS的攻击模式，造成网络节点性能下降或瘫痪DDOS攻击，造成网络中部分区域拥塞针对电信用户发动DDOS攻击，但攻击会产生大量流量，影响电信骨干网络拥塞直接针对电信网络设备的DDOS攻击，消耗网络设备转发能力电信运营商面临的网络攻击现状家庭办公电信运营商的安全职责1.保护运营商内部网络系统OABOSS…2.保护运营商外部网络系统保护基础核心网络对等互连的运营商间相互保护帮助保护用户的网络及系统5运营商的关键业务属性和安全需求运营业务属性安全需求网络业务的持续性网络的可用性保证业务的可查性网络安全的实时监控业务的可控性网络安全的可控业务的可盈利性网络安全的增值服务实际意义保证网络持续运营提供实时预警的能力拥有处理和预防安全事件的能力从不赚钱到赚钱6网络安全的三平面划分安全的属性管理平面为网络设备、传输设备、支撑系统（运营支撑系统、业务支撑系统、用户支持系统等）、数据中心等提供操作、管理、维护和配置服务。控制平面为保证在网络中高效的传输信息、服务、应用的行为提供保护。一般是指网络设备之间的信息交换，保证最佳的路径，有时也叫这种信息为控制信令，典型的例子是路由协议、DNS协议等终端用户平面指用户接入运营商网络时的安全接入保证，数据传送，也叫数据平面7网络安全的三层次安全的对象基础构架安全基础构架安全包括各种网络传输设备，是网络、服务和应用的基础，包括路由器、交换机、服务器、传输链路等服务安全服务安全层次关注运营商给用户提供的服务的安全性，这些服务包括基本传输和连接服务（FR/ATM/IP、AAA、DHCP、DNS等），增值服务（VoIP、QoS、VPN、及时信息)。服务安全包括运营商的安全，也包括终端用户的安全应用安全应用安全关注终端用户的基于网络上应用的安全。这些应用由网络服务支撑，如FTP、Web访问、电子邮件、电子商务等。在这个层次有四个潜在的被攻击目标：应用用户、应用提供者、运营商、中间件8运营商网络安全保障的意义提高网络安全的可用性，保证业务的持续性，为运营业务提供电信级的保证，增加用户的忠诚度网络安全的可监测性保证，提供安全预警的能力，为安全的可控性（安全事件的快速响应和应对）提供依据网络安全的可控性保证，为及时控制安全事件，为业务的持续性提供保障网络安全的可盈利性，为运营商提供一个良性循环，安全投入转变成收益，然后将安全体系做的更加完善9核心网络安全实施的目标及安全策略保证业务的持续性，降低安全隐患，提高核心网络的自身安全保护能力，保证核心网络稳定运营提高对核心网络设备对安全的多层保护能力预防对核心网络的DDoS攻击和对其他用户和业务系统的DDoS攻击加强核心网络对安全攻击及时响应和追查的能力和流程保证业务的可监控性，具备对异常现象实时监控的能力审计核心网络设备的安全状态和测试加强核心网络上业务流量监控（特别是异常流量）和控制的能力10城域网安全实施目标及安全策略保证业务的持续性，提高网络设施的自我防护的能力，提高城域网的整体稳定性城域网设备实施安全加固，构筑城域网与终端之间的安全隔离加强关键业务部分的抗DDoS攻击能力，提高城域网业务的可用性保证业务的可监控性，使城域网具有安全预警和快速响应和恢复的能力部署城域网安全状态监控和预警系统加强业务层流量的监控能力保证业务的可控制性，加强城域网安全的控制能力，提高城域网整体安全水平加强业务层流量的控制能力加强对最终用户的控制能力和管理策略安全的城域网作为安全盈利的基础支撑平台11电信运营商IP网络安全实践电信运营商网络安全服务提纲12可管理的安全服务（MSS）可管理的安全服务（MSS，ManagedSecurityService）是利用统一的安全运营平台，面向客户提供的安全设备和系统的实时监控、远程管理、预警、应急响应和报表等网络安全增值服务事件分析系统流量分析系统集中配置系统补丁管理系统核心数据库集中WebPortal/客服中心客户网络A客户网络B客户网络N安全管理中心局方代维人员13电信运营商网络安全业务体系集中终端管理服务安全运营中心服务DDOS攻击防护（Anti-DDOS）服务安全网关(局端部署)服务安全网关（客户端部署）服务安全接入专项防护监控代维安全咨询服务安全评估服务安全服务门户L3VPN安全组网L2VPN安全培训模块化的客户安全解决方案开展网络安全服务业务也是运营商进行转型的需要14DDOS解决方案黑洞路由路由器ACL,uRPF,RateLimitDDOS防火墙IPS入侵检测系统旁路清洗中心15国干网省级清洗中心省干网清洗中心VIP客户/新DC机房省会城域网市级清洗中心一般地市城域网市级检测中心IDC清洗中心IDC机房新业务区IDC清洗中心•保护IDC内的托管业务重要城市清洗中心•建设在省会或重要城市•保护本市内的业务地市检测中心•检测本市流量，一旦出现异常联动省级清洗中心清洗新业务区•下挂重要客户/新发展的客户•下挂新建的DC/IDC机房Anti-DDoS业务16国干网清洗中心省级清洗中心•防护省网重要服务器和大客户•防护一般地市城域网1、攻击流量的及时预警、告警2、各清洗中心的联动3、适应不同的攻击方式•带宽消耗型•资源消耗型安全服务中心面向所有有需求的客户提供集中的安全服务可定制–根据需求选用、退租成本控制–虚拟方式服务客户•VPN•流量分析•虚拟防火墙•虚拟DDOS防护•虚拟IDS/IPS•虚拟深层应用分析17Netflow流量分析流量分析和控制IDS/IPS入侵检测系统DDOS防护系统防火墙安全防护系统垃圾邮件防护系统针对客户的不同需求，服务可灵活组合、包装以集中服务模式，节约投资–可根据需要灵活设计、调整服务中心的容量、规模、数量–避免投资风险服务中心基于IP路由和MPLSVPN，对客户应用透明安全服务中心“安全中心”前端子系统抗DOS设备异常流量监控P2P流量管理其他安全产品。。。PEIPSdmd。。。。。网络安全支撑平台NSS专业安全管理中心本地化专业的安全支撑与服务安全事件管理中心运维管理中心资产风险管理中心2007-11-14后端子系统正常流量未清洗流量集中、统一的信息网络安全防御系统A用户/系统B用户/系统C用户/系统防火墙防病毒。。。。防火墙18网络流量管理加强网络流量的综合多层次分析能力，提高网络的规划及预测能力网络各个层次流量的多维度、深层次分析，做到业务感知加强对网络安全的及时告警及控制能力，提升网络的安全性异常流量监测、预警、控制加强骨干网络流量控制及疏导能力，提高网络资源的使用效率骨干网络流量的疏导与控制，包括热点区域、热点应用如P2P的疏导和资源优化加强面向客户的网络流量及应用的管控能力，提升用户体验，挖掘网络价值面向客户的网络流量深度分析及精细化流量管理19汇聚层流量分析某大客户流量分析20