Cloud & Telecom Security

这篇稿子写于2004年底，探讨将管理重组的概念引入安全运营的方式，当时浙江移动的试点已经得到各方面很高的认可。本文提出了一个框架，探讨IT流程重组和安全运营的结合。本文发表于 通信产业报。

1 电信业面临的机遇和挑战

中国电信业的竞争日趋激烈，上市后股东和公众对于中国电信企业管理层的压力也与日俱增。管理层的关注点与几年前相比出现了明显的变化，从用户数为中心的粗放式经营转向关心每用户营收、每用户成本、营运利润、产品服务利润等精细化的经营，也更加关注业务发展的成本。

新技术和新政策给电信市场的发展带来了更多的不确定性，也促使领导企业和潜力企业的管理层来研究这些新技术、新政策背后为企业带来的机遇和挑战。例如一号通（700号业务）和当前的“携号转网（NP）”、“双模”手机等，对中国移动、中国联通和中国电信、中国网通四家主要运营商的决策者带来了很多的思考。依靠传统的号码、地域、资费等都不能稳定地保持住客户资源时，“保障”这个词背后的含义也就更加丰富了。

收入保障、客户保障、IT保障等越来越成为电信企业控制企业风险、保证长期稳定的股东回报的重要手段。收入保障的宗旨是防止话费流失与欺诈，保证计费数据准确；客户保障的宗旨是防止客户流失，保持客户满意度。它们无疑是企业保持市场竞争的关键要素。

根据Gartner Group的最新调查显示，当前信息主管们最为关心的技术点已经从两年前的应用集成转变为设计、管理灵活高效的基础设施、安全增强、以及桌面标准和IT绩效等。参见附图一。反映在电信运营商企业上面，就是通过上述几个方面的治理提升，来有效的降低运营成本（OPEX）、同时提高业务交付的质量和保障。在这方面的努力成为去年到今年电信IT建设的主旋律。

一方面，电信企业通过建立业务数据模型、流程模型和重组、建立统一客户资料库、建设数据仓库和主题分析等来深层发掘分析企业的业务发展、运营过程中的多种发展的动力因素；另一方面，通过规划企业自身的IT战略发展路线和规划（ITSP）、不断通过整合和集成来优化信息基础设施的效率，同时提升其保障水平，控制企业的安全风险。这些都是建设IT保障体系的重要步骤。

IT综合保障体系由IT服务保障、安全保障和生命周期保障三个层面构成的，参见附图二，是电信企业整体“保障”体系中至关重要的环节，是企业竞争的重要因素，不仅仅是保护企业核心业务高质量的交付、信息资产不受外部攻击的威胁，更重要地是良好有效地保障体系可以帮助建立起股东和公众的信心，保障企业的市场核心竞争力。 本文后面部分将讨论电信企业的IT综合保障体系的意义和建设路线。

2 建设IT综合保障体系

如下图所示，电信企业越来越多需要依靠IT系统，不仅仅是向客户交付业务所需的网络管理维护系统，并且还有大规模的客户服务、帐务、市场分析、ERP等企业支撑系统。对这些关键应用的“保障”需要首先保障这些应用的底层，也就是承载这些关键应用的各种IT系统，保障这些大量的软件、硬件、中间件、安全设备、网络设备等构成的基础设施。

电信级网络是超复杂系统，是因为电信网络往往规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。即使是其中的安全防护子系统也是由多种、来源于多个供货商的设备构成。它们通常在架构、协议、通信、操作等许多方面都存在相当大的差异性。这种差异性又进一步加大了系统的复杂度。

经过多年的建设，目前，电信网络中已经部署过大量的网管和网络安全产品。应该说，这些产品都不同程度地提高了网络的运行和交付能力，以及安全防护能力。但是，这些还不是“保障”体系。如何为这样一个超复杂的系统建设保障体系？这里，我们借用一个管理学上的假设：“高质量”的过程带来“高质量”的结果。针对超复杂的电信IT系统，加强其中某个网元或者模块，对整体系统的服务质量和安全水平，提高是有限的。

更有效的做法是以核心业务交付的服务质量为行动目标，实施下面三个步骤：

* 一. 服务管理：清理核心流程（过程），优化设计，监视端到端的流程质量
* 二. 安全管理：分析面临的威胁，分析评估，从过程、人员和技术手段三个方面来管理风险
* 三. 生命周期管理：建立核心系统的生命周期档案，评审系统需求和设计，管理系统开发和项目建设过程中的风险

建设由服务管理、安全管理和生命周期管理三层构成的IT综合保障体系，可以充分实现不断优化、提升信息基础设施的效率，不断提升核心业务交付质量的保障水平的宏观目标。在此基础上，不管是建设企业总控中心（ECC），或者安全管理中心（SCC/SOC），还是综合网管体系等等就都有了明确的行动目标和坚实的基础。

3 IT服务保障

传统上，国内的电信企业通常有三个相对独立的IT系统：网络部（或运行维护部）、计费中心（或业务支撑中心）、信息中心，其中网络部负责生产网（例如传输、交换、互联网等）的管理维护，计费中心负责计费数据的采集、结算、客服、经营分析等系统的管理维护，而企业信息中心则负责维护办公自动化（OA）、ERP、人力资源等企业应用。当然，每个运营商的实际架构可能会有所不同。

虽然之间存在若干个通信接口，但是三个IT系统的运行维护通常相对独立。在每一个IT系统内，传统上的管理体系如附图三所示，运行维护人员根据业务分成若干个小组，每个维护小组负责管理某项或某几项业务的应用、系统、网络等各个层面IT系统。由于缺乏数据模型和应用集成的支持，这些来源于多个供货商、厂家的软硬件设备在架构、协议、通信、操作等许多方面都存在相当大的差异性。历史积累的结果是在部门内部形成了若干个“信息孤岛”。一方面管理层很难从宏观上看到各个业务和相应IT系统的运行状况，难以快速统一的部署新的策略和制度，对业务需求部门的响应速度很慢；另一方面，当业务或应用增加时，管理者面临的挑战是或者增加人手，或者与原来的某项业务合并管理，线性增加维护人员的工作量。

这种管理结构的问题是明显的，即缺乏共享和流转机制，响应速度慢，难以保持策略一致，可扩展性不好，运行维护人员不容易“专注”。这些不足很大程度上阻碍了运营商信息系统建设和运行的效率，难以支撑快速的市场变化和需求。

另外的一种选择是，设立IT支撑小组负责网络和系统管理，设立安全小组，负责安全管理，共同为业务小组提供支撑。当增加新业务或应用时，IT支撑小组和安全小组都可以较容易的扩展覆盖，业务小组因为摆脱了底层支持的重复性内容，可以更加专注，所以也可以管理更多的业务。应该说，后者在前者上面有了提高，更加灵活，具有更好的可扩展性。

但是，层次化分工也会带来新的问题，IT系统的客户关心的是最终的交付质量，并不关心内部的层次化分工。当出现服务故障或问题时，从应用层到系统、网络层、再到安全管理层，解决故障后再逐次返回到应用层，消除客户问题。设计高效IT服务管理体系的关键是如何控制这个“时间延迟”在服务水平之内，快速实现不同层面的通信和共享，加速响应过程。在“流程整合”的背景下进行适当的重组，将IT管理、安全管理和业务管理的流程对接起来，对端到端的流程质量进行跟踪，并且从组织上、绩效考核上得以体现。

4 安全保障

网络安全威胁和防范一直是电信运营商十分关注的话题。包括ITU-T，TMForum等在内的许多国际电信组织都开始重新评估以前设计的许多标准、规范、架构等，在所有重要的标准体系中都加入了审慎的安全考虑，以避免出现类似像802.11b出现的WEP漏洞。

参见附图四，ITU-T在其安全手册中明确提出，电信网络中存在的面临的安全威胁可以分为下面四类：

* ? 预测未来威胁的困难
* ? 设计和规范型弱点
* ? 实现型弱点
* ? 运行和配置型弱点

其中第一类和第二类可以通过国际标准组织的努力逐步减小；第三类弱点需要依赖电信设备（硬件、软件）供应商和集成商提高系统开发和项目实施过程中的安全风险管理；第四类弱点则需要运营商自身的运行维护部门加强安全风险管理水平，从策略、组织、技术和运营等四个方面建设并逐步完善安全管理体系。

5 系统开发生命周期保障

电信企业的关键应用越来越复杂，业界提出了很多这方面的框架、最佳实践和规范来指导关键应用的开发，例如eTOM是电信业务过程方面的权威指导，提出了在产品生命周期和交付、保障和计费等不同阶段的关键过程。eTOM模型已经在大量国际运营商获得了成功的实践，在国内也被大量应用于IT规划、 BSS/OSS应用和其它支撑系统的设计和开发。

这里的关键应用包含两层含义，其一是应用本身；其二是包含了整体的软件、硬件等的应用系统。前者需要重点参考软件工程实践，相对成熟，对于电信企业来说，需要加强的是关于数据模型管理、接口管理、变更和配置管理等方面；后者则需要参照系统开发生命周期SDLC或LCM，对供应商、对需求、对体系架构等都进行较为完善的风险控制，并且与ITIL指导的IT服务管理和应用管理形成闭环，逐步提高运行质量和服务水平。

这一部分内容也成为NGOSS/eTOM和ITIL两大框架中变得日益重要的组成部分。

作为后者的一个例子，相对不够成熟的安全保障系统的建设，就应该充分借鉴电信企业在BOSS/ITSM等大型应用系统建设方面的经验教训，从开始就考虑开放性、集成性和可管理性，并且注重生命周期的管理，与IT保障体系在架构上互相兼容，在数据模型、界面、事件等各种层面可以互相通信、融合。这些都是从 SDLC角度，来提高电信企业IT保障水平的重要内容。

6 综述

综上所述，IT服务管理、安全管理、生命周期管理是电信IT综合保障体系的三个方面，它们从不同的角度、不同的层面来保障电信企业的核心业务的最终交付质量和效率。关键业务的服务质量是电信企业的生命线，如何保障超复杂的电信网络的服务质量也是超复杂的挑战性问题。本文试图从三个不同的角度来探讨建立电信企业的IT综合保障体系的方法和途径，其中欠缺不足之处，希望得到业界专家的指教。

附图一. CIO关心的前十个技术领域（数据来源：Gartner Group 2004）
附图二. IT综合保障体系示意图
附图三. 传统网管中心的管理模式
附图四. 电信网络中存在的脆弱性类型

***如果您对这些图片感兴趣，请留言。

本文完成于2004年底，介绍了国际电联推荐标准X.805，探讨了X.805在电信网网络安全建设过程中的应用。发表于通信产业报，发表后，中国电信和联通网站等多家网站转载，引起广泛的兴趣。:)

1.电信网

全球电信业在经过了前面几年的沉闷、甚至衰退后，3G等各种宽带数据业务开始日趋活跃、需求明显升温，越来越多的运营商开始从几年前的巨额债务中解脱出来，投入到新一轮的电信基础设施投资建设活动中。

电信网从原来“电路交换为王”的话音业务正在全面转向话音、数据、多媒体、视频、电子商务等综合业务的通用平台。新一代电信网络平台呈现出承载网的宽带化、业务网的综合化与个性化，支撑网的面向服务架构和业务流程重构等显著特点。其中，IP技术成为电信网络中的关键技术，IP业务成为典型网络中的关键、基础业务。

电信网的分组化（IP化）将会给电信业带来深刻的影响。电信网的IP化并不意味着现在的互联网将取代电信网，因为现有IP网从设计理念到实际交付的服务水平等都证明它不适合与全面承载电信业务。现有IP技术必须在安全、服务质量、业务模型、可管理和可运营方面迅速提高，才可以满足电信业务的需要，其中安全又是最为运营商、社会和用户最为关心的方面之一。

电信网络是国家关键基础设施的重要组成部分，承担大范围内的公众电信业务的网络，规模大，结构复杂，可靠性和安全性要求极高。ITU-T、IETF等国际标准组织在专注于电信网络技术标准的发展过程中越来越重视其中的安全保障能力，提出了一系列的框架、推荐标准和技术规范等，努力从技术角度提高电信网的安全性。

电信网络往往是最先进的I T技术和产品的集大成者，传输、交换、应用、服务、存储、数据处理等方面都在各个行业处于领先地位。除了普通企业面临的计算机网络环境内的威胁外，电信企业还必须考虑光纤传输、交换等电信基础设施的安全性以及VoIP、IPTV、多媒体等电信业务相关的安全威胁。

本文尝试阐述下一代电信网中特有的安全威胁、安全脆弱性以及相应的对策，并总结介绍最近一段时期内相应国际组织在电信网安全方面的努力和成果。

2.电信网威胁综述

传统上对于电信网络的安全考虑往往是面向其中的计算机和其它IT设备，以及路由器和交换机等设备自身的安全问题。诚然，针对这些承担“辅助”和“支撑”任务的IT组件的安全保护依然非常重要，但是，对于NGN和下一代基于IP技术的电信网来说，安全威胁和相应的控制都有了更新的含义。

通常，普通TCP/IP网络面临的安全威胁包括内部误用和滥用、拒绝服务攻击、外部入侵、病毒和蠕虫、以及其它各种灾难和事故。这些方面的分析在笔者以前的文章或者其它途径中都可以找到相当仔细的分析，本文不再赘述。

以下以下一代网络NGN为例来具体说明上述威胁和带来的消极效果。

NGN安全威胁举例

NGN已经成为下一代电信网的基础框架，它包括了软交换协议、IPv6、ENUM、等多种协议标准体系。在此框架内，IP技术将得到广泛应用，负责承载包括话音之内的各种业务，其中的信令和管理信息也将与业务数据一起共用底层媒体。这时，不但IP网中存在的各种安全威胁和脆弱性都将被继承进NGN网络中，并且增加了其它以前不曾面对的新的威胁。

附图1. NGN环境下的安全威胁

* ? 由于语音收入依然占据运营商收入的主要地位，当媒体服务器遭受拒绝服务攻击而失去响应时的损失，将会远远大于当前互联网时代遭受的拒绝服务攻击；
* ? 随着IP语音业务的开展，电信运营商必须关注来自IP网络的来源追查和内容分析；
* ? 用户对于语音保密方面的担忧和体验，成为是否最终选择使用业务的重要考量；
* ? 随着语音邮件业务的迅速发展，运营商必须投入大量精力和资源用以管理控制骚扰、恶意、反动、诈骗等网络活动；
* ? 由于基础设施层面的PKI/KMI建设不足，可能会造成运营商侧的网元设备被渗透入侵，导致用户的通话被跟踪、劫持、记录等；
* ? …

考虑到这些附加的安全威胁，单纯从操作系统角度进行安全防护是不够的，必须重新看待并研究下一代电信网的安全威胁，加强业务网络自身的安全防护，充分利用并发展基础设施和业务网络中设计的安全机制。这样，基于分组的下一代电信网才能更为健壮的顺利发展。

3. 电信网脆弱性
网络安全威胁和防范一直是电信运营商十分关注的话题。包括ITU-T、IETF、TMForum等在内的许多国际电信组织都开始重新评估以前设计的许多标准、规范、架构等，在所有重要的标准体系中都加入了审慎的安全考虑，以避免出现类似像802.11b出现的WEP漏洞。

附图2. 电信网络中存在的脆弱性类型
参见附图2，ITU-T在其安全手册中明确提出，电信网络中存在的安全脆弱性可以分为下面四类：

* ? 预测未来威胁的困难。技术环境的变化难以预测，例如七号信令系统设计上的运行环境是有专业维护的隔离网络，没有设计认证、加密、反重发、抗抵赖等安全手段。现在复杂的网络连接可能会使七号信令系统通过多层潜在通道与外网相联。从而使威胁源得以攻击、甚至控制信令系统。
* ? 设计和规范型弱点。协议设计中的错误或疏忽使其天生脆弱。例如IEEE802.11b中出现的WEP漏洞直接动摇了运营商对于该标准服务的信心。
* ? 实现型弱点。大部分的安全脆弱性来源于此。电信设备厂商、集成商和运营商的软件中心在开发和实现过程中不可避免地会出现各种缺陷和漏洞，这些脆弱性有可能会被各种威胁源利用。
* ? 运行和配置型弱点。由于配置不当，导致网元或网元之间的通信不符合安全策略的要求。例如SIP服务器和软终端之间没有建立认证和加密机制，导致呼叫被假冒和窃听等。

其中第一类和第二类可以通过国际标准组织的努力逐步减小；第三类弱点需要依赖电信设备（硬件、软件）供应商和集成商提高系统开发和项目实施过程中的安全风险管理；第四类弱点则需要运营商自身的运行维护部门加强安全风险管理水平，从策略、组织、技术和运营等四个方面建设并逐步完善安全管理体系。

4. ITU-T安全框架
针对前面提出的电信网威胁和安全脆弱性，加强其设计、建设和运行过程中的安全保护，ITU-T在其建议书X.805中定义了分布式应用实现端到端安全的体系和尺度的框架，如附图所示。这是一个通用的框架，其基本的原则及定义适用于所用电信网络和应用。

附图3. ITU-T电信网络安全框架

ITU-T定义的安全框架由平面轴、层次轴、维度轴组成。其中的平面轴主要阐述网络中实施的活动的安全，它包括管理、控制和最终用户等三个平面；层次轴主要阐述对构成端到端网络的网络元素和系统的要求，它包括基础设施、业务和应用三个层次；维度轴包括访问控制、认证、不可否认、数据保密性、通信安全、数据完整性、可用性和隐私等八个安全维度，主要定义由平面和层次构成的3×3矩阵中的每个单元中适合的安全防治措施。

管理平面关注运行、管理、维护和提供服务(OAM&P)活动, 如向某个用户或网络提供服务。控制层面与独立于网络所用的媒介和技术的端到端通信的建立（和修改）方面的信令有关。最终用户平面讨论用户访问和使用网络的安全，也包括保护用户数据流。

基础设施层包括网络传输设施和单独的网络元素。属于基础设施层的组件的例子有路由器、交换机和服务器以及其间的通信链路。服务层讨论提供给用户的网络服务的安全。这些服务从基础连接性服务（例如租用线服务）延伸到增值服务（例如即时消息）。应用层讨论用户使用的基于网络的应用的要求。这些应用可能很简单（例如电子邮件），也有可能很复杂，如用于海关运行的电子海关系统、大型物流系统、运营级的远程视频业务等。定义这些层的好处之一是在不同应用提供端到端安全时允许重复使用。每一层的弱点不同，因此针对性措施也根据每层需求来定义。

5. 综述
本文简要分析了下一代电信网在分组化过程中，不得不面临的新的安全威胁，这些威胁给用户与运营商带来的新问题。分析了电信网存在的典型安全脆弱性，并介绍了ITU-T在其安全手册中提出的多轴安全框架。

安全性是业界对基于分组的下一代电信网技术的最为担忧的问题之一。只有很好地解决面临的安全威胁，IP技术才能顺利地担负起电信网的核心业务。这需要学术界、设备厂商、运营商、集成商、咨询服务商等共同的努力。限于作者学识，文中不足之处，欢迎批评指正。

这篇文章写于2004-8-29，发表于中国计算机用户，尝试将ITIL/ITSM与安全结合在一起，与系统生命周期建立安全综合保障体系。网络链接： http://media.ccidnet.com/media/ccu/626/03301.htm

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

１．电信业面临的机遇和挑战
中国电信业的竞争日趋激烈，上市后股东和公众对于中国电信企业管理层的压力也与日俱增。管理层的关注点与几年前相比出现了明显的变化，从用户数为中心的粗放式经营转向关心每用户营收、每用户成本、营运利润、产品服务利润等精细化的经营，也更加关注业务发展的成本。

新技术和新政策给电信市场的发展带来了更多的不确定性，也促使领导企业和潜力企业的管理层来研究这些新技术、新政策背后为企业带来的机遇和挑战。例如一号通（700号业务）和当前的“携号转网（NP）”、“双模”手机等，对中国移动、中国联通和中国电信、中国网通四家主要运营商的决策者带来了很多的思考。依靠传统的号码、地域、资费等都不能稳定地保持住客户资源时，“保障”这个词背后的含义也就更加丰富了。

收入保障、客户保障、IT服务保障、安全保障等越来越成为电信企业控制企业风险、保证长期稳定的股东回报的重要手段。收入保障的宗旨是防止话费流失与欺诈，保证计费数据准确；客户保障的宗旨是防止客户流失，保持客户满意度。它们无疑是企业保持市场竞争的关键要素。

近几年来，一方面，电信企业通过建立业务数据模型、流程模型和重组、建立统一客户资料库、建设数据仓库和主题分析等来深层发掘分析企业的业务发展、运营过程中的多种发展的动力因素；另一方面，通过规划企业自身的IT战略发展路线和战略（ITSP）、建设信息基础设施的保障体系来提基础设施的效率，控制企业的安全风险。这些都是建设IT保障体系的重要步骤。

IT保障体系由IT服务保障和安全保障两个层面构成的，参见附图一，是电信企业整体“保障”体系中至关重要的环节，是企业竞争的重要因素，不仅仅是保护企业核心业务高质量的交付、信息资产不受外部攻击的威胁，更重要地是良好有效地保障体系可以帮助建立起股东和公众的信心，保障企业的市场核心竞争力。

本文后面部分将讨论电信企业的IT综合保障体系的意义和建设路线。

２．建设IT保障体系
如下图所示，电信企业越来越多需要依靠IT系统，不仅仅是向客户交付业务所需的网络管理维护系统，并且还有大规模的客户服务、帐务、市场分析、ERP等企业支撑系统。对这些关键应用的“保障”需要首先保障这些应用的底层，也就是承载这些关键应用的各种IT系统，保障这些大量的软件、硬件、中间件、安全设备、网络设备等构成的基础设施。

经过多年的建设，目前，电信网络中已经部署过大量的网管和网络安全产品。应该说，这些产品都不同程度地提高了网络的运行和交付能力，以及安全防护能力。但是，这些还不是“保障”体系。

我们说，电信级网络是超复杂系统，是因为电信网络往往规模庞大、系统复杂，其中的各种网络设备、服务器、工作站、业务系统、支撑系统都存在着超常的复杂性、多样性。即使是其中的安全防护子系统也是由多种、来源于多个供货商的设备构成。它们通常在架构、协议、通信、操作等许多方面都存在相当大的差异性。这种差异性又进一步加大了系统的复杂度。

如何为这样一个超复杂的系统建设保障体系？这里，我们借用一个管理学上的假设：“高质量”的过程带来“高质量”的结果。针对超复杂的电信IT系统，加强其中某个网元或者模块，对整体系统的服务质量和安全水平，提高是有限的。更有效的做法是，以最终交付的服务为龙头，清理出核心的流程（过程），将关注点和资源、精力放到流程优化，以及端到端的流程服务质量（QoS）上。例如：
? 故障的集中管理和根源分析
? 配置和变更管理
? 新业务系统的开发和上线
? 访问关系的建立和变更
? 预警信息的批准和发布
? 系统补丁的收集、测试、批准、发布和分发
? 等等

基于上述关键流程，来整合IT服务和安全管理、建设企业总控中心（ECC）和安全管理中心（SCC/SOC）等就有了明确的目标和坚实的基础。

３．系统开发生命周期保障
IT保障体系为电信企业的关键应用提供了安全、高效的基础平台，但是如何保障关键应用自身的安全稳定运行呢？在这一点上业界是走过许多弯路的，也付出了许多很惨重的代价。如图1所示，电信企业的关键应用越来越复杂，业界提出了很多这方面的框架、最佳实践和规范来指导关键应用的开发，例如eTOM是电信业务过程方面的权威指导，提出了在产品生命周期和交付、保障和计费等不同阶段的关键过程。而对于这些关键应用和系统本身的开发，则需要参照系统开发生命周期（SDLC）方面的最佳实践，请参见图2。该图取自TMF的eTOM文档，ITIL和eTOM的结合将是电信企业建设关键应用系统的生命周期保障的最佳参照框架。

这里的关键应用包含两层含义，其一是应用本身；其二是包含了整体的软件、硬件等的应用系统。前者需要重点参考软件工程实践，相对成熟，对于电信企业来说，需要加强的是关于数据模型管理、接口管理、变更和配置管理等方面；后者则需要参照SDLC，对于供应商、对于需求、对于体系架构等都有较好的风险控制，并且与ITIL指导的IT服务管理形成闭环，逐步提高运行质量和服务水平。

作为后者的一个例子，相对不够成熟的安全保障系统的建设，就应该充分借鉴电信企业在BOSS/ITSM等大型应用系统建设方面的经验教训，从开始就考虑开放性、集成性和可管理性，并且注重生命周期的管理，与IT保障体系在架构上互相兼容，在数据模型、界面、事件等各种层面可以互相通信、融合。这些都是从 SDLC角度，来提高电信企业IT保障水平的重要内容。

４．运行维护保障体系
前面分别从IT服务管理、安全管理以及生命周期管理等三个方面讨论了电信企业IT保障体系的建设。当前国内的电信企业通常有三个相对独立的IT系统：网络部、计费中心、企业信息化，它们的运行维护也相对独立。在每一个IT系统内都需要“集成”在一起，来考虑三个方面的保障措施和机制。“集成”过程中运行维护保障机制将会成为挑战。

通常情况下，运行维护人员是按照业务进行分工的，参见图3，每个维护人员或小组，负责管理某项或某几项业务的应用、系统、网络等各个层面。当业务或应用增加时，管理者面临的挑战是或者增加人手，或者与原来的某项业务合并管理。这种管理机制的问题是明显的，即可扩展性不好，运行维护人员不容易“专注”。

另外的一种选择是，设立IT支撑小组负责网络和系统管理，设立安全小组，负责安全管理，共同为业务小组提供支撑。当增加新业务或应用时，IT支撑小组和安全小组都可以较容易的扩展覆盖，业务小组因为摆脱了底层支持的重复性内容，可以更加专注，所以也可以管理更多的业务。应该说，后者在前者上面有了提高，更加灵活，具有更好的可扩展性。

但是，层次化分工也会带来新的问题，IT系统的客户关心的是最终的交付质量，并不关心内部的层次化分工。当出现服务故障或问题时，从应用层到系统、网络层、再到安全管理层，解决故障后再逐次返回到应用层，消除客户问题。如何控制这个“时间延迟”？前面讨论到的SDLC可以帮助实现不同层面的通信和共享，从而加速响应过程。但是更根本的保障措施是“流程整合”背景下的重组，即在SDLC提供的通信和共享机制下，将IT管理、安全管理和业务管理的流程对接起来，对端到端的流程质量进行跟踪，并且从组织上、绩效考核上得以体现。

５. 电信IT综合保障体系
综上所述，IT服务管理、安全管理、生命周期管理、运行维护管理是电信IT综合保障体系的四个方面，它们从不同的角度、不同的层面来保障电信企业的核心业务的最终交付质量和效率。

关键业务的服务质量是电信企业的生命线，如何保障超复杂的电信网络的服务质量也是超复杂的挑战性问题。本文试图从四个不同的角度来探讨建立电信企业的综合保障体系的方法和途径，其中欠缺不足之处，希望得到业界专家的指教。

发表于通信世界，总结了安全管理中心建设过程中的一些心得。
URL= http://www.cww.net.cn/Industry/Article.asp?id=10723
赵 粮
博士，冠群电脑（中国）有限公司
2004-2-18

网络安全正在受到越来越高的关注，其中一个最为热烈的话题就是安全管理中心的建设。安全管理中心（SOC），或者叫作安全总控中心（SCC），通过一个中央管理平台，收集整合来自各种各样安全产品的大量数据，并且从海量数据中提取用户关心的数据,呈现给用户，帮助用户对这些数据进行关联性分析和优先级分析。除此之外，安全管理中心还能够提供相当程度的集中“控制”和“管理”能力，可以帮助提供实时、准实时的安全风险管理能力。

目前，国内外的多家安全公司都提出了安全管理中心的产品或解决方案，移动、电信、联通等多家运营商都正在酝酿该方向的建设项目，几家省公司已经成为先行者。笔者有幸从开始酝酿、设计、建设等整个环节负责、参与了若干个安全管理中心项目，希望将自己的一些体会和经验教训与大家分享。前面已有一篇讨论基于安全管理中心的实时安全体系的讨论，本文从容易出现的九个错误的角度来讨论安全管理中心的建设。

1 错误或者失衡的资源分配和投资比例。

[separator]
我们知道，在绝大多数情况下，安全建设本身不是目的，而是为了保护企业的核心业务和资产。这样从投资的角度讲，投资回报率是必须考虑的。对于一个典型的网络管理中心（NOC）或者计费中心来讲，大约有数十台设备，主要包括各种层面的服务器和工作站，以及存储系统。而经过历次的安全建设和采购后，我们经常可以发现，中心连同分布在各地的防火墙、入侵检测、反病毒，它们的管理器和数据库等，在数量上也达到了数十个，与业务系统的规模相差不大，甚至数量上还可能会超出。虽然单个安全设备的维护工作量比高端服务器要低一些，但是总体上的保护体系和被保护的资产在维护资源上的投入失去了适当的比例。该现象的另外一个表现是大部分省公司、甚至总部还没有专门的安全管理员，IT系统的管理员兼职来维护管理安全设备，再没有足够精力的情况下，安全管理维护方面会被简化、忽略调，不能充分发挥安全投资的效率，间接地降低了安全体系的效果。
另外，可以认为，安全体系由两大类组件组成，其一是功能组件，例如访问控制、身份和认证管理、入侵检测、反病毒等，其二是管理性组件，事件收集和展现、知识管理、工单管理等。管理性组件的目的是提升功能组件的效率，减小相应的管理员人工成本。这个比例在典型安全体系设计中，国际上的比例大概是在10- 30%左右，换句话说，应该注意管理与功能投入上面的平衡。
通过上面的分析，我们知道，过多的功能性组件会导致管理成本过高，管理不利，效果不好；而过多的管理组件投入，又容易功能覆盖不到位，管理组件成为空中楼阁，无源之水。

2 错误的架构、不匹配的组织。
准确地讲，安全管理中心并不只仅仅是某个产品，或者某些产品的集成，它还是一种安全管理形式，需要相应的企业管理组织来负责运营，技术架构和组织架构再设计伊始必须互相匹配，运行的效率才有可能达到令人满意的程度。所以，在总部或者某个省电信公司考虑设计安全管理中心时必须考虑到自己当前的IT管理结构、预期的改变、安全管理的模式。首先在组织结构方面达成共识，再来考虑技术架构，考虑产品的可扩展性，未来是否可以平滑过渡，适应未来的组织结构改变。如下图所示，对于当前的几个主要电信公司来说，都是两级管理体制，省一级实现了集中管理。值得注意的是，安全管理中心并不必然地导向一个对立运作的实体，它可以和网络管理中心合署办公，也可以与企业信息化部或者IT部门合为一体，这依赖于建设需求方管理层参与设计，在建设和运营路线最终达成一致的思路。关键的一点是在开始规划选型时，考虑好以后的接口和平滑过渡，才可以更好地保护投资。

图：安全管理中心架构示意图

3 认为SOC的建设主要是产品安装，对建设中项目风险认识不足。
安全管理中心需要对以前存在的、现在建设中的、甚至规划中可能出现的安全产品进行管理，对多种多样的应用和设备进行事件审计和策略配置，另外，每个建设方对安全管理中心的功能定义也会进行增减，所以，建设过程中往往会涉及到多个厂家的许多产品（包括安全设备和其它）。另外，各个建设方情况千差万别，通常纯粹的安全管理产品很难很好地满足要求，必然会涉及到大量地定制和开发服务，这些对于项目管理来讲，背后都蕴涵着大量风险。需要很好地评估项目风险，并且通过仔细考察集成商和供货商的资质、质量体系和成功经验，慎重选择。

4 设计建设SOC时设施的特点没有考虑IT基础。
各个总部和省公司的IT系统各不相同，不同拓扑结构、不同的网络业务架构、不同的网管系统、不同的集成商、不同的安全防护水平。从IT服务管理（ITSM）的角度来看，它们具有不同的成熟度。从BS7799角度来看，10个安全领域的重视程度又不同。有些省公司已经建设有成熟的帮助台（Service Desk）和流程管理系统，IT系统网管实现了集中监控和集中的事件管理。SOC和NOC在许多方面有共同的特点，可以分享许多建设运营经验，以及IT组件。并且，在许多情况下，在事件管理、流量监视等方面，SOC和NOC共享的程度越高，安全保护的效果就会越好。

5 定义了不适当的项目目标。
一般来说，参照下图所示，安全管理分为四个层次，或者能力成熟度，越高的层次表示安全管理的成熟度越高，残余的安全风险就越低，但是通常来说，要求的安全投入也会较高。第一层是集中审计，能够对全网范围内的关键安全事件做到集中的、统一的收集和审计；第二层是集中监视，除了事件审计之外，还需要对安全防御体系自身的健康状况进行监视，对威胁情况进行监视；第三层是集中管理，在前面两层的基础上，能够对整体安全体系制定安全策略，集中分发配置，与IT基础设施的管理可以无缝集成，实现良好的实时风险管理；第四层是战略防御，除了自身安全体系的审计、监视和管理之外，强调了网络对抗和取证分析能力，针对性的实时优化安全策略。每个层次有不同的特性和实现手段，对于特定的建设环境来讲，并不一定意味着越高的层次就越好，而是应该量体裁衣，具体问题具体分析。可以在四个层次中选择适合自己的特性来分期建设，分步实现目标，达到最高的投资回报。

图：安全管理成熟度示意图

6 集成商和原厂家的技术支持力度不够。
这个问题应该属于项目风险控制范围之内，单独拿出来的目的是想强调一下：一定要慎重考察注意集成商和所选择产品的原厂家的技术支持力度，特别是本地技术支持力度。因为SOC建设中有大量的定制开发和服务，不可避免地需要频繁、有效地技术支持。很大程度上会影响整个项目的质量效果。

7 对选择SOC产品的可扩展性、健壮性、性能没有透彻的了解。
SOC与NOC建设相似，产品更换替代的成本很高，一般会采取升级、扩容、融合等进行发展，全天候7×24运行，越是遭到攻击、产生大量事件和网络负载的情况下越需要SOC的服务，所以在一开始的产品选择阶段要特别注意可扩展性、健壮性和性能的指标。这里的扩展性指能否层次化布署、能否顺利融合部门级的 SOC、是否可以通过硬件升级来实现更高的系统容量等。健壮性和性能是指在遭到大规模攻击、大量事件冲击的情况下，系统能否正常工作，表现如何？系统是否支持高可用性布署等

8 没有设计好相应的管理和应急流程。
我们已经知道，SOC建设远远不只是产品采购，还有许多定制服务。此外，SOC与NOC一样，需要相应的管理和应急处理流程，这些流程制度是整体安全策略的组成部分，应该纳入严格的配置和变更管理之下，并且做好相应的宣传和培训，定期进行演练，使得每个角色和相关人员都明白自己的责任和相关流程。管理和应急流程应该尽可能多地依靠自动化手段实现，并带有质量保证措施和考核措施。在流程设计和建设上面，可以参考ITSM中成熟的服务台技术和产品，充分结合 NOC的流程制度。

9 认为SOC建设完、验收结束就大功告成。
SOC是一种统一集中管理形式，是安全风险管理的最高级形式－实时风险管理。它的建设验收只是实现了第一步。接下来还需要及时地维持并更新、升级知识库（资产库、漏洞库、补丁库等），经常性的优化安全策略，演练应急流程的有效性，审计安全制度的执行落实情况。

安全管理中心是继网络管理中心（NOC）后的又一类引人注目的管理系统，它综合了许多国际标准、安全模型、IT管理技术，属于安全领域的新生事物，无疑需要众多从业者的关注和研究实践，分享SOC发展过程中的经验和教训，更好地指导后面的建设。本文希望能够抛砖引玉，以期获得更多的宝贵讨论。

发表于通信世界，讨论安全管理中心运行过程中流程设计，引入了ITIL
URL= http://www.cww.net.cn/Technique/Article.asp?id=10474

赵 粮
2003-12-26

1 安全事件升级流程
我们已经知道，安全管理中心（SOC），或者说安全总控中心（SCC），是一种安全集中管理的形式，它包含远端安全设备（事件发生）、安全事件收集、事件分析、状态监视、展现报表等重要组件。除技术之外，SOC还有一个重要组成部分就是运行人员、应急小组和专家队伍。所以，SOC与网络管理中心（NOC）一样，需要相应的管理制度和应急处理流程，在应急处理流程中还应该包括明确的事件升级（Escalation）制度。应急处理的每个环节应该定义明确的最大延迟时间，在最大延迟时间内采取有效处理措施。在超过最大延迟时间还没有采取相应措施的情况下，应该立即进行事件升级，进入到更高级别处理。

[separator]
这些制度和流程是整体安全策略的组成部分，应该纳入严格的配置和变更管理之下，并且做好相应的宣传和培训，定期进行演练，使得每个角色和相关人员都明白自己的责任和相关流程。管理和应急流程应该尽可能多地依靠自动化手段实现，并带有质量保证措施和考核措施。

安全事件处理流程的设计是SOC建设的一个重要环节。本文尝试着讨论适用于电信企业的安全事件升级流程的一般内容和形式。

2 安全流程与ITIL
虽然典型类企业在IT系统的结构组织、设备类型、安全风险等方面有许多共同特点，但是各个总部和省公司的IT系统依然有许多不同之处，不同拓扑结构、不同的网络业务架构、不同的网管系统、不同的集成商、不同的安全防护水平。另外，除了上面这些“硬”环境，从IT管理的国际最佳实践库 － IT基础设施库（ITIL）的角度来看，它们还具有不同的能力成熟度。有些省公司已经建设有成熟的帮助台（Service Desk）和流程管理系统，有些系统网管还建立了较为先进的NOC，实现了集中监控和集中的事件管理，而有些电信公司的流程系统和集中监控系统还正在建设或者规划中。

根本上说，SOC的应急处理流程和NOC的原理是共同的，在最高效率处理紧急事件的同时，尽可能少的使用资源，最大限度地发挥各种资源的优势。所以，我们可以分享NOC的许多建设运营经验，以及IT组件。甚至可以说，在事件管理、流量监视等方面，SOC和NOC信息共享的程度越高，安全保护的效果就会越好。

ITIL是当前最为流行、最有权威性的IT管理“标准”。作为一种以流程为基础、以客户为导向的IT服务管理指导框架，它摆脱了传统IT管理以技术管理为焦点的弊端，实现了从技术管理到流程管理，再到服务管理的转化。这种转化具体体现为，ITIL非常强调各服务管理流程与组织业务的整合，以组织业务和客户的需求为出发点来进行IT服务的管理。

下面我们参考IT基础架构库（ITIL）中较为成熟的服务台、事件处理和问题处理最佳实践，并结合NOC运行中的流程制度，设计的一个较为典型的安全应急处理流程框架。

3 安全管理中心的流程设计
从处理方法上来看，安全事件可以分为两种，一是曾经发生过，并且明确知道原因、后果和处理办法的；一种是没有明确的书面记载（问题管理的知识库），没有立即解决办法的。前者可以在网络运行值班层面予以解决，后者则需要按照事件优先级引入临时解决方案，同时进入问题处理流程；在问题处理过程中，安全专家发现了问题的根源，找到了解决方案，则将其进入知识库，同时在适当时机进行发布，更新或者修改安全策略或者配置。

同时，我们知道，事件升级由两种形式，一种是技能性的，平行的，例如普通运行值班人员，到后台技术支持，再到专家队伍，最后到研发实验室等；另一种是管理性的，垂直的，例如运行值班人员，到值班主任，再到负责运维的副总经理，甚至到公司的老总。在事件处理的升级制度中，应该明确定义上述两种事件升级的条件、角色责任、处理方式等，并与工单流程的定义保持一致，保持及时更新。

考察电信企业的实际情况，除SOC所隶属的行政汇报线（垂直升级路线）外，在技能性方面，建议设置三级安全事件响应体系，第一级是安全运行值班人员，可以是网运中心值班人员兼任，负责7×24小时的安全事件监视，按照安全事件的处理手册和知识库处理已知的安全告警事件；第二级是安全应急技术小组，由企业内部安全专家和网络专家组成，负责对第一级发现提交的不明事件（或问题）进行分析判断，完成绝大多数安全事件的处理，对不能及时找到彻底解决方案，需要在将该问题提交第三级以外，还必须及时提出临时解决方案。负责撰写安全问题处理指南，用以指导第一线值班人员的工作；第三级是集团一级的安全实验室和专家小组，负责针对重大安全隐患和网络攻击进行会诊和复现，具备相当的网络对抗能力。同时负责撰写安全问题分析报告，提交安全策略和配置的变更建议。流程框架示意图如下图：

在必要时在第三级可以引入专业安全服务公司的资源。考虑到电信企业信息资产和业务的关键性，笔者不建议在第一级和第二级引入外部资源，而应该自足自我，从集团到省公司一级都能够培养至少2名安全专家。保证可以做到依靠自己的力量可以提出安全建设的需求和规划、总结安全事件和安全问题的处理经验，优化安全策略，能够处理大多数的安全事件。

工单产生后，进入第二级安全技术专家处理的同时，工单系统会通知SOC的运行主任。第二级经过深入分析，根据对业务的影响成都，判定优先级。在规定时间内，没有发现有效解决方案，必须提出临时解决办法，并通知请示运行主任，批准后，与第一级值班人员一起，实施处理办法。实施完毕后，记录工单处理结果。并在规定时间内，撰写报告，呈送公司负责生产运行的副总经理。

在这种情况下，第二级的安全技术专家应该提交安全问题请求，要求第三级安全实验室和其它支持人员、包括服务提供商和国家、地区的计算机事件紧急响应组织等的支持。第三级的安全实验室应该根据问题的严重程度，对安全问题进行模拟和复现，寻求有效问题根源和解决方案。在完成后，更新安全知识库，并负责对第二级和第一级进行知识转移。第二级在接到工单后，经过研究，及时发现了事件根源和解决方案的情况下，也应该及时更新知识库，并对第一级和第三级进行知识转移。

第二级和第三级的安全专家基于安全事件和问题的分析和处理结果，在必要的情况下，需要按照变更管理的制度和流程，提出对受影响的其它类似系统、甚至整体安全体系的安全配置改变，例如策略修改、打补丁等。并保持安全资产库或者配置管理数据库（CMDB）的更新和一致性。

值得注意的是，在第一级值班人员将安全事件向上一级提交后，并不是转移了该事件的所有者（Owner），这里应该遵守“首问负责制”的原则，全程跟踪该事件的处理状态，知道事件和问题解决。事件和问题的移交是交接班的最为重要的内容之一。

知识库是安全管理中心的重要组成部分，它由典型安全事件处理经验、安全问题分析报告、安全脆弱性数据库和补丁库、以及各种技术和管理专题资料等组成。原则上它可以物理上分布在帮助台系统中、也可以是独立的数据库应用。

4 结束语
安全管理中心是当前电信企业安全体系建设过程中的一个热点话题，本文尝试着通过引入国际上成熟的IT服务管理标准和模型，来设计可以用于安全管理中心运行的一种事件升级制度，提高安全事件响应的效率和质量。

这篇文章写于2003/03/03，文章中提出风险管理的三个层次，将安全管理中心定位最高的实时风险管理，提出安全管理中心可以帮助固化一些安全服务带来安全风险管理成效。

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
发作
SQL Slammer蠕虫在10分钟内席卷全球，各大相关媒体纷纷惊呼，称其为继CodeRed和Nimda之后，破坏力最强的蠕虫。传播速度令人瞠目结舌，每8.5秒感染计算机数目翻一番（而CodeRed感染的计算机数目每37分钟翻一番）

SQL Slammer蠕虫病毒只有376字节，比红色代码4KB（4096字节）和尼姆达60KB（61440字节）小的多。它利用一个微软半年多前就已经宣布并且可以打补丁的漏洞，通过自我繁殖使得计算机间无法通讯。它体积小到仅需使用一个数据包就可以发送自身所有代码，数据包中Slammer载入内存后计算机就受到了病毒感染。

在SQL Slammer发作高峰的那段时间里，“人们无法拨号上网，飞机无法起飞，ATM取款机无法取款。”，影响的不再仅仅是原来人们想象的网站和聊天室，而是深入破坏到了世界的各个角落。

教训
事件发生后，人们可以庆幸Slammer没有携带额外的破坏代码，只是依靠网络流量来摧毁服务。但是，据不完全统计这种蠕虫病毒依然造成了大概10亿美金的损失。同时，从信息安全技术的角度来讲，我们得到的更大的教训是：必须把更新软件补丁和升级其他防护措施来保持自己网络安全水平当作一件具有关键影响和社会责任的事情来做。另外，这样的攻击也验证了笔者两年前曾经提到的整体安全和不存在安全孤岛的判断。正确地评估自己的信息资产所面临的安全风险，按照科学的风险管理模型，来进行处置，以确保合理的投入得到合理的保护效果。对网络安全的事情视而不见和追求牢不可破的防护体系都是不正确的。

本文通过下面的篇幅来讨论一下安全技术的特点和笔者推荐的风险管理模型。

安全的时效性和对抗性
网络安全是一项综合性技术，包含的面很广，粗线条来看，可以分为组织策略类和产品技术类。前面的一类包含安全策略、组织机构、管理流程等；后面的一类包含各种各样的安全产品、网络攻防技术等。它们有不同的特点，前者与其他业务管理的共同性较多，较为容易借鉴其它业务管理的经验、模式，贯彻实施上有挑战性；后者具有很强的时效性和实战性，通常一个新的安全漏洞的发表、到公开的利用手段传播只有几个小时，换句话说，留给防守者的时间窗口就是几个小时的样子。

另外，根据一个国际调查显示，通常一个安全管理员或者专家需要每天花费2-3个小时寻找整理各种各样的新漏洞和技术。不及时的安全响应和更新可能会使整个安全体系原来的投资形同虚设。这与传统的电信业务或者TCP/IP技术有很大的不同。另外，安全技术人员的信息获取和互相沟通往往是其成长的一个非常重要环境条件。

总结上面的分析，网络安全技术具有对抗性、时效性的特点，网络安全技术队伍具有高度专业化和规模化的要求。

对于一个大型企业来说，在网络安全体系的建设上面可以有三种选择：其一是建设自己的专业队伍，并完全依靠它实现自己的网络安全体系；其二是寻找可信任的专业伙伴，将自己的安全建设完全外包给它；其三是建设自己一定规模的专业队伍，同时寻找可信任的专家队伍，外包一部分安全建设、维护的任务给它，自己的专业队伍做好建设规划、验收、核心业务保护等。

这三者的选择实际上并不是技术问题，而是一个业务问题。关系到整个企业的业务定位和策略。三种选择从技术上都可以达到非常高的安全水平。但是成本和效果不同。第一种选择需要维护一个较为庞大的专业队伍（专业化、规模化），成本非常高。第二种选择不容易把握安全建设的方向，可能会导致企业核心机密外泄；第三种选择在成本和效果方面应该是一种更为平衡的选择。对于大多数企业来讲都是适当的。

风险管理的三个层次
网络安全追根到底是一个信息资产的风险管理问题。当前，业界已经有多个非常著名的风险管理模型。但是，不管哪个风险管理模型，都很难做到一步到位。从发展和建设的过程，往往可以分为三个层次。

其一快速、大量部署安全产品，防火墙、入侵监测、反病毒。。。该层次属于急药猛药，可以在短时间内较快的提高网络防护水平，但是，即使我们假设这些产品都得到了有效的利用和配置，这些产品部署后的效果，像是否存在盲点、短路、过时等，还是不能有效控制。例如我们安装了一台网络IDS在某个网段进行监视，策略配置也没有问题。但是它并不知道它所保护的信息资产处于什么样的安全状况，检测到的攻击是成功了，还是失败了。甚至被保护的资产已经宕机了或者转移了，这台IDS无法知道，也无法通报。前面部署的防火墙也是一样。

大多数企业在安全建设伊始会采用这种方式，这种方式也最容易被IT部门或者网络部所接受。当然，就如同前面的分析结果，实际的风险管理效果也停留在这个层次上面。

其二是通过定期、不定期的风险评估和加固，及时发现安全问题，并且尽快弥补。通过上层次的分析，我们再增加安装扫描器定期扫描如何呢？这是很自然的想法，也很正确。扫描器可以帮助经常性、定期地检查自己的信息资产的弱点情况，是不是有新的主机或服务出现，是不是某个主机或服务不见了。但是，仅仅扫描时不够的，更为关键的是对于扫描发现的弱点能够及时地弥补。这就需要“加固”这一当前正在变得越来越普遍的安全专业服务。另外，在通常的情况下，仅仅依靠“扫描”这一手段并不完备，还需要专家“渗透”测试、组织管理审计、甚至包括社会工程、信息泄漏测试等更为复杂的手段来全面地评估风险状况。

在前面介绍的资产鉴别、风险评估等基础上，建立企业相关的资产信息库，对资产、弱点、威胁、风险等保持跟踪和及时更新。出于该层次上的风险管理已经可以周期性地检查风险差距，发现剩余的、漏掉的、新出现的安全风险。

处于该层次风险管理水平通常代表着企业或者机构对网络信息安全、安全风险管理等达到了一个新的境界。在安全上面的投资效益也获得了进一步的提高。

其三是建立集中统一的安全管理平台，对整个企业内的安全策略、信息资产、安全属性、风险、相关的安全事件、安全事件的响应和处理、配置都进行实时的、集中统一的管理。尤其是对于大规模、跨地域的电信级网络，这种集中统一的安全管理平台可以大幅度挖掘体系中的安全产品的效果、提升投资效益。使得管理层、也就是说信息资产的所有者能够实时地了解到威胁和风险状况，在投资和其它处理方式上作出更为准确的判断。

上述三个层次的时效性是逐渐上升的。按照笔者的经验和观点，三个层次不能互相替代，后面越过前面层次的效果也不好，但是不排斥同时建设、并行处理的做法。

当前，国际上先进的运营商或者关键企业网络为了保证网络时刻处于安全状态，正在越来越多的采用上述第三个层次的实时风险管理模型。例如，国际著名企业英国电信BT、Bell South、Sony、杜邦Dupont等都已经建立起覆盖自己整个企业网络的统一风险管理体系。在国内，电信和移动总部等也进行了许多前沿的探索和实践。

应该说，在遭受到Nimda、CodeRed、SQL Slammer攻击后，信息安全业界不断地进行反思。只有保证安全风险能够得到“实时”的控制和管理，才有可能在下一次更为凶猛的攻击到来时，自己的网络可以做到高枕无忧。

综述
网络安全技术的时效性和对抗性要求相应的安全风险管理体系也具有这样的专业性和时效性才有可能起到相当的防护效果。为了达到这样的时效性和专业性，安全外包往往是值得考虑的一种方式，但是外包的内容、方式、对象、管理等需要企业认真的研究考虑。在风险管理的体系上面，从部署安全产品到采用安全服务，最后发展到实时风险管理。三个层次，在实时性方面逐渐上升。采用自己的专家队伍与适当外包相结合的策略，以建设集中统一的实时风险管理体系为目标，可以最为有效地利用投资，保护自己的信息资产。

摘要：这篇文章写于2002年底，分析并展望了2003年的安全服务市场和用户收益，当时我还在安氏工作，从负责研发转到前台负责技术支持和安全咨询服务。本文发表于中国计算机报： http://media.ccidnet.com/media/ciw/1184/c2101.htm

编辑给起的名字是：2003年的安全服务我们还缺点啥

安全是个非常宽广的概念，它涉及到网络管理、业务提供、信息共享、建设规划等许多方面，同时也牵扯到所有的信息技术。安全服务也同样如此。一个企业如何判断它是否需要安全服务？需要什么样的服务？目前，市场上有哪些安全服务可以选择？如何享受到最好的安全服务？专业公司的专业性到底体现在哪里？本文试图在以上几个方面为您提一点建议。

安全服务给企业带来三大收益

一般来说，安全服务可以分为三大类。第一类是安全产品服务，它属于传统的服务类型，这类服务通常需要和原厂家有密切的合作关系；第二类是顾问安全服务（CSS），它强调策略、管理、组织、规范和标准性；第三类我们称为专业安全服务（PSS），这是最新的一类，也是大家最容易想到的一类，它强调动手、对抗和实战。

企业用户购买安全服务，实质上是购买服务公司的专业知识和技能，由此带来的收益可以分为下面几种：

节约时间，提高并减小机会成本（Opportunity Cost）损失；节省投资，选择最适当的产品，最适当的保护对象，减小管理和组织开销，提高安全产品的实际效果和投资效益；提高安全水平和应急能力。

主流的安全服务商

目前，国内的安全服务商有国际和本土之分，他们有三种不同的表现形式。国际安全服务商以Cisco、IBM、CA、Symantec、HP等为代表，它们目前主要是提供与自己产品相关的服务，在国内大多是通过渠道和合作伙伴来完成具体的安全服务实施工作。宏观上来看，本土的安全服务商数量很多，但是能够有实力独立实施一些大型服务项目的厂商数量可能只有十家上下。

安氏公司：从各种统计数据来看，它是国内专业安全服务公司的佼佼者，所提供的解决方案包括集成的安全产品和服务。产品包括自有品牌的防火墙和入侵检测等各类安全产品。服务则具体涵盖了上面提到的三种服务类型，并在最近两年实施了从中国电信总部、移动总部到华为等规模宏大的安全服务项目。其队伍实力均衡，配置完整，引领了国内安全业界的许多理念模型。

启明星辰：同样非常有特点的安全公司，以国内较早的一套安全图书开拓自己的市场，积累提升自己的入侵检测和扫描器产品，同时也引进了国外的某些产品来丰富自己的产品线。与政府机构保持有密切关系，承担了多项国家安全课题。

从过去两年的发展势头来看，2003年服务势必将成为安全厂商们努力一博的一年。对于安全公司们，服务也不再是销售产品的一种铺垫或陪衬，而是可以直接带来收益的业务。

2003年安全服务还有哪些漏洞

安全服务虽然发展势头很猛，但是，我们也可以看到，目前安全服务从形式到效果上都存在着许多问题，这些问题都在很大程度上影响着安全服务的更好发展。例如：

工程规范性不够。很多公司的安全服务人员并没有经过事先严格的专业训练和知识转移，很多人往往只凭从网上积累的一些黑客技巧进行工作。这种人才的缺陷在小项目中，也许看不出多大毛病，但是，一旦工程规模增大时，就会导致整个项目质量的下降，严重损害客户和服务商自己的利益。缺乏从客户到服务商的共同行业认识。目前安全服务商与用户双方在对安全服务的内容、形式、价格、成果等许多方面的认识都存在很大的差距。例如，有些客户反映：为什么加固一台主机就要我付几千元？一个高级顾问每天的收费标准竟然高达数千元甚至上万元！实际上，当前服务公司盈利的还不多，为了保证服务效果，通常需要付出很大的代价，这其中的辛苦是客户无法直接体会得到的。

从业人员的职业道德约束不够。有些素质不高的从业人员无法做到严守客户的商业机密，有的甚至采取私下降低服务水平等恶劣手段，这从整体上看会降低客户对服务商的信任度，会影响整个安全服务行业的发展。

要解决以上问题，需要一把钥匙开一把锁。第一个问题实际上是安全服务商自身的修炼问题。领先的安全公司之所以能做到领先，很大程度上就是因为他们在工程规范性上面做到了高积累、严要求。公司可以招来并且留住高手，还能保证这些专家的经验传递给整个团队，同时将这些经验、方法规范下来，严格执行下去。另一方面，这些领先的公司都借鉴了大量的国际先进理论（如BS7799等）和其他成熟行业的工程管理实施经验。第二个问题是整个行业的问题，需要整个行业一起推动。第三个问题同样是个行业问题，当前许多国际组织都提出了自己的安全道德观，例如影响最大的专业安全认证CISSP，就要求认证者严格保护客户利益，坚决不做影响他人合理使用网络的事情。

摘要：这篇文章写于2002年，宽带接入是当时电信运营商提升ARPU的重要手段，ADSL扩容如火如荼。当时提出的宽带安全接入的安全需求目前体现在了多种电信接入设备上。文章见： “安全的宽带接入” 赵粮，裘晓峰，《信息安全与通信保密》2002年第11期，总23期，p41－p42

1 安全的宽带接入

宽带小区迅速出现，已经成为大中城市居民接入互联网的一种重要形式。例如，当前北京、深圳、广州、杭州、成都等城市都已经出现多家运营公司争抢建设宽带小区的现象。网络化社区也正在成为房地产商一个重要的宣传提升点。可以预见，随着大量新的居民小区的建设并投入使用，以宽带形式接入城域网的用户会大量增加。并且，该类网络用户普遍受教育文化程度偏高，网络消费较高，对网络服务质量也要求较高。“安全”就是网络服务中的一个重要卖点。

宽带接入有多种形式，例如ADSL、ISDN、Cable Modem、以太网等。其中，ISDN出现最早，但是由于电信市场策略的问题，迟迟没有启动，到现在已经错过了时机，并且ISDN的接入设备较为繁杂，也为用户的选用增添了困难。ADSL、Cable Modem形式上最为抢眼，媒体上也出现大量的讨论文章。由于体制和历史原因，技术和运营商出现了紧密地联系。一般说，电信公司推广ADSL，广电公司推广CableModem，新型的宽带公司推广以太接入的格局。

当前值得注意的是随着宽带城域网（MAN）的出现，越来越多的居民小区选择以太网布线来作为宽带接入手段。由于以太网设备的技术成熟和价格优势，使得这种方案在成本上面、用户的易用度等方面都占据了上风，尤其是在统一规划的、较为规范的新型居民小区中。

2 网络安全问题

宽带接入为互联网带来的影响是深远的。更多的用户可以更为快捷地使用互联网，可以开展更为广泛的网络业务，例如视频点播（VOD）、远程教育、远程医疗等。宽带接入的出现也直接催生了SOHO的相关需求。但是，宽带接入也使得互联网更加脆弱。

原本温柔的小溪都变得汹涌的时候，我们需要更为坚固的堤岸

去年广泛的DDOS攻击为互联网的安全问题敲响了警钟。大家都明确地体验了这种“流量聚集”的威力。笔者呼吁所有的领导层和系统管理员都重视网络安全问题，保护自己就是保护互联网；笔者四处鼓吹“整体安全”的概念。当前各个电信公司、银行、证券公司、专业网络等都开始意识到了安全的意义，应该说这是整个业界努力推动的成果。

但是，笔者非常忧虑的看到商业网络安全水平的提升带来的整体安全进步很有可能会被迅速出现的、更加脆弱的宽带接入网络所抵消，甚至变得更为脆弱。

现在，笔者发现另外一个市场已经悄悄的出现了。那就是宽带小区的网络安全市场。

从去年开始，SonicWall[1], Cisco, 3Com[2], D-Link[3]等大小公司都开始推出面向宽带接入的网络安全产品。到现在为止短短一年左右的时间里，SOHO一词响遍互联网，SOHO网络安全产品竟变得琳琅满目。这些产品的特点是功能全面（路由器、Modem、集线器、防火墙、入侵检测）、外观小巧等，价格在100 ~ 600$之间。

宽带小区网络安全需求的特点是：不具备统一的安全策略，使用者网络技术水平不一，非常关心价格因素，URL过滤、反病毒等内容安全要求较为强烈。。。

但是，国内的产品研发相对来说滞后了产不多一年的时间。虽然年前有关嵌入式系统的讨论日炽，但至今尚未见国产SOHO的安全产品出现。但很明确的是这个市场已经在快速的孕育中了。

这个出现的市场应该引起国内安全界的注意。它具有自己的特点，我们不能仅仅使用原来的产品和解决方案就能来满足它的需求。

图1：单用户方案

3 解决方案

可以看到，当前的面向接入用户的网络安全产品集中在ADSL上面，并且主导思想是每个用户使用自己的接入安全设备（一户一机）。安全产品按照小家电模式销售，产品直接卖到最终用户手中。应该说，这是一种较为灵活的解决方案。可以几乎无限制的扩大规模。但是面临的问题是较高的造价成本和较为复杂的售后服务问题。

注意，另外的一种解决方案就是软件个人防火墙方案。这种方案布署灵活，成本较低，例如安氏新近推出的PCDefender就集成了个人防火墙和个人IDS 两种最主要的安全功能。但是个人防火墙方案也存在不足，例如对使用者的技术水平要求较高，占用系统资源，可能引起与其它应用程序的冲突而导致系统不稳定。

图2：集中式设备、个性化策略方案

另外的一种思路是集中安装、管理的安全解决方案。每个家庭中没有独立的安全设备，安全设备安装在小区的网络中心，有管理员统一管理。但是，每个用户可以自主控制自己的网络访问策略，小区为用户提供较为直观的模版和缺省安全策略服务。特别是在综合布线的以太网小区这种方式具有成本和管理方面的优势。

但是，值得注意的是当前的主流防火墙设备几乎全部没有类似的功能设计：每个用户（端口）可以按照自己的愿望设置安全策略。

这里，考虑到小区用户之间可能存在的攻击等安全威胁，需要做到所有端口之间的访问在缺省方式下是被禁止的（端口之间的隔离可以依靠布线系统的交换机的 VLAN功能来实现），而用户可以自己定义允许访问自己的用户（地址）、允许进出的信息内容等。这为我们的安全设备提出了新的挑战。

——————————————————————————–

* [1] http://www.amazon.com/exec/obidos/ASIN/B000040P1X/ref=pd_sbs_e_2/104-8228550-4651126
* [2] http://www.amazon.com/exec/obidos/ASIN/B00004Z9PO/qid=985071929/sr=1-2/ref=sc_e_3/104-8228550-4651126
* [3] http://www.amazon.com/exec/obidos/ASIN/B0000504DH/qid=985071929/sr=1-1/ref=sc_e_2/104-8228550-46511