中兴通讯： 安全总控保护企业信息安全

　　中兴通讯信息安全总体解决方案将近十年的企业信息安全建设经验与国际先进的信息安全体系相融合，将信息安全技术、信息安全管理有机的结合在一起，将信息安全产品通过与信息资产和组织中的员工相对应，建立起一套完整的信息安全管理与执行的解决方案——安全总控中心（SOC），提供了一套应对萨班斯法案，完善海外上市公司内控机制的有力工具。

　　安全总控中心是中兴通讯先进安全理念的集中体现，也是安全管理的有效平台。中兴通讯在总控中心中提供统一认证、安全监控、安全审计、安全考核、安全事件处理、安全任务管理、风险评估、风险分析、知识中心等功能模块，总控中心和企业中的员工的信息、组织信息、帐户管理等数据库相结合，将安全事件、安全状况关联到人和组织，可以有效地将安全管理思想落到实处。这是单个信息安全产品所不能实现的。

　　中兴通讯的SOC产品具有以下特点：基于国际信息安全体系(ISO27001)的安全管理和管控措施，并部分结合了ITIL、COBIT等内容，是信息安全技术体系和信息安全管理体系互动的桥梁和纽带；注重长期效果，使安全达到可管理、可操作的目标；为企业信息安全管理提供了统一的平台；具有良好的可拆分性、可扩展性、高容错性、高可用性、模块化；是SOX法案符合性的重要支持工具之一。

　　在某国内大型运营商终端安全项目中，中兴通讯提供了一个先进可靠的终端安全解决方案，以安全总控中心（SOC）为核心，有机集成终端安全产品（防病毒、网络接入控制、安全策略管理与分发、安全策略执行、个人防火墙、资产管理与软件分发），为客户提供了一个统一的安全管理平台，实现了安全的全局可控，有效提高了信息安全水平，降低了信息安全风险。

　　爱立信：3G中的IP安全急需关注

　　众所周知，3G网络的特点是IP化，3GPP标准的演进也的确是一个逐渐向IP迫近的过程，换句话说，最终所有的3G相关流量都要以IP作为承载。如果IP承载网不安全，3G流量又有何安全可言？

　　要想解决安全问题，就要从安全问题的源头说起。其实，IP的安全问题源自开放。互联网的开放性，决定了其必须永远要面对众多的安全挑战这一特性。

　　对比以前提出的简单的“多网合一”概念，爱立信提出的方案为“Diffserv多网合一”，区别于原先概念中对不同流量的简单合并，对不同流量不同的安全需求、QoS需求、互连互通需求加以分析后，合并同类项，并分别进行传输。这个理念有些类似于Differserv QoS模型中的BA和PHB之间的关系，但BA的分类条件扩大到了安全领域，PHB则可类比于不同的VPN。流量分类的原则大体有两条：能封闭的尽量封闭，能开放的尽量开放。换句话说，自我保护的最佳手段就是远离威胁，而对于那些天生与威胁“为伍”的流量，则要尽量将其剥离出来，用尽量简单、对业务影响最小、代价也最低的手段将这些威胁的影响范围控制在最小。

　　要实现上述概念，显然对IP承载网提出了更高的要求。传统意义上的IP承载网，最重要的功能是提供高效可靠的连通，而3G承载网则需要在这个基础上能够将流量按照需求区别对待、分别传输。这就为已经很成熟但却并未得到太多实际应用的MPLS VPN技术提供了一展身手的舞台。事实上，中国移动、中国电信等国内运营商都早已建好了可提供MPLS VPN的骨干网。

　　可以说是万事俱备了，那还差什么呢？差的就是如何将不同类型的3G流量按照其安全需求归类，并用VPN加以隔离和传输。这实际上是将3G这一通信概念同VPN这一数据传输概念相结合，并最终形成3G VPN安全解决方案的过程，其核心思想就是在最大程度地发挥IP传输带来的便利的同时，最大限度地降低由于不同IP流量之间的相互影响造成的安全隐患。

　　任何一个网络设计，其核心是架构，好的架构可以对很多问题具有天生的免疫力，3G网络安全设计也不例外，这其中，3G 传输网的安全架构又是整体安全架构的重要组成部分。爱立信基于其全球3G网络设计经验，总结并创造了MPBN (MOBILE PACKET BACKBONE NETWORK)这套完整的3G解决方案。在这套方案中，3G网络安全被从各个角度进行了详细的诠释，不仅仅包括上面提到的IP传输网的角度，还包括了安全域的角度。相信来自爱立信全球的经验一定能够帮助中国的各家运营商构建起全球最安全的3G网络。

　　上海贝尔阿尔卡特：NGN安全四大注意

　　NGN作为承载在分组网络之上的下一代通信网络，继承了分组IP网络的主要安全问题,包括黑客DOS攻击、病毒蠕虫木马的入侵、非法扫描、地址欺骗等。NGN核心系统位置相对集中,业务覆盖面广,NGN核心系统的安全成为NGN安全的重中之重。NGN终端多为有复杂操作系统的智能终端,接入的形式多种多样,位置分散, 常与常规的数据终端同处于一个环境,使得终端系统遭到攻击的可能性大大增加。IAD/IP Phone等终端及用户通过冒用截获的帐号进行非法接入,电话盗打,电话骚扰。NGN系统采用媒体流与控制分离的思路,客观上增加了安全监控的难度。分组IP承载网络是影响NGN安全性的重要方面,NGN网络安全需要全方位的、整体的安全体系。

　　NGN网络的安全问题是软交换商用过程中需要面对和解决的主要问题，上海贝尔阿尔卡特的NGN解决方案从设计上强调了以下功能及措施以确保网络的安全和稳定性。首先，跟踪NGN系统面临的不断变化的各种安全威胁,启用严格的网络安全机制，系统关闭任何不使用的网络服务，防止非法用户通过非法的服务入侵设备；通过隔离、过滤、监测、认证、加密等手段降低遭受攻击的可能性，并检测、记录攻击的发生，保证攻击的可溯源性。

　　其次，制定NGN安全标准规范。由于各厂家在保证NGN安全方面的做法不尽相同,迫切需要有关部门能够统一协调,制定统一规范,以保证NGN系统在业务提供、信令、IP承载、终端等层面保证NGN系统的互联互通及NGN业务的安全提供。第三，对NGN的SIP、BICC、H248、Sigtran等协议安全要进行深入研究。最后，关注NGN终端接入的安全。当前NGN核心系统的建设采用物理隔离，VPN逻辑隔离，以及采用防火墙等安全设备,安全基本上得到保证。在NGN终端层面，由于网络接入形式多种多样，面临的安全风险很多，给NGN整个系统的安全带来了隐患，所以需要业界建立标准的NGN终端接入安全体系。

　　朗讯：安全网络创造电信新价值

　　每一个业务提供商，不论是电信运营商、企业还是政府机构，都面临着日益增长的安全性问题。威胁无处不在，并潜在地影响着企业的正常商业运行，而如何识别、分析、应对不同的风险成为每个企业必须面对的问题。

　　在今年的3GSM大会上，朗讯科技签署的一系列合同中，既包含了受欧盟信息社会和媒体常务理事会委托进行一项综合性研究。根据协议，朗讯及其研发机构贝尔实验室将分析影响欧洲电子通信基础设施（包括互联网和移动网）可用性的因素。包括识别和分析核心（骨干）、移动和无线网中存在的威胁和弱点及其产生的影响，为公共权威机构及市场各方提供推荐方案，以保护欧洲电子通信基础设施的安全，并减轻潜在威胁和弱点可能带来的后果。

　　一些主流运营商已经意识到，电信网络的全IP化的趋势对运营商就是一个很大的挑战，在这种情况下，网络的规划，网络的设计，网络运营各个环节都必须要充分认识到网络安全的问题。在越来越强的竞争压力下，电信运营商的客户对网络和服务保障的要求越来越高。而业务的连续性和应急恢复能力将是确保良好运营、增强综合竞争能力的前提。

　　运营商通过专业的业务连续性评估与规划服务，将综合提升业务竞争能力。在确保业务连续性和良好运营方面，一个成功的例子是中国电信与朗讯的合作。为了增强综合竞争能力，中国电信认识到需要系统化地了解自身哪些方面需要改进才能够最优地保护自己的网络、系统地提高网络灾难恢复能力从而保障业务收入的持续性。

　　朗讯全球服务为中国电信提供的业务连续性和灾难恢复评估咨询服务项目，以某省电信固网为研究对象，运用朗讯经过验证的方法论和贝尔实验室的专业工具，对各种潜在的灾难和威胁对目标网络的影响进行了详细的分析。通过量化的风险和业务影响分析，找到了目标网络存在的主要问题及需要改进之处，并按优先次序提出了改进和缓解建议。

　　三星：企业网络如何防患于未然

　　当企业网络与互联网连接之后，来自企业网络外围、经由网关入侵的各种威胁向企业IT提供发起了一轮又一轮攻击，让许多企业蒙受了重大损失。要想遏制病毒传播减少其企业损失，企业需要一个能够提供防病毒、防火墙、入侵检测等技术支持的整合安全防护产品。但是为了让这些技术充分发挥功效、易于管理维护，同时又节约成本，企业就不能只对这些防护功能进行简单堆砌，而且需要一种能够将其全部集成的安全解决方案来检测、防御、响应每种威胁。

　　随着近两年网络攻击事件频繁出现，并且基本上多数都是来自应用层的攻击较多。三星安全就以现今信息安全发展动态，将新产品的开发重点放到了对应用层的攻击防范和应用服务上。

　　NXG150百兆防火墙增加了SMTP代理、反向SMTP代理、POP3代理、防邮件炸弹、邮件滥用保护系统、与防病毒服务器的联动等，同时NXG150防火墙还能对邮件的内容进行有效地过滤和限制，如邮件内容中的关键字、邮件地址、邮件的大小、携带附件的大小、邮件的转发、拒绝与内部域不符的邮件、限制每个原地址的会话数等应用层的邮件过滤功能。

　　为了能够有效防范DOS、DDOS对网站的攻击以及多种应用服务的安全保护，NXG150在应用层安全HTTP代理和FTP代理上，增加了HTTP反向代理功能：功能包括HTTP-Web服务器的负载均衡、反向HTTP代理的内容分发功能，并提供了多种调度算法供用户使用，同时还增加了FTP代理服务器设置的用户认证功能。

　　NXG150高可靠性功能支持Active-standby、无需L4交换机的情况下实现Active-Active Load Balancing的功能、并且可以防止xDSL故障构成Dual Line方式，可以实现Active-Active ADSL Load-Balancing VPN功能，真正意义上实现了基于Packet的Load-Balancing，在出现线路（一条）故障时能够继续维护会话。

　　北电网络：网络安全要对症下药

　　当今的电信网络，其显著特点是设备种类多，业务种类多，网络流量大，网络结构开放，因此造成了它的许多潜在的安全性和稳定性的隐患。北电网络大中国区首席运营官徐成达认为可以从网络设备及网络集成，多种业务的融合共存，病毒及蓄意网络攻击等方面来探讨新形势下电信网络发展中所面临的网络安全稳定的问题，并针对具体情况对症下药。

　　网络设备及网络集成：由于互联网及三网合一的迅猛发展，网络设备的发展非常迅速，新的设备和新的功能不断涌现。这些都极大地增加了新一代网络设备的软硬件复杂性，大大增加了电信网络系统集成的复杂性，并且同时也大大地增加了电信网络管理的难度，因而大大地增加了电信网络整体发生网络和设备故障的概率。因此，在进行网络规划设计和设备选型时，从网络安全稳定的角度，应该就设备功能的大而全以及小而精这两个方面作适当的平衡考虑。

　　多种业务的融合共存：目前电信网络承载的业务越来越多，从宽带上网，文件下载到IP电话、IPTV、 再到网上购物、网上银行、网上炒股等，几乎渗透到人民日常生活的每一个角落。但这些种类繁多的业务对网络的要求是千差万别的，比如文件下载非常消耗网络的带宽，但对时延不敏感；IP电话对带宽要求不高但对时延和抖动要求很高；而IPTV对带宽和时延的要求都很高。这些不同种类的业务在同一个电信网络上传送，如果设计和管理得不好，很可能造成相互影响，甚至造成某些业务的中断甚至整个网络的阻塞。

　　病毒及蓄意网络攻击：由于互联网的开放性，造成了现在网络病毒和木马程序的泛滥，并且，还存在大量网络黑客不断地对网络上的主机及网络设备进行拒绝服务攻击，对关键应用例如网上银行业务进行入侵或欺诈等。这些，都可能造成网络设备或应用服务器设备的阻塞甚至瘫痪，造成关键网络应用的混乱甚至中断。因此，新一代的电信网络应该充分考虑网络安全的问题，引入入侵防范式网络防火墙以及网络病毒过滤设备，把网络病毒和攻击屏蔽在电信网络之外。

　　凤凰科技：企业安全系统分三层

　　如何确保进入企业网络内部的ID是安全和不被盗用的，已经成为企业安全问题的最大困扰。传统的认证方式大部分是基于对用户身份验证的角度出发的，例如加密、U/P验证以及USB Key结合数字证书等认证方式。然而种种迹象表明，传统的基于身份验证的认证方式，已难以应对企业日益提高的安全系数要求。如何进一步为企业网络安全实施有效的保护措施成为市场关注的焦点。

　　设想一下，如果能够使企业将访问控制水平扩展到用户名和密码之外，对进行连接的计算机也同时进行验证，在将这些电脑连接到网络之前，保证他们是已知的、可管理的设备，并且已经下载了最新的防病毒软件和补丁程序，那么企业的网络安全系数将会大大提高。

　　占全球BIOS系统软件70%以上的市场份额的凤凰科技认为，企业安全系统应分成三个层次，包括企业内部不同等级的安全防范、网络当中不同等级的安全防范以及在终端设备进行的安全防范。对于不同层次的安全需求，企业应该采取对应的安全防护手段。对于一些对安全系数要求较低的部门和系统，采用普通的身份验证方式即可应对安全问题，而对于一些对安全有高敏感性的领域，如：金融系统、商业机密、客户及人事纪录、个人数据及受管制的数据等，企业应从设备层面着手，保护网络资产。针对这种情况凤凰科技公司推出了一款工具软件—TrustConnector，使“用户的硬件设备”成为企业安全系统认证中的一个核心环节，确保只有使用“可信赖设备”的授权用户才能够访问企业网络。

　　SonicWALL：网关防毒提供额外防护

　　传统的病毒防护解决方案通常是在主机上安装防病毒软件。最初，这种防护是完全够用的。然而，在过去的几年时间里，由于出现了一类攻击主机防御系统的病毒，因此这一方法的有效性在某种程度上正在降低。基于主机的防病毒仍然有方法来对付这类威胁，但用户却会发现处境不妙：特别是主机能否在病毒入侵前或者漏洞被利用前就获得最新的病毒库文件。基于主机的防病毒保护方式实际上已经有点力不从心了。

　　另外，传统上，操作系统和CPU对用户态进行了限制，权限较低，主要用于运行大多数非核心代码，避免了程序对存储器和处理器进行完全的直接的未经检查的访问。只要恶意进程还是运行在用户态，运行在内核态的“好”进程就有机会检测并禁止掉恶意代码。对于内核态，操作系统提供了所有的权限和控制能力。然而，最近的root-kits病毒开始利用漏洞来获得内核态的权限。这意味着他们拥有对整个OS的全面直接控制，可以操纵最核心的数据，如运行进程的显示、文件和目录列表、注册表键值等。

　　SonicWALL工程总监Joe Levy认为，除了采用基于主机的防病毒系统以外，为防病毒解决方案增加一个网关防病毒（GAV）设备可以提供一层额外的防护，从而可以大大增强总的病毒防护能力。网关防病毒设备是专用设备，与PC机不同，通常不能够任意运行代码。因此，由于这种加固的封闭式系统所具有的优点，网关防病毒设备能够避免病毒攻击。换句话来说，他们的设计目标就是要坚不可摧，始终警惕且忠诚，永远不会背叛您的信任。

　　尽管并非所有网关防病毒解决方案都是一样的，在现有以及未来的病毒威胁面前，这一额外的防护层仍然能够提供一种最忠实的防护能力。作为一种不会被攻占的外部守护设备，网关防病毒设备是您目前与病毒进行战斗最好也最值得依赖的解决方案。

(责任编辑：刘静)