3G引发安全“危”与“机”

2009/6/8    

“暴风门”造成的5.19特大断网事件后,国外媒体又爆出法国电信旗下的Orange公司门户网站遭到黑客攻击,数据库中25万用户的名字、地址、密码等信息全部被盗取。
  同一个月内,在地球两端的两个国家,运营商都遭受到来自网络的攻击,看来运营商的网络和内容安全工作仍然任重道远。不论是消除运营商作为的信息化建设存在的安全漏洞,还是完善互联网链路的安全机制,在现阶段都尤为重要,3G上马,目前各大运营商都处在积极争取客户的阶段,安全问题也许会成为影响客户选择运营商的关键问题。

  全IP化引入更多危险因素

  全业务时代的电信网最大特征就是融合,运营商将推出更多综合性服务,如真正的在线实时计费,各种增值业务等。对于运营商来说,后台各种业务系统及支撑系统将越来越多地转移到IP承载网络上,与互联网紧密结合。因此互联网中各种安全风险和问题都将影响着运营商支撑系统的安全。如何在网络发展的同时进行安全体系的建设,降低自身网络安全风险,尽量减少客户网络威胁成为运营商亟须解决的问题。

  绿盟科技安全技术专家李国军认为,运营商所拥有的业务系统、支撑系统众多,且各系统之间存在着紧密的业务通信联系,随着系统的IP化和开放性越来越高,终端智能性和系统复杂性增高,与互联网及合作伙伴网络互联的增加,系统将面临更多的安全威胁和风险。

  业务系统分期建设阶段,各种新型业务系统之间的安全隔离,仍然是通过系统在自身边界处设立网络设备ACL和防火墙访问控制实现。不便于运营商的运维部门统一管理。一旦有新的业务系统建立或者某个重要系统升级,则相关系统的管理维护人员需要大量修改访问控制策略。为了减少工作量,有的维护人员直接配置十分宽松的访问控制策略,根本无法起到业务系统之间严格按需互访的目的。

  同时,随着业务和管理发展的需要,各支撑系统(网管系统、业务支撑系统、企业信息化系统)与互联网的需求越来越多,各类支撑系统通常都存在互联网接口,各接口都采用了一些安全防护措施,但这样独立设置安全防护系统存在投资大、漏洞多、安全策略不统一,安全建设投入和管理成本越来越高的问题。

  业务安全定制趋势明显

  联想网御助理总裁杨帆指出,安全建设与业务结合的愈加紧密,将是安全建设发展的重要方向。

  目前运营商对安全的态度已经从被动防御逐渐走向主动防御,建立完成了等级保护制度。但由于支撑系统作为运营商的内网,承担着公众通信网络的管理职责,其各类支撑系统(例如网管、计费、营帐、客服等)将面临融合问题,其相关网络和应用系统伴随着通信业务发展的需要逐步建设形成。因为前期缺乏统一规划,经过多年的建设积累,形成网络结构复杂、层次不清、系统管理维护困难的现状,网络的有效性和稳定性较低。”李国军向记者表示。在这种情况下,每产生一种新型业务,都需要对此也进行专业化的设计,需要更多时间进行网络分析研究,这就造成了“安全建设远落后于业务新建速度的局面。”杨帆表示。

  杨帆认为,业务安全定制将在未来运营商全业务安全体系建设中成为主流,从业务开发前期就开始进行安全规划,确保新业务不会给现有网络造成安全隐患。

  安全将成为增值服务

  移动互联网和传统互联网有一定差异。从表现形式来看,传统互联网是开放的、免费的、拥有海量信息的平台,但其无法对用户进行身份确认。而移动互联网却能做到这一点。所以,移动互联网对网络安全有着更高的要求,更强调保护用户行为及隐私不受干扰。

  中国互联网络信息中心安全领域分析师徐斌指出:“安全保障正在从运营维护、管理的后台逐步走向台前演变。针对消费者的安全需求提供服务,很可能在未来成为一项运营商的增值业务。”

  由于手机将越来越多地成为定制化产品,每个定制手机上都承载着多种运营商业务,一旦消费者在使用移动互联网业务时,出现问题多数会第一时间问责运营商,所以运营商在保护消费者网络安全上应起到更为重要的作用。

  很多消费者已经能够理解消除互联网的各种安全隐患并不只是运营商的责任,为了减少安全隐患对消费者的影响,他们愿意多花一笔钱选择运营商来进行网络保护,毕竟运营商才是网络问题专家。

  思科系统(中国)网络技术有限公司安全产品事业部技术专家郭庆指出,把安全作为增值服务卖给消费者,不但能够为运营商带来盈利,更能使运营商加大安全投资,转移安全问题带来的压力。

蓝色引力
中国蓝色引力网(专业北京网站建设机构)版权所有 2002-2009