from:http://support.huawei.com/ecommunity/bbs/10151893.html
華為大企業信息安全解決方案主要面向大企業客戶,立足於企業信息安全的主要痛點,詮釋了企業信息安全該如何建設的真諦。該安全解決方案以精細化的的數據安全保護,保障商業機密信息的安全交換;以精准主動的威脅防御,保障企業業務運營的連續性;以防IT特權濫用,從內部瓦解潛在威脅,避免濫用權限造成信息泄密;以通過安全策略分發和安全態勢分析的安全管理,精細化的安全審計,讓違規行為無處藏身,通過合規遵從性檢查避免企業遭受外部法律風險,滿足行業要求。通過大企業信息安全解決方案的詮釋,華為希望同客戶一起完善企業信息安全體系的建設,有效地保障企業業務可持續性的健康發展,幫助企業避免因信息安全事件導致經濟損失,避免企業核心競爭力的減弱,避免連鎖化的反應導致市場份額的減少。
大企業信息安全解決方案概述
由於入侵、破壞企業信息系統的事件每天都在發生,加上人們對Internet危險性的認知不斷加強,人們對信息安全的需求前所未有地高漲起來。對於大多數高級企業主管而言,已經認識到安全問題已不再遙不可及。安全風險會大大降低公司的市場價值,甚至威脅企業的生存。即使很小的風險也能將公司的名譽、客戶的隱私信息和知識產權等置於危險之中。
在這樣的環境中,企業如何才能有效地解決這些問題呢?值得高興的是,華為提供了一套行之有效的信息安全解決方案幫助企業建立安全靈活的基礎設施,保護極其復雜的應用程序和資源,並通過系統的安全管理策略,計划規程,實施及監督程序等來保護企業的核心業務。
大企業信息安全體系
華為公司的IT實踐表明,信息安全不是簡單的產品堆砌,安全實際上是企業管理和技術的綜合性問題,只有分階段性建立科學完善的信息安全管理體系,並在這個管理體系的指導下,構築符合企業自身需要的信息安全技術架構,從管理和技術兩個維度才能保證企業IT基礎設施的安全,保證企業信息資產的安全。
下圖為:華為信息安全解決方案為企業客戶構築的企業信息安全體系圖。
企業信息安全體系全景圖
信息安全管理體系包括安全組織框架,安全政策框架,安全運作框架和安全能力管理框架。
安全管理的核心是安全組織,包括決策層,管理層和執行層,有明確的責權定義。安全組織的主要職責是制定企業信息安全的行政政策和技術策略,標准,指導以及基線,所有企業信息安全相關活動都需要在安全政策的規定下進行。
安全策略指導信息安全管理與業務和流程的有機結合,明確信息安全建設的方向和策略。
安全運作包含流程、人、技術,能夠保證安全落到實處,並且是逐漸閉環優化的。安全能力是評估企業進行信息安全建設的能力框架,包括評估、度量、知識庫等,通過對安全工程管理的方式,將系統安全工程轉變為一個具有良好定義的、成熟的、可測量的信息安全工程。
安全技術框架
信息安全技術架構為企業信息安全管理提供技術支撐,主要圍繞企業信息安全的問題展開,包括:企業機密信息防泄密,基礎設施防攻擊防入侵,IT權限管控,安全管理以及合規審計等。另外,身份認證與授權為企業安全基礎設施,為防攻擊方案,防泄密方案,IT權限管理,安全管理以合規審計及提供身份和授權服務,為企業業務發展保駕護航,保障企業商業交換的安全,構築企業核心競爭力。
大企業信息安全解決方案組成
華為大企業信息安全解決方案主要面向企業客戶,從數據防泄密,攻擊防護,避免IT特權濫用,安全管理及合規審計等四個維度,詮釋企業信息安全建設的綱領,構築企業核心競爭力。
該安全解決方案着眼於拓寬企業用戶的視野,幫助客戶了解信息安全建設真諦,解讀方案的技術實現,解決企業信息安全訴求,是最貼近用戶安全訴求的企業信息安全解決方案。
另外,華為大企業信息安全解決方案以完備的企業信息安全體系,詮釋着信息安全該如何建設的真諦;以貫穿多安全維度的身份識別,讓偽裝者和違規者有跡可循,無路可逃;以精細化的數據安全保護,來保障商業機密信息的安全交換;以精准主動的威脅防御,來保障企業業務運營的連續性;以嚴密的防特權濫用,從內部瓦解潛在威脅,避免濫用權限造成內部信息泄密;以靈活可靠的安全管理,進行安全策略分發,安全事件審計和安全態勢分析,讓IT運維人員解放雙手,讓違規無處藏身,讓企業IT系統遵從外部信息安全法律法規和標准、滿足行業的監管與要求。
下圖為華為大企業信息安全解決方案技術框架圖:
大企業信息安全技術框架圖
安全解決方案特點及價值
| 場景 | 子解決方案 | 子方案特點 | 解決客戶問題 |
|---|---|---|---|
| 身份認證與授權 | 內網接入認證 | 針對不同安全級別和類型的辦公區域采取不同認證方式 高安全要求:802.1x+Mac認證 一般安全要求:Portal+Mac認證/SAGC方式 內部無線辦公要求:802.1x認證 訪客區域要求:portal認證 |
對接入企業內網的終端進行身份識別,避免非法終端和外來終端的隨意接入。 |
| 外網接入認證 | 豐富的身份認證,廣泛的終端支持:提供本地認證/多種第三方認證/組合認證; 靈活的授權管理,細粒度的授權訪問:基於角色/資源關聯的授權方式,可同步外部組的授權;基於接入終端安全等級的動態授權訪問企業資源 |
對以移動方式或從分支機構接入企業內網的遠程終端或移動辦公終端進行身份識別,確保接入的終端可信和可靠。 | |
| 運維管理認證 | 統一運維入口,實現單點登錄 統一身份、認證管理 統一嚴格授權管理 |
企業對內部運維人員訪問核心系統進行認證與授權,確保核心資源不會隨意被訪問,導致信息被竊取。 | |
| 內網上網認證 | 多種認證機制,靈活選擇 免認證(特權用戶/外來人員); 手動認證(Web認證/終端認證); 自動認證(AD/TSM單點登錄/網段認證); 本地賬號/第三方賬號認證(AD/LDAP/Radius/TSM) 基於用戶的精細權限控制 網絡應用/站點訪問/信息外發/郵件等權限控制。 |
對有內部上網行為的員工進行認證、授權以及監控,避免訪問與工作無關的網站,違規或攜帶病毒木馬的網站,導致企業內部網絡被病毒入侵,同時提高工作效率。 | |
| 防泄密 | 企業信息資產安全管理 | 企業信息資產統一管理 信息資產集中管理,安全管控:信息資產權限管理、查閱管控、加密管控、追蹤管控等。 |
企業對所有信息資產進行統一管理、安全管控,防止信息泄密 |
| 網絡數據安全防護 | 三種手段確保企業網絡數據安全:VPN方案保證網絡傳輸安全、企業業務數據分區、關鍵數據外發管控(ASG) | 保障公司網絡傳輸數據安全,不被黑客監聽和竊取、信息資產不會被從內部外發,導致內部泄密 | |
| 終端信息安全管控 | 端口管理+文檔加密+終端漏洞修復保證企業終端數據安全; 通過沙箱技術保證BYOD終端數據安全 |
避免因通過終端拷貝,網絡共享,感染病毒等途徑,導致機密信息資產泄密;同時確保用戶通過移動設備訪問公司資源時,與公司相關的資產信息不會遺留到移動設備,導致信息泄密。 | |
| 泄密事件審計 | 終端、網絡、IT運維各方面共同對泄密事件進行審計,全網追蹤溯源 | 企業如何對所有泄密安全事件進行審計,追蹤溯源,界定責任 | |
| 防攻擊 | 終端安全防護 | 終端准入控制; 一鍵式修復更新終端漏洞、補丁,保證終端安全可靠 |
企業如何確保終端安全,避免內部和外部惡意攻擊導致業務 |
| 網絡安全防護 | 企業網絡立體防護 防DDoS攻擊+防網絡病毒+攻擊入侵檢測 |
企業如何確保公司網絡不遭受病毒、木馬等惡意攻擊,保障業務正常運行 | |
| 服務器安全防護 | 四級防護,保障服務器安全;網絡防護+攻擊分析預警+主機防護+主機漏洞管理 | 企業服務器如何進行整體防護,避免因重要資源服務器被攻擊導致業務中斷 | |
| 應用安全防護 | WEB防攻擊:DDoS攻擊流量清洗+安全分區+頁面防篡改; Email安全防護:郵件安全網關保障企業郵件安全 |
保障web應用、E-mail應用的安全可靠,防止web應用被攻擊,被篡改;防止郵件網關遭受攻擊,進行垃圾郵件過濾,防止郵件釣魚。 | |
| 防IT特權濫用 | 防系統越權操作 | 通過UMA實現統一認證、統一授權、統一審計,防止IT運維人員或業務管理人員越權操作 | 避免IT運維人員或業務管理人通過自身IT權限訪問核心業務系統,竊取機要信息。 |
| 防數據越權訪問 | 虛擬機數據加密存儲 文檔加密存儲 |
||
| 安全管理 | 安全策略管理 | 安全策略集中配置,批量下發,可視化操作 | 企業如何進行安全策略的統一管理,如何對企業信息安全事件進行分析、預警、審計等;同時保證企業IT系統遵從外部信息安全法律法規和標准、滿足行業的監管與要求。 |
| 安全運營管理 | 提供安全事件分析、安全風險預警功能、安全運維管理功能 | ||
| 安全合規審計 | 記錄操作過程,快速定位安全故障; 為第三方審計機構提供審計報表和原始數據 |
解決方案優勢
靈活的認證授權管理,支持泛終端、多認證方式,滿足企業不同辦公場景
- 認證方式靈活,支持多終端、多認證方式(MAC認證、802.1x認證、Portal認證、SACG網關認證),用戶無需關注接入終端類型,方便網絡部署。
- 支持主流的外部認證平台進行聯動認證,如AD、LDAP、USBKEY+數字證書等。
嚴密可靠的數據安全保護,確保信息資產不丟失
- 強大的動態加解密技術,為文檔提供更高安全性;動態文檔權限管理,持久保護文檔安全。
- 超過6500萬URL/130種分類/13種語言,1200種應用/含300種移動應用的應用識別能力,助力員工高效辦公、高速上網。
- 以檢出率最高,檢測最全面,web信譽領先的多重威脅防護體系,確保員工上網安全。
- 以及基於環境感知的網絡接入控制,帶給客戶最簡單,安全性高,無縫的接入體驗;並根據策略阻止或是能應用的上傳,下載;伴隨注銷時的臨時文件和數據的無痕化擦除,減少數據泄密的風險。
企業全網保護,性能無憂
- 全面檢查終端健康狀態,一鍵式自動修補策略漏、補丁下載安裝,多種手段保證終端數據安全,包括外設接口管理控制、終端非法外聯控制、USB存儲設備加密、移動終端數據加密及遠程擦除等。
- 業界領先防DDoS攻擊方案,有效檢測流量型、應用型攻擊;支持IPV6攻擊防御;業界第一的攻擊響應速度,秒級檢測、秒級清洗;提供50萬小時無故障運營保障,99.9999%可靠性,保證企業應用持久運行。
- 業界領先的URL過濾,6500萬URL分類特征庫以及實時9000萬域名監控,高達96%的精准識別率;全面精准病毒查殺能力,可檢測700多萬種病毒,防御各種木馬,蠕蟲,惡意腳本等的威脅攻擊,保障企業網絡安全。
- 四層防護全面高效保障服務器安全:網絡防御+主機防護(主機防火牆、主機防病毒、主機IPS)+主機漏洞管理(漏洞掃描、配置核查、補丁更新)。
統一認證,統一授權,統一審計,避免企業IT特權濫用
- 統一運維入口、賬號集中管理、權限嚴格控制,定期審計,防止IT運維或業務管理人員濫用IT特權。
- 支持字符終端,圖形終端,數據庫,應用終端,文件傳輸以及KVM運維方式,幾乎涵蓋了所有的運維方式,完全滿足數據中心運維管理的需要。
業界領先的日志采集,事件智能分析,統一安全策略管理,提升安全運營管理效率
- 安全管理統一安全策略管理,安全策略集中配置,批量下發,操作簡單高效,支持可視化運維診斷。
- 采用業界領先的並行處理技術實現海量日志數據的即時高效采集和分析。
- 強大關聯分析引擎支持日志事件智能分析,實現安全事故預警及事后分析。
解決方案涉及產品
| 維度 | 子安全解決方案 | 相關產品 |
|---|---|---|
| 身份認證與授權 | 內網接入認證 | TSM(終端安全管理系統); 外部認證源(Windows AD、Novell ED、IBM Tivoli、Sun One、JIT Galaxy、標准CSP接口的USBKEY); USG2000/5000(SACG設備); 標准802.1X交換機(標准802.1X); 華為NAC交換機(擴展的802.1X、Portal認證); |
| 外網接入認證 | SVN2000/5000(SSL VPN網關); 移動安全客戶端(支持IOS、Android、Windows mobile、Blackberry操作系統); MDM(管理平台); |
|
| 運維管理認證 | UMA(堡壘主機,運維操作審計); | |
| 內網上網認證 | ASG(上網行為審計); | |
| 防泄密 | 終端 (控制/加密) | TSM(終端安全管理); MDM(管理平台); |
| 網絡(訪問控制/防外發/防竊聽) | USG2100/2200/5500(統一安全網關); ASG(上網行為管理); DLP(數據泄露防護); SVN2000/5000(移動辦公接入網關); |
|
| 服務器(智慧隔離/加密) | USG2100/2200/5500(統一安全網關); SVN2000/5000(移動辦公接入網關); VES(虛擬磁盤加密系統); |
|
| 數據權限管理 | DSM(文檔安全管理系統); 外部認證源(Windows AD、Novell ED、IBM Tivoli、Sun One、JIT Galaxy、標准CSP接口的USBKEY); OIC(文件信息管控中心); |
|
| 防攻擊 | 終端 | AV(防病毒軟件); HIPS(基於主機的入侵防御系統); HFW(主機防火牆); TSM(終端安全管理系統); |
| 網絡 | USG2100/2200/5500(統一安全網關); NIP 2000/5000(入侵檢測/防護系統); AMS1000/8000(抗DDoS攻擊防護); SVN2000/5000(SSL VPN網關); ASG(上網行為管理); AVE(防病毒網關); |
|
| 服務器 | AV(服務器殺毒軟件) NIP 2000/5000(入侵檢測/防護系統); 漏掃(專業的漏洞掃描工具); |
|
| 應用-Email 應用-WEB |
IMSA(趨勢WEB安全網關產品) NIP 2000/5000(入侵檢測/防護系統); WAF/防篡改(應用安全網關) |
|
| 防IT特權濫用 | 防系統越權操作 | USG2100/2200/5500(統一安全網關); UMA(華為統一運維管理與審計平台); NIP 2000/5000(入侵檢測/防護系統); SVN2000/5000(SSL VPN網關); |
| 防數據越權訪問 | UMA-DB(UMA數據庫審計系統); | |
| 安全管理 | 安全策略管理 | VSM(統一安全網管系統); |
| 安全運營管理 | iSOC(統一安全管控中心); 漏掃(專業的漏洞掃描工具); 加固(專業加固產品); |
|
| 安全合規審計 | iSOC(統一安全管控中心); eLog(日志管理系統); UMA(華為統一運維管理與審計平台); UMA-DB(UMA數據庫審計系統); |
某汽車制造商內網終端安全解決方案:
某汽車制造商內網終端安全解決方案
某汽車制造商內網安全的挑戰
某汽車制造上園區的網絡規格龐大,接入終端分散,且訪客和不安全終端隨意接入問題比較突出終端數較多,防病毒和補丁防護措施實施困難,外設端口無法統一管理導致公司涉密信息外泄,辦公行為也無法統一監管。
解決方案
部署華為TSM終端安全管理系統,通過在網絡層部署專業安全接入控制網關,實現基於AD域帳號的身份認證和網絡訪問權限控制,保證企業內部每個終端的安全性和權限合理控制,保障企業終端、網絡、核心資源的安全。
客戶收益
解決了復雜環境下的內網准入控制問題,確保入網終端滿足企業要求,降低信息泄密和病感染病毒的風險,提升辦公效率,保證IT管理制度遵從性。
項目建設快,**少,維護簡單,同時可以大大降低企業后期運營維護成本。
某酒業集團分支與總部互聯安全解決方案:
某酒業集團VPN互聯項目
某酒業集團分支與總部互聯的安全挑戰
某酒業集團日益發展擴大,辦事處、分支機構、出差員工以及商業合作伙伴逐步增多,如何將這些小型的辦公網絡、移動辦公員工和集團總部網絡進行經濟靈活而有效的互聯,並且與整個企業網絡安全方案有機融合,提高企業信息化程度,優化商業運作效率,成為企業 IT 網絡建設亟待解決的問題。
解決方案
根據客戶的建設需求,首先在集團總部部署USG5500系列萬兆UTM防火牆,為集團總部提供全面的UTM防護功能,並作為各分支機構互聯的核心節點。
其次,在人員較多的分支辦事處部署USG2200系列千兆UTM防火牆,為各個分支機構提供全面的UTM防護功能,並且每個分支機構與總部的USG5500產品建立IPsec VPN互聯,為分支和總部的數據傳輸提供安全加密保障。
最后在總部部署專業的SSL VPN設備SVN產品,為移動辦公用戶靈活的接入集團總部,訪問總部資源提供安全的VPN保障。
客戶收益
為某酒業集團客戶構建了一整套在不安全的 Internet 之上建立廉價、安全、私有的企業VPN 網絡,實現分支辦事處、移動辦公員工與集團總部安全的互聯互通,避免了客戶構建付費專網所需要的昂貴費用 。
某大型互聯網企業Anti-DDoS安全解決方案:
某大型互聯網企業面臨網絡攻擊的安全挑戰
經常會面臨超過40G的DDoS攻擊流量,包括多種DNS flood在內的應用層攻擊 ,攻擊手段多樣化,攻擊的持續時間長,嚴重干擾了業務的正常運行;
企業的IDC遍布全球,需要多點部署,統一防護 ;
解決方案
出口旁掛DDoS防護網關,40G防護能力,100+種DDoS攻擊防護
多級部署,集中管理
客戶收益
來自客戶的聲音:“貴公司設備在IDC攻擊防護過程中,各項指標正常,成功防護持續不斷的DNS FLOOD攻擊,保證業務始終平穩運行,無一單用戶投訴 ”。