电信行业全业务运营时代的网络安全

network

电信行业全业务运营时代的网络安全

一、            全业务运营时代的下一代电信核心网络架构 随着中国电信行业重组完毕，以及3G的商用，中国的电信、移动和联通三大电信运营商开始了其全业务运营的时代。 在全业务运营的时代，电信运营商们都能够经营话音、数据和视频通信，相互之间的竞争正在从过去的通信接入方式的竞争，逐步转变成为未来如何更好地为客户提供服务的竞争上去。而这个“如何更好地为客户服务”对于电信运营商而言，本质上就是业务的竞争。客户考察运营商不再是他能够提供什么通信方式（固话、手机还是其他什么），而看重的是能够为我提供什么服务？如此一次，电信运营商们必然会不断地推出各种各种的业务，不限于话音、短信、彩铃、手机报、WAP、手机电视、手机购物、手机游戏……。可以想象，未来运营商之间必然会在业务层面大打出手，而新的业务形态和业务模式会层出不穷。而这些新的业务需要强有力的计费模式、服务质量作为保障，推出新业务的速度也要更快、更灵活。 在这种发展趋势之下，电信运营商的核心业务网络必然要进行改造以适应未来的竞争，一个很大的趋势就是IMS（IP 多媒体子系统，IP Multimedia Subsystem）。 IP 多媒体子系统 (IMS) 是一组规范，描述用于实现基于 IP 的电话和多媒体服务的下一代网络 (NGN) 体系结构。IMS 定义了一个完整的体系结构和框架，允许在基于 IP 的基础设施上对声音、视频、数据和移动网络技术进行聚合。它填补了两个最成功的通信范式（移动电话和 Internet 技术）之间的空白。您是否想像过某天可以这样，无论您在何处使用 3G 手持设备，都能够在网上冲浪、玩网络游戏或参加视频会议？这正是 IMS 的远景：提供对 Internet 提供的所有服务的移动接入。 参见这里，可以比较容易地对IMS有一个非专业的了解，包括这幅分层的IMS架构图： IMS最重要的地方就是对用户而言实现了接入网络方式的融合，使得用户之间无论何时何地可以使用任何方式进行通讯。对于运营商而言，后台能够支撑这种用户体验，实现有效的计费、通讯质量保证，并能够快速推出新业务，而不必关心业务的使用方式。对于业务开发者而言，不必了解电信网络领域的各种复杂技术，而只需要懂得IP和IT技术。也因此，未来的IMS业务将会大量采用SOA技术。而在技术上，则以IP网络为核心。 还可以参见这篇文章，而这篇文章则比较技术性的对IMS进行了简要介绍。 目前，国内已经开始了IMS的部署，包括移动、联通等，都纷纷开始的试点，例如移动的CM-IMS。国外，则更是如火如荼，包括Verizon，法国电信等，例如Verizon的A-IMS。关于国内外IMS发展的动态，可以参见这篇文章。 二、            全业务运营时代的网络安全 在全业务运营时代，IP网络安全问题将更加突出，网络安全保障更加重要。 对于电信运营商而言，网络安全会在两个情景下用到： 1)        对于运营商所服务的客户而言，未来运营商提供的大量服务都将是基于IP的，因而会将网络安全技术作为一种增值服务提供给用户。实际上，现在也是如此，但是这块业务基本还没有做起来，都处于试验阶段。相信，未来全业务运营时代运营商在网络安全增值服务的提供上会更加成熟、有价值，另一方面用户业务越发体会到这类服务的重要性而有更强烈的内在需求。 2)        对于运营商自身而言，由于核心网络都IP化了，因而会更加重视自身网络安全的建设。在现在，支撑网是IP化的，因而大部分网络安全技术都是针对支撑网的（例如电信的DCN，移动的MDCN等等）以及上面的MBOSS系统（服务客户有客户支撑系统Business Support System；管理网络有运营支撑系统Operation Support System；提升内部管理效率有管理支撑系统Management Support System，统称MBOSS）。目前，我们经常说到的电信行业的网络安全市场基本上都是指这一块。当然，电信行业现有一些基于IP的业务也存在应用网络安全技术的可能性，例如移动的新业务网络，但是由于涉及到核心网，在网络安全建设方面一般都趋于保守。 由上可见，在全业务运营时代，除了已经涉足网络安全的领域会得到增强外，最大的增加出来的一块领域就是核心网。在IMS时代，核心网的网络安全将会及其重要。由于IMS的架构分层与现在的网络分层是不一样的，IMS打穿了传统的核心网、支撑网、承载网、接入网、终端等等环节，因而IMS的安全十分重要。 对此，Verizon的A-IMS有独到的考量。A-IMS在继承IMS的基础上，提出了很多与网络安全相关的内容，尤其是提出了要建立一个安全的总控中心（SOC）的思想。这篇论文比较详细地说明了A-IMS的安全性增强的几个方面。下图是A-IMS的架构示意图，可以看到有个安全管理模块。 三、            小结 可以肯定，全业务运营的电信时代是一个IP时代，IP网络安全技术将更加深刻地植入到电信网络之中。 放眼看来，传统封闭的网络都将走向IP化，或者至少是极大程度的依赖IP网络，电信网络如此，民航通讯指挥网络也会如此，而广播电视网络亦将如此，甚至物联网也要如此。呵呵。只要有IP网络，就存在网络安全。

network

电信行业全业务运营时代的网络安全（续）
补2009年11月18日 00:46:24
在上一篇文章中，我主要研究了一下下一代电信网络、尤其是核心网络的安全应用问题。主要是IMS架构下的安全应用。
在传统的电信网络安全中，OSS支撑系统的安全问题一直都是十分重要的，在下一代电信网络架构，包括IMS中，OSS安全依然十分重要，并且很长时间都会是安全应用的主要领域。
如果要了解未来OSS将如何应用安全，会呈现什么新的特征，就必须先研究一下未来的OSS会是一个什么样子。
这篇文章有一个对OSS未来建设方向的探讨，尤其是“原有网络运行中心（NOC）要按业务导向的模式分步骤改造成业务运行中心（SOC）”的观点让我很感兴趣。不 过，这里的SOC不是Security Operations Center，而是指ServiceOperations Center。我可以理解为至少是融合了网络与安全的运营中心，并且是面向业务（服务）的运营中心，与我们的SOC2.0具有可比性。
而这篇亿阳信通的总裁任志军写的文章中 则在MBOSS的基础上又提出了一个SSS（ServiceSupport System，业务支撑系统）的概念。这里的SSS与前文提及的SOC很类似，第一个S都是Service，叫做“业务”（因为Business已经被用了），而后面的SS和OC其实是一回事。这里的SSS强调的重点是“业务”（Service），在网络安全和ITIL中就用Business表示。
所有这一切都表明，下一代的电信网络支撑系统一定是一个具有面向业务特征的网络和系统，因而安全作为该系统的必要组成部分也必须具备面向业务的特性，这与未来网络和安全管理发展方向是一致的。