安全增值服务成为电信增值业务新机会_增值电信

安全增值服务成为电信增值业务新机会

RSA大中华区高级信息安全系统构架师司马丽维 2009/12/02

　　这些年来，运营商IDC(Internet Data Center，互联网数据中心)不只停留在传统业务层面，其走向专业化与服务化，开展更多增值服务成为发展趋势。从过去传统的主机托管到虚拟主机、搭建企业专线局域网，再到涉及网络安全的硬件防火墙、网络入侵检测等增值业务不断出现。RSA认为，运营商IDC通过对不同数据在不同发展阶段的管理，可以进一步向客户提供更细化的安全增值业务。终端业务同样如此，3G时代手机将不再是简单的沟通工具，诸如在线交易型业务对身份认证的迫切需求同样蕴藏诸多商机。

　　相关数据显示，运营商IDC在主机托管的业务比例下滑严重，但增值业务比例显著增长，具体包括数据存储备份、网络安全服务、代维服务等。从全球增值服务市场来看，安全增值服务的份额正在不断增长，其范畴主要包括九方面，分别是：内容安全服务、实时监控服务、防火墙服务、企业恢复服务、邮件安全服务、存储安全服务、防DDOS服务、入侵检测服务、安全认证服务。实际上，安全增值服务领域还可以继续拓展，作为全业务运营的电信运营商来讲，除了企业内部信息安全管理的需求之外，电信运营商在提供安全增值服务方面蕴藏无限商机，越来越受到关注。

　　从数据中心的角度或者说主机托管的角度来看，所有的信息安全隐患在IT领域要分成三方面。第一，数据完整性保护，知道哪些数据是敏感的，这些数据放在了什么地方。第二，认证及身份管理，数据分析之后，对数据进行各种各样的保护措施。第三，监控、报告、审计，满足法规遵从及优化运营。

　　这里，我主要以数据完整性保护、认证与身份管理、信息监控与报告三方面为中心，围绕运营商IDC如何提供安全增值业务方面做了详细的介绍。

电信安全增值业务之一：数据完整性保护

　　有关数据发现和完整性保护主要分成三个步骤。首先是数据分类。可以从需求分析、资产分析、漏洞分析等方面进行，最后从信息的机密性、可用性、完整性来确定不同级别。这里，数据分类非常重要，在这个信息风险保护过程中，50%的工作都是在对数据分类，RSA就有专业的团队做数据分析方面的工作。

　　在数据的完整性保护方面，运营商IDC可以向其金融、政府、交通等行业客户提供更有针对性的安全增值服务。比如通过数据分类，运营商IDC可以让客户清楚的了解到企业信息的重要级别和流向，以此提供不同级别的安全服务。并且通过对数据的发现，IDC可向客户提供更细化的信息管理服务，比如用户证件号码、企业战略蓝图、企业知识产权等方面的信息。

图1 在数据中心、网络、终端实现数据控制

　　在数据发现的过程中，是按照不同的策略来发现敏感级别不同的数据，分类的信息都可以在RSA产品里面进行定义。这方面需要精确的匹配技术，RSA在敏感信息的精确匹配方面在业界有很好的评价。最后是对数据的控制，比如，运营商IDC可将重要且敏感的信息放到最安全的地方并进行加密；在网络层对不该传出的信息做拦截；在后台进行日志管理及审计等。

电信安全增值业务之二：统一认证及身份管理

　　渠道代理商对运营商核心业务系统的接入，一直是安全事件频发的环节。由于往往采用VPN接入方式，将服务器暴露在公网上，社会渠道网点感染的病毒很容易进入信息中心的内网，给运营商带来巨大安全隐患。中国某省电信运营商很早就采用了RSA SeurID强认证解决方案及RSA SecurID令牌为其虚拟专用网（简称VPN）提供安全认证保护。

　　有关用户身份保护可分为三级，首先是基本身份认证，如RSA令牌，也称作双因素强身份认证。其次是基于风险的认证。根据用户活动风险的不同增加认证机制。最后是用户身份欺诈防范服务。在身份认证及网络防欺诈方面，RSA拥有全球最大的防欺诈网络，有几百个防欺诈专家每天都在研究和提供防欺诈的技术和手段，包括最快速地识别、阻止、取证分析、及关闭欺诈攻击。

　　原有的分散账号、静态口令等模式的身份管理不再能够满足电信业务发展要求。电信运营商需要统一的安全认证平台，该平台不仅可以满足自身业务发展需求，还能向用户及合作伙伴提供认证服务。借助统一认证平台，电信运营商可以向MSS（管理支撑系统）用户、BOSS(业务运营支撑系统)用户、系统（主机、网络、数据库）用户、ADSL用户，以及基于Web Portal的用户提供认证服务；还可以向金融、媒体、政务等行业客户提供相关业务认证服务。

　　目前，国内真正做成统一认证平台的行业不多，但电信运营商却有着独特的网络、用户、品牌等优势。RSA能够助力运营商建立统一的认证平台，不管是针对系统层的认证，比如针对主机、路由器、防火墙的认证；还是在线用户的认证；以及基于应用的认证都可以在RSA认证平台里面进行。

图2风险管理中的统一认证平台

　　与传统的安全认证平台相比，RSA统一认证平台最大的不同在于底层平台是“自适应风险引擎”，这意味着即使某个用户的身份被盗用了，还可以根据用户本身的活动行为及信息做进一步的判断和认证。假如一个ADSL用户进入到系统里面，RSA可以在第一时间里做出判断，如果这个用户的IP地址来自于RSA防欺诈网络黑名单上的地址，这个时候即使用户名和口令都是正确的，RSA仍将进一步对该用户进行其它认证。

电信安全增值业务之三：监控、报告、审计

　　作为运营商IDC安全服务体系的一部分，通过对信息的监控、报告、审计，IDC同样可以向客户提供细化的增值服务。比如可以对客户信息系统中关键资产、网络边界设备、以及边界安全防御设备提供重点监控；还可以定期对信息系统中的关键资产进行单独审计并提供独立的审计报告。客户通过购买这些统计报告，从而更好的了解自身系统现状，更有效地应对安全挑战。

　　从运营商内容需求看，对信息的监控、报告、审计，可以有效简化IT审计和法规遵从，并提高信息安全级别，以及优化IT系统及网络运维。电信运营商应对国内外法规遵从的需求不断增长，如国内的内控法案，国际的萨班斯法案。这些法案往往会给企业带来重复的投入或负担，RSA enVision可以大大减轻企业在法规遵从方面的投入，该平台把国际上常见的审计法案都已经内置里面，它可以自动地做审计，不需要再手工地搜集审计证据。

图3 数据监控、报告、审计的目标

　　通过RSA enVision平台的统一管理，整个IT系统的运行状况都可以一目了然。可以看到整个基础架构的风险管理做到了什么地步，网络层发生了什么事故，服务器出现了哪些病毒等。并且这一切都是自动化实现。

实例：Telus电信受益于完整安全体系的解决方案

　　通信企业应该将信息风险管理的投入与业务相结合。这方面Telus的成功经验值得分享。Telus是加拿大电信三巨头之一，为客户提供完整的电信产品和服务，包括覆盖整个加拿大的数据、声讯和无线服务。为了满足所有合规性要求，并同时把信息安全做好的情况下，Telus认识到需要一个完整的、体系化的安全解决方案。

　　首先，Telus像所有电信运营商一样，企业本身面对着很多信息安全隐患；其次，作为规模较大的电信运营商，Telus需要满足合规性的要求，比如萨班斯法案，以及北美其它的法规要求。再次，Telus有很多的安全增值服务或外包服务，同样需要信息风险管理。RSA以信息风险为基础的整套管理体系符合Telus上述所需，包括各种法案法规的遵从；企业的全部信息的保护；所有信息的监控和报告；信息的加密&密钥管理；信息访问的认证及授权；信息的访问控制；数据发现及完整性保护。

　　Telus电信通过实施RSA整套风险管理体系，可以发现敏感信息在哪里，谁访问了这些数据，数据流向哪里, 风险在何时出现, 如何控制并降低这些风险。Telus 不只是从产品层面出发选择安全产品，而是选择通过整套平台实现信息管理和法规遵从。RSA风险管理体系帮助Telus实现了四个风险管理的目标，分别是定义敏感信息，进行数据分类；通过ISO27000框架建立一套安全体系；进行数据风险评估，对敏感信息做终端层、网络层和数据中心层的保护；最后通过应用RSA DLP和enVision等产品实现风险控制。

　　正如RSA全球总裁亚瑟·科维洛曾经说过的：“电信业是一个特殊的行业，不仅是RSA的客户同时还是合作伙伴，这意味着信息风险管理将与电信业务进一步融合。” 希望，安全增值业务也能为电信运营商带来新的商机，RSA愿意与国内的电信运营商深入探讨，并为电信运营商助一臂之力。

中国信息产业网(www.cnii.com.cn)