主持人：

談到今天大會的主題，叫做“網路創造價值”，但是在我們這個世界上總有些人和在座的朋友作對，他們希望破壞網路安全，雖然所謂的黑客或者愛做惡作劇的人，有些人只是為了好玩，但是在他們浪子回頭之前，我們必須要想辦法保護我們的網路安全。

主題：安全為基 成就SmartIP（睿智的網路架構師）

大家好，很高興有這個機會向大家彙報。我彙報的主題主要是中興通訊基於SmartIP技術架構，睿智的網路架構師。中興通訊做了全方位的安全解決方案。

在當今的IT建設過程中，實際上我們走的路是非常艱難的。IT的建設跟其它系統建設、技術平臺一樣，比如土木工程，有幾千年的技術積累。而IT建設放眼全球來講，沒有太多的經驗可借鑑，沒有根據。雖然在整個IT的建立過程中大家走的比較艱難，但是我們也是一步步在往前走。當我們的運營商、企業把IT技術引入到IP網路之後，很多業務正在加速IP化。之前我們可能覺得行業使用者或者企業使用者裡，很多業務只是一些非關鍵性的業務，或者非生產性的業務部署到網路中來。但他們把越來越多的分散業務遷移到IP網路。無論之前對於IP網路抱什麼態度的使用者，現在都認可了IP網路發展大的趨勢。

另外一個趨勢，在IP應用的環境之中，區域網、廣域網以及更大的網路在形成，IP網路正在藉助於網路建設規模的擴大以及廣域頻寬的提升，或者按照中國的需求，正在大規模、大範圍的部署。越來越多的桌面性的應用，或者管理應用，通訊應用，都在藉助於IP化、廣域化的方式，正在體現它的價值。

IT的建設，我們沒有太多的經驗可以借鑑，在全球範圍內，這樣會有很多問題。一個突出的問題，建設網路的時候，只能看到一個問題分析一個問題，解決一個問題，相當於我們從城市突然到了鄉村，發現這個鄉村裡每家每戶都自己聯網，是很粗放的或者沒有規劃性的方式。

可能前期有前瞻性的考慮，需要規劃，需要長遠、持久的保證等等，但是IT系統跟IP網路是開放程度非常高，創新非常快的領域。當新的問題、新的業務出現，最後又回到IT的建網方式上來。我們的系統越建越複雜，但是管理壓力越來越大，每個單一的業務系統之間要達到最大的價值變得越來越困難。各位都是參加IT資訊化建設比較早的，可能感受更加深刻。

如何解決這些問題，實現高效的承載網？我們一直提一個概念就是融合。怎麼在基礎的IP網路上實現所有業務的，通訊運營業務的融合，使得以前被簡單的IP化或者簡單的廣域化業務，能夠形成有機的整體，形成對客戶有價值的IT系統？中興通訊對基礎得的IP網路的概念，有一個新的提法，是我們之前對於IP網路技術到解決方案的延續，之前IP網路更多的側重於網路第三層、第四層，中興通訊對基礎得的IP網路的概念，有一個新的提法，是我們之前對於IP網路技術到解決方案的延續，之前IP網路更多的側重於網路第三層、第四層，更多的注重傳輸層上的東西。現在考慮的更遠一點，考慮的更廣一些，把IP基礎架構由最基本的三層、四層擴充套件到網路的第六層，甚至到第七層，最後到應用層。基礎的IP網路不僅僅具備簡單的IP的聯動性，或者簡單的基於三層、四層的安全控制，這個時候完全更好的對業務融合的能力。

在整個IP網路的發展，經過了很長很長的時期，現在的關注點發生了變化。現在在新的用人環境下，IP網應該關注什麼，應該提倡什麼，應該考慮什麼。中興通訊的SmartIP給予了新的詮釋，網路因為開放而融合，因為融合而簡練。SmartIP包含了簡約、開放、融合。中興通訊的融合主要體現在哪些方面？

第一，在整個網路上，同一個功能可以被整合在SmartIP網路上來，不僅包括低層的傳輸功能、路由功能、交換功能，深層次的業務支撐以及業務應用的功能，我們也看到基礎的發展方向，在網路裡很多應用，之前可能是通過專門的運營，當這些功能、運營越來越多之後，會融合進來，這些功能一旦被統一化以後，會整合在SmartIP的基礎架構裡。

第二個方面，中興通訊採用多服務的MSMR技術，能夠實現運用完美的運作，主要是虛擬的平臺，主要利用通用性的訊息協議，實現通用業務系統跟應用業務系統統一的業務接入以及業務的承載，在業務內容交換，實現分散式的組碼。MSMR提供了三個方面的介面，向上的業務層面提供的介面，跟裝置無關，所有的業務裝置都可以採用標準的介面接入網路，有很多相關的控制，比如VTN、QoS，相關的訊息等等。下邊實際上是通過裝置訊息介面，實現所有通訊系統的融合，最簡單的是實現資料接入，比如交換機這樣的裝置，更多的還可以去融合視訊裝置、資料的流線系統等等。通過這兩個介面把相應的業務，通到訊息服務分發網路，實現基於訊息的分散式組網，採用了比較新的技術P2P，大家應該可以瞭解，P2P這個好的技術可以使平行的網路，在網路的虛擬平臺上構成一個類似於全連線的網路結構，整個虛擬平臺的系統可靠性是非常高的，同時也能夠有效地應用基礎的IP網路，到網路的頻寬資源。

MSMR是中興通訊有自主智慧財產權的基於訊息路由的組網技術，希望能夠面向基礎架構，SOA的標準，整個標準建立上，能夠讓IP建設更加專注，不用再去考慮底層的問題，不用再考慮IP網路怎麼建設，QoS怎麼做，安全怎麼控制等等，不用IP網管理者考慮。更加專注IP系統的價值所在。這種價值實際上可以體現在裝置應用系統的品質以及應用系統的創新上。

下面簡單地給大家看一下視訊應用，SmartIP下實現融合的過程，首先將業務策略下發到MSMR這個平臺上，資料轉發到源頭的交換機或者路由器，讓他們提供相應的QoS以及優先轉發的，轉發資料的時候，在經過交換機的時候能夠得到最優的資料保障。MSRM技術首先能夠融合很多應用，可以實現最大的價值，降低管理成本。這樣的架構能夠解決當前在業務流程方面出現問題。在構建SmartIP的時候依然會有很大的問題，在建設的過程中，整個安全領域，安全體系建設，幾乎每隔一段時間就會看到，安全問題引起大家重視應該是在去年年底、今年年初的“熊貓燒香”病毒，給企業使用者造成了很大的價值損失，現在安全問題跟以前已經不一樣了，現在形成很大的產業鏈，有人專門製造病毒，有人放射病毒，有人出租、出售這種網路，有人去洗錢，盜取遊戲密碼、遊戲帳號，盜取遊戲的虛擬裝備。

安全問題基本上已經成為IT建設裡重中之重所關注的問題。中興通訊一直認為安全是很大的體系，在安全的保護裡，第一個應該保護的網路承載網自身，自身的強健和安全性，是整個IP系統安全的基本。中興通訊有很多技術保證承載網的安全，比如有AMAT的技術，是特色的專利技術，主要針對IP網路的日常容量做相關的控制，避免網路被IP的異常流量所攻擊。

首先聚焦出哪一段在攻擊我的網路，針對攻擊IP地址的資料包進行相應的分析，得出AMAT的規則，控制流量。AMAT是控制的過程。

安全策略也在發生了一些變化，有兩個方面，一個是區域性安全向全網安全過渡。第二，裝置內部的安全層次正在上移。區域性安全向全網安全過渡，在整個網路的建設過程中，之前考慮比較多的是網路出口需要安全裝置，用來抵禦外部攻擊。另外，關鍵應用區、關鍵服務區都有安全裝置抵禦對特殊應用服務區、關鍵應用區的攻擊。而在很長一段時間內忽略了一個問題就是終端。終端上的安全問題得到大家重視以後，我們看到很多管理者、建設者開始在終端上走很多的軟體，比如繫結軟體、防火牆軟體，另外還有終端控制的軟體。

但是我們發現網路管理員的抱怨依然存在，之前不重視終端安全，結果裝了軟體之後，導致系統亂七八糟的，網路終端的問題並沒有因為裝了軟體而減少。終端安全方面我們推出了ZSA解決方案，是中興的安全接入技術，在這個解決方案裡主要考慮兩個方面，不僅僅考慮接入網路的安全性，同時考慮到當用戶接入網路以後，在整個網路的持續執行過程中的安全。第一步是認證，在辦公室提供MSMR規則，為使用者提供統一的許可權管理，比如我是產業使用者，使用者輸入密碼以後，根據使用者的身份下發相應的VLAN、ACL、QoS等等。四個元素的繫結，從最基本的繫結，IP地址繫結等等，一直到公共交換機的地址以及時間、流量全面的繫結。針對兩種實現代理的業務場景，我們推出了ZSA解決方案，可以在交換機上啟動HAP代理上網。啟動雙網絡卡限制代理。

針對日益突出的網路惡意攻擊，比如第一種攻擊是通過暴力手段破解密碼，可以設立嘗試次數作為限制。還有假冒攻擊。當網路出現問題的時候，怎麼快速定位？在使用者定位這塊我們考慮的比較多一點，可以在後臺記錄下使用者的帳號、原來的地址、交換機的位置、所在交換機的IP地址、所在的交換機網號，通過很廣資訊的介入，快速的定位。

還有一個很大的模組是對終端的管理，包括四個方面，一個是做資產的管理，使用者的硬體資產以及軟體資產的管理，還有強制沙發補丁、升級軟體、安裝防病毒軟體，以及做到對使用者行為的控制，能夠做到相應的文件策略，實現檔案的安全。

終端安全階段，中興通訊事先考慮到了使用者裝置中有第三方終端軟體，保護最大的投資，安裝ZSA以後，不啟動中興桌面，可以跟第三方的終端軟體一致，事先部署好的管理軟體作為原動。

第一時間瞭解到硬體的資訊，能夠做相應的控制，允不允許使用音效卡、光碟機等等。軟體的日常管理，能夠限制、控制住終端能不能裝軟體，能不能執行軟體，什麼時候能夠允許繼承原來的軟體。

ZSA能夠強制的對終端進行防病毒軟體的安裝。如果有不安全的PC機，沒有任何保護措施的PC機，要接到網路上是接不進來的，必須把相應的補丁打全，把相應的防病毒軟體安裝好，才能進來。ZSA能夠強制的根據策略，比如根據部門，根據IP地址，根據使用者的作業系統，進行強制性的補丁的下發跟升級。

使用者行為管理，使用者最大的安全問題是未知的情況，防病毒軟體，新的未知的病毒，但是針對未知的病毒怎麼辦？我們做了很大的工作去分析行為，舉個例子，比如一個正常的使用者上網，只需要一段報道，很短很短。如果某一個時間段或者某一個時機達到了每秒鐘幾兆，甚至幾百兆，肯定有異常，有問題。我們針對很多未知的問題，通過行為監控發現的。

ZSA對檔案的管理，通過對檔案複製的控制來實現。當用戶接入到網路的時候，學校每個學年都會有學生上學，在這種情況下，要為每個使用者分配一套ZSA軟體，工作非常複雜，使用者第一次見到網路ZSA能夠強制的對終端進行防病毒軟體的安裝。如果有不安全的PC機，沒有任何保護措施的PC機，要接到網路上是接不進來的，必須把相應的補丁打全，把相應的防病毒軟體安裝好，才能進來。ZSA能夠強制的根據策略，比如根據部門，根據IP地址，根據使用者的作業系統，進行強制性的補丁的下發跟升級。

使用者行為管理，使用者最大的安全問題是未知的情況，防病毒軟體，新的未知的病毒，但是針對未知的病毒怎麼辦？我們做了很大的工作去分析行為，舉個例子，比如一個正常的使用者上網，只需要一段報道，很短很短。如果某一個時間段或者某一個時機達到了每秒鐘幾兆，甚至幾百兆，肯定有異常，有問題。我們針對很多未知的問題，通過行為監控發現的。

ZSA對檔案的管理，通過對檔案複製的控制來實現。當用戶接入到網路的時候，學校每個學年都會有學生上學，在這種情況下，要為每個使用者分配一套ZSA軟體，工作非常複雜，使用者第一次進到網路，首先要進入到安全警戒域，把防病毒軟體下載下來，把補丁打全，這些工作做完才可以輸入分配給他的使用者名稱、密碼，登入到網路中來。

針對有一些隱患的使用者，比如這個使用者是合法使用者，但是很長時間沒上網了，可能把這臺機器放在那裡沒用，突然有一天用了，已經過了很長時間，上網會發現病毒庫、補丁庫肯定都不全了，同樣的不允許進入網路中很關鍵性的子資源，先進入安全警戒域，做相應的部署、修補，做好這些工作之後才能訪問網路。

已登陸的使用者出現安全隱患怎麼辦，ZSA系統，進入警戒域管理以後才能登陸。

安全策略的變遷，在網路的安全裡，裝置的安全已經從以前的三層、四層上升到了更高的層面，基礎的IP網路已經不僅僅是三層、四層網路，而是業務控制、業務融合的網路，擴充套件到更高的層面。相應的安全領域必須擴充套件到更高的層面。

之前對業務安全技術這塊，一般的基礎整合是源組。四層及其以下的資料包的形態，這是非常粗放式的方式，比如P2P的業務端與端是在變化的。現在新的技術叫DPI，是深度的保險技術，能夠感知到業務層上，直接對資料包的載荷做相應的分析，能分析出這是正常的資料，是語音資料還是視訊資料，甚至能分析有沒有夾帶攻擊等等。DPI的依據，進到DPI引擎之後，主要依靠業務層模式、業務控制、業務識別去分析，做到業務的控制。

在DPI的領域裡模組比較多，比如有防病毒、防間諜、防UPC等等，比如Anu-x模組、IPS、NAT、防火牆、IA，識別、控制模組。這麼多模組部署在SmartIP上，做有機的結合，能夠有效地保證承載網路的安全，使得SmartIP不僅僅能夠提供很好的承載，更能更好地工作。

主持人：

沒想到中興通訊在不長的時間裡能開發出如此全面的安全解決方案。安全是頭疼的問題，我覺得如果有什麼事情能夠貶低網路創造的價值，安全是最有效的運用工具。我們對安全不會妥協，這也是今天上午兩位嘉賓把焦點放在網路安全的原因。