首页
首页  >  

运营商的安全服务实践

2013-04-17  来源:中国信息产业网  作者:

中国电信集团系统集成有限责任公司信息安全部总经理 郭亮

谢谢主持人,也谢谢会议的主办方,因为参加了好几届了,每一次来都能够听到好多业界同仁的一些比较好的经验,也能够听到好多我们的合作伙伴,他们一些好的产品,这对我们其实还有很多帮助和提升的。

是这样,刚才主持人其实也听到,我们运营商其实应该来讲,做信息安全服务做了很多年了,不仅说是电信,其实当时的网通也成立一家公司叫中网微信,包括移动也在洛阳建了一个信息中心,有的可能是对我们的一些客户去提供服务,有的可能是大家对这种比如说网络的垃圾短信这些投诉,也是在优化我们的服务,变相地提高我们的服务质量,那我就想综合来讲讲就是我们这种面向客户提供服务,作为运营商来讲,他做那些工作。传统来讲运营商做安全这件事情,不是说我们国内的运营商做的首创,其实我们国外很多AT&T、BT包括一些像很小的一些,可能澳大利亚电信什么的,他们都在做这个东西,因为很容易得到客户物资源,很多的企业用户也好,还有很多使用的这个互联网,使用通讯网的用户都在运营商这张网上,所以很容易通过你的质量,就是把安全这个东西当做一个增值业务做起来,这些图上其实是一些报告,简单来讲就是这种做我们叫MSSP,就是可管理的安全因素全是运营商,因为他有这样的资源。

第二来讲,我觉得这个市场还是飞速发展的,因为从我们这10年来自身的工作经验来讲,就是原来都是自己在用,我们会采购一些比较好的安全厂商的一些服务和产品,然后逐步过渡到我们自己也开始面向我们的客户提供服务,我们觉得这个东西市场前景还是比较好的。这个图就是AT&T的图,其实在他整个的面向企业的业务中,增值业务部分有40%是跟安全相关的,包括灾备,包括VPN,包括可能还有新的就是像移动互联网,刚才网秦他们讲到的MDM还有MAM,其实我们已经开始做一个标准化的产品和服务,来给我们的客户提供服务了。

而对比一下我们国内,我们现在做的还是比较传统的,一个来说就是这种应急保障,应急通讯。这可能比较有传统意义上的本色,比如说什么地方开个大会,我们开个通讯车过去,能够同时多几千门电话,这种情况是比较传统的,然后另外比较就是可能跟我们安全产业相结合比较紧的,就是信息系统安全服务,包括运营、评估、咨询、集成,其实我们跟联通,电信跟联通同时都有一个等级保护的测评资质,这个其实是公安部郭总他们当时在弄的这个东西,然后移动安全服务也是这几年随着运营商,应该来讲就是在全业务运营以后,我们也开始说关注这一块,因为像保密通讯,像很多这种刚刚讲到的就是本身移动设备的管理,也变成一个服务来开展。另外就是灾备了,因为这个需要大量的线路和存储资源,这个有运营商的特点,所以说这种背景情况下呢,国内的这种安全服务,这四个方面,那我们在仔细来细分一下。第一个就是设备管理,这种东西其实最开始,在国外MSSP的最开始流行的原因,因为好多托管在电信网内的客户的一些系统和一些安全设备,客户没有那么多人来做,现在国外比较流行,或者相对比安全产业更大的一个业务就是外包服务,他们实际上就是这种东西的延伸,无非说是这个更专业一点,而且随着这几年安全更重视了。

所以呢这种设备安全管理,就逐步变成一个独立的业务,第二个就是威胁管理,其实这个比较突出的就是流量清洗,因为在运营商来讲,有大网的节点资源,也就是说可以在全网,整个网络中都部署我的监控的和清洗这样设备,当任何地方的攻击来的时候,我都可以全网来防护,所以这个也变成我们威胁管理的服务。

第三个,我们叫应急响应。实际上就是我们把设备管好,把网络中的一些信息抽取过来,我们就可以做到一种预警,很多安全实践,出了在萌芽状态的时候代价很小,那这个也就逐步变成了应急响应的,再往上是网站,这个实际上主要是针对这些年互联网的应用越来越发达,基本上主要是这些BS结构,所以呢这独立变成一个比较大的一种服务需求市场,另外就是咨询,这个刚才讲到了等级保护,和相关的一些传统安全服务。那这也是变成了一个目前电信,可能在各个层面逐步设立的安全服务的一些东西。

我简单地说两点,可能比较重点的一个是这种我们叫传统安全服务里面的安全的管理服务,这其实就是我们面向,这是一个客户为单元,其实好多客户比如说我们可能有几十万家企业,是托管在中国电信的IDC或者是中国电信的宽带客户,他们都会买一些什么交换机、路由器、服务器,还有一些安全产品,那么它的管理怎么管呢?那我们现在就通过我们在大网中建一个运营平台,把这些所有设备的日志,统一收集起来,然后进行集中管理,然后有问题的时候我们给他做告警,并且帮他做一些安全评估,当然后台有些工单管理字符这就不说了,而有问题的时候,我们可以通过我们这个叫客服,或者业务受理系统,把这些问题打电话告诉他,你最近有一个什么问题了,其实结合好多这种安全的突发事件,比如刚才RAC的同时讲到的,那这种问题我们现在也在跟国家一些单位合作,比如说我们知道最近出了什么漏洞以后,那我们会把这个通知到客户,因为我们知道客户的比如说除了Windows,我知道你的服务器的Windows,那我第一时间告诉你,这样的话就避免这种安全的蠕虫,或者病毒大规模爆发的时候,对你产生的影响,就是这么一个东西。而这些是后台的一些工作,但是这里面我也没画出来,就是实际上这个我们也需要,并且也在跟一些国内的一些专业的安全公司和一些国家安全机构合作,因为只有这样才能把这个事情做好,所以我们可以看到他整个规模中,实际上电信和运营商只是一个中间环节,还需要很多后台支持,移动传统的来讲,就是管几个。

一个就是现在大家就是手机上有很多防护的东西,包括手机丢了怎么擦出,然后还有用手机通过VPN连到内网,包括这种什么证书认证包括口令这是比较传统的,所以目前呢,整个运营商的,就是传统方面的安全,这是一个通过固网,我们叫数据网络,去帮客户做安全的管理和预警,包括做一些延伸的服务,在移动方面主要是做传统这些,在新技术环境下,就是比如大家一直在讲云计算,比如在讲的移动互联网还有大数据等等,在这种情况下,大家可以想象一下,刚才讲的两种服务模式是适不适合,其实肯定不适合,刚才组委会的一个同事,丁萍问她说原来我们这个会一直讲安全,然后这几年的预算很有结合点,然后开始把这个云计算和安全结合在一起,我说其实是很必要,因为现在我们自身很多业务系统全往云里迁移,那你可以想象一下,我怎么在一个云里面放一个防火墙管后台那么多的东西。

所以就是目前随着新技术发展,我们刚才讲到的一些服务,也在发生演进和变化,这里我其实已经讲到了,随着这些发展,我们目前打造了一个叫安全云,这个我得提前说一下,因为我觉得我们整个国内,虽然这里面也有一些外企的朋友,我也说一下,我们国内在创新意识上其实还是比较弱的,我们做这个服务的时候呢,也考虑过一个知识产权的问题,后来我说我们看看安全云这个名字不错,我们能不能给它注册一下,结果一看2008年的时候,国外有家做安全的公司,已经注册下来了,所以其实人家的前沿性,在这件小事上是做的比较好,就是小插曲了,我接着说我这个主题。在我们整个安全云里面,我以网站为例,就是我们提供了两个服务,一个云监控,一个云防护,简单而言就是通过云计算的能力和存在在云里面的这些业务系统来给他做服务。主要是做这么几件事情,第一,我们是看看网站可不可用,因为有的时候你的系统进了云以后,你想看看其他地方对这里的访问是什么情况,那你就可以利用云在全国,甚至全球布点的资源区做这些测试,这是一个方面,因为这个对有些在线的业务系统来讲,他是很关注的。另外就是内容安全和传统的防火墙这我就不说了。

然后就SaaS模式,就是因为你的系统进了云以后,或者说我的系统在云里面,只要你接入到我这个点里面,我的能力就会推送过去,就不用你在我的某个数据中心托管一个设备,我跟你上一堂安全系统,或者给里做安全的方案,这个已经不需要了,另外就是很快,因为云本身的弹性,举个例子来讲,如果在我们的一个云节点里放一个系统,那你只要开云主机,或者云业务一样,你勾选一下,这个业务就出来了,在这里我不得不提到国内做的比较好的一些做云的公司,我个人比较崇拜马云了,他做的阿里云的确非常好,阿里云他现在基本上承载的那些安全功能,我觉得单独拉出来,单独干个安全公司绝对是绰绰有余,所以我觉得我们国内一些比较好的公司已经开始做这件事情了,还有一些这种海量的处理能力这个就具体不说了。这是我们整个这个云的架构,就是在安全云里面,我们从监控、分析和防护三个维度提供这些服务,当然我们SaaS模式,最好还是有一个统一的POTO,在这个里面我们也看到我们可用性,我们的渗透测试,我们的应用防火墙,我们的篡改监测漏洞扫描,人工分析,一键修复应急响应和DNS都被同事提供,按理说我这个题目讲的是实践,实践我开始讲了两点,第一我们是跟大家很多安全的公司在合作,第二我最大的讲这个的目的,是希望能够跟更多的这种安全,或者有相关技术的同仁做一个更大的合作,我想就是叫开元的心态把这个事情做好,所以在这个里面我要把它打开一下,一方面是说这些东西坦白来讲,很多是合作的,因为本身运营商他不是一个原创性的,就是技术的产生者,第二来讲就是可以看到有些服务,传统的安全服务,也通过这个模式结合到云里面去了,这是目前我们在安全云的一个平台架构,当然还有一些可扩展性。就像刚才讲的云监控,我觉得这个还是蛮有意思的一件事情,就是当一个网站进入云监控以后呢,他的所有的这种问题,然后这些所谓爬虫比对,所谓的这些篡改的监控,全部承载在云里面,有问题的时候我们随时可以给你打电话发短信、发邮件,这样的话我觉得我们做一件事情,就是做一个信息化的时候,就很简单了,就不用再考虑那么多,我可以放心大胆地用这个云了。第二就是云防护,云防护解决什么问题呢?开始讲到了,我们如果要建一个系统,我要买防火墙,买很多的设备,还有专门有人来管,原来有一些网管,现在肯定还要增加安全管理员,用了这个以后都不需要了,这里我们可以看到黑客要针对一个网站的话,你要有一堆东西,都要你去承担,那现在用了云防护以后,传统的方式是黑客会针对这个网站,那现在我们的一些网站系统,只要把DNS植到我们的云里面来,因为我们这个所谓的牵引就到云里面来,然后他就能够把我们真是IP隐藏起来,其实这个技术并不是什么新技术,大家想想网络中最常用的目前这几年比较流行的什么CDN,无非就是把CDN这种镜像技术编制成安全技术,一个很好的迁移,一个用成熟的技术的搭载,是一个很好的创新,这种情况下,我们就可以看到当黑客再攻击的时候,因为他的DNS被指过来了,所以他所有的流量会通过这个云防护保护一下,再把真实流量给返回过来,就是这么一个业务逻辑。你可以看到我们在云里面能够做监控,能够做防护,基本上安全本身没有灵丹妙药,但是至少这件事情,解决你80%担忧,和你80%的投资,所以这就是运营商,在整个大的平台中,能够跟安全厂商和用户之间通过云计算技术,构建的一种新的业务模式。

这是我们里面的调动系统,可以看到我们利用中国电信这些大的数据端点,在全网中布了很多这些端点,可以给大量的这样云里的用户提供防护和保护,这是我们整个的一个统一的POTO,那这样的话,你任何人进来我们就可以登录,就可以看到自己监控的一些情况报表,防护的一些情况和报表都会看得见,这样就会把我们云里面的安全,让你看得见、可感,就推送出来了。

第二个是我再说一下,刚才其实网秦严总也讲到了,就是随着移动互联网的这种大力发展,刚刚讲到移动终端的管理,移动的这种应用的管理,已经变成一个海量的东西了,有些时候我们的安全厂商可以自己找客户,然后有些情况下我们再提个更大的想法,能不能把这个业务移植到云里面来,通过运营商海量的用户资源,和这种接入的点来做这件事情,其实在这个里面有个很小的,因为我们也在做,我们做的就是帮助建一个移动应用的安全检测平台和一个管理平台,对于有些机制比如说我们现在很多人,很多企业他做了一些移动终端的APP,他要提交的时候,比如说提交IOS 30美金,然后苹果走一圈,但是安卓怎么办,安卓那么多应用市场,谁能保证你的应用市场里,不给你装些东西进去,这方面,一方面可以利用运营商的一些所谓的品牌效应,毕竟是这种有责任的企业,他会帮你做安全的检测,同时不会给装点什么东西进去。

第二,他的管理,我个人比较喜欢这个军事,就是打仗最后靠步兵,比如说前一段时间给一个国家大的部委,他们有30万的员工,30万的人员在全国,他要给这些人配5万台移动终端设备,那如果有一台坏了怎么办,然后如果他坏了,他要领新的怎么办,这就可以利用运营商的这种营业厅,就把这种所有的东西推送过去配送过去,这样的话,我们就能把最后一公里的问题解决好,实际上整个服务,我们就可以找一些像网秦这样的公司来合作,我们就可以把这个业务做起来。

这是刚刚讲到的整个流程,我不再赘述了,这是完整地管移动的流程。最后一张片子,未来安全服务的合作思路是什么,其实我讲了传统的安全服务,就是运营商而言,他自己可以做一些,你无非是建个平台自己来搞,但是在云的环境下呢,我们这种模式其实已经很难在独立支撑了,所以我们自己提出来就是用开元的模式,来跟我们的这种安全厂商和有新的一些技术的一些厂商,构建一个更好的生态圈,我们提出来这样一个情况,这样一个思路,基于我们的一种安全平台,因为实际上现在云加端,云计算只是一个我们叫大后台,大的数据中心,小前端叫小的移动Pad,相结合起来,我们的这个云计算用户呢,不管是手机的,还是我们真正的其实都可以做一个节点来看待,他们可以跟运营商来签订这样的服务协议,因为现在正好我们这个卖手机,卖一些所谓的云服务的手机,有这些现有的流程可以支持好,这样的一个业务模式。

然后可以通过一些固定缴费的模式,打通我们的安全厂商和用户之间的天然的通道,我认为这是运营商的一个核心价值,其他的当然你可以得到一个比较好的收益了,因为包括刚才讲到的云监控、云防护这些都可以通过我跟你这种的天然的联系,比如说你买了一个什么这种手机,我会要你的一些号码,只要你开通这个业务,我就根据我们签订服务的SA,推送一些服务给你,包括还有这些我们提供SaaS界面,这是从我们的用户这边看到的一些价值,那最关键的是在运营商和一些我们的合作伙伴之间,比如说我们有大量的这种做云的天然的资源,IDC存储资源,我们有这样的安全的能力的云服务,这个云服务我们可以跟厂商共建,共同来做。

我们也可以做一些这是我们的构想,因为我们也希望跟同业比肩,像阿里云一样,我们的云的服务呢都能够达到一些基本的安全能力,80%是OK的,其实我讲个小的数据,我并不是在这里给阿里做广告,但阿里做的的确挺好,阿里现在所有的云主机开发两个G的流量清洗能力,光这一点我觉得就很牛,因为它要把很大的数据做一个处理,因为还有就是可以跟客户做一些收费模式,跟我们合作伙伴做一些服务模式,另外提供一个计费结算接口和这个面向一些厂商做一些分成,我觉得这样的话,就把我们技术往前做到一个市场化对接,那厂商就可以提供一些产品和技术支持能力,包括云化一些我们的安全服务,做好一些接口,共同来做一个就是未来的面向未来的一个安全的我们叫云计算时代的,整体的更好的一个服务,面向我们的用户,我的介绍就这么多,谢谢大家,也请大家关注我们的微博。谢谢!

关键词:MSSP 安全服务 SaaS 云计算