隨著萬物互聯(lián)新時代的到來，網(wǎng)絡和信息安全已經(jīng)成為產(chǎn)業(yè)發(fā)展不可忽視和回避的重要問題，中國聯(lián)通高度重視網(wǎng)絡安全能力建設(shè)，不斷完善網(wǎng)絡保障和服務體系，積極助力國家網(wǎng)絡與信息安全發(fā)展戰(zhàn)略。分析了中國聯(lián)通面臨的總體安全形勢，提出了“全方位、高智能、重演進、大生態(tài)”的網(wǎng)絡安全總體發(fā)展戰(zhàn)略，介紹了頂層設(shè)計、網(wǎng)絡安全能力構(gòu)建、演進安全能力保障和安全生態(tài)體系建設(shè)等方面，最后對中國聯(lián)通的網(wǎng)絡安全實踐和經(jīng)驗進行了探討。

0

引言

隨著5G、物聯(lián)網(wǎng)、人工智能等新技術(shù)新應用的發(fā)展，社會正邁入萬物互聯(lián)、萬物智聯(lián)的大數(shù)據(jù)時代。數(shù)字化、泛在化和智能化等創(chuàng)新技術(shù)不斷涌現(xiàn)，給社會和經(jīng)濟發(fā)展帶來巨大助力的同時也催生了前所未有的管控難點和安全威脅。當前，我國政府對于網(wǎng)絡與信息安全的重視程度日漸提升，保障網(wǎng)絡與信息安全已經(jīng)成為實現(xiàn)“網(wǎng)絡強國”“互聯(lián)網(wǎng)+”等國家戰(zhàn)略的基石。對國家而言，安全不是消費品而是軍備品；對企業(yè)而言，安全不是可選項而是剛性需求；對用戶而言，安全不是奢侈品而是日用品。在這一背景下，政府相關(guān)部門正著手積極推動政策落實，而以網(wǎng)絡運營商為代表的產(chǎn)業(yè)鏈各方加大技術(shù)創(chuàng)新力度，以技術(shù)為突破，助力我國網(wǎng)絡安全水平的提升。

1

運營商面臨的網(wǎng)絡安全形勢分析

1.1 網(wǎng)絡安全上升為國家戰(zhàn)略

面對復雜嚴峻的網(wǎng)絡安全形勢，數(shù)十個國家已頒布網(wǎng)絡空間安全國家戰(zhàn)略，我國也高度重視，將網(wǎng)絡與信息安全上升到國家安全戰(zhàn)略高度。2014年2月27日中央網(wǎng)絡安全和信息化領(lǐng)導小組成立，著眼國家安全和長遠發(fā)展，統(tǒng)籌協(xié)調(diào)涉及各個領(lǐng)域的網(wǎng)絡安全重大問題，研究制定網(wǎng)絡安全發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策。2016年4月19日，******在網(wǎng)絡安全和信息化工作座談會上強調(diào)：“網(wǎng)絡安全是事關(guān)國家安全和發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。建設(shè)網(wǎng)絡強國，要有自己的技術(shù)，有過硬的技術(shù)”。2016年11月7日網(wǎng)絡安全法正式發(fā)布，標志著網(wǎng)絡安全將有法可依，同時信息安全行業(yè)將由合規(guī)性驅(qū)動過渡到合規(guī)性和強制性驅(qū)動并重。網(wǎng)絡運營商作為信息化主力軍，必須貫徹執(zhí)行國家有關(guān)網(wǎng)絡安全的政策，制定完備的網(wǎng)絡安全發(fā)展戰(zhàn)略，保障網(wǎng)絡與信息的安全。

1.2 攻擊手段和規(guī)模不斷升級

由于政治、經(jīng)濟等方面原因，計算機病毒以及網(wǎng)絡安全漏洞的數(shù)量與日俱增，網(wǎng)絡攻擊手段不斷升級，基于社會工程學的APT攻擊方法越來越隱蔽，分布式攻擊的規(guī)模越來越龐大，一旦爆發(fā)預埋或0day攻擊，很難提前預警和快速響應；攻擊模式由單打獨斗的個人炫技向團隊作戰(zhàn)的黑色產(chǎn)業(yè)鏈轉(zhuǎn)化，詐騙電話、信息盜取、DDoS攻擊等活動頻繁，我國每年由此遭受的經(jīng)濟損失近千億元；攻擊目標升級，呈現(xiàn)戰(zhàn)爭化趨勢，國家級重點信息系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施已成為跨國網(wǎng)絡攻擊主要目標，攻防兩端對抗加劇。

運營商的信息通信網(wǎng)絡設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是企業(yè)乃至國家和社會信息化、互聯(lián)網(wǎng)正常發(fā)展的重要基礎(chǔ)，同時也是網(wǎng)絡攻擊的重點目標，因此必須加強技術(shù)創(chuàng)新來滿足運維需求，做好網(wǎng)絡與信息的安全防護。

1.3 網(wǎng)絡和技術(shù)演進帶來新挑戰(zhàn)

隨著5G、SDN等新技術(shù)的快速發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)應用的落地，IT、CT技術(shù)與行業(yè)應用深度融合驅(qū)動網(wǎng)絡架構(gòu)深刻變革，導致網(wǎng)絡安全邊界進一步模糊，網(wǎng)絡協(xié)議更加通用，業(yè)務邏輯更加復雜，因此難以制定統(tǒng)一的網(wǎng)絡安全防護策略。

對運營商來說，企業(yè)互聯(lián)網(wǎng)化轉(zhuǎn)型升級戰(zhàn)略的推進、創(chuàng)新業(yè)務的開展、用戶規(guī)模的增長、平臺的開放以及數(shù)據(jù)量的爆發(fā)式增長導致網(wǎng)絡安全的內(nèi)涵和外延發(fā)生了很大變化，運營商面臨前所未有的挑戰(zhàn)和威脅，迫切需要建立維護網(wǎng)絡安全的長效機制，確保網(wǎng)絡及業(yè)務的安全、完整、可用，為企業(yè)發(fā)展保駕護航。

1.4 市場發(fā)展機遇向好

受世界各國網(wǎng)絡安全戰(zhàn)略和政策出臺，以及云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等創(chuàng)新技術(shù)和業(yè)務逐漸成熟等因素的影響，全球網(wǎng)絡安全市場蓬勃發(fā)展。據(jù)權(quán)威機構(gòu)Gartner預測，到2020年全球網(wǎng)絡安全市場規(guī)模將超過千億美元，而中國將成為全球網(wǎng)絡安全市場增長最快的區(qū)域，預計未來5年網(wǎng)絡安全市場年復合增長率將超過13%。

隨著國家對網(wǎng)絡安全管控力度的加大，信息資產(chǎn)重要性得到了提升，重大安全事件使用戶安全意識得到了強化。據(jù)調(diào)查統(tǒng)計，超過三分之二企業(yè)高層將安全視為最優(yōu)先考慮的問題。由于大部分企業(yè)自身不具備安全防護能力，希望運營商在提供網(wǎng)絡資源的同時也能提供安全保障。網(wǎng)絡運營商可利用當前市場機遇，將網(wǎng)絡與信息安全能力轉(zhuǎn)化為安全服務和產(chǎn)品，形成市場競爭新優(yōu)勢，促進自身發(fā)展。

2

中國聯(lián)通網(wǎng)絡安全戰(zhàn)略

在政策、技術(shù)、業(yè)務和市場的共同驅(qū)動下，中國聯(lián)通以國家對網(wǎng)絡信息安全的總體要求為綱領(lǐng)，以打造五新聯(lián)通、聚焦創(chuàng)新、合作發(fā)展為主旨，提出了全方位、高智能、重演進、大生態(tài)的網(wǎng)絡安全總體戰(zhàn)略。全方位是指建立云、網(wǎng)、端協(xié)同聯(lián)動，技術(shù)與管理互相促進的端到端安全防護體系；高智能是指充分利用大數(shù)據(jù)、人工智能等創(chuàng)新技術(shù)，建設(shè)全面感知、精準處置的決策響應中樞，實施積極主動的防御模式；重演進是指提前布局5G、SDN等新技術(shù)新業(yè)務安全研究，積極探索下一代安全防護關(guān)鍵技術(shù)，重構(gòu)未來網(wǎng)絡的安全能力；大生態(tài)是指在產(chǎn)業(yè)合作方面充分利用運營商的管道和資源優(yōu)勢，向合作伙伴開放安全能力和實踐經(jīng)驗，聯(lián)合產(chǎn)業(yè)上下游，協(xié)同構(gòu)建網(wǎng)絡安全新生態(tài)。

2.1 全方位的防護體系

我國網(wǎng)絡安全防護已經(jīng)上升到由國家統(tǒng)一籌劃、綜合防護的戰(zhàn)略高度。對于企業(yè)來說，網(wǎng)絡安全是整體的而不是割裂的，動態(tài)的而不是靜態(tài)的，開放的而不是封閉的，因此迫切需要改變單靠技術(shù)維護的低層次單一運行模式，樹立動態(tài)防護、綜合管理的理念，加強頂層設(shè)計和網(wǎng)絡安全管理機制建設(shè)，將獨立分散的安全系統(tǒng)納入統(tǒng)一管理和總體規(guī)劃的安全體系架構(gòu)中，建立自上而下的網(wǎng)絡安全防護保障體系。

建立全方位的安全防護體系，要以實現(xiàn)縱深化、智能化的技術(shù)保障和制度化、閉環(huán)化的管理支撐為目標，不斷夯實端管云技術(shù)保障基礎(chǔ)，提升智能化的運營和管理支撐能力，完善組織架構(gòu)和機制建設(shè)。中國聯(lián)通網(wǎng)絡安全體系架構(gòu)如圖1所示。

圖1 中國聯(lián)通網(wǎng)絡安全體系架構(gòu)

作為基礎(chǔ)網(wǎng)絡提供商和特大型中央企業(yè)，中國聯(lián)通高度重視網(wǎng)絡安全能力建設(shè)，建立了較為完善的安全研究、運維和服務體系，在終端加密、網(wǎng)絡防御、數(shù)據(jù)保護、應用審計等方面提供了多項安全服務，已經(jīng)完成12大安全系統(tǒng)的建設(shè)和運營，形成了從終端、網(wǎng)絡安全到業(yè)務內(nèi)容安全的全方位安全保障?，F(xiàn)網(wǎng)具備了異常流量清洗、僵尸木馬監(jiān)測、移動惡意程序監(jiān)測、網(wǎng)絡安全態(tài)勢感知、安全配置基線和漏洞管理等多種安全防護和服務能力。中國聯(lián)通12大安全系統(tǒng)如圖2所示。

圖2 中國聯(lián)通12大安全系統(tǒng)

2.2 高智能的決策大腦

******在網(wǎng)絡安全與信息化會議上談到“要加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡安全態(tài)勢，增強網(wǎng)絡安全防御能力和威懾能力”。企業(yè)現(xiàn)有的安全系統(tǒng)大都獨立建設(shè)、運營，缺乏集中調(diào)度、全網(wǎng)感知及聯(lián)動處置能力。面對新的網(wǎng)絡安全攻擊形勢，企業(yè)要有應對網(wǎng)絡安全新風險的技術(shù)，推動協(xié)同聯(lián)動的網(wǎng)絡安全主動防御體系建設(shè)，具備網(wǎng)絡安全威脅實時檢測、全面感知、預警防控的能力，實現(xiàn)對安全威脅態(tài)勢的整體把控。具體來說，要積極主動地防御，充分利用人工智能、大數(shù)據(jù)等創(chuàng)新技術(shù)，建立安全中樞，對網(wǎng)絡安全風險及時響應、集中分析、全面感知、精準處置，。

為實現(xiàn)這一戰(zhàn)略目標，中國聯(lián)通加大自主創(chuàng)新力度，聚焦大數(shù)據(jù)、人工智能、自動化、可視化等技術(shù)，自主研發(fā)構(gòu)建“網(wǎng)絡安全態(tài)勢感知”“網(wǎng)絡資產(chǎn)安全閉環(huán)管理”“網(wǎng)絡基線安全自動核查”三大安全系統(tǒng)，已初步具備了智能化、自動化的安全運維能力，能夠為用戶提供各種監(jiān)測告警、防護處置、評估咨詢服務。

2.2.1 中國聯(lián)通網(wǎng)絡安全態(tài)勢感知平臺

為解決現(xiàn)有網(wǎng)絡安全系統(tǒng)部署獨立分散，難以實現(xiàn)安全風險預警和聯(lián)動處置的問題，中國聯(lián)通結(jié)合大數(shù)據(jù)、可視化、人工智能技術(shù)，研發(fā)了網(wǎng)絡安全態(tài)勢感知系統(tǒng)。該系統(tǒng)統(tǒng)一收集、分析挖掘和呈現(xiàn)全網(wǎng)多個安全系統(tǒng)數(shù)據(jù)，實現(xiàn)對多維度安全風險事件和風險的關(guān)聯(lián)解析與感知，形成中國聯(lián)通網(wǎng)絡安全威脅情報庫，實現(xiàn)智能化安全運維。中國聯(lián)通網(wǎng)絡安全態(tài)勢感知平臺如圖3所示。

圖3 中國聯(lián)通網(wǎng)絡安全態(tài)勢感知平臺

2.2.2 中國聯(lián)通資產(chǎn)安全管理平臺

中國聯(lián)通為解決資產(chǎn)安全管理問題，研發(fā)了網(wǎng)絡資產(chǎn)識別與安全管理系統(tǒng)，自動發(fā)現(xiàn)識別網(wǎng)絡資產(chǎn)的變化情況和設(shè)備的異常操作，及時準確地定位風險源頭，從而徹底排查整改，實現(xiàn)對自有網(wǎng)絡資產(chǎn)的安全閉環(huán)化管理，同時向外部用戶提供網(wǎng)絡安全評估服務。中國聯(lián)通資產(chǎn)安全管理平臺如圖4所示。

圖4 中國聯(lián)通資產(chǎn)安全管理平臺

2.2.3 中國聯(lián)通網(wǎng)絡安全基線核查系統(tǒng)

中國聯(lián)通網(wǎng)絡基線分析核查系統(tǒng)的研發(fā)是結(jié)合國家安全要求和中國聯(lián)通網(wǎng)絡運營特點，基于自主化統(tǒng)一的核查標準，通過多級化的部署，提高核查效率和精準度，降低了一線安全運維成本。中國聯(lián)通網(wǎng)絡安全基線核查系統(tǒng)如圖5所示。

圖5 中國聯(lián)通網(wǎng)絡安全基線核查系統(tǒng)

2.3 重演進的提前布局

大數(shù)據(jù)、智能化、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算等新技術(shù)、新業(yè)務帶來了新的安全風險和挑戰(zhàn)。對于運營商來說，除了傳統(tǒng)安全問題外，5G、物聯(lián)網(wǎng)、SDN、人工智能等新技術(shù)、新業(yè)務的快速發(fā)展，還可能引入未知威脅，因此，新技術(shù)可能會重構(gòu)現(xiàn)有安全能力和服務模式，對安全防護能力提出新的需求。目前運營商針對網(wǎng)絡演進安全的研究仍處于積累階段，前瞻研究不足，落后于網(wǎng)絡演進速度，需要充分發(fā)揮新技術(shù)優(yōu)勢，做好網(wǎng)絡的平滑升級演進。具體來說，運營商要在研發(fā)布局上重點關(guān)注5G、物聯(lián)網(wǎng)等網(wǎng)絡創(chuàng)新技術(shù)和業(yè)務的安全，同時深入開展量子加密、區(qū)塊鏈等前瞻安全技術(shù)研究，積極參與國際標準的制定，探索自主可控的創(chuàng)新技術(shù)，重構(gòu)未來網(wǎng)絡的安全能力。

中國聯(lián)通重視5G、物聯(lián)網(wǎng)、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)新業(yè)務安全以及網(wǎng)絡演進安全，為此進行了技術(shù)儲備并提前布局。在技術(shù)研究方面發(fā)布了《物聯(lián)網(wǎng)安全技術(shù)白皮書》，提出了“3T+1M”的物聯(lián)網(wǎng)安全總體架構(gòu)，從終端、網(wǎng)絡、云端和智能運維等多個方面提出安全能力要求和解決方案，打造全方位的安全保障體系；參與發(fā)布了《5G網(wǎng)絡安全需求與架構(gòu)白皮書》，劃分了安全管理域，提出了域內(nèi)域間安全能力要求，并針對5G異構(gòu)接入、云化和虛擬化架構(gòu)、網(wǎng)絡切片和能力開放等關(guān)鍵場景提出了相應的安全防護策略。在標準化工作方面，中國聯(lián)通積極參與，輸出內(nèi)部研發(fā)成果，編制了多項國際、行業(yè)標準。在安全能力建設(shè)方面，中國聯(lián)通將骨干網(wǎng)的安全防護能力向物聯(lián)網(wǎng)移植擴展，建設(shè)專門的物聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢感知、終端統(tǒng)一管控平臺，對安全威脅進行快速響應，實現(xiàn)更加細粒度的安全保障；針對5G通信云安全、流量采集、統(tǒng)一認證等的解決方案也正在標準跟蹤和測試驗證中。此外，中國聯(lián)通還積極聯(lián)合國產(chǎn)基礎(chǔ)軟硬件研發(fā)機構(gòu)、加密算法研究廠家，共同推動高自主可控數(shù)據(jù)中心的建設(shè)，保障國家關(guān)鍵基礎(chǔ)設(shè)施的安全。

2.4 大生態(tài)的的合作理念

網(wǎng)絡安全空間的建立需要發(fā)揮政府、高校、研究機構(gòu)、互聯(lián)網(wǎng)企業(yè)、國際組織等各種主體的作用，群策群力，通力合作。運營商要充分利用管道和資源優(yōu)勢，加大能力開放，整合產(chǎn)業(yè)資源，聚焦行業(yè)應用，聯(lián)合產(chǎn)業(yè)上下游，協(xié)同構(gòu)建網(wǎng)絡安全新生態(tài)。

中國聯(lián)通在安全生態(tài)的建設(shè)中采取“中國聯(lián)通+合作伙伴+行業(yè)客戶”的產(chǎn)業(yè)鏈深度合作模式，同多家單位建立了網(wǎng)絡安全戰(zhàn)略合作關(guān)系，與政、產(chǎn)、學、研開展多項合作，包括向政府提供安全服務、聯(lián)合高校成立網(wǎng)絡與信息安全聯(lián)合實驗室、與企業(yè)開展安全技術(shù)合作和產(chǎn)品研發(fā)、與研究機構(gòu)聯(lián)合開展多項國家重大課題研究，同時與多家國內(nèi)外標準組織聯(lián)合，開展安全標準項目合作。

3

結(jié)束語

由于具備了全網(wǎng)管道連接和流量匯聚優(yōu)勢，通信運營商在網(wǎng)絡安全防護中的作用會越來越大。中國聯(lián)通肩負網(wǎng)絡安全防護重任，將積極踐行央企責任，做好國家的通信網(wǎng)絡安全保障工作；加大創(chuàng)新核心科技的研發(fā)力度，推動自主可控的平臺建設(shè)；同時，繼續(xù)秉承開放合作的理念，充分利用運營商的網(wǎng)絡、品牌優(yōu)勢，與合作伙伴一起共筑網(wǎng)絡安全防線，為客戶提供定制化的安全專業(yè)服務，維護國家網(wǎng)絡安全，促進產(chǎn)業(yè)健康發(fā)展。