殷康：电信IP NGN的安全架构和策略

解决方案，最还会变成可盈利的业务，这是我们希望看到的。

　　尽管安全的解决按很多，但运营商在建IP NGN的时候需要一个比较清楚的基础构架背景，不能说等出了事以后再解决，我们认为可能要考虑三个方面。第一，想办法把IP建设的网智能可控，既要保证用户正常操作，还要让网络中所有的流都是可控的。第二，到底网络里面的流量是怎样的情况，流量的分布是怎么样、流向怎么样，所有用户跟流量的关联、关系怎么样，我们都需要看到。也就是网络的各个层面都是可见的。第三，你要想办法智能可、立体检测。从这些角度来说运营商的安全其实不是一个单点的产品、一个应用软件就能解决的，我们看到的问题需要一个整体架构来解决运营商安全问题，首先要对网可视，一体检测，各个层面能够做清理、做分类，从这个基础上做到可控，这里面有一些支柱性的解决方案，包括怎么解决身份验证的问题，使我的网络在某种角度上做到可以被检测，然后使得这个网能够智能可控，这就需要跟我们的业务设备在某种角度上有一些关联和偶合，从而增强控制能力。另外还需要进行隔离，当然再一个IP网上，就更需要一个新的措施如果发现故障把损失缩小到最小。

　　我们可以看出电信运营商的网络其实很难找到一个解决方案就可以把这些全部解决，这需要整体思考来整体考虑所谓的基础架构的问题。基于这样思考的理念，思科这些多年有各种不同小的机制、小的观点，其实这个IP的网络，大家可能有一个印象，QOS没有安全就不好，这是3、4年的印象，其实看近十年来应该说每一年IP技术上的创新都发展的非常快，基本上一年的创新就相当过去十年的创新，包括在安全上面也有很多、很多的机制和解决方案。比如说信用和管理的解决方案，IP网怎么溯源，不能非常极端考虑这个问题，因为一极端以后就有可能把用户完全绑死，这个网还应该有安全性、可扩展性，所以必须要对安全网有深刻认识的情况下才能提出一个很好的方案。其次对IP网怎么做到可视，很多人后来在讨论IP网我根本不知道怎么回事，但是很多路由的技术在五年前都有，但是我们问起来很多管理IP的人员基本上都没有相关的机制，所以我们应该把这些机制运用起来才会起到很好的保护作用。对网络的事件进行分析，使得网源的事件都相互关联。应用管理也是很大的事，这里面也有很多的机制，我就不一一介绍。区别隔离，我觉得在这一两年内，IP技术走向电信运营有很大的进步，我八年前到思科是从电信进去的，那时候还不能做到软件的升级换代，这种技术基本上是在近两三年才出现的，那个地方是面对物理层的管理，只需要管理物理层的通道，而在IP网上有控制层面和数字层面，不但控制层面需要CPU的功能，重要的是数字层面也同样需要CPU功能。三年前思科诞生了路由系统和路由软件，可以把里面很多资源进行虚拟划分和隔离，这样带来了很大的一个技术，叫做SDR。最后是策略，很重要的是在边缘的路由器上面要有智能机制。然后把这里面的很多机制联在一起，可以组成很多、很多的解决方案来应对你的安全问题。

　　思科就是主要由局部解决方案走向智能系统的体系架构这样一个过程，到最近两三年的趋势是使得整个IP网增强智能性，有一个自防御的功能。自防御系统也有三个阶段，把刚才讲到这么多的功能集成到一个模式里面，可以协同性的提供安全性的保护，使得网络有一种自适应式的防御能力，这是我们考虑的很重要的一个方案，而且一般大的运营商也采用了这种方案。

　　原来大家都知道IP网作为一个承载网，然后在上面加了一些端点设备，实际上我们是想把这些融合到IP网的技术里面去，这样就可以能够把安全机制跟网有一个协同，使得IP网有一个自我防御能力，我们任何时候都需要做安全工作，不是说不需要。我们更需要把这个形成一个通用的机制，然后融合到网络里面，再需要一些新的安全机制，然后再融合到网络中。这就是一个循环的框架，也是我们所希望的。思科能把这些结合起来变成智能的一个网络，这是思科提出的IP NGN的理念，我们更强调分离以后业务和承载怎样进行智能的偶合产生新的NGN的理念。

运营商提出了一些所谓安全的策略，把各个角度都覆盖以后还要对网络进行信任级别的划分，一般划分为三部分，一部分是非信任域;一部分是中间域;还有就是信任域比如OA网、DCN网等。我们分别进行实施网络解决方案，其中甚至你在某个IP包上有什么样的措施我们都有建议。宏观上的建议大概有这么三个内容，最大的问题应该说是Core/MAN，我们所做的就是流量分析和流量清洗，从而做到流量控制。如果对所谓的完全保护起来的