隨著云計算、大數據以及人工智能等網絡技術的迅猛發展和廣泛應用,網絡規模和復雜度也在急劇提升,加上網絡攻擊手段的多樣化、不可預測性和隱蔽性,這些都在不斷催生網絡風險向著多樣化、復雜化且難以預判的方向發展。放眼全球,近十年來,世界各地不斷爆出因斷網停服、機房失火、電力故障、網絡攻擊等而引發的重大網絡事故,對社會經濟和民眾生活造成了不同程度的負面影響,傳統的網絡防御理念面臨新的挑戰。在突發自然災難、新型網絡攻擊等無法準確預測和完全阻止的情況下,如何構建可以抵御故意攻擊、突發災難事故并實現組織使命和關鍵業務目標的韌性網絡成為新的探索方向。
按照NIST SP 800-160《Developing Cyber-Resilient Systems: A Systems Security Engineering Approach》一文的闡釋,具備安全韌性能力的系統應如同人體一樣運作,不僅可以隨時吸收一系列的環境危害,還具備良好的免疫系統來保護身體免受疾病侵害, 同時還具有自我修復能力,可以在免疫屏障被突破時從疾病和傷害中恢復過來。作為全球領先的綜合通信與信息技術解決方案提供商,中興通訊結合業界先進理論和多年網絡建設與運維的實踐,探索出了適合自身的高可靠、高韌性的網絡運行安全新方案,并結合產品與服務的安全策略,協同客戶共同構建新型網絡防御體系。
預防:對可能的災難、攻擊等不利事件保持充分準備狀態
中興通訊產品在規劃、設計、開發階段即考慮安全,并適時結合微隔離、主機入侵監測/防病毒和態勢感知等內生安全手段進行網元級的主動防護,在交付前已完成全面安全治理,實現上線即安全,并通過體系化的安全運維管理將安全控制要求無縫融入各類運維活動,實現全生命周期安全保障。
為積極應對不斷變化的網絡安全威脅與挑戰,中興通訊持續從網絡保護、設備負荷、業務性能、參數規范、運維質量、用戶感知和基礎設施七大維度搭建網絡畫像體系,對全球網絡風險進行可視化滾動評估,通過看網、講網方式積極向包含客戶在內的利益相關方傳遞并配合客戶意愿對風險進行合理控制。
考慮到人作為網絡安全中最脆弱的環節,中興通訊持續對其運維人員進行包含意識、技能、規范操作等在內的人員畫像,全方位了解個體安全狀況,精準管控人員風險,并圍繞三不(即不敢做網絡安全底線的觸及者、不能做網絡安全防線的突破者、不愿做網絡安全的破壞者) 指導思想,持續通過作業流程標準化、全場景操作工具化、風險操作遠程化等方式,引導員工嚴格遵循規范制度和作業要求,實現操作過程可監控、可管理,杜絕因人為原因導致的網絡運行安全事故。
抵御(免疫):盡管惡意攻擊、意外或不可抗事故等已發生,仍然繼續基本任務或業務功能
中興通訊產品在研發階段已考慮了開箱即用的默認安全,并會隨內外部威脅的變化定期采用基線配置、漏洞修復、端口/服務最小化、軟件白名單等方式盡力縮減攻擊面和收斂暴露面,持續提高產品的安全性和穩定性。在遭遇網絡攻擊或重大事故時,產品/網絡所規劃的多級冗余設計可以快速將業務遷移到其他節點或局點,實現業務快速接管。
針對復雜的虛擬化場景,以中興通訊核心網為代表的產品采用基于業務和數據分離的無狀態架構設計實現業務無損的資源彈性以保證業務連續性,并靈活應用虛機互斥、自愈、重生等策略和技術最大化遏制對系統或業務造成的損害或影響并及時完成故障自恢復。為有效應對網絡中的信令風暴,中興通訊采取入口網元端到端自動流控預防控制機制避免后端網元過載,從而建立防御信令風暴的堅實屏障。
恢復:在不利事件發生后按期恢復組織的核心業務
在遭受重大災難事故時,中興通訊核心網等產品依據所規劃的功能及時旁路故障網元,在損失少量業務能力的情況下最大限度地保障業務的連續性,實現降質逃生。極端情況下甚至能對通信連接進行熔斷,以降低網絡沖擊。因不可抗力導致的大面積公共通信應急事件發生時,現場工程師迅即與客戶聯動,靈活利用無人機、背包基站、游牧基站等快速恢復受災地區業務,同時高效利用物資響應綠色通道快速補給救災需求。對于嚴重網絡攻擊事件,安全專家會第一時間介入,指導現場人員迅速對網絡、產品進行隔離并進行攻擊溯源等根因排查,確保按期恢復業務的同時完整留存有效攻擊信息。
為提升網絡運維人員對突發事件和災難的應急處置意識與能力,中興通訊基于業界威脅情報、自然災害信息和全球局點風險排查情況,聚焦極端事故場景和關鍵設備,制定包含水災、火災、網絡攻擊、戰爭動亂在內的多種場景應急預案并聯合客戶進行實戰類演練,全面真實檢驗應急處置方案及能力的有效性。
通信網絡運行安全是社會的底盤基座,而高可靠架構和產品是網絡安全運行的基石。除了在網絡保護、風險評估、應急處置等方面構建支撐安全韌性網絡的能力外,中興通訊還從人員(文化)、流程和技術等維度強化組織安全理念、提升人員技能,形成端到端的安全保障體系,助力客戶持續打造安全可靠的通信網絡。
未來,中興通訊將繼續依托云計算、AI、數字孿生等創新技術幫助客戶推進網絡向著全面自動化、安全自防御、安全自適應和安全自演進的方向邁進,秉承底線思維和極限思維,以隨時隨地隨心的極致服務筑牢通信網絡防御新體系。
