新環(huán)境下網(wǎng)絡安全迎來全新挑戰(zhàn)聯(lián)通云盾優(yōu)勢何在

近年來，隨著互聯(lián)網(wǎng)+戰(zhàn)略的不斷深化，各行各業(yè)對于網(wǎng)絡和信息技術(shù)的依賴度不斷提升，數(shù)字資產(chǎn)的重要性越來越高，因此，網(wǎng)絡和信息安全已經(jīng)成為產(chǎn)業(yè)發(fā)展不可忽視和回避的重要問題。

作為基礎(chǔ)網(wǎng)絡提供商和特大型中央企業(yè)，中國聯(lián)通高度重視網(wǎng)絡安全能力建設(shè)，建立了較為完善的安全研究、運維和服務體系，在終端加密、網(wǎng)絡防御、數(shù)據(jù)保護、應用審計等方面提供了多項安全服務，其中，聯(lián)通云盾是最具運營商特色的安全產(chǎn)品。據(jù)了解，聯(lián)通云盾是基于中國聯(lián)通DDoS統(tǒng)一防護平臺，專門針對行業(yè)需求打造的一款“云網(wǎng)一體”新產(chǎn)品。上線近半年來，聯(lián)通云盾產(chǎn)品經(jīng)受住了市場的種種考驗，得到近70家行業(yè)客戶的一致好評。

我們知道，在安全領(lǐng)域業(yè)內(nèi)不乏專業(yè)的網(wǎng)絡安全公司如360、啟明星辰等。那么，中國聯(lián)通涉足此領(lǐng)域是基于怎樣的考慮呢？為此，通信世界全媒體記者專門采訪了中國聯(lián)通網(wǎng)研院副院長朱常波。朱常波分享了聯(lián)通對于當前網(wǎng)絡安全形勢的認識和思考，同時也分享了聯(lián)通云盾在網(wǎng)絡安全方面的產(chǎn)品優(yōu)勢。

新環(huán)境下，網(wǎng)絡安全迎來新挑戰(zhàn)

朱常波表示，網(wǎng)絡和信息技術(shù)作為戰(zhàn)略性新興產(chǎn)業(yè)的重要組成部分，在加快經(jīng)濟發(fā)展、促進產(chǎn)業(yè)轉(zhuǎn)型升級、服務社會民生方面發(fā)揮著越來越重要的作用，是支撐整個產(chǎn)業(yè)和科技革命的重要基礎(chǔ)，但是數(shù)字化、泛在化和智能化等技術(shù)創(chuàng)新在給我們帶來了巨大產(chǎn)業(yè)機遇的同時，也帶來了很多挑戰(zhàn)，其中安全問題成為最主要的挑戰(zhàn)，并主要表現(xiàn)在三個方面。

首先，信息資產(chǎn)重要性和規(guī)模不斷擴展，給全面防護帶來難度。

大量的經(jīng)濟社會活動、戰(zhàn)略性基礎(chǔ)資源都架構(gòu)在全球互聯(lián)互通的網(wǎng)絡之上，網(wǎng)絡中生產(chǎn)、傳輸和存儲的數(shù)據(jù)資產(chǎn)越來越重要，受到的攻擊也越來越多，而且多樣的終端類型、復雜的網(wǎng)絡架構(gòu)、海量的數(shù)據(jù)規(guī)模、融合的業(yè)務場景，都增加了安全防護的難度，任何一個環(huán)節(jié)出現(xiàn)漏洞，都可能導致整個網(wǎng)絡的失陷或癱瘓。

其次，攻擊手段不斷升級，快速發(fā)現(xiàn)和響應處置難度加大。

目前，攻擊模式已經(jīng)從單打獨斗的個人炫技向團隊作戰(zhàn)的黑色產(chǎn)業(yè)轉(zhuǎn)化，攻擊工具日趨武器化和工程化，操作門檻進一步降低，基于社會工程學的APT攻擊方法越來越隱蔽，分布式攻擊的規(guī)模越來越龐大，一旦爆發(fā)預埋或者0 day攻擊，很難進行提前預警和快速響應。

第三，新技術(shù)新業(yè)務的演進升級，可能會帶來未知安全風險。

隨著5G、SDN等新技術(shù)的快速發(fā)展，IT、CT技術(shù)與行業(yè)應用深度融合，驅(qū)動網(wǎng)絡架構(gòu)深刻變革，導致網(wǎng)絡邊界進一步模糊，網(wǎng)絡協(xié)議更加通用，業(yè)務邏輯更加復雜，而新技術(shù)的標準體系和演進路線都沒有最終確定，現(xiàn)網(wǎng)應用不夠充分，因此對于其安全可靠性還需要進一步驗證。

頂層設(shè)計指引，?聯(lián)通制定總體發(fā)展策略

“為此，中國聯(lián)通高度重視網(wǎng)絡安全能力建設(shè)，提出了‘全方位、高智能、重演進、大生態(tài)’的網(wǎng)絡安全總體發(fā)展戰(zhàn)略?！敝斐２ū硎?。

其中，全方位是指要建立云、網(wǎng)、端協(xié)同聯(lián)動、技術(shù)與管理互相促進的端到端安全防護體系；

高智能是指要充分利用大數(shù)據(jù)、人工智能等創(chuàng)新技術(shù)，建設(shè)全面感知、精準處置的決策響應中樞，實施積極主動的防御模式；

重演進是指提前布局5G、SDN等新型網(wǎng)絡架構(gòu)安全研究，深入開展量子加密、區(qū)塊鏈等前瞻安全技術(shù)研究，積極探索自主可控的創(chuàng)新技術(shù)，重構(gòu)未來網(wǎng)絡的安全能力；

大生態(tài)是指在產(chǎn)業(yè)合作方面充分利用運營商的管道和資源優(yōu)勢,向合作伙伴開放安全能力和實踐經(jīng)驗，聯(lián)合產(chǎn)業(yè)上下游，協(xié)同構(gòu)建網(wǎng)絡安全新生態(tài)。

在總體戰(zhàn)略的指引下，經(jīng)過長期積累，中國聯(lián)通已經(jīng)建立了較為完善的網(wǎng)絡安全研究、運營和服務體系，在現(xiàn)網(wǎng)條件具備了異常流量清洗、僵尸木馬監(jiān)測、移動惡意程序監(jiān)測、網(wǎng)絡安全態(tài)勢感知、安全配置基線和漏洞管理等多種安全防護和服務能力。

同時，圍繞5G、物聯(lián)網(wǎng)、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)新業(yè)務安全，聯(lián)通進行了技術(shù)儲備，并發(fā)布了《物聯(lián)網(wǎng)安全技術(shù)白皮書》、《5G安全需求和架構(gòu)白皮書》等研究成果，編制了多項國際、行業(yè)標準，還積極聯(lián)合國產(chǎn)基礎(chǔ)軟硬件研發(fā)機構(gòu)、加密算法研究廠家，共同推動高自主可控數(shù)據(jù)中心的建設(shè)，保障國家關(guān)鍵基礎(chǔ)設(shè)施的安全。

安全“三劍客” ?聯(lián)通優(yōu)勢何在

據(jù)了解，聯(lián)通云盾產(chǎn)品主要聚焦在DDoS防護、域名防護和網(wǎng)站安全三大版塊。目前，正式向用戶推出的聯(lián)通云盾DDoS防護產(chǎn)品，已獲得中國工商銀行、阿里、騰訊等70余家重量級用戶好評，并在應急響應、重要保障服務等方面發(fā)揮了積極作用。

在朱常波看來，聯(lián)通云盾DDoS防護產(chǎn)品優(yōu)勢主要體現(xiàn)在四點：(1) 通過對全網(wǎng)的Netflow數(shù)據(jù)進行監(jiān)測，可快速發(fā)現(xiàn)異常流量，實現(xiàn)秒級告警；(2) 基于運營商獨有的流量封堵處置能力，可以做到精細化的分區(qū)域封堵，封堵能力無上限；(3) 流量清洗能力方面，實現(xiàn)分布式近源清洗，輕松應對T級大流量攻擊，用戶無需任何配置和改造，流量原路徑回注；(4) 在服務支撐方面，聯(lián)通配備了7*24運維團隊，提供攻防演練、自動防護、分析報告等多項專家級服務。

朱常波尤其提到，為支持阿里“雙十一”期間業(yè)務的正常開展，中國聯(lián)通成立了安全領(lǐng)導小組、安全保障小組、應急保障小組、7*24保障小組。保障期間，中國聯(lián)通首次推出的IPv6封堵、特定五元組流量過濾、域名刷新等多項新業(yè)務，及時滿足了客戶的需求，保障了“雙十一”期間，海量業(yè)務的穩(wěn)定運行。

朱常波表示，在域名防護方面，運營商DNS系統(tǒng)承載了互聯(lián)網(wǎng)70%以上的域名解析請求，因此，聯(lián)通云盾域名防護產(chǎn)品能夠提供更深層次、更廣范圍的DNS監(jiān)測和防護能力。

在網(wǎng)站安全方面，聯(lián)通云盾WEB應用防火墻(WAF)產(chǎn)品目前已具備試用條件。產(chǎn)品提供云WAF模式和本地部署模式，支持Keyless使用方式，并支持與已有的DDoS防護、域名防護等產(chǎn)品相結(jié)合，為客戶提供整體解決方案。

“目前域名防護、高防、云WAF等產(chǎn)品正在測試中，預計明年將會陸續(xù)商用?！敝斐２ㄍ嘎?。

5G/IoT時代的網(wǎng)絡安全??聯(lián)通如何應對

毋庸置疑，隨著5G、物聯(lián)網(wǎng)等新技術(shù)的快速發(fā)展，IT、CT技術(shù)與行業(yè)應用深度融合，驅(qū)動網(wǎng)絡架構(gòu)進一步變革，培育出了多個全新業(yè)務場景，同時也帶來了很多安全挑戰(zhàn)。

比如：海量的、低性能的自運行終端無法實施主動防護，很容易被入侵利用，發(fā)起大規(guī)模的網(wǎng)絡攻擊；網(wǎng)絡云化和虛擬化架構(gòu)，導致安全邊界更加模糊，安全攻擊容易在資源池內(nèi)蔓延；異構(gòu)網(wǎng)絡融合接入，導致業(yè)務場景更加復雜，很難實施統(tǒng)一的安全防護策略，這些都是在傳統(tǒng)網(wǎng)絡中沒有遇到的安全挑戰(zhàn)。

對此，朱常波表示，中國聯(lián)通對于網(wǎng)絡演進和創(chuàng)新業(yè)務安全一直比較關(guān)注，近幾年也進行了提前布局。

首先是進行頂層架構(gòu)設(shè)計。例如，聯(lián)通發(fā)布了《物聯(lián)網(wǎng)安全白皮書》，提出了“3T+1M”的物聯(lián)網(wǎng)安全總體架構(gòu)，從終端、網(wǎng)絡、云端和智能運維各個方面打造全方位的安全保障體系；另外，還積極參與發(fā)布了《5G網(wǎng)絡安全需求與架構(gòu)白皮書》，專門針對5G異構(gòu)接入、云化和虛擬化架構(gòu)、網(wǎng)絡切片和能力開放等關(guān)鍵場景制定了相應的安全防護策略。

其次是安全能力建設(shè)上。由于物聯(lián)網(wǎng)業(yè)務已經(jīng)在現(xiàn)網(wǎng)開展，所以中國聯(lián)通也正在配套建設(shè)相關(guān)安全能力，一方面將互聯(lián)網(wǎng)的安全防護能力向物聯(lián)網(wǎng)移植擴展，另一方面根據(jù)物聯(lián)網(wǎng)的業(yè)務特征，基于信令和話單分析，建立專門的物聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢感知、終端統(tǒng)一管控平臺，對安全威脅進行快速響應，實現(xiàn)更加細粒度的安全保障。針對5G通信云安全防護、流量監(jiān)測、統(tǒng)一認證等解決方案也正在標準跟蹤和測試驗證中。

最后是安全產(chǎn)業(yè)生態(tài)建設(shè)上。考慮到新技術(shù)新業(yè)務安全是一個端到端、全生命周期的體系化工程，中國聯(lián)通將積極整合各方產(chǎn)業(yè)資源，采取“中國聯(lián)通+合作伙伴+行業(yè)客戶”的安全產(chǎn)業(yè)鏈深度合作模式，共同研發(fā)端到端的安全解決方案，為客戶提供快捷、高效、可靠的一站式網(wǎng)絡安全服務。

采訪最后，朱常波表示，中國聯(lián)通將繼續(xù)秉承開放合作的理念，積極踐行央企責任，充分發(fā)揮運營商網(wǎng)絡、品牌優(yōu)勢，為客戶提供定制化的安全專業(yè)服務，保障網(wǎng)絡安全可靠演進，維護國家網(wǎng)絡安全，促進產(chǎn)業(yè)健康發(fā)展。