天融信科技集團(tuán)高級(jí)副總裁  景鴻理 主旨演講 

我是天融信公司的鴻理，今天我講述的題目叫“網(wǎng)際互聯(lián)話安全”。講的是SD-WAN及密碼應(yīng)用，SD-WAN就是現(xiàn)在所說(shuō)的軟件定義廣域網(wǎng)。簡(jiǎn)單做一下自我介紹，我叫景鴻理，是天融信科技集團(tuán)的，曾經(jīng)在科研工作當(dāng)中也取得過(guò)一些成績(jī)，獲得過(guò)國(guó)家的一些獎(jiǎng)勵(lì)，同時(shí)在本職工作以外還兼任著一些社會(huì)的商業(yè)密碼類(lèi)的相關(guān)工作，個(gè)人介紹就這么多。今天我要匯報(bào)的題目有三個(gè)：

一、網(wǎng)際互聯(lián)的現(xiàn)實(shí)需求;

二、SD-WAN之網(wǎng)絡(luò)安全和密碼應(yīng)用;

三、安全的SD-WAN務(wù)實(shí)經(jīng)驗(yàn)分享。

我們來(lái)看看這一頁(yè)有左邊和右邊，這一頁(yè)的左邊國(guó)務(wù)院包括交通部委等都發(fā)文，剛才各位領(lǐng)導(dǎo)也有說(shuō)要加快互聯(lián)網(wǎng)的行動(dòng)，要有行動(dòng)綱要和指導(dǎo)意見(jiàn)、發(fā)展規(guī)劃等等，這里面都講到了網(wǎng)絡(luò)安全的建設(shè)。我們?cè)倏匆幌聢D的右邊，交通行業(yè)的各個(gè)部門(mén)也發(fā)了很多的文件和精神，包括有網(wǎng)絡(luò)安全的規(guī)范、等保的規(guī)范、通用要求等等，都講的是安全。國(guó)家在推動(dòng)網(wǎng)絡(luò)建設(shè)，我們自己也在注重安全，所以在政策驅(qū)動(dòng)上一方面網(wǎng)絡(luò)要加強(qiáng)，同時(shí)安全要加強(qiáng)。

要加強(qiáng)這些網(wǎng)絡(luò)建設(shè)的情況下，現(xiàn)在有什么新的形勢(shì)出現(xiàn)了呢?

第一，聯(lián)網(wǎng)主體猛增;有政務(wù)中心、大數(shù)據(jù)中心、企業(yè)總部、各企業(yè)分支等，均有互聯(lián)的需求。

第二，云化;

第三，線路多方提供，線路方面有若干個(gè)運(yùn)營(yíng)商可以選擇，包括路網(wǎng)形式多樣化，有無(wú)線/有線，因特網(wǎng)等等。

第四，同時(shí)聯(lián)絡(luò)網(wǎng)絡(luò)的時(shí)候安全威脅加劇，政府的監(jiān)管也在提升，包括出了很多《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《等級(jí)保護(hù)》等等。在網(wǎng)絡(luò)互聯(lián)有這么多的要求，同時(shí)連接的形式又很多，這個(gè)時(shí)候呼喚相對(duì)便捷、安全的手段出來(lái)，我們定義為軟件定義廣域網(wǎng)，這個(gè)時(shí)候安全的軟件定義廣域網(wǎng)就出現(xiàn)了。

網(wǎng)絡(luò)定義廣域網(wǎng)是將一個(gè)“物理網(wǎng)絡(luò)”通過(guò)高層協(xié)議的再封裝，虛擬處“邏輯網(wǎng)絡(luò)”使之“軟件可定義”。軟件定義并不懸乎，只是在原來(lái)高層協(xié)議上再封裝，軟件定義廣域網(wǎng)的核心技術(shù)，一個(gè)是隧道技術(shù)、應(yīng)用級(jí)路由、密碼技術(shù)、多種的增值服務(wù)，在增值服務(wù)當(dāng)中就有它的安全功能了，軟件定義廣域網(wǎng)的特征就是將網(wǎng)絡(luò)的控制層面和實(shí)際傳輸層面分離開(kāi)來(lái)，讓控制集中起來(lái)，使得網(wǎng)絡(luò)本身具有的能力對(duì)我們開(kāi)放，對(duì)我們?nèi)烁兄�，很多好處被我們管理了以后，可以靈活的進(jìn)行應(yīng)用。原來(lái)的網(wǎng)絡(luò)碰見(jiàn)的線路好就是線路好，線路不好也沒(méi)有招，網(wǎng)絡(luò)定義了以后可以調(diào)的。

既然是一個(gè)軟件定義廣域網(wǎng)毫無(wú)疑問(wèn)要有網(wǎng)絡(luò)接入設(shè)備，分支這邊有設(shè)備，我們叫CPE，中心端部有設(shè)備我們叫GW設(shè)備�？梢詥尉�接入，可以混合接入，豐儉由人選擇。

分支機(jī)構(gòu)既可以是4G的接入，也可以是無(wú)線、有線、立體接入，總而言之混合式的接入。

我們說(shuō)零配置、分鐘級(jí)開(kāi)局，廣域網(wǎng)的互聯(lián)在過(guò)去對(duì)工程師的要求比較高，要去配置、要掉線時(shí)間很長(zhǎng)，現(xiàn)在如果是軟件定義廣域網(wǎng)設(shè)備的上線幾乎是零配置，分鐘級(jí)上線，無(wú)需IT人員到場(chǎng)，只需要到入就可以了�？偛肯掳l(fā)的配置文件，一直到最后導(dǎo)入入網(wǎng)就完成了。要知道過(guò)去這個(gè)事情可是要一個(gè)多月的時(shí)間。

完成的配置既可以組成心型的，也可以組成網(wǎng)型的，也可以組成樹(shù)型的，要知道一個(gè)網(wǎng)絡(luò)的拓?fù)湓O(shè)計(jì)當(dāng)時(shí)規(guī)劃時(shí)就規(guī)劃好了，在工程實(shí)施過(guò)程中要實(shí)施成這樣很費(fèi)勁，但是在軟件定義廣域網(wǎng)的就簡(jiǎn)單了，配置文件下發(fā)了，導(dǎo)入就可以了，在SD-WAN下面導(dǎo)入就完成了安全的組網(wǎng)。

還有一個(gè)好處是視圖化管理，在軟件定義廣域網(wǎng)里面，除了分支有一個(gè)設(shè)備，中心有一個(gè)設(shè)備，還有一個(gè)管理中心。管理中心上面就能夠看到網(wǎng)絡(luò)目前的各種狀態(tài)，列入的狀態(tài)可以看，管理狀態(tài)可以看，同時(shí)上面有點(diǎn)有線，你的鼠標(biāo)只要選到點(diǎn)和線上，就有更細(xì)致的東西彈出來(lái)，而且點(diǎn)進(jìn)去以后有更多的表單，相當(dāng)于整個(gè)網(wǎng)絡(luò)的能力都在你面前了，這是軟件定義廣域網(wǎng)的一些好處。

剛才我們說(shuō)有四個(gè)核心的技術(shù)，現(xiàn)在我撿一個(gè)出來(lái)說(shuō)，一個(gè)是基于應(yīng)用的智能選路，應(yīng)用及選路是四大核心技術(shù)之一。我們線路上會(huì)跑各種各樣的數(shù)據(jù)，中間動(dòng)的我們認(rèn)為是業(yè)務(wù)流量，同時(shí)線路上肯定還有威脅流量和垃圾流量，中間圖線路上有可能連的是專(zhuān)業(yè)網(wǎng)、5G網(wǎng)、因特網(wǎng)等，線路質(zhì)量是有各式各樣的，比方說(shuō)有延遲、丟包率，有帶寬等。相對(duì)于傳統(tǒng)的路由選擇在第三層，軟件定義廣域網(wǎng)的路由選擇是支持應(yīng)用級(jí)的。

第一，基于業(yè)務(wù)應(yīng)用的識(shí)別，你看是哪種應(yīng)用。

第二，基于鏈路質(zhì)量的感知，鏈路怎么樣，以及鏈路的程度，我可以智能給你選擇最優(yōu)路線。比如說(shuō)我們指定業(yè)務(wù)系統(tǒng)走最小延遲的那條線，它就會(huì)走這一條線，有若干種選擇。當(dāng)把業(yè)務(wù)和中間的線路質(zhì)量結(jié)合起來(lái)以后，就得到了最后這一張圖選擇路，線路里還有威脅流量，威脅流量我們趕緊阻斷，還有垃圾流量，限時(shí)限量讓它走一走。這是SD-WAN基于應(yīng)用的智能選路，它為你提供了一種流暢的感覺(jué)。

剛才說(shuō)完了軟件定義廣域網(wǎng)，我們?cè)賮?lái)看看網(wǎng)絡(luò)防護(hù)。先看左邊這個(gè)圖，有一個(gè)動(dòng)圖走的東西是代表數(shù)據(jù)，數(shù)據(jù)從一條線路走過(guò)去了。這是建隧道，然后建完隧道以后把數(shù)據(jù)鏈路接通，這是一個(gè)基本的東西。因?yàn)樗�是一個(gè)廣域網(wǎng)絡(luò)，廣域網(wǎng)絡(luò)里面說(shuō)的安全毫無(wú)疑問(wèn)基礎(chǔ)設(shè)施要安全，要支持本身的安全，基礎(chǔ)設(shè)施要安全，運(yùn)維要安全，運(yùn)維要產(chǎn)生很多的數(shù)據(jù)，那些數(shù)據(jù)要加密。再就是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全里面有兩大部分：

一大部分就是傳統(tǒng)的一些網(wǎng)絡(luò)功能，那些網(wǎng)絡(luò)安全功能叫做網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)監(jiān)測(cè)這方面的功能是網(wǎng)絡(luò)安全的基本功能。同時(shí)，還要有隧道，隧道就是網(wǎng)絡(luò)這邊建立一個(gè)隧道，在網(wǎng)絡(luò)里面的隧道是個(gè)什么概念?就是在一個(gè)公用的網(wǎng)絡(luò)空間虛擬出來(lái)一個(gè)專(zhuān)用的通路，這個(gè)通道只能有你不能有別人。這個(gè)里面用到國(guó)家密碼管理局的密碼算法，整個(gè)安全防護(hù)就是這張圖，本身它有設(shè)施安全、運(yùn)維安全以及網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是在SD-WAN的附加值里面完成的，隧道是它本身建立完成的。

因?yàn)槲医裉煲�講的題目是SD-WAN和密碼應(yīng)用，這里講的密碼可不是銀行口令卡上的密碼，也不是登陸的密碼，講的是密碼算法，密碼算法保證機(jī)密性、完整性等。SD-WAN的核心技術(shù)是“隧道”，隧道里面主要做的事情是傳輸加密。SD-WAN控制中心產(chǎn)生的各種各樣配置的數(shù)據(jù)要存儲(chǔ)加密，這些都要用到加密算法。人員接入到SD-WAN控制中心和網(wǎng)關(guān)，要做身份認(rèn)證，身份認(rèn)證也要用到密碼。用到密碼的應(yīng)用至少有網(wǎng)絡(luò)傳輸、數(shù)據(jù)存儲(chǔ)、身份認(rèn)證，同時(shí)使用了密碼也必須要符合《密碼法》，必須符合國(guó)密局的管理，必須符合若干國(guó)家標(biāo)準(zhǔn)。過(guò)去沒(méi)有《密碼法》叫做《商用密碼管理?xiàng)l例》，《商用密碼管理?xiàng)l例》只管商用密碼，《密碼法》和普商都有規(guī)定了，據(jù)說(shuō)今年要發(fā)布一個(gè)新的管理?xiàng)l例�！睹艽a法》要求關(guān)鍵信息及系統(tǒng)應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)�！睹艽a法》還要求應(yīng)當(dāng)使用《網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄》中的密碼產(chǎn)品。

同時(shí)，《密碼法》還要求應(yīng)該委托第三方評(píng)估機(jī)構(gòu)，開(kāi)展你的密碼應(yīng)用的安全性評(píng)估。要采用SM2、SM3、SM4，這是算法的代號(hào)，沒(méi)有提SM1，因?yàn)镾M1大量應(yīng)用在黨政機(jī)關(guān)的公文流轉(zhuǎn)當(dāng)中，我們講的是商用密碼。

最后講一下經(jīng)驗(yàn)分享，SD-WAN的定位于多分支異地和總部相連的，用于多分支異地互聯(lián)的。如果沒(méi)有網(wǎng)絡(luò)安全的附加，你去跟別人說(shuō)這個(gè)，別人都不敢上，因?yàn)樗�是通過(guò)互聯(lián)網(wǎng)。同時(shí)，SD-WAN的設(shè)備是成對(duì)的，因?yàn)橐�進(jìn)隧道，這里說(shuō)的是一對(duì)，有的時(shí)候是多對(duì)，但一定是一對(duì)，不是一個(gè)產(chǎn)品的事兒，它特別適合多分支機(jī)構(gòu)，以及新建及網(wǎng)絡(luò)擴(kuò)展，對(duì)非IT企業(yè)非常的適合。不僅是能夠作為分支到中心的各種組網(wǎng)，還特別適應(yīng)“數(shù)據(jù)中心和數(shù)據(jù)中心”直接互聯(lián)，以及云際互聯(lián)。隧道技術(shù)/認(rèn)證技術(shù)用了國(guó)產(chǎn)密碼，在國(guó)產(chǎn)化密碼加持底下，落實(shí)了自主可控、安全可靠。

(新媒體責(zé)編：news)