中国移动网络部戴忠解析 应对严峻的网络安全威胁

中国移动网络部副总经理　戴忠

·电信网络的全IP化的趋势对运营商就是一个很大的挑战，在这种情况下，网络的规划，网络的设计，网络运营各个环节都必须要充分认识到网络安全的问题。

　　·从发布安全漏洞到漏洞被利用进行攻击的时间已经越来越短。对于运营商来说，要不要升级操作系统和软件是一个两难的选择。

　　·在网络安全的问题上管理比技术更为重要，要一层层把管理工作做到实处。

记者：在2005中国电信业网络与信息安全的研讨会上，您的演讲中提到了中国电信业面临网络安全的挑战，那么您认为针对中国移动或中国六大运营商们面临哪些具体的挑战？对中国移动及其他运营商会有怎样的影响？

戴 忠：对于中国电信运营商来说，过去整个通信网是一个相对比较封闭的网络，由于是封闭的网络，外来的入侵攻击要进入是比较困难的。所以过去运营商不太关注或不太担心外来攻击对通信网的影响。现在随着技术发展，全IP出现以后，大家都知道IP网是一个OPEN的,开放的网络，现在整个电信业务的基础架构已经变成全IP来发展，这种开放网络带来的威胁显然要比过去的传统网络要大很多，攻击者能够在Internet的任何一点向运营商的网络发起攻击，所以现在网络攻击和来源都要比传统的网络大很多，所以电信网络的全IP化的趋势对运营商就是一个很大的挑战。

记者：一般人对网络信息安全的理解主要是基于互联网的一些安全问题，比如网络病毒等，在通信网络安全方面主要是指哪些问题？比如说手机病毒，或网络断网？

戴 忠：我认为手机病毒跟互联网上的病毒性质上是一样的。也就是说病毒的威胁是网络安全问题的其中一个方面，也是其中很重要的一个方面。另一个方面是网络的恶意攻击。病毒的传播也是一种恶意的攻击，但病毒的特征比较明显。攻击的目的是多种多样的，网络的攻击可能不是为了任何利益，就是要网络瘫痪，让网络造成拥塞，让网络不可用。过去网络攻击的意图就是黑客之间为了比试自己的技巧、技术，纯粹就是练练手，找个网络试试，这样运营商就倒霉了，成了他们的活靶子。现在这种攻击不排除有商业目的了。比如说运营商有一个数据库，他想非法进入，就要对口令密码进行猜测，这种对某个端口或服务器发起大量的查询式访问的猜测本身就是一种攻击。其目的就是为了获取资料，如果密码被破解了，可能整个数据都被盗取，就算密码没被破解。大量这种猜测性的访问也会影响到网络正常的运营能力。

记者：中国移动目前为止出现过哪些问题呢？这些问题是否都得到了及时有效的解决呢？

戴 忠：我在上次演讲的时候讲了两个例子，一个就是病毒的传播事件，叫狙击波病毒。这种网络病毒在日常的网络中经常会碰到。另一个方面就是我们所采用的设备存在着一些安全的漏洞，象微软、思科，都会不定期的发布一些设备的安全漏洞。比如微软发现他们的操作系统出现一个安全漏洞，他就会发布这个漏洞的安全预警。而从发布安全漏洞到这些漏洞被利用进行攻击的时间已经越来越短。对于运营商来说，要不要打补丁，要不要升级操作系统和软件是一个两难的选择。如果不升级，不装载安全补丁，就会面临黑客对这个漏洞的攻击。如果进行升级，中国移动的网络非常庞大，主机上万台，要对这几万台主机做软件的补丁升级，是一个巨大的工作量。同时，在升级补丁的过程中，还会带来新的风险，因为这些系统都是在线状态，都在为用户提供服务，一旦操作不慎，可能会造成停机，可能会阻断服务，如果组织不够严密，或工作时间安排的不够好，反而会破坏系统的正常运营，给用户的正常使用带来负面影响。所以运营商要妥善处理这些问题。

记者：这是不是表示当运营商遇到这些问题就不能保证及时有效的解决？

戴 忠：我认为这个问题要进行评估，安全这东西是永远没有边界的，一定要评估投入和产出比。安全问题不可能做到百分之百，如果要做到百分之百，可能投入是巨大的，而且从技术上讲也是不可能做到的。这就要评估所面临的安全问题的等级，如果风险很大就应该尽快采取措施，相反，如果风险不是很大，但是投入很大的时候，就要考虑是否晚一点采取措施或者只在局部和重要的地方先采取措施，而不能不分轻重全都上。

记者：你曾经提出网络安全是三分技术七分管理，这句话是否可以理解为在网络安全的问题上管理比技术更为重要？

戴 忠：我觉的应该是这样的，从技术上来讲，网络安全和网络攻击是一个矛盾体，以前进行网络攻击的人都有一定的网络知识背景，现在网络攻击技术已经越来越简单，只要从网上下载一个攻击软件就可以进行攻击。反过来讲，防火墙的技术以及这些检测设备水平也越来越高。这种魔高一尺道高一丈的斗争在不断的演绎着。我们可以不断提高技术上装备，但装备了这些技术，就能保证没有隐患吗？当然不是的，最终还是在人，还是靠人来维护这个网。比如入口令的问题，我们规定了入口令长度不能短于多少，这是非常简单的操作。可是如果执行的人没有按要求规程去做，就会留下潜在的风险。例如，现在的字典攻击码很容易就能猜中入口令，他们就可能潜入服务器，进入数据库拿走资料。所以我强调的就是技术装备是可以花钱买的，但是管理制度和人的素质那是一定要自己来提高。

记者：中国移动这么大的组织机构，您如何来保证中国移动的每一级机构都能落实好管理工作？

戴 忠：这当然是一个长期的过程，中国移动的员工素质很高，但是，如果没有相关的规章制度，他们也不知道要怎么去做。那么就需要一套规章制度、标准和流程体系。我们叫NISS，中国移动正在建立这样一个体系。当然，中国移动也绝对不是从零开始的，我们充分的借用拿来主义，参考借鉴国际上成熟的经验，成熟的标准。中国移动很大一部分是参照ISO17799的这样一个标准，以它为出发点，再结合相关咨询服务公司的经验，像摩托罗拉内部安全管理方面做的不错，在国内像华为也做的不错，我们在向他们学习，同时我们也与一些专业网络安全的公司进行交流，通过咨询项目的形式，或其他的形式向他们吸收一些好的经验和办法。完善到NISS的管理经验中去。不断充实NISS管理规定，完善各项要求工作流程。然后再培训我们的人员，让他们有规则可循。这样就能一层层把管理工作做到实处。

记者：现在网络技术发展越来快，随时都有新的问题出现，如果有问题出现了，中国移动的网络部是否有良好的应对机制来解决这些问题？

戴 忠：中国移动已经建立了一套网络安全应急体系。出现什么样的事件我们怎么样应对，在紧急的情况下我们应该采取什么样的措施，我们都有一系列的预案，都已经做好编制。比如说某一台服务器遭到攻击了，短期内解决不了，我们就会把这台服务器从网上把它隔断。诸如此类的措施我们分别设定了一系列的预案，基本上能涵盖这些应急性的工作。当然随着发展我们的工作也要不断的完善来应对日益更新的变化。