天融信科技集团高级副总裁 景鸿理 主旨演讲
我是天融信公司的鸿理,今天我讲述的题目叫“网际互联话安全”。讲的是SD-WAN及密码应用,SD-WAN就是现在所说的软件定义广域网。简单做一下自我介绍,我叫景鸿理,是天融信科技集团的,曾经在科研工作当中也取得过一些成绩,获得过国家的一些奖励,同时在本职工作以外还兼任着一些社会的商业密码类的相关工作,个人介绍就这么多。今天我要汇报的题目有三个:
一、网际互联的现实需求;
二、SD-WAN之网络安全和密码应用;
三、安全的SD-WAN务实经验分享。
我们来看看这一页有左边和右边,这一页的左边国务院包括交通部委等都发文,刚才各位领导也有说要加快互联网的行动,要有行动纲要和指导意见、发展规划等等,这里面都讲到了网络安全的建设。我们再看一下图的右边,交通行业的各个部门也发了很多的文件和精神,包括有网络安全的规范、等保的规范、通用要求等等,都讲的是安全。国家在推动网络建设,我们自己也在注重安全,所以在政策驱动上一方面网络要加强,同时安全要加强。
要加强这些网络建设的情况下,现在有什么新的形势出现了呢?
第一,联网主体猛增;有政务中心、大数据中心、企业总部、各企业分支等,均有互联的需求。
第二,云化;
第三,线路多方提供,线路方面有若干个运营商可以选择,包括路网形式多样化,有无线/有线,因特网等等。
第四,同时联络网络的时候安全威胁加剧,政府的监管也在提升,包括出了很多《网络安全法》、《数据安全法》、《等级保护》等等。在网络互联有这么多的要求,同时连接的形式又很多,这个时候呼唤相对便捷、安全的手段出来,我们定义为软件定义广域网,这个时候安全的软件定义广域网就出现了。
网络定义广域网是将一个“物理网络”通过高层协议的再封装,虚拟处“逻辑网络”使之“软件可定义”。软件定义并不悬乎,只是在原来高层协议上再封装,软件定义广域网的核心技术,一个是隧道技术、应用级路由、密码技术、多种的增值服务,在增值服务当中就有它的安全功能了,软件定义广域网的特征就是将网络的控制层面和实际传输层面分离开来,让控制集中起来,使得网络本身具有的能力对我们开放,对我们人感知,很多好处被我们管理了以后,可以灵活的进行应用。原来的网络碰见的线路好就是线路好,线路不好也没有招,网络定义了以后可以调的。
既然是一个软件定义广域网毫无疑问要有网络接入设备,分支这边有设备,我们叫CPE,中心端部有设备我们叫GW设备。可以单线接入,可以混合接入,丰俭由人选择。
分支机构既可以是4G的接入,也可以是无线、有线、立体接入,总而言之混合式的接入。
我们说零配置、分钟级开局,广域网的互联在过去对工程师的要求比较高,要去配置、要掉线时间很长,现在如果是软件定义广域网设备的上线几乎是零配置,分钟级上线,无需IT人员到场,只需要到入就可以了。总部下发的配置文件,一直到最后导入入网就完成了。要知道过去这个事情可是要一个多月的时间。
完成的配置既可以组成心型的,也可以组成网型的,也可以组成树型的,要知道一个网络的拓扑设计当时规划时就规划好了,在工程实施过程中要实施成这样很费劲,但是在软件定义广域网的就简单了,配置文件下发了,导入就可以了,在SD-WAN下面导入就完成了安全的组网。
还有一个好处是视图化管理,在软件定义广域网里面,除了分支有一个设备,中心有一个设备,还有一个管理中心。管理中心上面就能够看到网络目前的各种状态,列入的状态可以看,管理状态可以看,同时上面有点有线,你的鼠标只要选到点和线上,就有更细致的东西弹出来,而且点进去以后有更多的表单,相当于整个网络的能力都在你面前了,这是软件定义广域网的一些好处。
刚才我们说有四个核心的技术,现在我捡一个出来说,一个是基于应用的智能选路,应用及选路是四大核心技术之一。我们线路上会跑各种各样的数据,中间动的我们认为是业务流量,同时线路上肯定还有威胁流量和垃圾流量,中间图线路上有可能连的是专业网、5G网、因特网等,线路质量是有各式各样的,比方说有延迟、丢包率,有带宽等。相对于传统的路由选择在第三层,软件定义广域网的路由选择是支持应用级的。
第一,基于业务应用的识别,你看是哪种应用。
第二,基于链路质量的感知,链路怎么样,以及链路的程度,我可以智能给你选择最优路线。比如说我们指定业务系统走最小延迟的那条线,它就会走这一条线,有若干种选择。当把业务和中间的线路质量结合起来以后,就得到了最后这一张图选择路,线路里还有威胁流量,威胁流量我们赶紧阻断,还有垃圾流量,限时限量让它走一走。这是SD-WAN基于应用的智能选路,它为你提供了一种流畅的感觉。
刚才说完了软件定义广域网,我们再来看看网络防护。先看左边这个图,有一个动图走的东西是代表数据,数据从一条线路走过去了。这是建隧道,然后建完隧道以后把数据链路接通,这是一个基本的东西。因为它是一个广域网络,广域网络里面说的安全毫无疑问基础设施要安全,要支持本身的安全,基础设施要安全,运维要安全,运维要产生很多的数据,那些数据要加密。再就是网络安全,网络安全里面有两大部分:
一大部分就是传统的一些网络功能,那些网络安全功能叫做网络访问控制、网络监测这方面的功能是网络安全的基本功能。同时,还要有隧道,隧道就是网络这边建立一个隧道,在网络里面的隧道是个什么概念?就是在一个公用的网络空间虚拟出来一个专用的通路,这个通道只能有你不能有别人。这个里面用到国家密码管理局的密码算法,整个安全防护就是这张图,本身它有设施安全、运维安全以及网络安全。网络安全是在SD-WAN的附加值里面完成的,隧道是它本身建立完成的。
因为我今天要讲的题目是SD-WAN和密码应用,这里讲的密码可不是银行口令卡上的密码,也不是登陆的密码,讲的是密码算法,密码算法保证机密性、完整性等。SD-WAN的核心技术是“隧道”,隧道里面主要做的事情是传输加密。SD-WAN控制中心产生的各种各样配置的数据要存储加密,这些都要用到加密算法。人员接入到SD-WAN控制中心和网关,要做身份认证,身份认证也要用到密码。用到密码的应用至少有网络传输、数据存储、身份认证,同时使用了密码也必须要符合《密码法》,必须符合国密局的管理,必须符合若干国家标准。过去没有《密码法》叫做《商用密码管理条例》,《商用密码管理条例》只管商用密码,《密码法》和普商都有规定了,据说今年要发布一个新的管理条例。《密码法》要求关键信息及系统应当使用商用密码进行保护。《密码法》还要求应当使用《网络安全专用产品目录》中的密码产品。
同时,《密码法》还要求应该委托第三方评估机构,开展你的密码应用的安全性评估。要采用SM2、SM3、SM4,这是算法的代号,没有提SM1,因为SM1大量应用在党政机关的公文流转当中,我们讲的是商用密码。
最后讲一下经验分享,SD-WAN的定位于多分支异地和总部相连的,用于多分支异地互联的。如果没有网络安全的附加,你去跟别人说这个,别人都不敢上,因为它是通过互联网。同时,SD-WAN的设备是成对的,因为要进隧道,这里说的是一对,有的时候是多对,但一定是一对,不是一个产品的事儿,它特别适合多分支机构,以及新建及网络扩展,对非IT企业非常的适合。不仅是能够作为分支到中心的各种组网,还特别适应“数据中心和数据中心”直接互联,以及云际互联。隧道技术/认证技术用了国产密码,在国产化密码加持底下,落实了自主可控、安全可靠。
(新媒体责编:news)
声明:
1、凡本网注明“人民交通杂志”/人民交通网,所有自采新闻(含图片),如需授权转载应在授权范围内使用,并注明来源。
2、部分内容转自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
3、如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行。电话:010-67683008
人民交通24小时值班手机:17801261553 商务合作:010-67683008转602 E-mail:zzs@rmjtzz.com
Copyright 人民交通杂志 All Rights Reserved 版权所有 复制必究 百度统计 地址:北京市丰台区南三环东路6号A座四层
增值电信业务经营许可证号:京B2-20201704 本刊法律顾问:北京京师(兰州)律师事务所 李大伟
京公网安备 11010602130064号 京ICP备18014261号-2 广播电视节目制作经营许可证:(京)字第16597号