隨著萬物互聯新時代的到來，網絡和信息安全已經成為產業發展不可忽視和回避的重要問題，中國聯通高度重視網絡安全能力建設，不斷完善網絡保障和服務體系，積極助力國家網絡與信息安全發展戰略。分析了中國聯通面臨的總體安全形勢，提出了“全方位、高智能、重演進、大生態”的網絡安全總體發展戰略，介紹了頂層設計、網絡安全能力構建、演進安全能力保障和安全生態體系建設等方面，最后對中國聯通的網絡安全實踐和經驗進行了探討。

0

引言

隨著5G、物聯網、人工智能等新技術新應用的發展，社會正邁入萬物互聯、萬物智聯的大數據時代。數字化、泛在化和智能化等創新技術不斷涌現，給社會和經濟發展帶來巨大助力的同時也催生了前所未有的管控難點和安全威脅。當前，我國政府對于網絡與信息安全的重視程度日漸提升，保障網絡與信息安全已經成為實現“網絡強國”“互聯網+”等國家戰略的基石。對國家而言，安全不是消費品而是軍備品；對企業而言，安全不是可選項而是剛性需求；對用戶而言，安全不是奢侈品而是日用品。在這一背景下，政府相關部門正著手積極推動政策落實，而以網絡運營商為代表的產業鏈各方加大技術創新力度，以技術為突破，助力我國網絡安全水平的提升。

1

運營商面臨的網絡安全形勢分析

1.1 網絡安全上升為國家戰略

面對復雜嚴峻的網絡安全形勢，數十個國家已頒布網絡空間安全國家戰略，我國也高度重視，將網絡與信息安全上升到國家安全戰略高度。2014年2月27日中央網絡安全和信息化領導小組成立，著眼國家安全和長遠發展，統籌協調涉及各個領域的網絡安全重大問題，研究制定網絡安全發展戰略、宏觀規劃和重大政策。2016年4月19日，******在網絡安全和信息化工作座談會上強調：“網絡安全是事關國家安全和發展、事關廣大人民群眾工作生活的重大戰略問題，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。建設網絡強國，要有自己的技術，有過硬的技術”。2016年11月7日網絡安全法正式發布，標志著網絡安全將有法可依，同時信息安全行業將由合規性驅動過渡到合規性和強制性驅動并重。網絡運營商作為信息化主力軍，必須貫徹執行國家有關網絡安全的政策，制定完備的網絡安全發展戰略，保障網絡與信息的安全。

1.2 攻擊手段和規模不斷升級

由于政治、經濟等方面原因，計算機病毒以及網絡安全漏洞的數量與日俱增，網絡攻擊手段不斷升級，基于社會工程學的APT攻擊方法越來越隱蔽，分布式攻擊的規模越來越龐大，一旦爆發預埋或0day攻擊，很難提前預警和快速響應；攻擊模式由單打獨斗的個人炫技向團隊作戰的黑色產業鏈轉化，詐騙電話、信息盜取、DDoS攻擊等活動頻繁，我國每年由此遭受的經濟損失近千億元；攻擊目標升級，呈現戰爭化趨勢，國家級重點信息系統及關鍵基礎設施已成為跨國網絡攻擊主要目標，攻防兩端對抗加劇。

運營商的信息通信網絡設施是經濟社會運行的神經中樞，是企業乃至國家和社會信息化、互聯網正常發展的重要基礎，同時也是網絡攻擊的重點目標，因此必須加強技術創新來滿足運維需求，做好網絡與信息的安全防護。

1.3 網絡和技術演進帶來新挑戰

隨著5G、SDN等新技術的快速發展，云計算、大數據、物聯網應用的落地，IT、CT技術與行業應用深度融合驅動網絡架構深刻變革，導致網絡安全邊界進一步模糊，網絡協議更加通用，業務邏輯更加復雜，因此難以制定統一的網絡安全防護策略。

對運營商來說，企業互聯網化轉型升級戰略的推進、創新業務的開展、用戶規模的增長、平臺的開放以及數據量的爆發式增長導致網絡安全的內涵和外延發生了很大變化，運營商面臨前所未有的挑戰和威脅，迫切需要建立維護網絡安全的長效機制，確保網絡及業務的安全、完整、可用，為企業發展保駕護航。

1.4 市場發展機遇向好

受世界各國網絡安全戰略和政策出臺，以及云計算、物聯網、大數據等創新技術和業務逐漸成熟等因素的影響，全球網絡安全市場蓬勃發展。據權威機構Gartner預測，到2020年全球網絡安全市場規模將超過千億美元，而中國將成為全球網絡安全市場增長最快的區域，預計未來5年網絡安全市場年復合增長率將超過13%。

隨著國家對網絡安全管控力度的加大，信息資產重要性得到了提升，重大安全事件使用戶安全意識得到了強化。據調查統計，超過三分之二企業高層將安全視為最優先考慮的問題。由于大部分企業自身不具備安全防護能力，希望運營商在提供網絡資源的同時也能提供安全保障。網絡運營商可利用當前市場機遇，將網絡與信息安全能力轉化為安全服務和產品，形成市場競爭新優勢，促進自身發展。

2

中國聯通網絡安全戰略

在政策、技術、業務和市場的共同驅動下，中國聯通以國家對網絡信息安全的總體要求為綱領，以打造五新聯通、聚焦創新、合作發展為主旨，提出了全方位、高智能、重演進、大生態的網絡安全總體戰略。全方位是指建立云、網、端協同聯動，技術與管理互相促進的端到端安全防護體系；高智能是指充分利用大數據、人工智能等創新技術，建設全面感知、精準處置的決策響應中樞，實施積極主動的防御模式；重演進是指提前布局5G、SDN等新技術新業務安全研究，積極探索下一代安全防護關鍵技術，重構未來網絡的安全能力；大生態是指在產業合作方面充分利用運營商的管道和資源優勢，向合作伙伴開放安全能力和實踐經驗，聯合產業上下游，協同構建網絡安全新生態。

2.1 全方位的防護體系

我國網絡安全防護已經上升到由國家統一籌劃、綜合防護的戰略高度。對于企業來說，網絡安全是整體的而不是割裂的，動態的而不是靜態的，開放的而不是封閉的，因此迫切需要改變單靠技術維護的低層次單一運行模式，樹立動態防護、綜合管理的理念，加強頂層設計和網絡安全管理機制建設，將獨立分散的安全系統納入統一管理和總體規劃的安全體系架構中，建立自上而下的網絡安全防護保障體系。

建立全方位的安全防護體系，要以實現縱深化、智能化的技術保障和制度化、閉環化的管理支撐為目標，不斷夯實端管云技術保障基礎，提升智能化的運營和管理支撐能力，完善組織架構和機制建設。中國聯通網絡安全體系架構如圖1所示。

圖1 中國聯通網絡安全體系架構

作為基礎網絡提供商和特大型中央企業，中國聯通高度重視網絡安全能力建設，建立了較為完善的安全研究、運維和服務體系，在終端加密、網絡防御、數據保護、應用審計等方面提供了多項安全服務，已經完成12大安全系統的建設和運營，形成了從終端、網絡安全到業務內容安全的全方位安全保障。現網具備了異常流量清洗、僵尸木馬監測、移動惡意程序監測、網絡安全態勢感知、安全配置基線和漏洞管理等多種安全防護和服務能力。中國聯通12大安全系統如圖2所示。

圖2 中國聯通12大安全系統

2.2 高智能的決策大腦

******在網絡安全與信息化會議上談到“要加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力”。企業現有的安全系統大都獨立建設、運營，缺乏集中調度、全網感知及聯動處置能力。面對新的網絡安全攻擊形勢，企業要有應對網絡安全新風險的技術，推動協同聯動的網絡安全主動防御體系建設，具備網絡安全威脅實時檢測、全面感知、預警防控的能力，實現對安全威脅態勢的整體把控。具體來說，要積極主動地防御，充分利用人工智能、大數據等創新技術，建立安全中樞，對網絡安全風險及時響應、集中分析、全面感知、精準處置，。

為實現這一戰略目標，中國聯通加大自主創新力度，聚焦大數據、人工智能、自動化、可視化等技術，自主研發構建“網絡安全態勢感知”“網絡資產安全閉環管理”“網絡基線安全自動核查”三大安全系統，已初步具備了智能化、自動化的安全運維能力，能夠為用戶提供各種監測告警、防護處置、評估咨詢服務。

2.2.1 中國聯通網絡安全態勢感知平臺

為解決現有網絡安全系統部署獨立分散，難以實現安全風險預警和聯動處置的問題，中國聯通結合大數據、可視化、人工智能技術，研發了網絡安全態勢感知系統。該系統統一收集、分析挖掘和呈現全網多個安全系統數據，實現對多維度安全風險事件和風險的關聯解析與感知，形成中國聯通網絡安全威脅情報庫，實現智能化安全運維。中國聯通網絡安全態勢感知平臺如圖3所示。

圖3 中國聯通網絡安全態勢感知平臺

2.2.2 中國聯通資產安全管理平臺

中國聯通為解決資產安全管理問題，研發了網絡資產識別與安全管理系統，自動發現識別網絡資產的變化情況和設備的異常操作，及時準確地定位風險源頭，從而徹底排查整改，實現對自有網絡資產的安全閉環化管理，同時向外部用戶提供網絡安全評估服務。中國聯通資產安全管理平臺如圖4所示。

圖4 中國聯通資產安全管理平臺

2.2.3 中國聯通網絡安全基線核查系統

中國聯通網絡基線分析核查系統的研發是結合國家安全要求和中國聯通網絡運營特點，基于自主化統一的核查標準，通過多級化的部署，提高核查效率和精準度，降低了一線安全運維成本。中國聯通網絡安全基線核查系統如圖5所示。

圖5 中國聯通網絡安全基線核查系統

2.3 重演進的提前布局

大數據、智能化、物聯網、移動互聯網、云計算等新技術、新業務帶來了新的安全風險和挑戰。對于運營商來說，除了傳統安全問題外，5G、物聯網、SDN、人工智能等新技術、新業務的快速發展，還可能引入未知威脅，因此，新技術可能會重構現有安全能力和服務模式，對安全防護能力提出新的需求。目前運營商針對網絡演進安全的研究仍處于積累階段，前瞻研究不足，落后于網絡演進速度，需要充分發揮新技術優勢，做好網絡的平滑升級演進。具體來說，運營商要在研發布局上重點關注5G、物聯網等網絡創新技術和業務的安全，同時深入開展量子加密、區塊鏈等前瞻安全技術研究，積極參與國際標準的制定，探索自主可控的創新技術，重構未來網絡的安全能力。

中國聯通重視5G、物聯網、大數據、區塊鏈等新技術新業務安全以及網絡演進安全，為此進行了技術儲備并提前布局。在技術研究方面發布了《物聯網安全技術白皮書》，提出了“3T+1M”的物聯網安全總體架構，從終端、網絡、云端和智能運維等多個方面提出安全能力要求和解決方案，打造全方位的安全保障體系；參與發布了《5G網絡安全需求與架構白皮書》，劃分了安全管理域，提出了域內域間安全能力要求，并針對5G異構接入、云化和虛擬化架構、網絡切片和能力開放等關鍵場景提出了相應的安全防護策略。在標準化工作方面，中國聯通積極參與，輸出內部研發成果，編制了多項國際、行業標準。在安全能力建設方面，中國聯通將骨干網的安全防護能力向物聯網移植擴展，建設專門的物聯網網絡安全態勢感知、終端統一管控平臺，對安全威脅進行快速響應，實現更加細粒度的安全保障；針對5G通信云安全、流量采集、統一認證等的解決方案也正在標準跟蹤和測試驗證中。此外，中國聯通還積極聯合國產基礎軟硬件研發機構、加密算法研究廠家，共同推動高自主可控數據中心的建設，保障國家關鍵基礎設施的安全。

2.4 大生態的的合作理念

網絡安全空間的建立需要發揮政府、高校、研究機構、互聯網企業、國際組織等各種主體的作用，群策群力，通力合作。運營商要充分利用管道和資源優勢，加大能力開放，整合產業資源，聚焦行業應用，聯合產業上下游，協同構建網絡安全新生態。

中國聯通在安全生態的建設中采取“中國聯通+合作伙伴+行業客戶”的產業鏈深度合作模式，同多家單位建立了網絡安全戰略合作關系，與政、產、學、研開展多項合作，包括向政府提供安全服務、聯合高校成立網絡與信息安全聯合實驗室、與企業開展安全技術合作和產品研發、與研究機構聯合開展多項國家重大課題研究，同時與多家國內外標準組織聯合，開展安全標準項目合作。

3

結束語

由于具備了全網管道連接和流量匯聚優勢，通信運營商在網絡安全防護中的作用會越來越大。中國聯通肩負網絡安全防護重任，將積極踐行央企責任，做好國家的通信網絡安全保障工作；加大創新核心科技的研發力度，推動自主可控的平臺建設；同時，繼續秉承開放合作的理念，充分利用運營商的網絡、品牌優勢，與合作伙伴一起共筑網絡安全防線，為客戶提供定制化的安全專業服務，維護國家網絡安全，促進產業健康發展。