我有时候是一个非常悲观的人,对于此次5月17日世界电信日提出的电信网络安全话题来说,我相当悲观,因为我觉得这是一个近期乃至未来很长时间都无法彻底解决的问题。
当传统电信网从网络复杂、终端简单演进到网络复杂、终端智能之后,安全问题的确不那么简单了。
首先说说终端和电信网的处理能力对比吧。过去的TDM网络显然不可能有什么DoS,更不会有DDoS攻击。过去的电话网络是一个复杂网络为简单终端服务的模型。用电话机把一台电话交换机弄瘫痪几乎没有可能,除非你就是《功夫》里的火云邪神,能做到“天下武功,无坚不破,唯快不破!”,每秒钟可以拨打无数个电话。
但是今天的情况不一样了,接入电信网的终端丰富多样,特别是在引入了PC、PDA和智能电话以后。这些终端的处理能力与那些大盒子的电信设备相比丝毫不差,甚至有过之。利用此类终端做DDoS攻击相当简单,一个小程序就可以造就一个火云邪神。而局端设备可就惨了,它们还要考虑计费、管理等等事项。这样一来,处理能力的天平就向终端那侧倾斜了,DDoS攻击足以让很多局端设备瘫痪。若遇到软件高手,纠集起千千万万的火云邪神,这样的DDoS攻击是难以防范的。
开放的终端软硬件平台不仅仅带来了DDoS攻击的威胁,还带来了网络的不可控、安全的不可控。世界上有太多的人都可以成为《黑客帝国》中的尼奥。千千万万的尼奥唤醒遍及世界的火云邪神,两者结合,谁能面对?
今天在企业网中微软、思科以及可信任计算组织正在努力推动终端安全接入控制的解决方案。这一方案的确能够从很大程度上解决网络安全的一些问题。但是,对于电信运营商来说,这一方案几乎不可行。电信网不是铁板一块,总会存在安全的短板。为什么?因为终端的投资者和产权拥有者多种多样,作为一个服务提供商很难强制性地要求用户使用什么或不使用什么。在电信网络中总会有一些非法的用户、潜在的攻击者,如同幽灵一般攻击网络。唤醒那些安分守己的“沉睡者”,把一个平常人训练成为可怕的杀手“火云邪神”。
写到这里,我悲观已极!虽然我知道很多网络从业者在绞尽脑汁解决安全的问题,但愿他们能够成功。但是我要说的是不要相信那些所谓绝对安全的解决方案,鬼才信呢。而按照传统电信网的思路去解决电信网络安全问题只能是死路一条。世界真的变了。