主题：中国联通马广宇：夯实防护基础 构建安全网络


由中国通信企业协会增值服务专业委员会主办，C114中国通信网与中国IDC产业联盟网承办的“2010中国数据中心网络与信息安全论坛”于7月29日在北京京都信苑饭店隆重召开。结合行业所面临的全新挑战和机遇，中国通信企业协会特此举办2101数据中心网络与信息安全论坛。希望能够汇集产业链的各方群策群力，进一步提高数据中心信息安全水平，使我国的信息安全提升到一个新的高度。C114中国通信网对本次会议作全程直播。

以下为中国联通网络公司运行维护部网安处副经理马广宇的演讲全文，主题为“夯实防护基础 构建安全网络”。



马广宇：各位来宾、各位同仁上午好！首先作个自我介绍，我是中国网络分公司的马广宇，从事运维工作十几年，从事网络安全公司才刚做。论坛刚开始的时候，主持人说这次论坛是大家学习和交流的机会，我觉得这句话对于我来说尤为贴切，我自己还处于入门的阶段。

我把工作思路给大家做一个汇报，具体涉及到IDC具体内容会在下午宽带公司的IDC运行中心的同事给大家做交流，我还是从整个通讯网络管理和网络安全运维这个角度给大家做一个交流。

从我十几年的工作经历来看，从电信局到中国电信、中国网通、中国联通。我说这个目的是说，明我一直在运营商工作，保证网络安全运行是我们最根本的任务。现在网络承载了各种各样的业务和应用，而这些业务的应用已经全方位的渗透到社会的生活的各个方面。保证我们技术通讯网络安全运行，是我们运行企业的社会、政治责任。从目前发展来说，这方面的压力越来越大，我从事安全工作这几个月的时间感觉到，安全工作这潭水有点深，我还是在学习水性，努力把我的游泳技术练好。

我介绍的主要是四部分：第一部分是网络的演进对安全的新要求。第一方面的要求就是网络演进的宽带化、IP化和智能化，对网络安全提出更新的要求。宽带化方面，由于现在宽带能力的不断提升，更多的应用和业务已经承载在宽带网络上。这就促使整个国家、社会对通信网络依赖程度越来越高，因此网络安全问题一旦发生，可能影响的范围会非常巨大。

从IP化方面来说，承载网、包括移动核心网及固网交、换网在内的业务网，它在网络内的安全基数不是太强的，虽然大家都在努力，但天生来说，在网络安全性方面有天生的缺陷。我们现在面临的网络是很复杂的，应该是不可信的环境，把可信环境中的技术用在不可信环境中，必然有大量的安全隐患。

智能化，终端智能化程度越来越高，网络功能越来越强大，接入方式也是多样性的，尤其是移动和无线的接入方式，导致客户端具有更强大的能力，更多的接入途径，进一步加剧了网络安全的问题。

第二方面的需求，大家提了一个三网融合，之前也跟同事交流，三网融合是一个概念还是是一个实实在在的东西？从目前来看，确实是一个实实在在的工作了，已经确定了12个试点城市。网络融合带来一个更新的业务、内容和应用的融合，融合后的网络肯定面临更大的网络安全问题。原来是一张网里面的问题，现在把所有的问题都引入到融合后的网络中。

第三方面网络显著开放性，IP网络本身具有很灵活的协议，开放性是与生俱来的，这也是为什么它为什么会快速发展的原因。相对于以ITU来说，具有很大的开放性和灵活性。

企业内部不同的网络，应用系统以及各个运营企业之间有很多的互联点以及不同的接入点，互联点和接入点边界的防护措施并不是很万，这也导致大量的安全隐患的存在。

基于联通的现状，经过几十次的电信体制改革，对网络本身有一定的影响，对整个运营的管理体系有一些影响，我们的内部包括网络，包括体系，也都在调查完善的过程中。基于这几点，从基础设施到通信服务一直到应用，各个层面现在都面临着网络安全全方位的挑战。

第二，对网络安全与防护的理解。

对网络安全从不同角度都有不同的理解，我们理解，从技术手段、制度流程、组织架构、人员队伍、外部环境等几个方面有效开展工作，确保通信网络能够正常运行、稳定承载业务及应用。面临新的情况下，还要保证确保网络不备非法利用、秘密侦测和恶意破坏。

目前比较流行的时候，对网络安全做了一个分类，就是传统的网络安全和非传统的网络安全问题。对于传统的网络安全问题，更多的包括组网、路由、承载、冗余、抗灾毁的能力。这个通过合理的组网是可以解决的。

对于非传统的网络安全，通过外部技术手段，利用网络自身存在的漏洞和隐患，实施对网络的非法利用、秘密探测和恶意破坏。外部力量一个主观的故意性，还有一个目前比较多提的趋利性以及敌意性。在未来国与国之间，网络战也是一个常态的话题。

非传统网络分三类：非法利用、秘密探测和恶意破坏。所谓非法利用就是外部力量借助技术手段非法利用他人的通信网络、盗用网络服务传宗其所需的内容或对合法用户的正常服务使用进行骚扰的攻击行为。

秘密探测，外部力量借助技术手段秘密探测甚至修改通信网络各类运行参数、以及网络所承载的信息的违法攻击行为。

恶意破坏，外部力量借助技术手段对通信网络实施攻击，进行恶意的破坏或使服务无法进行的攻击行为。

基于安全方面的考虑，工信部现在在推动网络安全的防护工作，今年也公布了通信网络安全管理办法，现在也是按照管理办法的要求以及2010年的工作，在安排通信网络的安全防护工作，客观各省都在开展自查工作。

第三，夯实网络安全防护基础。

大的环境，对网络来说，处在一个很复杂的环境下，对严峻的网络安全问题必然会催生出一个市场，对于网络安全产品的需求。而通信运营企业来说，网络有一定的基础优势。但是我们如何吸引用户？主要还是从自身的网络角度，打好基础，必须保证通信网络能够安全稳定运行。只有本身运营的网络安全了，才能挺起腰杆说我们提供的服务和产品过硬的，打铁还需要自身硬，这方面我们也会做一些努力。

安全防护的策略和原则，基于部里面的管理办法，提出积极防御、综合防范、分级保护的原则。提出主动防御、重点防护、快速处置和全面恢复的原则。主动防御从网络安全角度来说是很困难的，目前更多的还是处于被动的局面，这个在各个行业都有这方面的例子。比如说前几天大连的输油管漏油事件，有媒体报道，我们只有在事故发生之后，才能知道我们的弱点在哪里，各个行业都普遍面临这个问题，在通信行业涉及到网络安全问题尤为突出。虽然提出主动防御，但实现主动防御还是有一定困难的。

重点防护，我们今年的安全防护工作对于我们重点的单元来说，应该有1500左右个单元，这是我们运营网络单元的一部分，而对所有的网络单元都实行高等级的安全防护的话，这个是不现实的。所以对重点业务、核心网、国际节点、关口局以及重点的防护。

快速处置，这是基于之前对预案的制定和演练，以及相关人员对预案的熟练程度。

全面恢复，最终的目标是，一旦发生网络安全问题之后，能够快速的恢复重要业务，最终恢复全面业务和应用。

分几方面把我们在网络安全防护方面的工作开展的思路跟大家汇报一下。

第一，技术手段方面，分两部分：第一部分在网络的设计和建设阶段，对技术应用提出成熟和稳定。毕竟我们通信网承载的是公众的通信业务，必须还是要要求投入到现网的技术要成熟和稳定的；另外，也要求在网络建设的同时，同步建设网络安全保障实施并与主体工程同时坚守，并投入运营。

在网络运行和维护阶段，要求网络安全防护的技术是快速和有效，一个是对网络正常的管控，能够保证在发生问题之后，快速有效的定位、判断，采取措施。

第二，制度流程方面，大家都提三分技术，七分管理，从网络安全这个角度，或者从网络运维的角度来说，都是适用的。不管我们的手段再先进，制度再完善，但不按照制度一步一步的去做，这些东西都是属于白费的。

还是举石油石化的例子，在英国石油BP在墨西哥湾漏油之后，我们的中石油、中石化、中海油肯定会加强这方面的管理，但是还是发生了大连油管漏油以及南京的企业发生爆炸事件。大连的漏油事件归根结蒂分析下来还是违反了操作的要求，从一方面很明确的说明确实是三分技术七分管理，管理不到位，所有的技术手段都是属于摆设。所以我们从网络安全的策略和原则作为指导纲领，标准规范、指标体系、应急预案能够确保网络安全防护工作有法有依。维护规程、实施流程，会涉及到网络安全的具体维护工作，确保网络安全工作有法必依。检查考核、责任追究，确保网络安全方面的工作执法必严，违法必究。

一方面强调流程的制度，另一方面我们也要强调通过一些技术手段和信息化手段，把制度流程融入到日常运营和平台的运维管理日常工作中，使网络安全防护工作达到常态化。

第三，组织机构方面。涉及到网络安全，今天题目是网络和信息安全，从我们部门分工来说，我们只说网络安全。网络安全还涉及到公众通信网、内网各个方面，因此对我们公司内部来说，它涉及到规划、计划、采购、加强、维护和业务等部门，涵盖了网络权声明周期。对外来说，网络安全也涉及到行业管理、支撑单位、大量第三方合作伙伴。另外也涉及到普通的公众用户。网络和信息安全在某些方面还是密不可分的。因此，我们推动在公司内部建立一个跨部门的通信网络安全机构，协调处理公司的内部安全工作。

第四，人员队伍方面。因为所有的工作都是需要人员去落实，而我们在原有的人员队伍职位体系里面，目前还没有专门的网络安全岗位，机构也是，这次调整之后，运营部刚刚成立了一个网络安全处。我们现在也在争取在公司内部增设网络安全的岗位，在总部、省和市各级能够把职责落地。大家应该也都认同这个观点，网络安全问题绝不仅仅是网络人员的问题，是涉及到公司内部全体人员的，因此也要动作安全培训安全演练和各种措施，全面提升全员的安全网络技术和防范水平。

第五，外部环境方面。包括手段、制度流程、机构、人员队伍都齐备了之后，还要开展一个良好的外部环境。目前涉及到政府主管部门、行业自身单位、运营企业，还有技术各方面提供制成的合作伙伴，涉及到方方面面，我们应该通过各种渠道，加强相关之间的协助和交流，积极防御、有效打击针对通信网络非法利用、探测和攻击的行为。我想在座的各位大家的目标应该就是一个，就是确保通信网络能够安全、稳定的运行。

希望政府部门或者行业协会能够帮我们一起，通过加强宣传，推动法律法规的出台，让用户理解针对网络安全防护工作开展的一些工作目的和意义，加强他们自身的安全防范意识，避免不必要的损失。在实际工作中，有一些用户对我们的工作不是很理解，不是很支持，这也是我们的一个困难所在。

第四，对下一步工作的考虑

第一，顺利完成工信部组织的2010年通信网络安全防护工作，马上要做一个安全防护主管培训和交流，对部分省公司的安全现场检查，安全防护现场抽查和完成工作总结，制订2011年安全防护工作计划。我刚才说到我们网络安全涉及到1000多个单元，这应该说是一个很大的数量，对各省、各地市来说也是一个很大的投入，我们希望能够充分利用这次安全防护工作的成果，在下一步工作中，主要针对IP网，包括互联网、VPN、DNS的核心服务，针对这方面开展一些安全手段的建设工作，包括防火墙VPN检测、防御、漏洞扫描、安全加固、流量控制与清洗、木马僵尸检测、病故防范，强化管理、信息化支撑手段，以这个工作为载体，全面推动我们公司网络安全防护工作。

因为各种原因，中国联通在网络安全工作方面，可能相对于新的运营商有一定的差距，所以我们也深知，虽然工作思路已经理出来，但下一步的工作还有很多，希望我们自己的努力，把网络安全防护工作提到一个新的水平。在这里，也希望在座的各位能够给我们提供热情的帮助和支持，帮助我们共同完成这项工作。谢谢！


【免责声明】上海大牛网络科技有限公司仅合法经营金融岛网络平台，从未开展任何咨询、委托理财业务。任何人的文章、言论仅代表其本人观点，与金融岛无关。金融岛对任何陈述、观点、判断保持中立，不对其准确性、可靠性或完整性提供任何明确或暗示的保证。股市有风险，请读者仅作参考，并请自行承担相应责任。