1. 手機站
                                            2. 微信
                                            3. 搜索
                                              搜新聞
                                              您的位置:首頁 > 會議報道

                                              天融信科技集團高級副總裁景鴻理在第二屆中國交通科技發展峰會上主旨演講

                                              天融信科技集團高級副總裁  景鴻理 主旨演講 

                                              我是天融信公司的鴻理,今天我講述的題目叫“網際互聯話安全”。講的是SD-WAN及密碼應用,SD-WAN就是現在所說的軟件定義廣域網。簡單做一下自我介紹,我叫景鴻理,是天融信科技集團的,曾經在科研工作當中也取得過一些成績,獲得過國家的一些獎勵,同時在本職工作以外還兼任著一些社會的商業密碼類的相關工作,個人介紹就這么多。今天我要匯報的題目有三個:

                                              一、網際互聯的現實需求;

                                              二、SD-WAN之網絡安全和密碼應用;

                                              三、安全的SD-WAN務實經驗分享。

                                              我們來看看這一頁有左邊和右邊,這一頁的左邊國務院包括交通部委等都發文,剛才各位領導也有說要加快互聯網的行動,要有行動綱要和指導意見、發展規劃等等,這里面都講到了網絡安全的建設。我們再看一下圖的右邊,交通行業的各個部門也發了很多的文件和精神,包括有網絡安全的規范、等保的規范、通用要求等等,都講的是安全。國家在推動網絡建設,我們自己也在注重安全,所以在政策驅動上一方面網絡要加強,同時安全要加強。

                                              要加強這些網絡建設的情況下,現在有什么新的形勢出現了呢?

                                              第一,聯網主體猛增;有政務中心、大數據中心、企業總部、各企業分支等,均有互聯的需求。

                                              第二,云化;

                                              第三,線路多方提供,線路方面有若干個運營商可以選擇,包括路網形式多樣化,有無線/有線,因特網等等。

                                              第四,同時聯絡網絡的時候安全威脅加劇,政府的監管也在提升,包括出了很多《網絡安全法》、《數據安全法》、《等級保護》等等。在網絡互聯有這么多的要求,同時連接的形式又很多,這個時候呼喚相對便捷、安全的手段出來,我們定義為軟件定義廣域網,這個時候安全的軟件定義廣域網就出現了。

                                              網絡定義廣域網是將一個“物理網絡”通過高層協議的再封裝,虛擬處“邏輯網絡”使之“軟件可定義”。軟件定義并不懸乎,只是在原來高層協議上再封裝,軟件定義廣域網的核心技術,一個是隧道技術、應用級路由、密碼技術、多種的增值服務,在增值服務當中就有它的安全功能了,軟件定義廣域網的特征就是將網絡的控制層面和實際傳輸層面分離開來,讓控制集中起來,使得網絡本身具有的能力對我們開放,對我們人感知,很多好處被我們管理了以后,可以靈活的進行應用。原來的網絡碰見的線路好就是線路好,線路不好也沒有招,網絡定義了以后可以調的。

                                              既然是一個軟件定義廣域網毫無疑問要有網絡接入設備,分支這邊有設備,我們叫CPE,中心端部有設備我們叫GW設備?梢詥尉接入,可以混合接入,豐儉由人選擇。

                                              分支機構既可以是4G的接入,也可以是無線、有線、立體接入,總而言之混合式的接入。

                                              我們說零配置、分鐘級開局,廣域網的互聯在過去對工程師的要求比較高,要去配置、要掉線時間很長,現在如果是軟件定義廣域網設備的上線幾乎是零配置,分鐘級上線,無需IT人員到場,只需要到入就可以了?偛肯掳l的配置文件,一直到最后導入入網就完成了。要知道過去這個事情可是要一個多月的時間。

                                              完成的配置既可以組成心型的,也可以組成網型的,也可以組成樹型的,要知道一個網絡的拓撲設計當時規劃時就規劃好了,在工程實施過程中要實施成這樣很費勁,但是在軟件定義廣域網的就簡單了,配置文件下發了,導入就可以了,在SD-WAN下面導入就完成了安全的組網。

                                              還有一個好處是視圖化管理,在軟件定義廣域網里面,除了分支有一個設備,中心有一個設備,還有一個管理中心。管理中心上面就能夠看到網絡目前的各種狀態,列入的狀態可以看,管理狀態可以看,同時上面有點有線,你的鼠標只要選到點和線上,就有更細致的東西彈出來,而且點進去以后有更多的表單,相當于整個網絡的能力都在你面前了,這是軟件定義廣域網的一些好處。

                                              剛才我們說有四個核心的技術,現在我撿一個出來說,一個是基于應用的智能選路,應用及選路是四大核心技術之一。我們線路上會跑各種各樣的數據,中間動的我們認為是業務流量,同時線路上肯定還有威脅流量和垃圾流量,中間圖線路上有可能連的是專業網、5G網、因特網等,線路質量是有各式各樣的,比方說有延遲、丟包率,有帶寬等。相對于傳統的路由選擇在第三層,軟件定義廣域網的路由選擇是支持應用級的。

                                              第一,基于業務應用的識別,你看是哪種應用。

                                              第二,基于鏈路質量的感知,鏈路怎么樣,以及鏈路的程度,我可以智能給你選擇最優路線。比如說我們指定業務系統走最小延遲的那條線,它就會走這一條線,有若干種選擇。當把業務和中間的線路質量結合起來以后,就得到了最后這一張圖選擇路,線路里還有威脅流量,威脅流量我們趕緊阻斷,還有垃圾流量,限時限量讓它走一走。這是SD-WAN基于應用的智能選路,它為你提供了一種流暢的感覺。

                                              剛才說完了軟件定義廣域網,我們再來看看網絡防護。先看左邊這個圖,有一個動圖走的東西是代表數據,數據從一條線路走過去了。這是建隧道,然后建完隧道以后把數據鏈路接通,這是一個基本的東西。因為它是一個廣域網絡,廣域網絡里面說的安全毫無疑問基礎設施要安全,要支持本身的安全,基礎設施要安全,運維要安全,運維要產生很多的數據,那些數據要加密。再就是網絡安全,網絡安全里面有兩大部分:

                                              一大部分就是傳統的一些網絡功能,那些網絡安全功能叫做網絡訪問控制、網絡監測這方面的功能是網絡安全的基本功能。同時,還要有隧道,隧道就是網絡這邊建立一個隧道,在網絡里面的隧道是個什么概念?就是在一個公用的網絡空間虛擬出來一個專用的通路,這個通道只能有你不能有別人。這個里面用到國家密碼管理局的密碼算法,整個安全防護就是這張圖,本身它有設施安全、運維安全以及網絡安全。網絡安全是在SD-WAN的附加值里面完成的,隧道是它本身建立完成的。

                                              因為我今天要講的題目是SD-WAN和密碼應用,這里講的密碼可不是銀行口令卡上的密碼,也不是登陸的密碼,講的是密碼算法,密碼算法保證機密性、完整性等。SD-WAN的核心技術是“隧道”,隧道里面主要做的事情是傳輸加密。SD-WAN控制中心產生的各種各樣配置的數據要存儲加密,這些都要用到加密算法。人員接入到SD-WAN控制中心和網關,要做身份認證,身份認證也要用到密碼。用到密碼的應用至少有網絡傳輸、數據存儲、身份認證,同時使用了密碼也必須要符合《密碼法》,必須符合國密局的管理,必須符合若干國家標準。過去沒有《密碼法》叫做《商用密碼管理條例》,《商用密碼管理條例》只管商用密碼,《密碼法》和普商都有規定了,據說今年要發布一個新的管理條例!睹艽a法》要求關鍵信息及系統應當使用商用密碼進行保護!睹艽a法》還要求應當使用《網絡安全專用產品目錄》中的密碼產品。

                                              同時,《密碼法》還要求應該委托第三方評估機構,開展你的密碼應用的安全性評估。要采用SM2、SM3、SM4,這是算法的代號,沒有提SM1,因為SM1大量應用在黨政機關的公文流轉當中,我們講的是商用密碼。

                                              最后講一下經驗分享,SD-WAN的定位于多分支異地和總部相連的,用于多分支異地互聯的。如果沒有網絡安全的附加,你去跟別人說這個,別人都不敢上,因為它是通過互聯網。同時,SD-WAN的設備是成對的,因為要進隧道,這里說的是一對,有的時候是多對,但一定是一對,不是一個產品的事兒,它特別適合多分支機構,以及新建及網絡擴展,對非IT企業非常的適合。不僅是能夠作為分支到中心的各種組網,還特別適應“數據中心和數據中心”直接互聯,以及云際互聯。隧道技術/認證技術用了國產密碼,在國產化密碼加持底下,落實了自主可控、安全可靠。

                                              (新媒體責編:news)

                                              聲明:

                                              1、凡本網注明“人民交通雜志”/人民交通網,所有自采新聞(含圖片),如需授權轉載應在授權范圍內使用,并注明來源。

                                              2、部分內容轉自其他媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。

                                              3、如因作品內容、版權和其他問題需要同本網聯系的,請在30日內進行。電話:010-67683008

                                              時政 | 交通 | 交警 | 公路 | 鐵路 | 民航 | 物流 | 水運 | 汽車 | 財經 | 輿情 | 郵局

                                              人民交通24小時值班手機:15210989870 總機:010-67683008 商務合作:010-67683008轉602 E-mail:zzs@rmjtzz.com

                                              Copyright 人民交通雜志 All Rights Reserved 版權所有 復制必究 百度統計 地址:北京市豐臺區東鐵營順三條2號

                                              增值電信業務經營許可證號:京B2-20201704 本刊法律顧問:北京京師(蘭州)律師事務所 李大偉

                                              京公網安備 11010602130064號 京ICP備18014261號-2  廣播電視節目制作經營許可證:(京)字第16597號

                                              电影天堂