華為大企業資訊保安解決方案簡介

caixingyun發表於2016-05-26

from:http://support.huawei.com/ecommunity/bbs/10151893.html

華為大企業資訊保安解決方案主要面向大企業客戶,立足於企業資訊保安的主要痛點,詮釋了企業資訊保安該如何建設的真諦。該安全解決方案以精細化的的資料安全保護,保障商業機密資訊的安全交換;以精準主動的威脅防禦,保障企業業務運營的連續性;以防IT特權濫用,從內部瓦解潛在威脅,避免濫用許可權造成資訊洩密;以通過安全策略分發和安全態勢分析的安全管理,精細化的安全審計,讓違規行為無處藏身,通過合規遵從性檢查避免企業遭受外部法律風險,滿足行業要求。通過大企業資訊保安解決方案的詮釋,華為希望同客戶一起完善企業資訊保安體系的建設,有效地保障企業業務可持續性的健康發展,幫助企業避免因資訊保安事件導致經濟損失,避免企業核心競爭力的減弱,避免連鎖化的反應導致市場份額的減少。

大企業資訊保安解決方案概述

由於入侵、破壞企業資訊系統的事件每天都在發生,加上人們對Internet危險性的認知不斷加強,人們對資訊保安的需求前所未有地高漲起來。對於大多數高階企業主管而言,已經認識到安全問題已不再遙不可及。安全風險會大大降低公司的市場價值,甚至威脅企業的生存。即使很小的風險也能將公司的名譽、客戶的隱私資訊和智慧財產權等置於危險之中。


在這樣的環境中,企業如何才能有效地解決這些問題呢?值得高興的是,華為提供了一套行之有效的資訊保安解決方案幫助企業建立安全靈活的基礎設施,保護極其複雜的應用程式和資源,並通過系統的安全管理策略,計劃規程,實施及監督程式等來保護企業的核心業務。




大企業資訊保安體系

華為公司的IT實踐表明,資訊保安不是簡單的產品堆砌,安全實際上是企業管理和技術的綜合性問題,只有分階段性建立科學完善的資訊保安管理體系,並在這個管理體系的指導下,構築符合企業自身需要的資訊保安技術架構,從管理和技術兩個維度才能保證企業IT基礎設施的安全,保證企業資訊資產的安全。


下圖為:華為資訊保安解決方案為企業客戶構築的企業資訊保安體系圖。


企業資訊保安體系全景圖


資訊保安管理體系包括安全組織框架,安全政策框架,安全運作框架和安全能力管理框架。


安全管理的核心是安全組織,包括決策層,管理層和執行層,有明確的責權定義。安全組織的主要職責是制定企業資訊保安的行政政策和技術策略,標準,指導以及基線,所有企業資訊保安相關活動都需要在安全政策的規定下進行。


安全策略指導資訊保安管理與業務和流程的有機結合,明確資訊保安建設的方向和策略。


安全運作包含流程、人、技術,能夠保證安全落到實處,並且是逐漸閉環優化的。安全能力是評估企業進行資訊保安建設的能力框架,包括評估、度量、知識庫等,通過對安全工程管理的方式,將系統安全工程轉變為一個具有良好定義的、成熟的、可測量的資訊保安工程。


安全技術框架

資訊保安技術架構為企業資訊保安管理提供技術支撐,主要圍繞企業資訊保安的問題展開,包括:企業機密資訊防洩密,基礎設施防攻擊防入侵,IT許可權管控,安全管理以及合規審計等。另外,身份認證與授權為企業安全基礎設施,為防攻擊方案,防洩密方案,IT許可權管理,安全管理以合規審計及提供身份和授權服務,為企業業務發展保駕護航,保障企業商業交換的安全,構築企業核心競爭力。




大企業資訊保安解決方案組成

華為大企業資訊保安解決方案主要面向企業客戶,從資料防洩密,攻擊防護,避免IT特權濫用,安全管理及合規審計等四個維度,詮釋企業資訊保安建設的綱領,構築企業核心競爭力。


該安全解決方案著眼於拓寬企業使用者的視野,幫助客戶瞭解資訊保安建設真諦,解讀方案的技術實現,解決企業資訊保安訴求,是最貼近使用者安全訴求的企業資訊保安解決方案。


另外,華為大企業資訊保安解決方案以完備的企業資訊保安體系,詮釋著資訊保安該如何建設的真諦;以貫穿多安全維度的身份識別,讓偽裝者和違規者有跡可循,無路可逃;以精細化的資料安全保護,來保障商業機密資訊的安全交換;以精準主動的威脅防禦,來保障企業業務運營的連續性;以嚴密的防特權濫用,從內部瓦解潛在威脅,避免濫用許可權造成內部資訊洩密;以靈活可靠的安全管理,進行安全策略分發,安全事件審計和安全態勢分析,讓IT運維人員解放雙手,讓違規無處藏身,讓企業IT系統遵從外部資訊保安法律法規和標準、滿足行業的監管與要求。


下圖為華為大企業資訊保安解決方案技術框架圖:


大企業資訊保安技術框架圖


安全解決方案特點及價值

場景子解決方案子方案特點解決客戶問題
身份認證與授權內網接入認證針對不同安全級別和型別的辦公區域採取不同認證方式
高安全要求:802.1x+Mac認證
一般安全要求:Portal+Mac認證/SAGC方式
內部無線辦公要求:802.1x認證
訪客區域要求:portal認證		對接入企業內網的終端進行身份識別,避免非法終端和外來終端的隨意接入。
外網接入認證豐富的身份認證,廣泛的終端支援:提供本地認證/多種第三方認證/組合認證;
靈活的授權管理,細粒度的授權訪問:基於角色/資源關聯的授權方式,可同步外部組的授權;基於接入終端安全等級的動態授權訪問企業資源		對以移動方式或從分支機構接入企業內網的遠端終端或移動辦公終端進行身份識別,確保接入的終端可信和可靠。
運維管理認證統一運維入口,實現單點登入
統一身份、認證管理
統一嚴格授權管理		企業對內部運維人員訪問核心系統進行認證與授權,確保核心資源不會隨意被訪問,導致資訊被竊取。
內網上網認證多種認證機制,靈活選擇
免認證(特權使用者/外來人員);
手動認證(Web認證/終端認證);
自動認證(AD/TSM單點登入/網段認證);
本地賬號/第三方賬號認證(AD/LDAP/Radius/TSM)
基於使用者的精細許可權控制
網路應用/站點訪問/資訊外發/郵件等許可權控制。		對有內部上網行為的員工進行認證、授權以及監控,避免訪問與工作無關的網站,違規或攜帶病毒木馬的網站,導致企業內部網路被病毒入侵,同時提高工作效率。
防洩密企業資訊資產安全管理企業資訊資產統一管理
資訊資產集中管理,安全管控:資訊資產許可權管理、查閱管控、加密管控、追蹤管控等。		企業對所有資訊資產進行統一管理、安全管控,防止資訊洩密
網路資料安全防護三種手段確保企業網路資料安全:VPN方案保證網路傳輸安全、企業業務資料分割槽、關鍵資料外發管控(ASG)保障公司網路傳輸資料安全,不被黑客監聽和竊取、資訊資產不會被從內部外發,導致內部洩密
終端資訊保安管控埠管理+文件加密+終端漏洞修復保證企業終端資料安全;
通過沙箱技術保證BYOD終端資料安全		避免因通過終端拷貝,網路共享,感染病毒等途徑,導致機密資訊資產洩密;同時確保使用者通過移動裝置訪問公司資源時,與公司相關的資產資訊不會遺留到移動裝置,導致資訊洩密。
洩密事件審計終端、網路、IT運維各方面共同對洩密事件進行審計,全網追蹤溯源企業如何對所有洩密安全事件進行審計,追蹤溯源,界定責任
防攻擊終端安全防護終端准入控制;
一鍵式修復更新終端漏洞、補丁,保證終端安全可靠		企業如何確保終端安全,避免內部和外部惡意攻擊導致業務
網路安全防護企業網路立體防護
防DDoS攻擊+防網路病毒+攻擊入侵檢測		企業如何確保公司網路不遭受病毒、木馬等惡意攻擊,保障業務正常執行
伺服器安全防護四級防護,保障伺服器安全;網路防護+攻擊分析預警+主機防護+主機漏洞管理企業伺服器如何進行整體防護,避免因重要資源伺服器被攻擊導致業務中斷
應用安全防護WEB防攻擊:DDoS攻擊流量清洗+安全分割槽+頁面防篡改;
Email安全防護:郵件安全閘道器保障企業郵件安全		保障web應用、E-mail應用的安全可靠,防止web應用被攻擊,被篡改;防止郵件閘道器遭受攻擊,進行垃圾郵件過濾,防止郵件釣魚。
防IT特權濫用防系統越權操作通過UMA實現統一認證、統一授權、統一審計,防止IT運維人員或業務管理人員越權操作避免IT運維人員或業務管理人通過自身IT許可權訪問核心業務系統,竊取機要資訊。
防資料越權訪問虛擬機器資料加密儲存
文件加密儲存
安全管理安全策略管理安全策略集中配置,批量下發,視覺化操作企業如何進行安全策略的統一管理,如何對企業資訊保安事件進行分析、預警、審計等;同時保證企業IT系統遵從外部資訊保安法律法規和標準、滿足行業的監管與要求。
安全運營管理提供安全事件分析、安全風險預警功能、安全運維管理功能
安全合規審計記錄操作過程,快速定位安全故障;
為第三方審計機構提供審計報表和原始資料



解決方案優勢

靈活的認證授權管理,支援泛終端、多認證方式,滿足企業不同辦公場景

  • 認證方式靈活,支援多終端、多認證方式(MAC認證、802.1x認證、Portal認證、SACG閘道器認證),使用者無需關注接入終端型別,方便網路部署。
  • 支援主流的外部認證平臺進行聯動認證,如AD、LDAP、USBKEY+數字證書等。



嚴密可靠的資料安全保護,確保資訊資產不丟失

  • 強大的動態加解密技術,為文件提供更高安全性;動態文件許可權管理,持久保護文件安全。
  • 超過6500萬URL/130種分類/13種語言,1200種應用/含300種移動應用的應用識別能力,助力員工高效辦公、高速上網。
  • 以檢出率最高,檢測最全面,web信譽領先的多重威脅防護體系,確保員工上網安全。
  • 以及基於環境感知的網路接入控制,帶給客戶最簡單,安全性高,無縫的接入體驗;並根據策略阻止或是能應用的上傳,下載;伴隨登出時的臨時檔案和資料的無痕化擦除,減少資料洩密的風險。



企業全網保護,效能無憂

  • 全面檢查終端健康狀態,一鍵式自動修補策略漏、補丁下載安裝,多種手段保證終端資料安全,包括外設介面管理控制、終端非法外聯控制、USB儲存裝置加密、移動終端資料加密及遠端擦除等。
  • 業界領先防DDoS攻擊方案,有效檢測流量型、應用型攻擊;支援IPV6攻擊防禦;業界第一的攻擊響應速度,秒級檢測、秒級清洗;提供50萬小時無故障運營保障,99.9999%可靠性,保證企業應用持久執行。
  • 業界領先的URL過濾,6500萬URL分類特徵庫以及實時9000萬域名監控,高達96%的精準識別率;全面精準病毒查殺能力,可檢測700多萬種病毒,防禦各種木馬,蠕蟲,惡意指令碼等的威脅攻擊,保障企業網路安全。
  • 四層防護全面高效保障伺服器安全:網路防禦+主機防護(主機防火牆、主機防病毒、主機IPS)+主機漏洞管理(漏洞掃描、配置核查、補丁更新)。



統一認證,統一授權,統一審計,避免企業IT特權濫用

  • 統一運維入口、賬號集中管理、許可權嚴格控制,定期審計,防止IT運維或業務管理人員濫用IT特權。
  • 支援字元終端,圖形終端,資料庫,應用終端,檔案傳輸以及KVM運維方式,幾乎涵蓋了所有的運維方式,完全滿足資料中心運維管理的需要。



業界領先的日誌採集,事件智慧分析,統一安全策略管理,提升安全運營管理效率

  • 安全管理統一安全策略管理,安全策略集中配置,批量下發,操作簡單高效,支援視覺化運維診斷。
  • 採用業界領先的並行處理技術實現海量日誌資料的即時高效採集和分析。
  • 強大關聯分析引擎支援日誌事件智慧分析,實現安全事故預警及事後分析。



解決方案涉及產品

維度子安全解決方案相關產品
身份認證與授權內網接入認證TSM(終端安全管理系統);
外部認證源(Windows AD、Novell ED、IBM Tivoli、Sun One、JIT Galaxy、標準CSP介面的USBKEY);
USG2000/5000(SACG裝置);
標準802.1X交換機(標準802.1X);
華為NAC交換機(擴充套件的802.1X、Portal認證);
外網接入認證SVN2000/5000(SSL VPN閘道器);
移動安全客戶端(支援IOS、Android、Windows mobile、Blackberry作業系統);
MDM(管理平臺);
運維管理認證UMA(堡壘主機,運維操作審計);
內網上網認證ASG(上網行為審計);
防洩密終端 (控制/加密)TSM(終端安全管理);
MDM(管理平臺);
網路(訪問控制/防外發/防竊聽)USG2100/2200/5500(統一安全閘道器);
ASG(上網行為管理);
DLP(資料洩露防護);
SVN2000/5000(移動辦公接入閘道器);
伺服器(智慧隔離/加密)USG2100/2200/5500(統一安全閘道器);
SVN2000/5000(移動辦公接入閘道器);
VES(虛擬磁碟加密系統);
資料許可權管理DSM(文件安全管理系統);
外部認證源(Windows AD、Novell ED、IBM Tivoli、Sun One、JIT Galaxy、標準CSP介面的USBKEY);
OIC(檔案資訊管控中心);
防攻擊終端AV(防病毒軟體);
HIPS(基於主機的入侵防禦系統);
HFW(主機防火牆);
TSM(終端安全管理系統);
網路USG2100/2200/5500(統一安全閘道器);
NIP 2000/5000(入侵檢測/防護系統);
AMS1000/8000(抗DDoS攻擊防護);
SVN2000/5000(SSL VPN閘道器);
ASG(上網行為管理);
AVE(防病毒閘道器);
伺服器AV(伺服器防毒軟體)
NIP 2000/5000(入侵檢測/防護系統);
漏掃(專業的漏洞掃描工具);
應用-Email
應用-WEB		IMSA(趨勢WEB安全閘道器產品)
NIP 2000/5000(入侵檢測/防護系統);
WAF/防篡改(應用安全閘道器)
防IT特權濫用防系統越權操作USG2100/2200/5500(統一安全閘道器);
UMA(華為統一運維管理與審計平臺);
NIP 2000/5000(入侵檢測/防護系統);
SVN2000/5000(SSL VPN閘道器);
防資料越權訪問UMA-DB(UMA資料庫審計系統);
安全管理安全策略管理VSM(統一安全網管系統);
安全運營管理iSOC(統一安全管控中心);
漏掃(專業的漏洞掃描工具);
加固(專業加固產品);
安全合規審計iSOC(統一安全管控中心);
eLog(日誌管理系統);
UMA(華為統一運維管理與審計平臺);
UMA-DB(UMA資料庫審計系統);

某汽車製造商內網終端安全解決方案:

某汽車製造商內網終端安全解決方案


某汽車製造商內網安全的挑戰

某汽車製造上園區的網路規格龐大,接入終端分散,且訪客和不安全終端隨意接入問題比較突出終端數較多,防病毒和補丁防護措施實施困難,外設埠無法統一管理導致公司涉密資訊外洩,辦公行為也無法統一監管。


解決方案

部署華為TSM終端安全管理系統,通過在網路層部署專業安全接入控制閘道器,實現基於AD域帳號的身份認證和網路訪問許可權控制,保證企業內部每個終端的安全性和許可權合理控制,保障企業終端、網路、核心資源的安全。


客戶收益

解決了複雜環境下的內網准入控制問題,確保入網終端滿足企業要求,降低資訊洩密和病感染病毒的風險,提升辦公效率,保證IT管理制度遵從性。


專案建設快,**少,維護簡單,同時可以大大降低企業後期運營維護成本。




某酒業集團分支與總部互聯安全解決方案:

某酒業集團VPN互聯專案


某酒業集團分支與總部互聯的安全挑戰

某酒業集團日益發展擴大,辦事處、分支機構、出差員工以及商業合作伙伴逐步增多,如何將這些小型的辦公網路、移動辦公員工和集團總部網路進行經濟靈活而有效的互聯,並且與整個企業網路安全方案有機融合,提高企業資訊化程度,優化商業運作效率,成為企業 IT 網路建設亟待解決的問題。


解決方案

根據客戶的建設需求,首先在集團總部部署USG5500系列萬兆UTM防火牆,為集團總部提供全面的UTM防護功能,並作為各分支機構互聯的核心節點。


其次,在人員較多的分支辦事處部署USG2200系列千兆UTM防火牆,為各個分支機構提供全面的UTM防護功能,並且每個分支機構與總部的USG5500產品建立IPsec VPN互聯,為分支和總部的資料傳輸提供安全加密保障。


最後在總部部署專業的SSL VPN裝置SVN產品,為移動辦公使用者靈活的接入集團總部,訪問總部資源提供安全的VPN保障。


客戶收益

為某酒業集團客戶構建了一整套在不安全的 Internet 之上建立廉價、安全、私有的企業VPN 網路,實現分支辦事處、移動辦公員工與集團總部安全的互聯互通,避免了客戶構建付費專網所需要的昂貴費用 。




某大型網際網路企業Anti-DDoS安全解決方案:

某大型網際網路企業面臨網路攻擊的安全挑戰

經常會面臨超過40G的DDoS攻擊流量,包括多種DNS flood在內的應用層攻擊 ,攻擊手段多樣化,攻擊的持續時間長,嚴重干擾了業務的正常執行;


企業的IDC遍佈全球,需要多點部署,統一防護 ;


解決方案

出口旁掛DDoS防護閘道器,40G防護能力,100+種DDoS攻擊防護


多級部署,集中管理


客戶收益

來自客戶的聲音:“貴公司裝置在IDC攻擊防護過程中,各項指標正常,成功防護持續不斷的DNS FLOOD攻擊,保證業務始終平穩執行,無一單使用者投訴 ”。


相關文章