那么从我理解NGN的角度来看，从目前一个运营商内部的员工，但又是从外侧看运营商的NGN，我发现有这样几个特点。

　　第一个是设备的集成化的程度越来越高，因为不管是交换机还是其他的设备，都是以单点的设备为主。现在NGN随着上层更多的基于互联网的应用，可能对于我们设备的复杂度、集成度的提高，可能有很大的影响。

　　另外，实际上从我们的业务角度来看，NGN应该是多元化的业务的成本。那么多元化的业务，它面临着业务和业务之间的影响，或者是一个综合的服务，对于一个客户而言，会产生大规模的影响。也就是说将来你可能对于用我的固定电话、手机、宽带上网和其他的搜索性的服务，可能很多很多的业务都集成在一起。可能大家都在用一个终端。那么这样的话，会导致我用户一个多方面的服务，会给客户带来损失。那么从我的角度来看，我们希望越简单，非集成化的设备对于我们来说是最好的，因为它的运营成本是最小的。实际上这是成本的考虑和运营商从维护的成本来考虑，是不同取值的侧重。

　　主持人靳辉：谢谢王主管，请互联网中心的胡先生，从您的角度谈一下这个问题，就是NGN的安全要求与传统电信网与互联网的差异在哪?

　　胡安磊：关于这个问题，因为我们中国互联网的信息中心，主要关注的是域名方面的问题，对于NGN可能我们平常关注得比较少。这个问题还是以运营商的回答为主。

　　主持人靳辉：那么我想问您另外一个问题，那么互联网在今后的发展趋势中，有很多的专家指出来说，它应该向电信网做一些借鉴，将它的可运营性逐渐增强，这样子的话，可能对于所有的终端用户的安全来说是一个好处，您怎么看这种观点?

　　胡安磊：您这个观点我是这么理解的，您说互联网向电信网来看齐，实际上互联网的骨干都是由电信商来运营的。可能ISP这一块，他们可能运行的水平是参差不齐的。尤其是我们所关注的DNS方面，可能很多的宽带接入商，他们提供的DNS服务并不是很稳定。但是像运营商这一级，他们一般来说，在DNS方面的安全性和稳定性方面都是做得比较好的。所以，我觉得单纯从DNS的这个角度来看的话，这种非电信运营商的这几个ISP，是应该向电信这一级来看齐的。

　　主持人靳辉：那么刚才一位是来自电信运营商的专家，还有一位是来自互联网监管部门的专家，正好大家看到了两种角度的差别。那么，我联想到咱们今天的研讨会刚开始的时候，之前做报告的杜跃进杜总工，他也谈到了电信运营商份内和份外的话题。那么电信运营商到底应不应该把终端用户的一些安全问题，也做一些自己的努力，来改善这方面的情况呢?因为如果他做了这方面的事，对于自己可能也是有好处的。比如说杜总工说对于打击僵尸网络是有好处的。

　　那么我了解到，去年年底的时候，中国电信的全资子公司和厦门铁客(音译)签约，通过厦门铁客的互联网平台，向中小企业用户和互联网用户提供在线的安全产品。那么我想请专家谈一下，这种和IT厂商的合作，能不能成为我们今后ICT合作的一个切入点?借这种商业模式来加强整个互联网方面的安全?

　　李宏凯：那么我想说，至少中国电信和安全客户提供的基于用户的安全服务，是很好的模式，很多的运营商已经意识到应该加强用户的安全。那么现在提倡绿色上网，来提供免费的病毒软件给客户下载。

　　第一点，我们可以提供，但是更重要的是安全的管理。你很多的用户装了防病毒软件，装了防火墙，但是上网的时候该中病毒还是会中。就是说我们在源头上怎么解决这个问题?如果我们只是给用户发软件，是不是用户没有钱买几十块钱的防病毒软件，其实根源并不在那里。不是说用户没有钱买，很多的PC买的时候已经装了防病毒软件了。实际上，问题是说，我们运营商怎么样在安全运营管理的角度上解决问题。

　　安全运营管理的角度是说从运营商的角度去解决问题，而不是给用户一个让用户自己装。用户不是买不起这个软件，而是说我用了这个软件出现了问题，或者是这个软件解决不了我这个问题的时候，那么运营商的能不能在线路上帮我解决一些事情?是帮我挡住一些洪水的东西，而不是说你给我一个东西自己玩。

　　现在运营商和政府都意识到了，包括中小企业的安全，是我们运营商需要做的。

　　那么第二步，需要我们运营商、企业用户和个人用户，需要各方面的意识去推进这个工作。

　　主持人靳辉：那么现在互联网多来的安全威胁，比如说钓鱼、蠕虫等等，存在着越来越复杂化的威胁。那么电信运营商自身在信息化的过程中，他所面对的安全威胁，是不是也在越来越复杂呢?

　　王新峰：主持人的主语都是电信运营商怎么解决，所以回答又落在我这里了，下次安排论坛的时候要多几个电信运营商，因为我一个人的观点可能会左右大家的思路。

　　你刚才问的问题，实际上我们也是在考虑，但主要关注的是所谓IT系统的建设。实际上IT系统的建设，从运营商的角度来看，相对来说是很复杂的。这个IT系统，应该这么说，我们是一个信息服务的提供商，但是我们并不是一个IT系统建设很好的企业。为什么这么说呢?因为我们给大家提供的，是我们原来从固网的角度来看，提供这种透明的带宽，使你们透明通信服务，这是最主要的。原来我们并不太关心所谓的信息化系统，对于本身通信服务会有什么样的影响。因为原来最早的，比如说电话的使用，实际上我们的计费系统是成功的，我们的网络运行是顺畅的。另外，比如说我出租给你带宽，你只要把所谓的带宽维护好就可以了。

　　那么实际上信息系统的建设，也是在我们所谓的为客户提供服务的同时，也在不断地认识到我们自己企业内部，为了提升客户的服务质量，就需要改善我们的信息系统。

　　我为什么这么讲呢?实际上我们的信息系统建设的过程当中，信息系统很大的好处主要有两点。第一个是规范数据的存储和记录，能够有效地保存。另外一个好处是能够规范管理的流程做控制。如果我们从这两个角度去考虑，能够把用户的基础的数据、用户的行为，或者是把企业管理的流程都固化在这个系统里面，都会对客户的服务产生更好的影响。

　　那么实际上从信息化系统建设来看，我们可能会了解我们信息系统建设的情况，但是我们不能给我们的部门员工讲这个问题。所以，实际上信息化系统的建设，我们电信投入了很大的成本做这个事情，核心的目标还是为了提升客户的服务。虽然我们之前也有各种各样的信息化系统，要符合政府的监管要求和法规的要求还要符合国家信息化监管的要求，还有符合萨班斯法案等等。实际上，我们种种的做法，还是为了服务目标客户。

　　比如说我举一个例子，我们大家接触比较多的10000，这是我们用户服务中心，之后你还要做处理，比如说跟踪、处理等等。包括现在到前台受理，原来就是开一个户，后面填一些信息，后面就有电话开通的人员给你开通电话业务了。以前是几张单子就可以做了，但是现在不一样了，现在大家拿到表格会填各种各样的需求，我要包月或者是什么样的服务，或者是我要杀毒软件。甚至是大客户讲，你给我做安全服务。所以，怎么样给用户提供各种各样的服务，也是我们的信息系统的建设的目的。我们一个是想提升企业自己的效率，另外我们也想从客户的角度出发，这就是我们自己的价值观。

　　主持人靳辉：谢谢王主管，今天在我们议题里面关注到运营商的时候，并不是说把矛头对准运营商，因为运营商是我们这个通信行业里面的领军企业。其实运营商在IT信息系统的稳定性、可靠性方面做得很好。其实和银行来比的话，银行每年会有几天甚至是几个星期停止服务，会告诉大家我们在升级我们的IT系统。我们电信运营商的容灾、备份都做得更好，我们绝对不会无缘无故终止我们对于客户的服务。

　　那么我们身份认证、VPN技术等是怎么样帮助移动办公?

　　傅家梁：实际上身份认证甚至是用户名密码，已经完全不够我们的安全需求了，任何一个运营商都不会单纯地用用户名密码去做。基本上运营商都会采用U Kek，像招行有U盾。或者是用一些硬件，和移动用户的笔记本进行绑定，或者是对于用户来说，要求比较高的，可能用一些动态令牌，密码只是在2分钟之内有效的那种，进行一些结合的认证。那么进来之后，用户做了什么操作，访问了什么系统，这一块都是认证非常重要的东西。而且这个进入，对于运营商来说，基本上都要保持几年。因为他们都要符合萨班斯等等相应的法案。可以说，在我们接触下来的话，运营商在这一块做得是非常好的，可以说大多数的银行或者是保险这种金融类的企业要好很多。

　　主持人靳辉：那么我们谈到IT系统的安全的话，我们可能就要他到现在大家比较关注的一个问题，就是说IT安全架构，它的复杂性怎么给它降下来?因为运营商的IT系统建设，包括它的IT的安全架构的建设，它是一个长期的积累的过程，它可能包括很多层面不同的硬件、软件，然后是不同时期的进行建设，这可能怎么了IT系统的复杂性。那么对于萨班斯法案要求的IT的安全架构，是不是现在倡导对于IT架构进行集中管控?

　　李宏凯：我觉得IT的系统管理，是因为应用的复杂而变得复杂。比如说应用很简单，没有这么多的新型的应用，大家上网在公司里面就干自己将干的事情，这个IT一点不复杂。那么随着应用的复杂，你想做的事情多了，那么管理人员一定会带来挑战。那么学校也一样，学生每天在宿舍里面就是为了学东西，我为了学不同的黑客应用技术过来，我学得越多，我将来出来挣得越多。那么最痛苦的是管理系统的老师，因为你的知识永远跟不上学生。企业也是一样的，员工上班希望我越自由越好，想干什么干什么。中心的人是你干什么我可以让你干，但是你干的事情不要影响别人干不了事情。这就是IT系统运行的平衡的问题，我想萨班斯法案，对于我们企业、信息系统的人员怎么样管理你的企业和系统。比如说规划、管理方面，一定要有效地管理。

　　另外一个方面，在安全设备的构架上，我们刚才谈到了七层安全，谈到了内容层的安全。如果你的网络里面只是搭设了一些身份认证和防火墙的设备，肯定是不能满足要求的。IT没有办法要求内部员工只收公司的E-mail，有一些雅虎、MSN等等你怎么办呢?你总要让他访问网页吧?他总得收吧?只要他收了，势必给企业的信息系统带来威胁。那么1000个人当中，有1个中了蠕虫，那么你怎么样在1000个人当中发现他?所以，你要网络划分好，另外一个你要部署好设备监控他的行为。包括UTM设备，包括一些国有公司的内网涉及设备，这些相关的设备，都是帮助信息系统管理人员知道哪个员工都在干什么。虽然我们不能说你们不能干工作以外的事情，但是你不能干损害公司的事情，因为我可以看到你上色情网站、你跟黑客有交流的行为等等，而且我可以把你的行为发给你。这样的话，其实是很简化了你的安全部署架构。

　　最重要的第一是管理，第二是选择安全管理设备。

　　主持人靳辉：那么管理员，经常是淹没在各种各样的日志里面。比如说来自不同厂商的安全产品，他会对安全事件有各自的报告、日志，有很多的重复的报告，如果整天都淹没在这种报告里面，然后看不出来你企业整个的IT安全是呈现一个什么样的状况的话，这恐怕也是一个问题吧?

　　李宏凯：你说得很对，之所以我们企业里面有这么多的安全问题，是因为大部分的防火墙都有一个安全产品。但是你不可能在路由器和交换机之间插7台设备，第二个很多的人不知道这个设备怎么用，拿过来单子一扔，这个设备上不去就完了。

　　那么你面对5个厂家的时候，你要知道这个问题到底是谁的问题，大家会出现扯皮的现象。所以，实际上管理员很疲倦地进行日志的审计。所以，为什么未来UTM是一个统一的发展方向，因为它不需要你产生日志，对于我而言，安全的审计是一个效果，所以对于我来说统一性的安全设备，产生的就是很清楚的日志。所以，简化安全设备的管理是最好的途径。同时，厂家对于简化型的安全日志的管理应该是简易的，而不是很零碎的需要管理员花很大的时间去学习的日志分析器。具有一定的智能管理或者是智能化复杂之后出来的简单的报告，是这样的概念。

　　主持人靳辉：那么我们接下来将问一个比较具体的问题，大家比较关注DOS攻击，现在网络上的视频越来越流行，如果城域网当中出现了DOS攻击的话，那么安全的威胁就越来越大，那么想请中国电信网络运行维护事业部高级主管王新峰先生介绍一下中国电信在这方面做的努力。

　　王新峰：我们的服务是有限的，不管我们的服务达到怎样的水平，大家会有更高的要求。所谓的DOS攻击，从刚才李总的角度讲，我们原来也是说，到底关不关注终端或者是客户行为这件事情。因为关注到客户行为，如果大家从交换这个角度，或者是我们从电话这个角度来讲，我们是不关心的。比如说你跟某个人打电话，你去骂谁，或者是策动一次犯罪，我运营商只是收你的通话费，而不是监听里面的内容。这是我们最早了话音通信的理念。

　　现在随着互联网的通信起来以后，终端太复杂了，一台计算机可以把所有的事情都做出来。你不仅是说一句话，发一个口令，你会进行各种各样的操作。所以，我们不仅是对于服务的提供商造成了影响。从固网运营商来看，互联网运营商的收入虽然是爆炸性的增长，但是基数是很小的，那么过去几年中业务量的收入，还是一个快速增长的阶段。当时地我们并没有意识到所谓的互联网的带宽有一个爆炸式的发展。

　　现在我们遇到什么问题呢?现在中国电信所谓的传送的网上，大概95%以上的带宽，都会给我们所谓的互联网的服务。那么这个服务是怎么回事呢?我们经常讨论，为什么互联网的带宽会无限制的增长下去?原来我们也在做规划，这是电信内部自己的话，我们可能在规划，但是我们规划明年我们的业务会达到什么量。比如说我07年规划08年的，我可能会逐步提供我们的带宽，比如说到08年年底我会把带宽提高原来的20%。那么对于用户来讲，可能会慢慢适配到20%。

　　那么比如说我拿到上海，可能流量立刻就会满，这是为什么?比如说大家看电影，你看了一个片子挺好的，你就浏览一下，然后你会考虑，我是不是下另外的片子，你又考虑我是不是同时下几部片子。比如说迅雷等等的是不是都可以下，所以我们发现我们的流量跟我们的预期是不一样的，我们叫做诱发式的增长。我只要放在这里，你马上就会给我们填满。所以，我们遇到了DOS的攻击，我们第一个问题是用户的流量本身就很大了，而且这里面还有DOS的行为。那么我们还要保证用户在，然后把DOS给用户清洗掉。

　　那么如果我刚把用户的DOS清洗掉，但是你这个用户就像一个蠕虫，无论我怎么清洗，你就会占满我的清洗量。那么现在我们从IT的骨干网络在分层，这是一个普通用户的行为。那么我们的企业用户可能是另外一个用户行为，我们可能逐步地把用户行为进行区别，逐步地提供不同的网络层的服务。

　　那么对于DOS的控制，我们也是从源头。我们是以省网为主的，以省际的网这个概念。比如说我们发现了DOS的主机的设备，我们就要从源头上清洗你这个设备，然后我们清洗完以后，会把健康的流量送回来。我们这是一种服务，会针对大客户提供这种服务，针对中小客户，可能我们也有这样的服务。上级，这是一种收费式的服务，或者是大家可见到的，跟业务受理有关的服务。

　　另外一种是我们为了控制DOS的流量，我们可能也会诱发DOS设备的攻击。所以，在互联网上，以流量攻击为主的安全事件，我觉得运营商和客户之间也是博弈的过程。那么，我们付出的努力，可能会对大家的业务有一个更好的感知，但是不断变化的客户行为，也对我们网络有另外一个更深层次的影响。所以，我们会在不断地博弈当中寻求一个稳定。

　　主持人靳辉：那么请互联网信息中心的胡主管谈一下，我们互联网信息中心对于僵尸网络有没有打击、查办，有没有出台一些政策?

　　胡安磊：您刚才问这个问题，应该是属于傅总他们的职责范围之内，我们是作为国家的域名主管机构，整个是负责我们CN域名的系统运行。关于僵尸网络等等，对于我们都有自身的防御服务，但是不会对外提供这个服务或者是打击犯罪，这要靠其他的执法部门或者是公安部门来做这个事情。

　　主持人靳辉：那么厂商的专家，能不能对这个问题发表一下自己的看法?

　　傅家梁：像僵尸网络或者是僵尸主机这一块的话，其实还是网监，是公安部他们那边管。网络网监和运营商，其实也是可以合起来做一些事情的。在广州他们会出台运营商和网监联合出台一些政策，那么出台一些政策，是针对于像我们的哪些地方的网络管理可以说是最差的，大家想象一下?主要是像网吧或者是酒店，这些网络管理是最差的，这种地方也最容易出僵尸主机这种东西。那么对于这一块的地方，运营商和网监会出台一些管理策略，他们可能会出一些设备或者是管理策略，要求网吧和酒店，甚至是中小型企业，他们可能会装一些防僵尸主机的设备。

　　或者是他不用出这种防的，只要出日志就可以了。然后通过和运营商的联动，我不防你，但是我发现有僵尸主机了，那么我能知道，是哪边出现的，哪个单位的哪个人。那么这样的话，同样对于企业来说也是规避了法律风险。他知道责任人和责任计算机，那么网监找他的时候，他也可以知道怎么做。

　　李宏凯：僵尸网络去年举行过这样的安全会议，实际上从僵尸网络的定义来看，我们很难用法律来定义。如果我是企业，我的机器被控制，进行法律犯罪。你很难定我的罪名，因为我是被别人侵入的，所以很难说给我们进行犯罪定义。所以，现在是由国家的网监处等联合运营商一起配合查到僵尸网络，我们可以找是由谁来口头这个僵尸网络。

　　这个过程实际上是比较复杂的，你要查找上百、上千台电脑的安全失控，我们经常发现这个僵尸网络的控制主体在美国、台湾等等的地方。所以，从罪名的角度来讲，既然是跨国际的状态，你很难找到。国内发生过几起，如果我们确实发现是国内某一个人控制僵尸网络，那么我们可以定罪。这是国家有标准的，但是对于被控的企业组织，很难定罪名。

　　主持人靳辉：那么照这样看来，厂商和运营商都处于一个比较被动的状态。

　　李宏凯：所以从运营商的角度来讲，我们谈到运营商已经意识到这种问题，做清洗或者是帮终端用户做保护。那么企业自己在做一些保护，那么运营商也做一些保护，那么就会控制这些人形成僵尸网络的机会。那么归根到底又回到我们的源头，我们希望企业和运营商一起建设这个安全网络，因为这是企业和运营商一起受害。所以，现在是帮个体解决安全问题，来达到双赢。

　　很多的僵尸网络一旦形成，都是真实的IP，这是真实的IP发过来的真实的请求，你没有理由拒绝这个是假的。你也不知道我是被利用的，还是我自己主动有想法去访问的，你是无法判断的。所以，根本来讲还是要回到我们的源头，要分层次，如果我们从源头上控制了，你就无法访问。

　　主持人靳辉：谢谢各位，那么我们今天的圆桌讨论就到这里结束了，感谢各位专家!