随着云计算、大数据以及人工智能等网络技术的迅猛发展和广泛应用,网络规模和复杂度也在急剧提升,加上网络攻击手段的多样化、不可预测性和隐蔽性,这些都在不断催生网络风险向着多样化、复杂化且难以预判的方向发展。放眼全球,近十年来,世界各地不断爆出因断网停服、机房失火、电力故障、网络攻击等而引发的重大网络事故,对社会经济和民众生活造成了不同程度的负面影响,传统的网络防御理念面临新的挑战。在突发自然灾难、新型网络攻击等无法准确预测和完全阻止的情况下,如何构建可以抵御故意攻击、突发灾难事故并实现组织使命和关键业务目标的韧性网络成为新的探索方向。
按照NIST SP 800-160《Developing Cyber-Resilient Systems: A Systems Security Engineering Approach》一文的阐释,具备安全韧性能力的系统应如同人体一样运作,不仅可以随时吸收一系列的环境危害,还具备良好的免疫系统来保护身体免受疾病侵害, 同时还具有自我修复能力,可以在免疫屏障被突破时从疾病和伤害中恢复过来。作为全球领先的综合通信与信息技术解决方案提供商,中兴通讯结合业界先进理论和多年网络建设与运维的实践,探索出了适合自身的高可靠、高韧性的网络运行安全新方案,并结合产品与服务的安全策略,协同客户共同构建新型网络防御体系。
预防:对可能的灾难、攻击等不利事件保持充分准备状态
中兴通讯产品在规划、设计、开发阶段即考虑安全,并适时结合微隔离、主机入侵监测/防病毒和态势感知等内生安全手段进行网元级的主动防护,在交付前已完成全面安全治理,实现上线即安全,并通过体系化的安全运维管理将安全控制要求无缝融入各类运维活动,实现全生命周期安全保障。
为积极应对不断变化的网络安全威胁与挑战,中兴通讯持续从网络保护、设备负荷、业务性能、参数规范、运维质量、用户感知和基础设施七大维度搭建网络画像体系,对全球网络风险进行可视化滚动评估,通过看网、讲网方式积极向包含客户在内的利益相关方传递并配合客户意愿对风险进行合理控制。
考虑到人作为网络安全中最脆弱的环节,中兴通讯持续对其运维人员进行包含意识、技能、规范操作等在内的人员画像,全方位了解个体安全状况,精准管控人员风险,并围绕三不(即不敢做网络安全底线的触及者、不能做网络安全防线的突破者、不愿做网络安全的破坏者) 指导思想,持续通过作业流程标准化、全场景操作工具化、风险操作远程化等方式,引导员工严格遵循规范制度和作业要求,实现操作过程可监控、可管理,杜绝因人为原因导致的网络运行安全事故。
抵御(免疫):尽管恶意攻击、意外或不可抗事故等已发生,仍然继续基本任务或业务功能
中兴通讯产品在研发阶段已考虑了开箱即用的默认安全,并会随内外部威胁的变化定期采用基线配置、漏洞修复、端口/服务最小化、软件白名单等方式尽力缩减攻击面和收敛暴露面,持续提高产品的安全性和稳定性。在遭遇网络攻击或重大事故时,产品/网络所规划的多级冗余设计可以快速将业务迁移到其他节点或局点,实现业务快速接管。
针对复杂的虚拟化场景,以中兴通讯核心网为代表的产品采用基于业务和数据分离的无状态架构设计实现业务无损的资源弹性以保证业务连续性,并灵活应用虚机互斥、自愈、重生等策略和技术最大化遏制对系统或业务造成的损害或影响并及时完成故障自恢复。为有效应对网络中的信令风暴,中兴通讯采取入口网元端到端自动流控预防控制机制避免后端网元过载,从而建立防御信令风暴的坚实屏障。
恢复:在不利事件发生后按期恢复组织的核心业务
在遭受重大灾难事故时,中兴通讯核心网等产品依据所规划的功能及时旁路故障网元,在损失少量业务能力的情况下最大限度地保障业务的连续性,实现降质逃生。极端情况下甚至能对通信连接进行熔断,以降低网络冲击。因不可抗力导致的大面积公共通信应急事件发生时,现场工程师迅即与客户联动,灵活利用无人机、背包基站、游牧基站等快速恢复受灾地区业务,同时高效利用物资响应绿色通道快速补给救灾需求。对于严重网络攻击事件,安全专家会第一时间介入,指导现场人员迅速对网络、产品进行隔离并进行攻击溯源等根因排查,确保按期恢复业务的同时完整留存有效攻击信息。
为提升网络运维人员对突发事件和灾难的应急处置意识与能力,中兴通讯基于业界威胁情报、自然灾害信息和全球局点风险排查情况,聚焦极端事故场景和关键设备,制定包含水灾、火灾、网络攻击、战争动乱在内的多种场景应急预案并联合客户进行实战类演练,全面真实检验应急处置方案及能力的有效性。
通信网络运行安全是社会的底盘基座,而高可靠架构和产品是网络安全运行的基石。除了在网络保护、风险评估、应急处置等方面构建支撑安全韧性网络的能力外,中兴通讯还从人员(文化)、流程和技术等维度强化组织安全理念、提升人员技能,形成端到端的安全保障体系,助力客户持续打造安全可靠的通信网络。
未来,中兴通讯将继续依托云计算、AI、数字孪生等创新技术帮助客户推进网络向着全面自动化、安全自防御、安全自适应和安全自演进的方向迈进,秉承底线思维和极限思维,以随时随地随心的极致服务筑牢通信网络防御新体系。
