云網(wǎng)融合趨勢下運營商的數(shù)據(jù)安全防護體系探討

文 成都思維世紀(jì)科技有限責(zé)任公司董事長 章明珠

當(dāng)前
，新一代信息通信網(wǎng)絡(luò)正在從以信息傳遞為核心的網(wǎng)絡(luò)基礎(chǔ)設(shè)施
，向融合計算、存儲
、傳送資源的智能化云網(wǎng)基礎(chǔ)設(shè)施發(fā)生轉(zhuǎn)變 。在 5G 網(wǎng)絡(luò)的加持下，以網(wǎng)為基礎(chǔ)、以云為核心，深度融合“云 + 網(wǎng)”IT 系統(tǒng)的云網(wǎng)融合一體化服務(wù)，已成為助力基礎(chǔ)電信運營商從單純通信類業(yè)務(wù)向綜合信息服務(wù)轉(zhuǎn)型的重要抓手與業(yè)務(wù)著力點。然而以軟件定義網(wǎng)絡(luò)（SDN） 、網(wǎng)絡(luò)功能虛擬化（NFV）為代表的云網(wǎng)融合技術(shù) ，對網(wǎng)絡(luò)、業(yè)務(wù)、計算的融合重構(gòu)、多云互聯(lián)等
，使得數(shù)據(jù)安全的技術(shù)、建設(shè)、運營管理模式均與傳統(tǒng)網(wǎng)絡(luò)存在較大的差異 ，運營商的數(shù)字基礎(chǔ)設(shè)施面臨著新型的數(shù)據(jù)安全挑戰(zhàn)。

一 、云網(wǎng)融合下運營商面臨的數(shù)據(jù)安全風(fēng)險與挑戰(zhàn)

（一）“封閉”網(wǎng)絡(luò)演進為“開放”網(wǎng)絡(luò)

相對于傳統(tǒng)電信網(wǎng)基于專用硬件以及軟硬件緊耦合的技術(shù)體系
，以通用硬件 、云計算和虛擬化為代表的新的技術(shù)體系解耦了軟硬件封閉關(guān)系 ，電信系統(tǒng)的扁平化和分層化引入了更廣的攻擊界面，同時多地點
、多種類終端的遠程接入導(dǎo)致業(yè)務(wù)系統(tǒng)的物理安全邊界模糊，云上業(yè)務(wù)的暴露面擴大，再加上部分系統(tǒng)采用開源組件或技術(shù)而引入的安全漏洞等，使得數(shù)據(jù)泄露或被非法竊取的風(fēng)險增大且難以防范 。

（二）安全邊界和策略的動態(tài)變化，要求彈性的安全編排能力

云網(wǎng)融合應(yīng)用中所有網(wǎng)元功能可根據(jù)業(yè)務(wù)的需求動態(tài)進行擴/縮容
 、遷移 。相應(yīng)地，在 SDN控制器的調(diào)度下，網(wǎng)絡(luò)的拓?fù)淇赡芨鶕?jù)業(yè)務(wù)的需要進行動態(tài)變化，如果安全策略無法根據(jù)這種變化及時 、快速地調(diào)整
，就可能被攻擊者利用 ，導(dǎo)致安全事故（比如業(yè)務(wù)數(shù)據(jù)泄露 、業(yè)務(wù)中斷等） 。因此
，云網(wǎng)融合環(huán)境對數(shù)據(jù)安全能力的情報共享 、原子化服務(wù)及編排化協(xié)同提出了更高要求
。

（三）架構(gòu)重構(gòu)，增加了安全防護和運營的難度

為滿足智能化、自服務(wù) 、高速 、靈活等云網(wǎng)融合業(yè)務(wù)需求，需在通用物理資源
、基礎(chǔ)能力平臺和數(shù)字化應(yīng)用等各個層面進行統(tǒng)一管理或邏輯技術(shù)架構(gòu)的統(tǒng)一重構(gòu)，此過程中涉及大量新系統(tǒng)和網(wǎng)元的引入，同時虛擬化技術(shù)進一步增加了系統(tǒng)組件的數(shù)量，需要管理運營的實體數(shù)量呈指數(shù)級上升，這又進一步增加了賬戶、權(quán)限管理的復(fù)雜度。如何快速地發(fā)現(xiàn)和解決問題
、靈活地部署業(yè)務(wù)、規(guī)避安全攻擊
 、降低安全運維成本，成為安全運營管理面臨的巨大挑戰(zhàn) 。

二
、總體解決思路

云網(wǎng)融合也促使網(wǎng)數(shù)安全能力的融合
，基于云網(wǎng)融合的數(shù)據(jù)安全風(fēng)險分析