方案在我们工作与学习过程中起着重要的作用,对于我们进一步开展工作与学习,有着非常积极的意义。那么一份科学的方案是什么样的呢?以下是小编整理的《电信idc网络解决方案》,希望对大家有所帮助。
第一篇:电信idc网络解决方案
【解决方案】Radware电信IDC网络整体解决方案
Radware电信IDC网络整体解决方案 一个典型的数据中心网络拓扑结构图如下图所示:
上述典型的数据中心网络大致由4 部分组成:
网络出口连接部分
网络安全部分
网络骨干交换部分
托管用户接入部分
一、网络存在问题
1. 广域网链路存在的缺陷
Internet连接部分是指数据中心通过ISP运营商的链路连接到Internet,用于为数据中心托管用户对外的网上公共信息发布, 为Internet 用户访问数据中心提供可靠连接。
链路的单点失效性:采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个网络的瘫痪;
链路性能的瓶颈:单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求,同时也无法大量的Internet上的用户对企业的访问;
网络安全防护能力弱:目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限,DOS/DDOS 网络攻击会对广域网络由器产生严重的影响;
2. 网络安全防护存在的缺陷
网络安全部分通常由防火墙、虚拟专网(VPN)和防病毒网关设备构成,用于制定内部信息资源的不同访问策略,保护数据中心的应用免受来自Internet的网络攻击。
网络安全设备缺乏高可用性:虽然某些数据中心采用了多台安全设备互相备份的解决方案,解决了单点失效的问题,但这些设备无法同时工作,导致投资严重浪费,备用设备只有等待主用设备失效以后才起作用,投资回报及性价比极低;
网络安全设备性能的瓶颈:网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器和网络交换机相比,性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps。由于安全设备缺乏高可用性,因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。
安全体系架构存在漏洞:防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制,并且可以对基于状态的协议进行协议状态检查,因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如: 蠕虫入侵、病毒入侵、后门攻击。
3. 骨干交换及托管用户应用的缺陷
网络骨干交换提供了托管用户的接入,托管用户的应用实现对外WWW等信息发布系统,业务应用系统和后台数据库系统组成。
网络应用的可靠性较差:应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24 小时的持续性服务。
网络应用的性能瓶颈:在网络应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。
网络应用的安全性较差:现有网络中的安全性防护机制的特点是:
现有的安全性防护机制通常是针对来自外网的攻击;
缺乏针对来自内网的攻击防护机制;
现有的安全性防护机制通常是针对整体网络层面的攻击防护,即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护;
二、数据中心网络应用需求分析
1. 广域网链路需求分析:数据中心网络出口连接方面的需求-多链路负载均衡技术
目前在国内由于多家ISP的竞争,Internet 接入链路的成本大幅降低,多链路Internet的接入已成为许多数据中心在的选择网络连接方面的需求。因此在数据中心Internet网络出口连接方面将存在如下要求:
提高Internet网络链路的可用性:当网络中心具有多条Internet链路后,应提高Internet网络链路可用性的智慧检查,防止出现由于某一条Internet链路的失效造成整体网络的不可访问。
提高Internet链路的网络吞吐量:提高数据中心的Internet网络链路的吞吐量,申请多条Internet链路。
提高Internet网络链路的抗网络攻击的能力:Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路,因此应加强在Internet链路上的攻击防护。
2. 网络安全防护需求分析:网络安全方面的需求-防火墙、IDS、防病毒设备负载均衡技术的需求
为了保证数据中心的网络在网络安全防护方面的高可用性、高性能和安全性,数据中心在网络安全方面的需求可以分为以下几部分:
提高网络安全设备的可用性:网络中应具备安全设备的的可用性检查,避免单一的网络安全设备的单点失效性。
提高网络安全设备性能:在网络中采用多台网络安全设备,避免网络安全设备带来的瓶颈,提高网络传输速度。
完善网络安全体系架构:各种各样的网络攻击层出不穷,导致防火墙的负荷在不断提高,再相对于网络物理带宽的大幅度提高,防火墙逐渐成为了网络的瓶颈,本案希望使用一组(2个以上)防火墙采用负载均衡技术提供安全服务,以提升性能。
3. 网络应用需求分析
网络应用方面的需求-应用服务器负载均衡技术的需求
为了保证数据中心的网络应用的高可用性、高性能和安全性,数据中心的网络应用存在下列需求:
提高网络应用的可靠性:自动的网络应用可用性检查,保证网络应用的7x24 小时的持续性服务。
提高网络应用的性能:如果网络中仅有单台服务器提供网络应用的服务,很难保证网络应用的性能,可以考虑增加相应的服务器数量,配合负载均衡技术来提高网络网络应用的性能。
网络应用的安全性较差:制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制;
4. 提供差分服务(增值服务)的需求
数据中心应该能根据托管用户的经济能力提供差分服务,以提高市场竞争力。
三、Radware解决方案
根据大型数据中心网络应用现状分析和用户的需求分析,结合Radware产品的技术实现和特点数据中心方案设计,如下图所示:
Radware解决方案简介:
建议在数据中心网络各层面上共采用了12台Radware的设备,其中包括: 2台DefensePRO(通过端口静态绑定,最多可以虚拟成11台设备),
2台LinkProof、
2台FireProof、
2台CID、
2台WSD、
2台CT100。
LinkProof实现多链路的负载均衡和防火墙的负载均衡
如上图所示,我们建议在网络接入处,部署LinkProof,实现对多条internet接入链路(最多100条)的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问数据中心内部服务器)双向的负载均衡。同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率。LinkProof可以配合FireProof实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
我们建议的安全解决方案部分,包括3款产品,DefensePro,FireProof,CID,每台设备简要功能描述如下:
DefensePro实现实时的攻击防御:部署DefensePro,可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全。
FireProof实现防火墙的负载均衡:部署FireProof,配合LinkProof实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
CID实现cache服务器、防病毒网关负载均衡:CID位于FireProof和核心交换机之间,与组织内原有的Cache,防病毒网关等内容检测安全设备协同提高服务质量。一方面把如上设备由inline方式改名为CID的旁路方式,减少了网络的单点故障。另一方面,CID实现对多台设备的负载均衡,保证了该类网络设备的高可用性,高扩展性和高性能。
CID部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的Cache重定向服务,保证高级用户的WWW服务响应速度;还可以为高级用户制定防病毒服务,使得高级用户可以免遭病毒的攻击,而普通用户的数据则由CID透明传输,不经由Cache 服务器或防病毒服务器,只享受普通的业务托管服务。
我们建议的应用解决方案部分,包括2款产品,WSD,CT100,每台设备简要功能描述如下:
WSD实现服务器的负载均衡:WSD位于核心交换机和各种IP应用服务器之间,主要实现所有基于IP协议的各种服务器的负载均衡功能,通过部署WSD,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量,从而实现了服务器所承载的业务的100%的高可用性和高性能。WSD部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的服务器负载均分服务,保证高级用户的服务响应速度及应用可靠性。
CT100实现SSL加速和HTTP(HTTPS)页面的加速
SSL加速功能:CertainT 100与WSD配合,为用户提供SSL加密加速服务。利用WSD 的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源,使服务器的性能提高200倍以上,并且使服务器的投资发挥最大效益。
HTTP(HTTPS)页面的加速:CertainT 100通过WEB压缩和HTTP连接复用技术,大大提升internet用户对服务器的访问速度。较大地节省了internet的接入带宽,大大地降低了WEB服务器的处理资源消耗。
CT-100部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的SSL加速服务和HTTP压缩服务,保证高级用户的服务响应速度。对于普通用户而言,CT-100则不起作用,普通用户的SSL加解密都放置到其服务器中完成。
四、方案中Radware详细技术介绍
DefensePro -实现入侵和DOS攻击的实时防范 Radware DefensePRO的功能描述
1. 第一手防御
2. 入侵实时防范
3. 全部实时防范DOS攻击
4. 强大的设备管理和安全管理
DefensePro 是为嵌入式部署而设计的,它可以在具有多个网络段的网络中对所有流量进行实时扫描。在扫描过程中,DefensePro 会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware 安全数据库中的1500多种攻击特征。为了防范新的攻击形式,该数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。当检测到恶意活动时,DefensePro 可能以任何组合形式立即执行以下的这些操作:丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。
DefensePRO的解决方案的优势
从防火墙、VPN 网关、IDS 到防病毒网关,安全市场集结了各式各样的安全工具。但是,目前应用级层的攻击在当今的网络攻击中占了绝大多数,为了抑制这些攻击,需要千兆位元的实时防御入侵和DOS攻击的IPS设备。作为业界领先的实时防御设备,Radware的DefensePRO与其它同类IPS的解决方案相比,有如下优势:
1. 3Gbps性能
DefensePro 是业内唯一兼具了3Gbps 的安全性能和应用安全智能的产品,它可以保护从网络层直到应用层的所有网络化应用。DefensePro 独具的多层安全架构组合了数种攻击检测机制,它们联同高级的防范工具,如DoS Shield、SYN cookie和应用安全模块一起,提供了对恶意攻击和DoS攻击的完全防范能力。
2. 部署简便
简单的嵌入式安装-,借助DefensePro 的透明性,可将它无缝地集成到任何网络环境中,从而不必对网络设置、网络拓扑进行任何更改即可实现实时保护。
3. 多网段防护实现攻击隔离
DefensePRO具有IPS业界最高的端口密度,通过把物理端口两两划分,可以使用单个设备保护多个网络段,从而实现实时的投资回报。通过多网段的防护,使网络入侵和攻击被限制在一个个网络区段之内,不致于因为单台计算机发出的蠕虫、病毒和DoS 攻击传播到其它用户和网络段中。
4. 设备自身的安全性
DefensePRO的业务端口不设置IP地址,相当于一条智慧电缆,这种透明性保证了设备自身的安全性,因为用户无法了解网络中是否有该设备。所以也就无法对DefensePRO本身实施攻击。
5. 保证关键任务应用的服务质量
通过DefensePRO精细的流量控制策略,可以保证关键任务应用获得较高的服务质量,同时限制非业务应用(如P2P 应用)所占用的带宽。
6. 快速更新
Radware DefensePRO在拦截的攻击特征库更新速度方面,在安全产品业界处于领先地位。安全市场需要一种能用数千兆位元的速度对所有网络流量进行双向扫描并且可以实时防范应用级别攻击(比如蠕虫、病毒、木马和Dos 攻击)的内置安全解决方案,无疑已成为当务之急。Radware 看到了这种需求。作为首个可针对实时隔离、拦截和防范各种攻击提供数千兆位的数据包深入检查速度和特征比较速度的安全交换机,DefensePro 满足了这种需求。
Radware 多链路解决方案的优势 1. 提高Internet网络链路的可用性
全路径健康检查:检测ISP链路的可用性,即健康状况,LinkProof提供了全路径健康检查的功能,最多能够完成10跳路由健康的检测,从而保证整条数据链路的通常,提高服务质量。
故障恢复和预热定时器:LinkProof提供故障恢复和预热定时器,用户可以自定义定时器的延迟时间,从而确保将会话定向到稳定的ISP链路。一旦ISP恢复正常,LinkProof能逐渐增加发送到该ISP的流量。
冗余配置:LinKProof使用Radware已被证明的冗余机制,其中设备的状态监视通过网络来实现,从而祢补了设备故障和网络故障。
2. 提高Internet网络链路的性能
就近性(Proximity)
就近性检测方法:对于流入的流量,LinkProof使用与流出流量相同的就近性判断机制。LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。
优化就近性检测方法:可根据各个环境的独特需要方便地自定义就近性检测方法。这种自定义包括多种操作,比如增加分配给动态就近性表的内存、更改动态就近性表的内容有效期、为Radware 就近性设备提供DNS 名称以及仅使用静态就近性表等。
流量分组
流量分组使得LinkProof可以根据不同类型的流量而选择不同的链路。网络管理员可以根据目标地址、源地址和应用类型定义流量组。这使得流量分配更加灵活和方便。
3. 提高抵抗攻击的能力
Radware Linkproof 在加载了SYNAPP II/III后,可以有效地防御黑客入侵及抵抗DDOS 攻击。应用安全模块可以保护 web 服务器免受 1400 多个攻击信号的攻击。此模块的设计使它可以作为 Radware 设备管理的各种资源前面的另一道防线,这些资源包括服务器、防火墙、cache 服务器或者路由器。此模块使用网络信息和基于信息的应用。通过终止所跟踪的可疑会话来实时检测和阻止攻击。在任何管理设备上都不需要使用软件代理。
FireProof ―实现防火墙负载均衡和IDS的负载均衡
1. 高可靠的容错与冗余确保最长运行时间
2. 独特的负载均衡算法确保防火墙的最佳性能
3. 最大化性能的虚拟专用网络
4. 高可扩展性可以有效保护投资
5. 通过应用交换实现有效的防火墙管理
6. 全程路径连通性检测
7. 应用交换体系结构确保增强性能
8. 实时、高性能的应用级别安全性
9. 拒绝服务攻击防范功能
10. 安全的服务可见性和控制
11. 千兆位元速度的入侵拦截服务
12. 提供了具有容错性和可扩展的入侵检测的功能。
Radware CID解决方案的优势
1. 高可用性
高可用性的内容检查功能:高可用性的内容检查功能提供了容错防病毒扫描和对恶意内容的不间断防范。CID 可监视防病毒网关和URL 设备的健康状况,检测实时故障并将流量复位向到性能最佳的资源,从而确保了内容安全性服务的完全可用性和不停机操作。
2. 高性能
千兆位元速度的防病毒服务
内容预选功能
3. 高扩展性
高度可扩展的防病毒服务
组合式的防病毒服务支持:
4. 完全的安全性
基于策略的流量管理
千兆位元速度的入侵检测和DoS 防范
全方位监视防病毒服务 Radware 网络应用系统负载均衡解决方案优势
Radware的网络应用系统负载均衡解决方案提高了网络应用系统的可靠性。
Radware WSD为了确保系统应用的可靠性,采用以下几种手段:
1.健康检查
IP/TCP 层(3 层到 4 层)监视
应用层(7 层)监视
内容监视
Scripting 工具
先进的全程监视
WSD设备的冗余
服务器的平滑停机
服务器的逐渐开机
2. Radware的网络应用系统负载均衡解决方案提高了网络应用系统的性能
Radware WSD 为了确保系统应用的高性能,采用了以下手段:
本地服务器的负载均衡
基于URL的负载均衡
基于内容的负载均衡
本地同全局服务器结合的负载均衡
3. Radware的网络应用系统负载均衡解决方案提高了网络应用系统的安全性
Radware WSD为了确保系统应用的安全性,在负载均衡设备上可以集成安全防护的功能模块,来防御针对应用的攻击。面对日益严峻的网络安全形势,Radware借助其在内容交换领域的技术优势,实现了基于高速交换机的入侵防范解决方案。WSD的SynApps应用安全模块能够实时侦测和阻止1400多种的黑客恶意攻击和常见的恶性病毒,确保网络资源的安全,并支持用户自定义和实时更新的能力。
CT100 ―实现SSL加解密和HTTP/HTTPS加速
Radware 的SSL加速解决方案采用了WSD+CT 100 的方式, 其中四层交换机WSD位于路径中间,而SSL加速设备CT100位于旁路的位置。Radware的CertainT 100能够在不降低网络性能的情况下为用户提供快速的SSL交易。CertainT 100 SSL加密/解密功能与Radware的流量管理解决方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。
第二篇:北京idc数据中心 idc介绍 电信通服务器托管
IDC的含义:
IDC为互联网内容提供商(ICP)、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP、EC等业务。IDC是对入驻(Hosting)企业、商户或网站服务器群托管的场所;是各种模式电子商务赖以安全运作的基础设施,也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。 名词解释(业务理解非演讲内容) ICP:互联网信息服务,比如新浪、搜狐、网易。互联网信息服务可分为经营性信息服务和非经营性信息服务两类。
IDC的特征:
由于IDC有两个非常重要的显著特征:在网络中的位置和总的网络带宽容量,它构成了网络基础资源的一部分,就像骨干网、接入网一样,它提供了一种高端的数据传输(Data Delivery)的服务,提供高速接入的服务。因而电信运营机构在这方面有着得天独厚的优势。
那么,到底什么是IDC呢?有人认为IDC就是把自己机房中的机器放在别人那里,让别人代管。还有人认为IDC就是网络房地产商,它提供了一所大房子给大家的机器安个家。这些说法也对也不对。
IDC是专门提供网络资源外包以及专业网络服务的企业模式,是互联网业内分工更加细化的一个必然结果。
随着我国IDC的逐渐发展成熟,IDC开始突破了传统意义中机房的概念,转向网络和服务这两个基本的内容。首先是对网络概念的理解,一个典型的IDC已经不仅仅是骨干网的一个高速接入网,而且还应该是所有独立网络的高速对等网,是同任何网络平级的网络基础设施。而IDC的另一个概念就是服务。以往连线接入这种最简单的服务就代表了全部的Internet外包服务,而现在对于IDC,服务范围和内容较之ISP更加丰富广泛。其中由服务双方签订的服务品质协议(Service Level Agreement,SLA)将规定双方的责任和权利,若IDC服务违约将做出相应的经济赔偿。
IDC的主要服务包括整机租用、服务器托管、机柜租用、机房租用、专线接入和网络管理服务等。广义上的IDC业务,实际上就是数据中心所提供的一切服务。客户租用数据中心的服务器和带宽,并利用数据中心的技术力量,来实现自己对软、硬件的要求,搭建自己的互联网平台,享用数据中心所提供的一系列服务。
在综合了目前IDC市场情况的基础上,我们可以将IDC的服务分为三个阶段,即:服务理念、服务实施体系、服务品质的保证。
1. 服务理念的建立
服务理念反映了商家对服务本质性的、方向性的认识,是商家实施服务的指导思想。评价商家的服务理念是否合理,主要在两方面: 一方面,理念应该言之有物,另一方面,理念应该具有前瞻性。
2. 服务实施体系及标准
对服务实施体系的评价包括对服务内容、服务实施部门、服务水平以及体系完整性的评价。
在服务的实施部门方面,IDC商家应有完整、规范、有序的客户服务部门和高质量的服务设施与服务环境。阵容强大、流程顺畅、操作规范的服务队伍是高质量IDC服务的可靠保障之一。此外,IDC的物理线路、带宽资源、互联互通性能、可扩展性等性能指标,以及空间、电力供应、安全保障、地理位置和交通条件等基础性能,都成为衡量IDC服务能力的评价标准。
IDC商家技术服务队伍的水平和值守时间,也是IDC服务一个重要的评判标准。IDC应该拥有一支业务技能高超的工程师队伍,以保证服务的质量和服务效率;应该提供24×7全天候服务以保证随时响应。
能否保持服务的完整性,通过一揽子服务解决用户的后顾之忧,是IDC商家实力的反映。许多IDC客24小时服务热线:138-1153-3478 地址:北京市朝阳区建国路112号惠普大厦2层
户都在网络上运行自己的重要业务,它们的需求是多方面的,往往需要IDC提供一揽子的解决方案。这要求IDC服务的覆盖面必须尽可能广阔,以满足不同客户的个性化需求和同一客户的不同层次需求。
3. 服务品质的保证及标准
IDC服务的评测范畴除了服务理念与实施体系外,还有一个重要的方面,即“服务品质协议(Service Level Agreement, SLA)”。
SLA是由服务提供商与用户签署的法律文件,它明确规定了IDC服务的内容、服务的质量和评价指标、违约责任等。SLA不仅明确了违约方的经济惩罚性条款,而且有助于用户对服务商提供具体服务的能力、可靠性和响应速度进行充分正确的评估和监督。服务品质协议的意义,不仅在于它为用户提供了服务评价准则和可量化、可操作的标准,还在于为用户享受高品质服务提供了可靠的法律保障。
从信息经济的总体发展趋势来看,IDC的市场前景是巨大的。我国国民经济和社会发展的第十个五年计划中要求,在“十五”期间将对经济结构进行战略性调整,大力推进国民经济和社会信息化,加强信息基础设施建设,以信息化带动工业化,发挥后发优势,实现生产力跨越式发展。这种社会发展趋势从宏观上决定了互联网服务产业的发展方向。随着互联网用户的迅速增长和企业信息化过程的加速以及电子商务的逐渐成熟,IDC的发展仍将有极大的空间。
IDC拥有广阔的市场前景,全球范围内的网络数据中心(IDC)的业务量正以40%的增长速率发展。据Salomon Smith Barney研究显示,亚洲IDC市场2005年将达44.5亿美元,其中中国的IDC市场将达到7亿美元。众多的电信企业、ISP,甚至房地产企业等等都想来分一杯羹。但对运营企业来说,IDC应更注重的是服务,包括做好基本服务(指带宽、空间、供电和空调等物理要素)、管理服务(指对客户托管服务器的监测、报告和安全管理等)和应用服务(为客户提供更高层次的解决方案,如网站建设和电子商务等),以特色服务谋求生存之道。其中要特别强调的是增值服务包括为客户提供安全性分析、数据流分析、资源占用分析等。
自2004年起,国内各大基础电信运营商相继加大IDC的投入,特别是中国电信集团,于2005年与国家电子计算机质量监督检验中心共同对旗下电信级IDC机房进行了严格的星级评定,根据设施条件、机房管理、服务水平评定出五星级到二星级近百个电信级数据机房,为规范国内IDC服务、引导国内行业标准作出了积极的贡献。
北京电信通电信工程有限公司是国内目前唯一一家A股上市的电信增值服务公司,(股票代码:600804)。主营互联网接入、IDC主机托管、CDN等多种互联网基础服务。年营业额近10亿元人民币。北京电信通IP地址资源居全国第五位,数量是1,135,616个。折合数为 17B+84C。仅次于中国电信、中国联通、中国移动和中国教育网。北京电信通拥有自有AS号,号码为17964,不仅不存在南北互通问题,而且到各主要运营商都有互联带宽北京电信通在北京拥有五大自建高品质数据中心,总面积超过13000平米,带宽总出口60多G。在全国拥有合作A类机房200余个,带宽储备400G。
tel: 138 1153 3478
QQ:7898605
24小时服务热线:138-1153-3478 地址:北京市朝阳区建国路112号惠普大厦2层
第三篇:市打击治理电信网络新型违法犯罪专项行动实施方案
为贯彻落实全国打击治理电信网络新型违法犯罪电视电话会议精神,有效遏制电信网络新型违法犯罪活动的发展蔓延势头,切实维护广大人民群众生命财产安全,市政府决定从2019年1月1日开始,在全市范围内开展为期一年的打击治理电信网络新型违法犯罪专项行动。现制定如下方案。
一、指导思想
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中全会精神,认真落实国务院决策部署,坚持“标本兼治、综合治理、齐抓共管、落实责任”工作方针,坚持打击、整治、防范同步推进,多管齐下、严厉打击、全面治理电信网络新型违法犯罪,不断把打击治理工作向纵深推进,切实维护社会和谐稳定和人民群众生命财产安全。
二、目标任务
通过一年的专项打击治理,电信网络诈骗犯罪得到根本遏制,电信网络诈骗发案、群众损失明显下降,破案数、查处违法犯罪人员数明显上升,重点行业、重点领域监管防范能力明显加强,技术防控、拦截、反制手段明显提升,宣传防范的深度、广度、效果明显提高,群众的安全感、幸福感、满意度明显增强。
三、工作措施
(一)强化协作,坚决打击治理电信网络诈骗犯罪活动。公安机关严格落实侦办电信诈骗案件工作机制,主动出击市外、省外,投入人力、物力,坚决打掉藏匿境内外危害我市的诈骗窝点,抓回犯罪嫌疑人,追回受损财物,形成内外联合严打的高压态势;
严格落实电信网络诈骗犯罪“四个一律”要求(一律立为刑事案件、一律录入电信诈骗侦办平台、一律制作卷宗、一律确定窝点地),紧紧依托公安部8个查控(研判)中心开展高效专业研判,精准定位诈骗集团的话务窝点和转取款窝点。工信、人行、通信管理等单位和电信、移动、联通(以下简称“三大运营商”)要落实主体责任,密切协作配合,确保形成打击合力。工信部门快速监测、定位,为公安机关提供研判、抓捕依据,协助落地查找犯罪窝点。各商业银行积极配合公安机关快速查询资金流向、电子订单号、网银ip等电子交易数据,止付、冻结涉案银行账户。三大运营商快速调取涉案电话机主信息、通话记录、串码、基站信息、登录ip地址和信令倒查等。台办、外事、海关、民航公司、铁路公司等单位负责在公安机关打击台湾系诈骗分子时给予协助,对赴境外开展执法合作、押解运送犯罪嫌疑人工作等方面提供支持。
(二)追踪溯源,全面打击灰色产业。公安机关在案件侦办过程中,对上下游犯罪追根溯源,全链条侦查经营,彻底打击;
对提供电话线路落地、服务器租赁的非法线路商,逐层追查到底,直至基础运营商;
对提供涉案银行卡服务的团伙,顺线查清收集身份证、组织人员办理、邮寄、贩卖等每一个环节;
对提供手机恶意程序、木马病毒,公民个人信息,“伪基站”、窃听窃照专用器材、无线屏蔽器、“黑广播”等设备的团伙,彻底查清非法编写、生产、销售和使用的各个环节;
组织对电信网络新型违法犯罪产业链开展严厉打击,及时发现和解决相关行业的违规违法问题,对涉嫌违法犯罪的,发现一个坚决查处一个,绝不姑息迁就、降格处理,坚决打深、打透、打彻底。市场监管部门会同有关部门对生产、销售以上设备的相关企业及人员进行监管与处罚。
(三)创新手段,精准搞好技术防控。通信管理部门和三大运营商发挥自身职能优势,开展技术防控措施研究,积极主动提供拦截系统优化升级相关技术支持;
在关口端就地开展信令倒查与判别工作,提供真实来电显示。网信部门协调有关单位依法依规对市内诈骗类网络平台进行处置,受理公众网络诈骗信息举报,并协同相关部门研判处置。财政部门根据各职能部门需求,对技术防控、系统运维及优化升级经费予以必要的支持,并督促财政做好相关工作。
(四)集中治理,坚决堵塞监管漏洞。工信部门督促三大运营商严格落实相关文件规定,保证提供安全服务。通信管理部门集中清理整治违规出租专线、非法设置网络电话(voip)平台违规经营行为,会同有关部门建立信息流过错责任追究制度,对落实电话实名制不力,造成严重后果的企业或个人,追究相关责任。三大运营商加强“一号通”、“400”、“商务总机”等重点电信业务市场的规范管理,对于违规使用电话号码、电信线路,使用非法虚拟网址、钓鱼网站及木马链接的一律关停封堵,对有关人员依法依规处理;
加强电话卡、上网卡、物联网卡实名登记和联网核查工作,加强管理社会营销渠道,严格管控校园手机卡营销活动,规范网络销售电话卡业务,杜绝记名不实名的情况发生。移动、联通公司解决短信发送存在的技术漏洞,避免诈骗团伙利用短信嗅探设备窃取验证码对银行卡进行盗刷。人行、银保监机构指导督促各商业银行加强账户实名制管理,深入推进个人账户分类管理,建立冒名开户、买卖账户惩戒机制,审慎核实单位开户;
加强转账管理,尤其是非柜面转账和支付账户转账管理;
加强银行卡业务管理,严格审核特约商户的资质,严禁网上售卖pos、mpos、刷卡器等终端机具,充分利用中国支付清算协会特约商户管理系统和黑名单机制,银行和支付机构不得将黑名单中的单位拓展为特约商户;
强化可疑交易监测,健全紧急止付和快速冻结机制,配合公安机关完成违规资金止付和冻结工作
(五)依法严厉惩处犯罪。法院、检察院、公安机关在定性、管辖、量刑等方面用足用好《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,加大对犯罪分子的惩处力度,确保打击质量和效果。工信、通信管理、人行、银保监等单位按照相关法律法规,充分研究银行、支付机构、通信运营企业等在电信网络诈骗过程中有无过错、责任等问题,建立责任追究机制,形成责任倒查制度。
四、工作要求
(一)加强组织领导。全市打击治理电信网络新型违法犯罪工作联席会议统筹指导工作开展,及时研究解决工作推进中的困难和问题。联席会议办公室设在市公安局,承担日常工作,落实有关决定。办公室主任由市公安局副局长张先锋担任。
(二)加快反诈中心建设进度。加强本市反诈中心建设,公安机关主要责任人作为本市反诈中心建设的第一责任人,对反诈中心建设负总责;
分管刑侦工作的负责同志为直接负责人,负责反诈中心建设的具体工作。工信、银保监单位要协调三大运营商及主要商业银行入驻反诈中心,弥补公安机关技术手段短板,提升公安机关侦查办案能力。
(三)广泛宣传防骗知识。宣传、网信、教育、司法、广电各相关职能部门要协同配合,采取随警作战、跟踪报道、集中报道等方式,组织新闻媒体大力宣传打击治理电信网络新型违法犯罪专项行动的措施成效,发放防骗指南宣传册,推动宣传防范工作进社区、进单位、进学校、进家庭。财政、市场监管部门要督促相关部门对财物人员、企业法人等重点人群有针对性地开展防范宣传,及时通报电信网络诈骗典型案例,防止大额电信诈骗案件发生。
各单位开展专项行动情况及时上报市联席会议办公室。
第四篇:河源农商行关于加强支付结算管理防范电信网络新型违法犯罪的工作方案
河源农商银行关于加强支付结算管理 防范电信网络新型违法犯罪的工作方案
根据《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发[2016]261号)和《中国人民银行广州分行转发中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(广州银发[2016]233号)要求,为有效防范电信网络新型违法犯罪,切实保护人民群众财产安全和合法权益,结合本行实际特制定本方案。
一、成立专项工作组
加强支付结算管理,加大打击电信网络违法犯罪工作力度,是保障广大群众财产安全和合法权益、筑牢支付结算安全防线的重要举措。为此,总行成立“加强支付结算管理防范电信网络新型违法犯罪”专项工作领导小组,由XXX行长担任组长,XXX副行长任副组长,成员为会计结算部、电子银行部、内审监察部、合规与风险管理部负责人、各支行行长,领导小组统筹工作安排。领导小组下设办公室,设在会计结算部,负责牵头组织开展“加强支付结算管理防范电信网络新型违法犯罪”工作。辖内各级支行实施“一把手负责制”积极配合开展此项工作。
二、具体工作安排
(一)加强账户实名制管理
1、全面推进个人账户分类管理
(1)限制个人结算账户Ⅰ类户新开户业务。自2016年12月1日起,大集中系统将对I类户的新开户进行限制。届时同一客户在同一法人农合机构内,只能开立一个Ⅰ类户,如2016年12月1日前已开立Ⅰ类户,则不允许再开立新的Ⅰ类户。由于除社会保障卡和社会医疗保险卡可开立为Ⅱ类户外,大集中系统暂不支持Ⅱ、Ⅲ类户的开立,而存量个人结算账户均为Ⅰ类户,因此网点柜员应认真做好客户宣传和解释工作,引导客户使用原有账户办理业务。
(2)认真开展存量Ⅰ类户摸排清理工作。省联社将分批抽取大集中系统中“同一客户在同一法人农合机构内开立多个I类户”的数据,并于近期下发,会计结算部会对数据进行整理和筛选,各支行在收到数据后,及时对本机构开立账户数较多的客户进行核实,对于无法核实客户开户合理性的,应积极引导客户撤销或归并账户,同时做好解释工作。对于客户同意撤销或归并的账户,各支行应做好登记,登记在“附件1:撤销或归并账户统计表”中。其中,同一客户在同一法人农合机构内开立50个以上(含50个)I类户的,需在2016年12月31日前完成清理;开立30个(含30个)以上、50个以下I类户的,需在2017年3月31日前完成清理;开立10个(含10个)以上、30个以下I类户的,需在2017年5月31日前完成清理;开立2个(含2个)以上、10个以下I类户的,由各支行结合实际情况自行摸查及后续清理。
2.暂停涉案账户开户人名下所有账户的业务。对于纳入电信网络新型违法犯罪交易风险事件管理平台(以下简称电信网络犯罪管理平台)的“涉案账户”,大集中系统将从两方面进行业务限制:一是根据电信网络犯罪管理平台推送的信息,自动将相关“涉案账户”限制为“不收不付”状态;二是将“涉案账户”以报表形式展现。对于“涉案账户”,各支行应通知开户人及时前往开户网点重新核实身份。如开户人未在3个自然日内重新核实身份的,柜员应通过大集中柜面系统“客户信息-黑名单管理-黑名单维护(060425)”交易(以下简称黑名单维护交易)将该客户置为“涉案账户”状态(黑名单维护交易省联社将于近期更新,下同),暂停其名下其他账户的非柜面业务。在重新核实账户开户人身份后,柜员可通过黑名单维护交易恢复其名下除涉案账户外其他账户的业务。同时应做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
3.做好对买卖银行账户、冒名开户的业务控制。人民银行将定期公布买卖银行账户或冒名开户名单,会计结算部在收到名单后整理并下发给各支行,各支行可通过“黑名单维护”交易将该名单中涉及本机构的单位或个人设置为“买卖银行账户或冒名开户”状态,并按261号《通知》规定“5年内暂停其银行账户非柜面业务、3年内不得为其新开立账户”。期限过后,各支行方可通过黑名单维护交易恢复其相关业务。同时应做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
4.加强对冒名开户的防控。各支行在办理开户业务时,发现个人冒用他人身份开立账户的,应及时向公安机关报案,并注意灵活应对,尽可能延缓时间等待公安机关到达现场。同时,应积极配合公安机关做好案件协查和线索移交工作,并及时将该案件上报会计结算部。
5.建立单位开户审慎核实机制。
(1)做好对严重违法失信企业的业务限制。各支行至少每季度通过全国企业信息公示系统排查本机构开户单位是否被列入“严重违法失信企业名单”状态。对于被列入该名单,以及经核实单位注册地址不存在或者虚构经营场所的单位,应通过“黑名单维护”交易将其置为“严重违法失信企业”,将其名下所有账户限制为“不收不付”状态,并控制其不得新开立账户。同时应做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
(2)加强单位开户意愿核查。对存在法定代表人或负责人对单位经营规模及业务背景等情况不清楚、注册地和经营地均在异地等异常情况的单位,各支行应加强对单位开户意愿的核查,并对法定代表人或负责人面签,留存相关视频、音频资料等,将视频或音频资料纳入开户资料进行永久保存。同时,可在开户初期通过“黑名单维护”交易将该单位置为“法定代表人、负责人存在异常情况”状态,暂不为其开通非柜面业务,并做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
6.加强对异常开户行为的审核。
(1)严格把控开户环节。各支行在办理开户业务时,应采取多种手段核验申请人身份证件的合法性,并审慎分析是否属于正常开户行为。对出现《通知》所述异常开户情况的,可拒绝开户。
(2)加强账户交易活动监测。根据《通知》“对开户之日起6个月内无交易记录的账户,银行应暂停其非柜面业务”的要求,大集中系统将新增账户交易情况自动监测功能,并根据监测情况自动对相关账户采取暂停非柜面业务的控制,各支行应该做好客户解释工作。同时,大集中系统将新增恢复被控制账户业务的交易。开户人重新核实身份后,柜员可通过该交易恢复其业务。
7.加快联系电话号码与身份证件号码对应关系的清理。由于大集中系统中的电话号码、身份证件号码均以客户为单位进行设置和维护,因此省联社将以客户为单位,批量抽取大集中系统中“同一法人农合机构内使用同一联系电话”的单位、个人客户信息及其名下的账户信息,并于近期下发,会计结算部会对数据进行整理并下发给各支行,各支行应按照《通知》要求,对多人使用同一联系电话号码开立和使用账户的情况进行排查清理,并联系当事人确认。对无法证明合理性的客户,应通过“黑名单维护”交易将其置为“电话号码与身份证件号码没有一一对应”状态,暂停其名下所有账户的非柜面业务,并做好相应的登记,登记在“附件3:电话号码与身份证件号码没有一一对应账户清理统计表”中。
(二)加强转账管理。
1.增加转账方式,调整转账时间。
(1)提供多种支付到账方式。大集中系统将向客户提供实时、普通和次日三种到账方式。实时和普通到账方式通过现有渠道实现,次日到账方式省联社拟于近期新增。柜面系统转账支付业务方面、网上银行和手机银行转账支付业务方面,实时、普通到账仍保留现有实现方式,次日到账的具体实现方式在上线投产后将更新通知下发给各支行。
(2)做好转账方式调整后的客户服务工作。一方面,自12月1日起,网点柜员应按照客户转账汇款的金额、时效等具体要求,引导客户选择相应的到账方式并正确填写业务凭证。目前,省联社已开展相关客户填单类凭证(包括业务交易单、结算业务委托书等)的改版工作,增加次日到账方式的勾选项。在新凭证启用前或库存凭证使用完毕前,农合机构仍可使用现有凭证,但需引导有延迟到账需求的客户在委托书等凭证的“委托日期”旁空白处或业务交易单背面首行注明到账方式要求并签名。另一方面,柜面系统、网上银行和手机银行在受理客户的系统外支付业务的次日到账申请后,将同时对转账本金和相关手续费进行圈存,保证系统次日成功发起业务。但在受理系统内转账业务的次日到账申请时,仅能对转账本金进行圈存,暂不能同时圈存手续费,因此对于系统内转账业务,在系统次日自动发起实际转账支付时,客户需确保其账户资金足以扣取本金及手续费,否则将不能成功完成转账,农合机构应注意向客户做好宣传和解释。
(3)开展自助设备功能优化。省联社正抓紧对自助设备相关功能进行优化,一是实现除本人同行(社)账户外,受理24小时后才能办理资金转账的功能,并支持客户在24小时内提出转账撤销申请。二是改造自助设备风险提示,增加文字、标识、语音等防诈骗提醒。
2.加强非柜面转账管理。省联社将按《通知》要求,从交易限额、笔数等方面强化非柜面转账管理,一是优化《个人业务申请书》等业务凭证,增加非柜面向非同名账户转账的日累计限额、笔数和年累计限额等协议内容,并在系统中新增相应功能。二是加强非柜面转账单日累计金额限制,对手机银行采用短信口令认证方式的新增客户,转账交易限额将调整为日累计不超过5万元,存量客户的处理方式将在相关功能上线时另行通知。三是对企业网银、个人网银转账交易单日累计金额分别超过100万元、30万元的,在系统中新增大额交易提醒。 3.加强交易背景调查。省联社将在电子银行风险监控、反洗钱监测等管理系统中建立可疑交易监控模型,监测账户大量转出转入交易。各支行应该时刻关注该模型,发现存在此类可疑交易行为的应按照“了解你的客户”原则,对相关客户的交易背景进行调查。确认存在疑问的,按照审慎原则,通过“黑名单维护”交易将其置为“可疑交易的账户”状态,进行非柜面业务限制。同时应做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
4.加强特约商户资金结算管理。各支行要严格按照《通知》要求,不得为入网不满90日或者入网后连续正常交易不满30日的特约商户提供T+0资金结算服务。
(三)加强银行卡业务管理。
1.严格审核特约商户资质,规范受理终端管理。一是各级支行应根据《广东省农村合作金融机构POS收单业务管理办法》,严格审核特约商户资质,落实特约商户实名制管理,在入网时严格把关,对资料不全或不真实的商户,不予入网。二是各级支行应密切关注POS机具的使用情况,如有无违规刷单,有无变动POS机具使用地点等,发现可疑现象经核实后立即暂停其POS机所有业务。
2.建立健全特约商户信息管理系统和黑名单管理机制。一是各支行在拓展特约商户时,应通过工商登记注册系统、人行征信系统等查询商户信息是否正常。二是各支行在商户日常管理过程中,如发现可疑、高风险商户,应及时上报电子银行部,由电子银行部上报省联社进行后续处理。三是各支行不得将已被银联公司纳入POS机黑名单中的单位以及由相关个人担任法定代表人或者负责人的单位拓展为特约商户。已拓展为商户的,应予以清退。
(四)强化可疑交易监测。针对《通知》所述可疑交易,省联社将在电子银行风险监控、反洗钱监测等管理系统中建立模型进行监测。各支行根据监测数据核实情况后,可对相关客户或账户采取暂停非柜面业务的限制。同时通过反洗钱监测系统报送相关可疑交易报告。报送反洗钱信息时,应按照《中国反洗钱监测分析中心关于大额交易和可疑交易报告综合试点范围扩大期间填写要求调整的通知》(中心发[2012]21号)的“涉罪可疑交易行为代码表”1201代码执行。
三、加强学习及客户宣导,确保业务平稳开展
(一)加强员工对261号《通知》文件的学习。各支行要组织本机构员工正确解读《通知》精神,深刻领会强化信息保护和支付安全、防范电信网络欺诈、打击电信网络新型违法犯罪活动的业务实质,使其准确理解和掌握各项工作要求,切实提高对异常开户、可疑交易等情况的敏感度,确保业务稳健开展。
(二)广泛开展业务宣传活动。各支行应根据《中国人民银行广州分行办公室转发中国人民银行办公厅关于开展加强信息保护和支付安全 防范电信网络欺诈宣传工作的通知》(广州银办发„2016‟368号)等文件精神,充分利用营业网店,平面媒体、周边社区等渠道,通过设展台、贴标语、电子屏滚动播报、派发宣传单、现场讲解等多种形式开展防范电信网络诈骗宣传活动,提高社会公众对《通知》精神的知晓度与接受度,确保政策的准确传导和有效实施。
四、其他事项
(一)按时做好相关信息报送。
1.指定业务联系人。各级支行应分别指定一名负责《通知》相关事项的统筹协调人,并填写附件4,于12月31日前报送会计结算部。
2.定期报送工作开展情况。由于《通知》要求的各项工作业务量大、时间紧,各级支行应按方案下发的各项附件要求填写,及时做好工作情况的汇总并上报会计结算部。
3.及时报送堵截诈骗案例。各级支行遇到成功拦截开户、转账等涉及电信网络新型违法犯罪案例的,要及时将基本情况及诈骗特征等内容形成报告,并于5个工作日内上报会计结算部。
4.及时报送宣传情况。各级支行组织宣传后,应保留宣传照片,宣传资料,并对宣传情况形成报告一并上报会计结算部,由会计结算部上报省联社汇总,报告内容应包括但不限于以下内容:宣传主题、宣传方式及内容、取得的成果。
(二)强化沟通与交流。由于各级支行对《通知》的解读和执行不同,各级支行之间应该强化沟通与交流,将自己对《通知》的理解进行共享,共同探讨执行方案,总结经验将我行的防范电信网络诈骗工作做到完美。
(三)严格处罚,实行责任追究。各级支行应当履职尽责,确保打击治理电信网络新型违法犯罪工作取得成效。因工作疏忽发生电信网络新型违法犯罪案件的支行,将严格按照我行的相关制度问责。
附件:261号《通知》 1.撤销或归并账户统计表
2.黑名单账户统计表
3.电话号码与身份证件号码没有一一对应账户清理统计表
4.联络人名单 5.统计表(锁定版)
6.打击治理电信网络新型违法犯罪工作情况数据表
第五篇:电信网络网络安全问题
近年来,我国政府、电信运营企业高度重视电信网的安全保障,开展了大量工作,通过建立日常安全管理工作机制、制定相关标准、部署安全产品等有效地提高了电信网的安全水平。总体来说,我国电信网在规划、建设、运维过程中对安全建设方面的考虑和投入不足,电信网在IP 化、移动化、融合化发展过程中自身存在的脆弱性日益显现。随着国内外形势复杂多变和金融危机影响的加剧,电信网面临的安全威胁日益严峻。同时,国民经济和社会发展对电信网的依赖性与日俱增,对电信网的安全也提出了更高的要求。保障电信网的安全至关重要, 一旦电信网被破坏,将可能影响社会公众利益,以及政府、银行、税务等重要信息系统的正常运行,甚至可能影响国家安全和社会稳定。为提高电信网的安全防护水平,需要对电信网的安全情况进行评估,深入分析电信网存在的安全漏洞、面临的安全威胁、现有的安全措施是否有效、残余风险是否在可接受水平等。
1 当前电信网面临的问题
从总体上来看, 我国已基本形成包括技术、政策、法规等多种手段组成的一套较为完备的电信网络安全保障体系, 基本满足了电信网络安全的保障需求。如采取了重要通信枢纽的备份, 光缆、卫星、微波等多种传输手段的备份, 重要城市之间的多条光缆路由备份等安全措施。制定并颁布了电信网络的应急预案。《中华人民共和国电信条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等法规以及中办27号文件等中央文件和一系列行业政策的出台, 进一步强化了电信网络的安全保障工作。我国以往电信网安全保障措施的重点是防设备的技术故障、自然灾害以及人为的物理破坏等。但进人21世纪以来, 电信领域的新技术、新业务、新情况不断出现, 电信网与互联网的融合趋势日益明显, 电信体制改革不断推进,形成由多运营商组成的竞争格局。这些情况的出现, 使原有的电信网络安全保障体系面临新的挑战。
1.1互联网与电信网的触合, 给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送, 信令网、网管网等支撑网与业务网隔离, 完全由运营商控制, 电信用户无法进人。此外, 每个用户都有一个唯一的号码, 用户的身份是明确的。这种机制有效地避免了电信用户非法进人网络控制系统, 保障了网络安全。
IP电话的用户信息和控制信息都在IP包中传送。IP电话引人后, 需要与传统电信网互联互通, 电信用户的信息不再与控制信息隔离, 电信网的信令网不再独立于业务网。IP电话的实现建立在TCP IP协议基础上,因此TCP IP协议面临的所有安全问题都有可能引入传统电信网, 如病毒、黑客攻击、非法入侵等, 由此可能带来电信网络中断甚至瘫痪、拒绝服务攻击、非法存取信息、话费诈欺或窃听等一系列新问题。IP电话的主叫用户号码不在包中传送, 因此一旦出现不法行为, 无论是运营商还是执法机关, 确认这些用户的身份需要费一番周折, 加大了打击难度。
1.2新业务的引入, 给电信网的安全保障带来不确定因索
近年来, 电信新技术不断涌现, 新业务层出不穷。NGN的引人, 彻底打破了电信网根据不同业务网, 分别建设、分别管理的传统思路。NGN的引人给运营商带来的好处是显而易见的, 如提高了网络的利用效率, 增加了网络的灵活性, 降低了网络的建设和运维成本等。但从网络安全方面看, 如果采取的措施不当, NGN的引入可能会增加网络的复杂性和不可控性。此外,3G,WiMAX,IPTV等新技术、新业务的引人, 都有可能给电信网的安全带来不确定因素。尤其需要指出的是, 随着宽带接人的普及, 用户向网络侧发送信息的能力大大增强, 导致每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制, 组成僵尸网络群, 其拒绝服务攻击的破坏力将可能十分巨大
1.3运营商之间网络规划、建设缺乏协调配合,网络一旦出现重大事故时难以迅速恢复
1998年以来, 我国出台了一系列针对电信行业的重大改革措施, 如政企分离、企业拆分等。目前, 我国有中国电信、中国移动、中国联通、中国网通以及中国铁通和中国卫通等6家基础电信运营企业。应该说, 这些改革措施极大加快了我国电信行业的发展, 目前我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备, 电信市场多运营商条件下的监管措施还不配套, 给电信网络安全带来新的威胁。如在网络规划建设方面, 原来由行业主管部门对电信网络进行统一规划、统一建设, 现在由各个运营企业承担各自网络的规划、建设, 行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题, 不同运营商之间的网络能否互相支援配合就存在问题。此外, 军队与地方之间的网络衔接配合问题也需要协调落实。
1.4相关法规尚不完善, 落实保降措施缺乏力度
随着电信网基础性地位的日益显现, 应该通过立法来明确其安全保障工作, 这样才能保证对攻击、破坏电信网行为有足够的惩罚力度。当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中。现有的与网络安全相关的法律法规还不完备, 且缺乏操作性, 导致有关部门在具体工作中没有足够的法律依据对破坏网络安全的行为进行制裁。此外, 在规范电信运营企业安全保障建设方面, 也缺乏法律依据。运营企业为了在竞争中占据有利地位, 更多地关注网络建设、业务开发、市场份额和投资回报, 把经济效益放在首位, 网络安全相关的建设、运行维护管理等相对滞后。
2 有关对策建议
2.1从国家层面考虑电信网络规划的安全问题
行业主管部门要加强对运营商网络规划的指导, 对运营商的网络规划进行宏观调控, 控制安全风险。如不同运营商电信网的枢纽机房要相对分散, 光缆的物理路由也应该相对分开等。行业主管部门还应组织制定不同运营商之间、军队与地方网络之间的应急配合接口标准和应急配合流程, 做到一旦有事时可以相互迅速调用资源, 保障多运营商环境下网络的安全可靠。行业主管部门要强化对电信运营商的安全监管, 要求运营商做到电信网络建设与安全保障建设同步规划, 同步建设, 同步运行、同步发展。
2.2 加快相关立法过程,完善法律法规标准体系, 加大执法力度
在电信网的安全建设方面, 运营商往往从公司的经营效益来决定安全投入的多少, 一般不会考虑安全建设的社会效益。作为一个企业, 在没有法律明确要求的前提下, 这样的做法是普遍行为。当前要加快《电信法》、《信息安全法等法律的立法进程, 通过立法明确政府、运营商、用户在保障电信网安全中的权利和义务。在做好立法工作的同时, 还需要进一步完善相关部门规章和配套的技术法规,这样才能从技术上和行政上做到依法管理, 真正建立起我国电信网络的安全保障体系。同时, 还应加大执法力度, 对破坏电信网安全的行为进行严厉惩罚, 真正做到“ 执法必严、违法必究” 。 2.3 在设备入网时增加安全性检测项目
行业主管部门在电信设备人网管理要求中, 应增加设备的安全性要求。尤其是路由器、交换机、传输设备、终端、服务器等入网时, 应重点测试设备的安全性。除测试设备自身的安全性能外, 还要评估该设备对网络可能带来的影响。
此外, 还要加快电信设备安全标准和相应测试、评估规范的制定, 使测试和评估工作有据可依。
3.3 开展对电信业务、新技术的安全风险评估工作
运营商在引入新业务时, 行业主管部门除进行正常的业务审批管理外, 还应增加安全性评估项目。也就是委托
专业的第三方机构, 评估该业务可能会给网络安全带来哪些风险, 以及网络能否接受这些风险。如果评估结果认为这项新业务可能会给网络带来不能接受的风险, 且运营企业无控制和降低风险的措施, 那么行业主管部门应不同意运营商开展这项业务。运营企业在引人新技术时, 也应该进行风险评估工作。
电信网的发展趋势
1 我国电信网的现状及存在问题
近年来,我国电信业持续快速发展!实现了历史性的跨越,电信与信息服务业成为发展最快的行业之一。按照较保守的预测,在未来3年内,我国固定电话用户预计将达到2.5亿,本地交换机容量将达到2.8亿门;IP用户将超过1亿,其中宽带用户可能超过2000万,移动电话用户将达到2.9亿,移动交换机容量将达到3.6亿门。显然,我国现有网络从规模、技术层次、结构和服务质量上都无法支撑这样的业务需求,发展和建设一个具有巨大容量的、高可靠的、灵活的、可持续发展的下一代电信网将是我国电信界的一项长期而艰巨的历史性任务。
2 电信业务市场的根本性变化
展望未来,预计在未来5至10年,从业务需求和市场应用的角度看, 电信业最大和最深刻的变化将是从话音业务向数据业务的战略性转变。根据最新预测!美国和欧洲的数据加专线业务量占总业务量的比例将分别从2000年的61%和74% 增加到2005年的93%和97%,而相应话音业务量的比例将分别从2000年的39%和26%降至2005年的7%和3%。从业务收入角度看,全球数据业务的收入比例将从2001年的14%增加到2005年的30%,年均增长率达24.4%,而话音业务收入比例将从2001年的86%降至2005年的70%,年平均增长率仅5.3%。此外,一个目前还难以预计的具有更大冲击力的业务是视频业务,这种业务不仅带宽要求很高(几Mbit/s至十几Mbit/s),而且对延时和抖动性能要求也很严格,因此对网络的容量、结构和性能将有新的更高的要求。
从我国情况看,尽管数据业务发展水平还不高,但仅仅中国电信在2002年上半年的全国IP通话时长就比去年同比增长213%而数据带宽占有比例在一级干线中已达到话音的五倍,显而易见,从全世界范围看,估计在近5年内,包括中国在内的世界主要网络的数据业务量都将先后超过话音业务量。最终,电信网的业务将主要由数据构成, 多年来的电信网络业务构成将发生根本性的变化。
3 电信网络技术的发展趋势
为了适应上述电信业务和市场层面的根本性变化, 作为基础的网络技术也随之发生重大变革, 电信网将在下述四个主要方向上实现转型: 3.1 从电路交换向分组交换的转变
交换技术是电信网的灵魂, 尽管传统的电路交换技术在可以预见的未来仍将是提供实时电话业务的基本技术手段,但其设计思想是以基本恒定的对称话务量为中心的, 无论从业务量设计、容量、组网方式,还是从交换方式上来讲都已无法适应突发性的数据业务发展的需要, 随着电信业务从话音为主向数据为主的转移, 从传统的电路交换技术逐步转向分组交换技术特别是无连接IP 技术为基础的整个电信新框架将是历史的必然。
可以作为未来分组化核心网用的节点有ATM 交换机和IP路由器。 前者硬件投资高!速率难以作高!节点容量扩展性受限。 而IP 路由器正成为最有希望的分组节点。 然而目前这一代高性能路由器的容量和性能仍不能满足未来网络扩展的要求,需要进一步探究可以经济持续扩容的有效途径。方法之一是通过互联多个较小的交换单元来制造大型的可扩展的交换矩阵。 方法之二是将端口速率进一步升级为40Gb/s。方法之三是采用创新的设计思想, 例如采用分布式交换矩阵和多维光互联背板就有可能提供巨大的交换容量、线路容量、端口密度和线速转发分组能力。总的看,作为核心业务节点应用的实用化高性能路由器的容量和性能还有待突破性进展。
需要指出,从传统的电路交换网到分组化网将是一个长期的渐进过渡过程,采用具有开放式体系架构和标准接口,实现呼叫控制与媒体层和业务层分离的软交换将是完成这一平滑过渡任务的关键。从网络角度看,通过软交换结合媒体网关和信令网关跨接和互联电路交换网和分组化网后, 尽管两个网仍基本独立,但业务层已实现基本融合。可统一提供管理和快速扩展部署业务。 当然,软交换还处于发展完善过程之中,技术尚不成熟,缺乏大规模现场应用的经验,特别是多厂家互操作问题,实时业务的QoS 保障问题,网络的统一有效管理问题以及业务生成和业务应用收入能力等问题都有待妥善解决,但作为发展方向已经获得业界的认同。 因此,向以软交换为核心的下一代业务网演变, 将是实现上述交换网转型的最现实的技术路线。
3.2 窄带接入业务从铜线接入向移动接入转变 近几年来, 随着蜂窝移动通信系统和固定无线接入系统的出现和飞速发展, 无线业务在公用电信网中的地位正在发生根本性的变化。据各种研究报告的综合分析结果表明,全球蜂窝移动用户预计在2004年左右将可能达到13亿, 超过有线用户,从数量上成为窄带接入的主要手段,并将于2010 年达到17 亿用户,远远超过固定电话用户数。 在我国一些发达省份,移动电话业务量已超过固话业务量,业务收入更是大幅度超过固话业务收入,当然,有线接入技术也不会消亡,但其角色将发生根本性变化,即主要转向支持宽带数据应用。
在无线接入技术中, 同属于3G 技术的CDMA 2000 1X已经有超过1000 万的用户,作为3G 主导技术的WCDMA 也
即将在全球范围内逐步进入实施阶段, 并向全IP 方向发展。同时具有更高速率、更高频谱效率、更好覆盖和更强业务支撑能力的超3G 技术也开始进入活跃研究阶段。 此外,无线以太网或无线局域网也是一种发展前景良好的宽带接入技术,这是一种能支持较高接入速率(2 到11Mb/s
乃至54Mb/s),采用微蜂窝或微微蜂窝的自我管理的局域网技术, 最适合于用户流动性较大且有较大数据业务需求的公共区域(如机场、大型会展中心、高级宾馆等),以及需要临时快速建网的场合。
3.3 传送技术从点到点通信向光联网转变
传送网是电信网的基础设施,一个强大、灵活且成本低廉的传送网是全球几代人所为之奋斗的目标。 近几年来波分复用(WDM)技术的出现和发展为上述目标的实现迈出了关键的一步,有力地支撑了上层业务和应用的发展。 然而,尽管靠WDM 技术已基本实现了传输容量的突破, 但是普通点到点WDM 系统只提供了原始的传输带宽, 为了将这些巨大原始带宽转化为实际组网可以灵活应用的带宽, 需要在传输节点
处引入灵活光节点设备实现光联网, 彻底解决传输节点的容量扩展问题。
光联网的一个最新发展趋势是引入自动波长配置功能,由静态交叉连接型光联网升级为动态交换型智能光交换机。随着IP 业务的爆炸性增长,对网络带宽的需求不仅变得越来越大, 而且由于IP 业务量本身的不确定性和不可预见性,对网络带宽的动态分配要求也越来越迫切, 一种能够自动完成网络连接的新型网络概念-自动交换光网络(ASON) 应运而生。 届时网络运营者可以在光层面上实现今天在电层面上的主要功能,构筑一个高度灵活可靠。可以实时调度配置带宽的超大容量智能光网络。 随着全网业务的数据化, 特别是宽带IP 业务的快速发展,大容量智能光网络将不仅可以提供巨大的网络容量,而且可以提供可持续发展的动态网络结构,成为
支持下一代电信网的最灵活有效的基础设施。
3.4 有线无线接入都将完成从窄带向宽带的转变
预计在未来几年内,电信运营将会首先大力发展成熟的可以充分利用现有双绞线资源的非对称数字用户线(ADSL)技术,传输速率可高达512Kbit/s 至2Mbit/s 甚至8Mbit/s足以满足中近期带宽的需求。 据报导, 目前全球已经敷设3500 万线的ADSL,其中韩国和加拿大是发展最快的国家。 我国仅中国电信就已发展用户400 万,势头很好。 相信随着技术的进步、IP 业务的发展、 新业务新应用的不断涌现以及本地环境的放开,ADSL在未来几年内将成为我国中近期的主导宽带接入技术。
传统以太网技术不属于接入网范畴, 然而其应用领域却正在向包括接入网在内的其他领域扩展, 无论是5 类线上的有线以太网, 还是基于802.11b 标准的无线以太网发展势头都很猛。从各类以太网看,10M 以太网交换机已经基本退出市场,被10/100Mb自适应以太网交换机所代替,千兆比以太网交换机的份额迅速上升, 目前已经占到整个以太网市场的26%。 其应用范围也逐渐从企业网为主转向服务提供商为主。一旦万兆以太网标准最后通过以及技术稳定, 万兆以太网将成为重要的新增长点。 从长远看,与IP 技术天然融合的以太网似乎比ADSL更有发展潜力。
4 融合将成为未来网络技术发展的主旋律
随着网络应用加速向IP 汇聚, 网络将逐渐向着对IP 业务最佳的分组化网(特别是IP 网)的方向演进和融合是历史的必然,融合将成为未来网络技术发展的主旋律。
从技术层面上看, 融合将分别体现在话音技术与数据技术的融合、电路交换与分组交换的融合、传输与交换的融合、电与光的融合等。三网融合不仅使话音、数据和图象这三大基本业务的界限逐渐消失, 也使网络层和业务层的界限在网络边缘处变的模糊, 网络边缘的各种业务层和网络层正走向功能乃至物理上的融合, 整个网络正在向下一代的融合网络演进,最终则将导致传统的电信网、计算机网和有线电视网在技术、业务、市场、终端、网络乃至行业管制和政策方面的融合。