构建安全的全IP运营网络

随着通信网络、业务、终端的进一步融合，尤其是终端更加智能化并具备开放的操作系统，IP面临严重的安全挑战，比如说P2P的滥用、病毒、DDoS攻击的泛滥，还有其他针对网络带宽和业务可用性的攻击等。

这是一个日益尖锐的问题，但现有的电信标准体系尚无法解决这些挑战。因此说，安全威胁已经成为全IP的通用威胁。

IP的三大安全挑战

IP化是电信网络公认的发展方向，所有的业务都要向全IP迁移，在这个过程中，运营商面临着三大安全挑战：

第一个挑战就是网络的存活性挑战。QoS再好的网络，如果没有安全保障，网络就瘫痪了。导致瘫痪的原因很多，如非法路由攻击，造成路由振荡，或是通过DDoS攻击占用CPU资源和内存资源等。

第二个挑战是带宽的可用性的挑战。运营商不断地建设网络，不断地扩容，但是带宽更多地被泛滥的P2P侵占了――从统计数据来看，国内运营网络65%~80%的带宽被P2P占用。

第三个挑战是目前的标准组织，如ITU、3GPP、ETSI等对全IP架构下的业务缺乏安全方面的定义和研究。现在的标准虽然做了很多QoS、CAC的定义，但是对安全的考虑是没有的。这不仅会降低客户的体验，而且影响运营商的收入。

举一个简单的例子，当智能终端在访问多媒体业务时，如果有病毒，即使他是金牌客户，QoS也是无法识别的，这就导致了客户体验的下降。这说明一个问题，缺乏安全标准的NGN体系不能保障体验质量（QOE：Quality of Experience）。

QoS是网络的指标，QoE是客户感知的指标，QoE的安全问题已经成为运营商、标准组织以及设备供应商共同面临的课题。

安全防御三步走

运营商应对这些挑战，也是一个阶梯性的发展过程，可分三个阶段来走。

第一阶段：安全防御，开源节流

安全建设第一阶段目标是要实现开源节流。开源节流阶段对安全设备存在很多功能性的需求，如DDoS流量清洗、P2P监控、非法VoIP控制、非法私接控制、绿色上网、垃圾邮件过滤、僵尸主机（即被木马程序控制的用户主机）定位等等，归纳起来就是流量清洗和安全加固。

当然，安全加固和流量清洗系统要兼顾考虑、统一部署，采用同一个平台。这个平台不仅仅能限制P2P，还能限制非法VoIP、私拉私接，同时还要能够进行DDoS攻击流量的清洗，并提供大客户的安全运营，帮助商业客户具备流量攻击的防御能力。

第二阶段：实现精细化运营

第二阶段通过安全设备和现有的网络设备的联动，来提供精细化的运营，丰富运营手段，从以前的“用户＋时长”两维运营模式，发展到“用户＋时长＋业务”的三维精细化运营。

这个阶段提供的安全业务更加丰富，比如：多PC上网的管理、P2P的控制、商业客户安全宽带、绿色上网、企业VPN、VoIP监控，另外还可以提供P2P的运营、VoIP的运营。

第三阶段：内容运营

现在中国有超过两亿的互联网用户，是一个非常巨大的资源，运营商除了提供管道以外还能提供什么东西？现在大家都在考虑内容的运营，从一个管道运营商向内容运营商转型，但这个“内容”是否安全，也需要考虑。

如何建设一个安全、可靠、可信任的网络，解决电信业务向全IP迁移的通用威胁，是运营商、标准组织以及设备供应商共同面临的课题。

毕竟他们的目标是一致的，最终要实现安全架构的标准化、体系化、安全、和谐的全IP网络。