朱常波：新環境下，聯通雲盾如何打造自己的安全品牌

近年來，隨著互聯網+戰略的不斷深化，各行各業對於網絡和資訊技術的依賴度不斷提升，數字資產的重要性越來越高，因此，網絡和資訊安全已經成為產業發展不可忽視和回避的重要問題。

作為基礎網絡提供商和特大型中央企業，中國聯通高度重視網絡安全能力建設，建立了較為完善的安全研究、運維和服務體系，在終端加密、網絡防禦、數據保護、應用審計等方面提供了多項安全服務，其中，聯通雲盾是最具運營商特色的安全產品。

據了解，聯通雲盾是基於中國聯通DDoS統一防護平台，專門針對行業需求打造的一款“雲網一體”新產品。上線近一年來，聯通雲盾產品經受住了市場的種種考驗，得到近50家行業客戶的一致好評。

我們知道，在安全領域業內不乏專業的網絡安全公司如360、啟明星辰等。那麽，中國聯通涉足此領域是基於怎樣的考慮呢？

為此，通信世界全媒體記者專門採訪了中國聯通網研院副院長朱常波。朱常波分享了聯通對於當前網絡安全形勢的認識和思考，同時也分享了聯通雲盾在網絡安全方面的產品優勢。

新環境下，網絡安全迎來新挑戰

朱常波表示，網絡和資訊技術作為戰略性新興產業的重要組成部分，在加快經濟發展、促進產業轉型更新、服務社會民生方面發揮著越來越重要的作用，是支撐整個產業和科技革命的重要基礎，但是數字化、泛在化和智能化等技術創新在給我們帶來了巨大產業機遇的同時，也帶來了很多挑戰，其中安全問題成為最主要的挑戰，並主要表現在三個方面。

首先，資訊資產重要性和規模不斷擴展，給全面防護帶來難度。

大量的經濟社會活動、戰略性基礎資源都架構在全球互聯互通的網絡之上，網絡中生產、傳輸和存儲的數據資產越來越重要，受到的攻擊也越來越多，而且多樣的終端類型、複雜的網絡架構、海量的數據規模、融合的業務場景，都增加了安全防護的難度，任何一個環節出現漏洞，都可能導致整個網絡的失陷或癱瘓。

其次，攻擊手段不斷更新，快速發現和響應處置難度加大。

目前，攻擊模式已經從單打獨鬥的個人炫技向團隊作戰的黑色產業轉化，攻擊工具日趨武器化和工程化，操作門檻進一步降低，基於社會工程學的APT攻擊方法越來越隱蔽，分布式攻擊的規模越來越龐大，一旦爆發預埋或者0 day攻擊，很難進行提前預警和快速響應。

第三，新技術新業務的演進更新，可能會帶來未知安全風險。

隨著5G、SDN等新技術的快速發展，IT、CT技術與行業應用深度融合，驅動網絡架構深刻變革，導致網絡邊界進一步模糊，網絡協定更加通用，業務邏輯更加複雜，而新技術的標準體系和演進路線都沒有最終確定，現網應用不夠充分，因此對於其安全可靠性還需要進一步驗證。

頂層設計指引，聯通制定總體發展策略

“為此，中國聯通高度重視網絡安全能力建設，提出了‘全方位、高智能、重演進、大生態’的網絡安全總體發展戰略。”朱常波表示。

其中，全方位是指要建立雲、網、端協同聯動、技術與管理互相促進的端到端安全防護體系；

高智能是指要充分利用大數據、人工智能等創新技術，建設全面感知、精準處置的決策響應中樞，實施積極主動的防禦模式；

重演進是指提前布局5G、SDN等新型網絡架構安全研究，深入開展量子加密、區塊鏈等前瞻安全技術研究，積極探索自主可控的創新技術，重構未來網絡的安全能力；

大生態是指在產業合作方面充分利用運營商的管道和資源優勢,向合作夥伴開放安全能力和實踐經驗，聯合產業上下遊，協同構建網絡安全新生態。

在總體戰略的指引下，經過長期積累，中國聯通已經建立了較為完善的網絡安全研究、運營和服務體系，在現網條件具備了異常流量清洗、僵屍木馬監測、移動惡意程式監測、網絡安全態勢感知、安全配置基線和漏洞管理等多種安全防護和服務能力。

同時，圍繞5G、物聯網、大數據、區塊鏈等新技術新業務安全，聯通進行了技術儲備，並發布了《物聯網安全技術白皮書》、《5G安全需求和架構白皮書》等研究成果，編制了多項國際、行業標準，還積極聯合國產基礎軟硬體研發機構、加密算法研究廠家，共同推動高自主可控數據中心的建設，保障國家關鍵基礎設施的安全。

安全“三劍客” 聯通優勢何在

據了解，聯通雲盾產品主要聚焦在DDoS防護、域名防護和網站安全三大版塊。目前，正式向用戶推出的聯通雲盾DDoS防護產品，已獲得中國工商銀行、阿里、騰訊等50余家重量級用戶好評，並在應急響應、重要保障服務等方面發揮了積極作用。

在朱常波看來，聯通雲盾DDoS防護產品優勢主要體現在四點：(1) 通過對全網的Netflow數據進行監測，可快速發現異常流量，實現秒級告警；(2) 基於運營商獨有的流量封堵處置能力，可以做到精細化的分區域封堵，封堵能力無上限；(3) 流量清洗能力方面，實現分布式近源清洗，輕鬆應對T級大流量攻擊，用戶無需任何配置和改造，流量原路徑回注；(4) 在服務支撐方面，聯通配備了7*24運維團隊，提供攻防演練、自動防護、分析報告等多項專家級服務。

朱常波尤其提到，為支持阿里“雙十一”期間業務的正常開展，中國聯通成立了安全長官小組、安全保障小組、應急保障小組、7*24保障小組。保障期間，中國聯通首次推出的IPv6封堵、特定五元組流量過濾、域名刷新等多項新業務，及時滿足了客戶的需求，保障了“雙十一”期間，海量業務的穩定運行。

朱常波表示，在域名防護方面，運營商DNS系統承載了互聯網70%以上的域名解析請求，因此，聯通雲盾域名防護產品能夠提供更深層次、更廣範圍的DNS監測和防護能力。

在網站安全方面，聯通雲盾WEB應用防火牆(WAF)產品目前已具備試用條件。產品提供雲WAF模式和本地部署模式，支持Keyless使用方式，並支持與已有的DDoS防護、域名防護等產品相結合，為客戶提供整體解決方案。

“目前域名防護、高防、雲WAF等產品正在測試中，預計明年將會陸續商用。”朱常波透露。

5G/IoT時代的網絡安全聯通如何應對

毋庸置疑，隨著5G、物聯網等新技術的快速發展，IT、CT技術與行業應用深度融合，驅動網絡架構進一步變革，培育出了多個全新業務場景，同時也帶來了很多安全挑戰。

比如：海量的、低性能的自運行終端無法實施主動防護，很容易被入侵利用，發起大規模的網絡攻擊；網絡雲化和虛擬化架構，導致安全邊界更加模糊，安全攻擊容易在資源池內蔓延；異構網絡融合接入，導致業務場景更加複雜，很難實施統一的安全防護策略，這些都是在傳統網絡中沒有遇到的安全挑戰。

對此，朱常波表示，中國聯通對於網絡演進和創新業務安全一直比較關注，近幾年也進行了提前布局。

首先是進行頂層架構設計。例如，聯通發布了《物聯網安全白皮書》，提出了“3T+1M”的物聯網安全總體架構，從終端、網絡、雲端和智能運維各個方面打造全方位的安全保障體系；另外，還積極參與發布了《5G網絡安全需求與架構白皮書》，專門針對5G異構接入、雲化和虛擬化架構、網絡切片和能力開放等關鍵場景制定了相應的安全防護策略。

其次是安全能力建設上。由於物聯網業務已經在現網開展，所以中國聯通也正在配套建設相關安全能力，一方面將互聯網的安全防護能力向物聯網移植擴展，另一方面根據物聯網的業務特徵，基於信令和話單分析，建立專門的物聯網網絡安全態勢感知、終端統一管控平台，對安全威脅進行快速響應，實現更加細粒度的安全保障。針對5G通信雲安全防護、流量監測、統一認證等解決方案也正在標準跟蹤和測試驗證中。

最後是安全產業生態建設上。考慮到新技術新業務安全是一個端到端、全生命周期的體系化工程，中國聯通將積極整合各方產業資源，采取“中國聯通+合作夥伴+行業客戶”的安全產業鏈深度合作模式，共同研發端到端的安全解決方案，為客戶提供快捷、高效、可靠的一站式網絡安全服務。

採訪最後，朱常波表示，中國聯通將繼續秉承開放合作的理念，積極踐行央企責任，充分發揮運營商網絡、品牌優勢，為客戶提供定製化的安全專業服務，保障網絡安全可靠演進，維護國家網絡安全，促進產業健康發展。