很荣幸代表Fortinet公司参加电信行业的网络安全研讨会。那么对于杜老师刚才讲到的互联网骨干网安全保障的反思我很有感触，那么我下面讲到的是整个电信网络的安全运作和部署有一些互相响应的部分。希望大家对于我们整个电信网络安全的作和部署有一些清楚的了解。

　　既然是作为厂家，难免讲一些公司信息的情况，我花很短的时间介绍一下我们公司的背景。

　　Fortinet对于很多的朋友是比较新的公司，我们是全球做七层安全的先导者，那么还有防火墙，那么安全网关和防火墙的技术都是有一个四层到七层的过渡阶段。我们已经走过了6年的时间，所以向各位报告一下我们在七层安全技术里面有的解决方案和技术特点，给我们各位专家做一个参考。

　　那么我们Fortinet的所有安全技术，都获得了ICAC的认证，包括在机构里面，像VPN的技术、防火墙的技术等等，那么在各个安全的技术领域里面，都有独特的建树，都分别通过了一些国际安全标准的认证。

　　那么Fortinet在过去几年时间内，一直专注于与电信运营商为客户提供安全的网络，所以我们在全球有一些案例，为用户提供安全的网络体系。这是我们在全球电信行业安全运营商的简单地名单。

　　刚才像杜博士所谈到的一样，现在整个网络安全的发展，从10年前到现在的七层安全技术的发展，确实经历了很多不同的阶段。其中最典型的就是商业利益的驱动。那么在10年前我们谈不到这么多新型、恶性的间谍软件、恶意代码，那么为什么今天会不断地发生?我想除了网络的发展和社会工程学的传播，像E-Mail等等随意化的信息发布平台之外，其中重要一点是商业利益的驱动。我可以通过获得恶意代码获得你的个人信息，包括手机的信息、个人电脑的信息，我通过这些信息不运作就可以得到一些金钱。同时，可以通过流量牵引的方式，使得某些网站或者是点击率提高。那么这些所有的方式，都带来一个问题，如果恶意代码的不断泛滥，会使得制造恶意代码的人会得到经济的回报，只有经济的驱动，才会使这些活动朝一个新的阶段不断地前进。才让我们迫于每天升级自己的防火墙、病毒库等等，这是一个动态的发展。

　　那么，我们来看一下整个运营商网络安全的安全边界的概念。我们提出一个安全边界的概念，就像刚才所谈到的，在整个的运营商网络里面，我们运营商不但要保护自己的骨干网的安全，什么叫做骨干?这是有边界限制的，只有核心的才叫骨干吗?其实每一个互联网的用户都是一个骨干的分支。我们希望我们上网的时候网络是健康的，整个的道路是平坦的。像我们现在每一个边际的宽带网络一样，把道路修到了各家的门前面，但是道路上的拥挤我们并不管。就像在道路上面的卡车一样，如果哪个卡车上面运载了非健康的东西我们不处理它，只有到了核心端我们才处理，这种被动式的防御，你永远不可能解决真正的问题。

　　像大部分的企业一样，如果你们企业上网，只要有一个人出了问题，企业里面的管理员非常困难地找到他，但是有10个人很容易，那么200人怎么办呢?你通过看哪些IP地址有异常，发现它、拦截它。那么如果到了分支的企业或者是家庭的用户，每一个点都成为了被动的攻击源。我不是主动地攻击骨干网络，但是我是被动的，就像僵尸网络一样。

　　如果我们不能够控制到每一个不断增加的分支点的攻击源，我们只是保护核心的部分，只有卡车到了中心端我们才检查，那么你的中心端的拥挤情况会不断地增加。就像防SARS一样，如果我们把边界管理得很好，势必会减轻核心端的压力，就像北京的交通一样。那么二环、三环是独的，如果我在五环以内进行防御，那么五环内变得拥挤那么二环就松一点，如果五环以内很拥挤，那么二环基本上没有办法走了。现在的安全不是用户主动攻击的，是被动的，我在企业里面用电脑，我不知道出了问题，如果我电脑出了问题，我有专门的人员帮助我处理。我也不是故意发垃圾邮件，但是我一点它就这样了，这是整个的现实网络中存在的问题，它提出了一个安全网络边界的概念。

　　所以，利用家庭的防盗门来比喻的话，我觉得更加合适。以前没有防盗门的概念，但是现在每家每户都自己买防盗门。那么包括个人的PC但是都有防火墙、防病毒软件，但是为什么不够呢?今天我们谈的就是复合型的攻击和复合型攻击的概念。以前我们谈到一个IP地址过来，可以让你访问服务就可以，要么访问Web或者是E-Mail。现在的问题是，如果你访问的时候，里面的威胁是没有人管的，就好像发一个工具包，每一段发的时候没有问题，但是一组合起来问题就来了。那么运营商几乎不管理安全终端的问题，因为是自己管的，企业也是自己管的。那么这是非常自由的，那么整个的互联网是自由的，如果加的限制就不是自由的互联网。那么我们现在永远提供自由的互联网，毫无限制的互联网，那么商业的犯罪和恶意代码的增加，使得大家都不能工作。所以，有效地限制和管理，对于整个的网络下一步的健康发展是有必要的。

　　所以，现在的宽带用户超过了1亿，如果每个宽带用户和企业的终端前面都有一个防盗门的话，我们不能说它可以100%地管理终端，包括可以防御你的安全，使你不是一个被动的攻击源，也可以给运营商带来安全。所以，这是一个有管理性的安全边界的概念。

　　那么我们谈到的技术，实际上全球的各个运营商已经在实施，就是安全网络的概念。所有的安全技术是一个集成体，用户不管你是防病毒技术和垃圾邮件的技术，对于我们来讲都是一个威胁。那么我们把这些技术分得那么细，是因为我们要制造一些产品。对于用户来讲，发生了事情，只是拿一个工具来保证安全。未来的七层网络的发展，UTM是一个主流的发展趋势，那么IDC也给出了一个定义。那么一个七层的安全设备，我们可以称之为七层防火墙，或者叫做UTM的概念，UTM就是统一威胁安全管理。那么根据IDC4年的发展时间，那么企业已经给出了这样的定义。

　　那么UTM的发展，根据国际的定义和前瞻性的市场调查，UTM有七层安全技术的发展，会成为未来10年之内，安全技术发展一个主流的方向和平台。那么也就是说，大部分的个人用户也好、企业也好，都会采用这种技术来防御自己的安全。同时，如果运营商能够提供这样安全边界的防御，除了给用户提供增值服务之外，同时还保证了自己的互联网的骨干。

　　那么对于Fortinet公司来讲，我们提出的安全网络的解决之道，主要是关注在UTM的技术发展。那么UTM技术的发展，需要一个完善地技术产品线，非常完善地硬件产品和芯片技术，还有你的安全一套网管的体系，这是比较细的产品的信息。

　　那么在整个的安全网络的方案里面，一定有三点必须要有。第一个是产品的部署，就是安全网络是靠什么来实现的。就像我们在家里每天都有ADSL猫一样，如果这本身就是一个UTM的设备，至少上网的时候本身就可以帮我检查，垃圾邮件本身可以帮助我防御。如果我上一个网站，我点一个东西的时候，前面的ADSL猫可以帮我检查，那么对于我本身来讲就是对于电信网络提供了安全的防护。

　　那么电信的网络，用户进到我才能进入网络，那么在用户进入之前，我是不是可以检查一下这个流量是不是超载了，如果超载了我可以自动告警。所以，整个的网络要分阶段、分层次地部署，才能保证骨干网的安全。保证了骨干网的安全，就意味着保证了其他用户的安全。就是用户甲过来，不会造成用户乙的上网慢，也不会安全用户乙受到了攻击，造成了用户甲也受到攻击。那么对于所有的病毒技术、垃圾邮件、黑客等等，你怎么样保证不断更新的安全技术?如果运营商来提供，这个是最简单的。

　　那么Fortinet提供了一个FortinetGuard全球安全响应中心，那么这个响应中心可以和运营商一起为用户提供安全的响应。它是24×7的，可以包括你威胁到来之前和之后，你没有感知的情况下，你可以自动更新你的系统。

　　那么我们的解决方案之一，就是安全服务的运营商。那么根据中国的网络安全市场的调研发现，整个安全市场的投入，包括企业和个人用户，投入都是在不断增加的。大家没有办法对这种发生的安全事件，不投入安全成本，每个人都在投，但是不是很明显。那么宽带网络、互联网市场面临的挑战非常大，像刚才也谈到了很多，那么网络品质的问题，现在2兆的品质和几年前的品质是不可同日而语的。另外，电信运营商也没有提供什么增值的概念，我即便提供一个最宽的网络带宽，其他所有的事情我一概不管，都是用户自己的责任。日本你要求我为你提供服务，我爱考虑我有没有这样发展的前端为你提供内容。你现在上网就是ADSL或者是宽带上网就可以了。

　　那么还有一个是国际上的影响，那么你发现很多的IP是中国的IP，那么只有运营商才能够完全控制整个链路的安全。所以统筹来说安全的边界是非常重要的，如果我们定义好了安全边界的话，那么对于骨干网的安全、个人终端、个人企业的安全都是非常好的双赢措施。

　　那么在国际上安全网络的发展也是非常迅速，它提出的概念，安全实际上已经成为网络必由的组件，而不是附加品。我部署完了网络之后，我们再看哪些需要购买。我们不叫网络安全，而叫安全网络，不是说你构建一个网络再考虑买哪些设备，他的我们构建就构建一个安全网络。

　　那么我们部署的猫像一个交流机一样，我们部署在用户端。那么你以前120元是包月的，那么你交125元或者是135元，你体验这5元、10元交的值不值。如果你以前有很多的病毒，那么你上了这种安全宽带之后，运营商给你一个选择安全宽带。我以前的垃圾邮件很多，包括上色情网站等等的很多，现在有一个绿色上网的工程，很多省在实行这种计划，你会发现有没有效果。我试用一个月，感觉怎么样，我如果不满意我可以不买你的服务，如果我满意我花这笔钱。那么这是边界式的安全服务，这是未来的安全运营商的增值概念的方向。

　　就像我们谈到的，如果运营商提供了很多额外的服务，运营商觉得这不应该自己做，没有收到钱，那么用户觉得起到了一定的效果，那么运营商也得到了一定的回报，那么对于大家来说都是双赢的安全体系。

　　那么比如说很多的ADSL用户、个人用户，我们怎么可能把设备放在家里呢?不太现实。那么我们在每一个局域端的接入端，就对用户进行了安全部署。那么用户访问的时候，我们就已经进行了安全检查，我们不能保证防止100%的问题，但是可以解决70%、80%的问题。

　　当然了，形成一个基本运营操作体系，用户可以基本认知，那么才可以通过网络自己下载。那么当用户化的安全服务实施完了之后，用户可以根据自己的要求选择这样的安全包，可以看到自己的电脑每一天中了间谍软件之后，从后台点击哪些网站，下载哪些软件，你都不知道。可以通过发的报表，使得用户看这5元钱花的值不值。这就是一个可盈利点的网络安全方向。

　　那么另外一个解决方案，我们谈到的是移动用户的安全运营。固网是一个发展，但是现在3G网络不断地发展，我们个人的手机除了可以发彩信，也能够上互联网。同样的道理，包括你GPRS卡或者是CDMA卡上网的时候，可以遭受很多的攻击。我们可以发现彩信有很多的病毒，根据我们北京测试，已经将近1%的流量是有病毒流量的，那么这个病毒来讲，首先是产生了你的费用。你每个月交彩信，不知道花了多少钱，它可以后台来发，同时影响你的SIM卡。最严重的是，公开你的个人信息。最严重的彩信信息，跟一个FTP进行互联，把你内部所有的图片、发过的短信都上载到这个FTP上面去。在国内，据我们了解，像沃达丰等等都已经部署了解决方案。

　　那么前天晚上在欧洲发现了一起，发生了一个彩信病毒，而很奇怪的是，手机中了之后，除了搜寻你手机里面的电话号码往外发，那么软件里面又内嵌了一些电话号码，这些电话号码又是中国的。就是欧洲的用户中了之后，他们不断地给这些电话号码发彩信，而且这些电话号码是真实的，所以这是境内编辑的病毒彩信。

　　如果我编辑一个病毒彩信给你发过来，你中了之后不影响你的应用，只是把你所有的联系人都发出去。就这一点，我就可以赚到信息费，就像我们每天接收到的房地产电话，别人给你打电话，为什么给你打呢?我通过这种方法，第一个没有危险，第二个很方便，但是我可以产生经济利益。这个目前是完全存在的，而且是愈演愈烈的。

　　那么彩信病毒的安全发展非常快，包括彩信病毒的编程技术在不断地发展，包括现在新的OS病毒，还有CE的。那么移动网络的病毒是造成很严重的后果，包括手机上网非常慢，而且又发不了彩信，手机不像我们对于Windows一样，我们可以很了解，你发不了之后，你可能打电话给运营商，是不是出了问题了。包括我们谈到的奥运会的安全，如果2008年奥运会一来，这样的隐患一散播，这样的影响是非常严重的。

　　实际上2.5G、3G造成的安全威胁，跟固网是一样的，我们已经成功地在沃达丰等等的运营商部署了彩信病毒的过滤系统。同时，我们还可以做手机的GPRS、CDMA上网的安全。你们通过手机上网的时候，通过手机访问的所有的Web网站和垃圾邮件，都是可以在运营商方面进行防御。

　　同时，我们知道移动用户是做地址翻译的，很多的用户共享一个IP，很多的病毒叫做垃圾邮件。如果我成为一个垃圾邮件的发件员之后，我不断地发垃圾邮件和病毒邮件，我的IP地址会被很多的运营商和第三方的服务商当成是黑名单，就被删除掉了，所以对于很多的用户也不能上网。

　　那么第三个特别的方案，是我们专门为NGN网络所谈到的安全，就是SIP的安全。那么NGN网络和软交换是下一代网络的发展方向，它是运载一些固网和移动网络整合在一起。那么毫无疑问，网络整个的发展方向就是NGN，它很重要的就是SIP。因为这里面所有的路由呼叫、注册都是通过SIP提供呼叫控制的，如果SIP的安全本身出现了问题，会造成移动网络、固网用户全部出现问题。所以，下一代的网络安全，SIP的安全是非常重要的问题。那么Fortinet已经跟阿尔卡特进行了全球的联盟。我们全都部署了信令安全技术，我们可以防止一些非法的、洪水型的SIP安全攻击。如果出现大量的SIP安全攻击和无效的信息，会对SIP电话的计费造成很严重的影响。所以，在整个的NGN网络里面提供SIP的安全部署是很重要的。

　　那么在SIP安全保护里面我们可以提供一些防御的方法，我们还可以控制SIP的信令的速度，我们还可以跟已有的SPC结合在一起提供安全保护。

　　所以，我们整体的方案，提供了这么多的技术，我们谈到的是安全网络，源于边界的规则。就是有效地，稍加进行管理的安全是非常必要的。因为现在的网络是非常非常自由的，但是我们谈到安全网络边界，并不意味着我们要限制用户的带宽。你原来得到了2兆，我们只会让你这2兆使用得更快，而不是说部署了安全网络之后，很多上不网了，这不是我们的安全网络的概念，而是帮你提供更有效的安全网络的访问，同时提供一个增值服务和价值，这是双赢的安全网络的发展方向。

　　感谢大家，我以上报告的内容就是这三个部分。