各位领导、各位专家、业界的同仁大家早上好，我是殷康，专门负责电信运营商的NGN架构师，大家可能注意到CISCO的标记换了，我们的口号也换了，叫做“新网络，人为本”，很大的改天是什么呢?IP网络已经不单单是连接机器与机器冷冰冰设备之间的网络，而是连接人与人、成就人事业的一个网络，根本改变了我们的生活、学习、工作的一个网络，所以我们在做网络设计的时候就要考虑到人的需求。今天讨论网络安全，毫无疑问是有关人很重要的一个方面。

　　今天跟大家交流一下在做IP NGN的安全架构是什么样。今天来了很多政府官员和做安全策略的官员，稍微给大家介绍一下。美国从“911”开始对核心的基础的重要性做了一个研究，有很多领域，其中最重要的一个领域就是电信的基础建设。大概有8各行业被美国政府认为是核心的基础建设，包括交通、政府的设施、电信网、通信网、水、银行等等，所有这些垂直的行业都需要依赖于电信网、IP网，所以IP网的影响确实比较大。美国政府专门对IP网络做了一个国家级的策略，发生恐怖主义应该有哪些应急的措施，从国家的层面来说应该有哪些优先级别。政府需要跟私营企业，要依赖于市场的机制和创新力量合作，大家携起手来共铸一个安全的网络，我想这也有利于我们中国构筑安全网络方面的一些需求。

　　今天我们讲信息的安全和网络的安全很大的原因是什么呢?是我们面临一个全新的网络技术，大家原来可能都是做通信的，我本人也是做交换机开发的，包括在东南亚，7、8年前来思科做IP和电信网的设计，一个情况大家都所知道，原来我们熟悉的交换网、电话网和我们现在看到的网完全不一样，原来的网所有人是设计应用、设计功能，而现在显然IP这样的网络是完全不一样的概念了，就像我们刚才说到的IP网络带来一个很大的灵活、开放性，使我们每一个人都成为网络的主人，可以在网络上设计应用、可以在网络上成就他的事业，这是一个很大的不一样，用户也是多方面的，从这个角度来说给我们提供了很大的一个安全问题，IP网络是管理物理安全的一个网络，在物理层上可以把资源隔离好就完了，但我们现在面临的下一代网络是完全不一样的，从这点来说有两点值得我们思考。一方面，我们绝对不能用传统网络的观念或者安全的观念考虑现在的网。另外，我们不能用传统的管理、控制来管理新的网。另外，我们面临的安全挑战也是新的，所需要采用的安全技术也是新的。所以必须采用新的策略、新的技术、新的思维来做这件事情，这已经是一个现实。

　　我们可以看到电信运营商建了一张网以后已经面临着很大安全的挑战，电信运营商对一些关键的业务基本上还缺乏足够的安全保护措施，我们经常会看到被攻击的现象。对这个网的流量、流向也是缺乏了解的，所以有很多端到端的资源、业务、带宽被盗用。特别是在中国这样的国家，网民越来越多，跟国际上相比中国互联网受到的攻击也在上升，DDOS攻击令网络服务瘫痪，这样就有可能影响我们网络的基础建设，特别是是攻击的量越来越大，从1G到2G到现在的10个G，这是我们遇到新的挑战。这里面有各种的攻击情况，所以这是电信运营商面临的新挑战。

　　我们重点关键业务属性是什么，一般运营商要对业务有一个可控、可查的要求，关键是这些业务都能够持续的盈利，根据这些要求我们来设计安全策略，一个非常现实的问题在IP网上面，不是一个安全的策略、或者一个安全的产品或者一个措施就能把所有安全的问题都解决，这需要我们长期思考、长期建立策略、长期进行保护和建设的网关。从这个角度来说，运营商的安全策略和安全的蓝图一般要考虑一些实际、有效的措施，把关键重点的业务需求做好安全规划，这些规划必须得到有效实施，也必须有相对的灵活性，也要对运营商的网络进行分析，针对不同的分析要有不同的解决方案和策略，这必须经过我们认真的思考来全面考虑所谓安全的解决方案，这是我们一直在谈的未来走向。从这个角度来说运营商应该把挑战变成他盈利、业务的目标，把安全服务变成可盈利的解决方案推给我们的最终用户、推给企业，这也是运营商非常期待的一个事。

　　从这些角度来说我觉得运营商已经开始对网络的安全观念有所改变，以前都是出了事以后想办法补救，到现在建立预警或快速响应的机制，原来互联网业务都是开放的，都是这样认为的，觉得管不了，到现在IP网络怎样平衡，由单点安全问题变成整体的安全思考，不是一台机器出现安全的漏洞、安全的事故，而是从整体方面解决安全整体策略。所以我们看到安全的解决方案不断的从单点解决方案变成一个整体的解决方案，最还会变成可盈利的业务，这是我们希望看到的。

　　尽管安全的解决按很多，但运营商在建IP NGN的时候需要一个比较清楚的基础构架背景，不能说等出了事以后再解决，我们认为可能要考虑三个方面。第一，想办法把IP建设的网智能可控，既要保证用户正常操作，还要让网络中所有的流都是可控的。第二，到底网络里面的流量是怎样的情况，流量的分布是怎么样、流向怎么样，所有用户跟流量的关联、关系怎么样，我们都需要看到。也就是网络的各个层面都是可见的。第三，你要想办法智能可、立体检测。从这些角度来说运营商的安全其实不是一个单点的产品、一个应用软件就能解决的，我们看到的问题需要一个整体架构来解决运营商安全问题，首先要对网可视，一体检测，各个层面能够做清理、做分类，从这个基础上做到可控，这里面有一些支柱性的解决方案，包括怎么解决身份验证的问题，使我的网络在某种角度上做到可以被检测，然后使得这个网能够智能可控，这就需要跟我们的业务设备在某种角度上有一些关联和偶合，从而增强控制能力。另外还需要进行隔离，当然再一个IP网上，就更需要一个新的措施如果发现故障把损失缩小到最小。

　　专题：第二届中国电信行业信息安全论坛