from:http://support.huawei.com/ecommunity/bbs/10151893.html
华为大企业信息安全解决方案主要面向大企业客户,立足于企业信息安全的主要痛点,诠释了企业信息安全该如何建设的真谛。该安全解决方案以精细化的的数据安全保护,保障商业机密信息的安全交换;以精准主动的威胁防御,保障企业业务运营的连续性;以防IT特权滥用,从内部瓦解潜在威胁,避免滥用权限造成信息泄密;以通过安全策略分发和安全态势分析的安全管理,精细化的安全审计,让违规行为无处藏身,通过合规遵从性检查避免企业遭受外部法律风险,满足行业要求。通过大企业信息安全解决方案的诠释,华为希望同客户一起完善企业信息安全体系的建设,有效地保障企业业务可持续性的健康发展,帮助企业避免因信息安全事件导致经济损失,避免企业核心竞争力的减弱,避免连锁化的反应导致市场份额的减少。
大企业信息安全解决方案概述
由于入侵、破坏企业信息系统的事件每天都在发生,加上人们对Internet危险性的认知不断加强,人们对信息安全的需求前所未有地高涨起来。对于大多数高级企业主管而言,已经认识到安全问题已不再遥不可及。安全风险会大大降低公司的市场价值,甚至威胁企业的生存。即使很小的风险也能将公司的名誉、客户的隐私信息和知识产权等置于危险之中。
在这样的环境中,企业如何才能有效地解决这些问题呢?值得高兴的是,华为提供了一套行之有效的信息安全解决方案帮助企业建立安全灵活的基础设施,保护极其复杂的应用程序和资源,并通过系统的安全管理策略,计划规程,实施及监督程序等来保护企业的核心业务。
大企业信息安全体系
华为公司的IT实践表明,信息安全不是简单的产品堆砌,安全实际上是企业管理和技术的综合性问题,只有分阶段性建立科学完善的信息安全管理体系,并在这个管理体系的指导下,构筑符合企业自身需要的信息安全技术架构,从管理和技术两个维度才能保证企业IT基础设施的安全,保证企业信息资产的安全。
下图为:华为信息安全解决方案为企业客户构筑的企业信息安全体系图。
企业信息安全体系全景图
信息安全管理体系包括安全组织框架,安全政策框架,安全运作框架和安全能力管理框架。
安全管理的核心是安全组织,包括决策层,管理层和执行层,有明确的责权定义。安全组织的主要职责是制定企业信息安全的行政政策和技术策略,标准,指导以及基线,所有企业信息安全相关活动都需要在安全政策的规定下进行。
安全策略指导信息安全管理与业务和流程的有机结合,明确信息安全建设的方向和策略。
安全运作包含流程、人、技术,能够保证安全落到实处,并且是逐渐闭环优化的。安全能力是评估企业进行信息安全建设的能力框架,包括评估、度量、知识库等,通过对安全工程管理的方式,将系统安全工程转变为一个具有良好定义的、成熟的、可测量的信息安全工程。
安全技术框架
信息安全技术架构为企业信息安全管理提供技术支撑,主要围绕企业信息安全的问题展开,包括:企业机密信息防泄密,基础设施防攻击防入侵,IT权限管控,安全管理以及合规审计等。另外,身份认证与授权为企业安全基础设施,为防攻击方案,防泄密方案,IT权限管理,安全管理以合规审计及提供身份和授权服务,为企业业务发展保驾护航,保障企业商业交换的安全,构筑企业核心竞争力。
大企业信息安全解决方案组成
华为大企业信息安全解决方案主要面向企业客户,从数据防泄密,攻击防护,避免IT特权滥用,安全管理及合规审计等四个维度,诠释企业信息安全建设的纲领,构筑企业核心竞争力。
该安全解决方案着眼于拓宽企业用户的视野,帮助客户了解信息安全建设真谛,解读方案的技术实现,解决企业信息安全诉求,是最贴近用户安全诉求的企业信息安全解决方案。
另外,华为大企业信息安全解决方案以完备的企业信息安全体系,诠释着信息安全该如何建设的真谛;以贯穿多安全维度的身份识别,让伪装者和违规者有迹可循,无路可逃;以精细化的数据安全保护,来保障商业机密信息的安全交换;以精准主动的威胁防御,来保障企业业务运营的连续性;以严密的防特权滥用,从内部瓦解潜在威胁,避免滥用权限造成内部信息泄密;以灵活可靠的安全管理,进行安全策略分发,安全事件审计和安全态势分析,让IT运维人员解放双手,让违规无处藏身,让企业IT系统遵从外部信息安全法律法规和标准、满足行业的监管与要求。
下图为华为大企业信息安全解决方案技术框架图:
大企业信息安全技术框架图
安全解决方案特点及价值
场景 | 子解决方案 | 子方案特点 | 解决客户问题 |
---|---|---|---|
身份认证与授权 | 内网接入认证 | 针对不同安全级别和类型的办公区域采取不同认证方式 高安全要求:802.1x+Mac认证 一般安全要求:Portal+Mac认证/SAGC方式 内部无线办公要求:802.1x认证 访客区域要求:portal认证 |
对接入企业内网的终端进行身份识别,避免非法终端和外来终端的随意接入。 |
外网接入认证 | 丰富的身份认证,广泛的终端支持:提供本地认证/多种第三方认证/组合认证; 灵活的授权管理,细粒度的授权访问:基于角色/资源关联的授权方式,可同步外部组的授权;基于接入终端安全等级的动态授权访问企业资源 |
对以移动方式或从分支机构接入企业内网的远程终端或移动办公终端进行身份识别,确保接入的终端可信和可靠。 | |
运维管理认证 | 统一运维入口,实现单点登录 统一身份、认证管理 统一严格授权管理 |
企业对内部运维人员访问核心系统进行认证与授权,确保核心资源不会随意被访问,导致信息被窃取。 | |
内网上网认证 | 多种认证机制,灵活选择 免认证(特权用户/外来人员); 手动认证(Web认证/终端认证); 自动认证(AD/TSM单点登录/网段认证); 本地账号/第三方账号认证(AD/LDAP/Radius/TSM) 基于用户的精细权限控制 网络应用/站点访问/信息外发/邮件等权限控制。 |
对有内部上网行为的员工进行认证、授权以及监控,避免访问与工作无关的网站,违规或携带病毒木马的网站,导致企业内部网络被病毒入侵,同时提高工作效率。 | |
防泄密 | 企业信息资产安全管理 | 企业信息资产统一管理 信息资产集中管理,安全管控:信息资产权限管理、查阅管控、加密管控、追踪管控等。 |
企业对所有信息资产进行统一管理、安全管控,防止信息泄密 |
网络数据安全防护 | 三种手段确保企业网络数据安全:VPN方案保证网络传输安全、企业业务数据分区、关键数据外发管控(ASG) | 保障公司网络传输数据安全,不被黑客监听和窃取、信息资产不会被从内部外发,导致内部泄密 | |
终端信息安全管控 | 端口管理+文档加密+终端漏洞修复保证企业终端数据安全; 通过沙箱技术保证BYOD终端数据安全 |
避免因通过终端拷贝,网络共享,感染病毒等途径,导致机密信息资产泄密;同时确保用户通过移动设备访问公司资源时,与公司相关的资产信息不会遗留到移动设备,导致信息泄密。 | |
泄密事件审计 | 终端、网络、IT运维各方面共同对泄密事件进行审计,全网追踪溯源 | 企业如何对所有泄密安全事件进行审计,追踪溯源,界定责任 | |
防攻击 | 终端安全防护 | 终端准入控制; 一键式修复更新终端漏洞、补丁,保证终端安全可靠 |
企业如何确保终端安全,避免内部和外部恶意攻击导致业务 |
网络安全防护 | 企业网络立体防护 防DDoS攻击+防网络病毒+攻击入侵检测 |
企业如何确保公司网络不遭受病毒、木马等恶意攻击,保障业务正常运行 | |
服务器安全防护 | 四级防护,保障服务器安全;网络防护+攻击分析预警+主机防护+主机漏洞管理 | 企业服务器如何进行整体防护,避免因重要资源服务器被攻击导致业务中断 | |
应用安全防护 | WEB防攻击:DDoS攻击流量清洗+安全分区+页面防篡改; Email安全防护:邮件安全网关保障企业邮件安全 |
保障web应用、E-mail应用的安全可靠,防止web应用被攻击,被篡改;防止邮件网关遭受攻击,进行垃圾邮件过滤,防止邮件钓鱼。 | |
防IT特权滥用 | 防系统越权操作 | 通过UMA实现统一认证、统一授权、统一审计,防止IT运维人员或业务管理人员越权操作 | 避免IT运维人员或业务管理人通过自身IT权限访问核心业务系统,窃取机要信息。 |
防数据越权访问 | 虚拟机数据加密存储 文档加密存储 |
||
安全管理 | 安全策略管理 | 安全策略集中配置,批量下发,可视化操作 | 企业如何进行安全策略的统一管理,如何对企业信息安全事件进行分析、预警、审计等;同时保证企业IT系统遵从外部信息安全法律法规和标准、满足行业的监管与要求。 |
安全运营管理 | 提供安全事件分析、安全风险预警功能、安全运维管理功能 | ||
安全合规审计 | 记录操作过程,快速定位安全故障; 为第三方审计机构提供审计报表和原始数据 |
解决方案优势
灵活的认证授权管理,支持泛终端、多认证方式,满足企业不同办公场景
- 认证方式灵活,支持多终端、多认证方式(MAC认证、802.1x认证、Portal认证、SACG网关认证),用户无需关注接入终端类型,方便网络部署。
- 支持主流的外部认证平台进行联动认证,如AD、LDAP、USBKEY+数字证书等。
严密可靠的数据安全保护,确保信息资产不丢失
- 强大的动态加解密技术,为文档提供更高安全性;动态文档权限管理,持久保护文档安全。
- 超过6500万URL/130种分类/13种语言,1200种应用/含300种移动应用的应用识别能力,助力员工高效办公、高速上网。
- 以检出率最高,检测最全面,web信誉领先的多重威胁防护体系,确保员工上网安全。
- 以及基于环境感知的网络接入控制,带给客户最简单,安全性高,无缝的接入体验;并根据策略阻止或是能应用的上传,下载;伴随注销时的临时文件和数据的无痕化擦除,减少数据泄密的风险。
企业全网保护,性能无忧
- 全面检查终端健康状态,一键式自动修补策略漏、补丁下载安装,多种手段保证终端数据安全,包括外设接口管理控制、终端非法外联控制、USB存储设备加密、移动终端数据加密及远程擦除等。
- 业界领先防DDoS攻击方案,有效检测流量型、应用型攻击;支持IPV6攻击防御;业界第一的攻击响应速度,秒级检测、秒级清洗;提供50万小时无故障运营保障,99.9999%可靠性,保证企业应用持久运行。
- 业界领先的URL过滤,6500万URL分类特征库以及实时9000万域名监控,高达96%的精准识别率;全面精准病毒查杀能力,可检测700多万种病毒,防御各种木马,蠕虫,恶意脚本等的威胁攻击,保障企业网络安全。
- 四层防护全面高效保障服务器安全:网络防御+主机防护(主机防火墙、主机防病毒、主机IPS)+主机漏洞管理(漏洞扫描、配置核查、补丁更新)。
统一认证,统一授权,统一审计,避免企业IT特权滥用
- 统一运维入口、账号集中管理、权限严格控制,定期审计,防止IT运维或业务管理人员滥用IT特权。
- 支持字符终端,图形终端,数据库,应用终端,文件传输以及KVM运维方式,几乎涵盖了所有的运维方式,完全满足数据中心运维管理的需要。
业界领先的日志采集,事件智能分析,统一安全策略管理,提升安全运营管理效率
- 安全管理统一安全策略管理,安全策略集中配置,批量下发,操作简单高效,支持可视化运维诊断。
- 采用业界领先的并行处理技术实现海量日志数据的即时高效采集和分析。
- 强大关联分析引擎支持日志事件智能分析,实现安全事故预警及事后分析。
解决方案涉及产品
维度 | 子安全解决方案 | 相关产品 |
---|---|---|
身份认证与授权 | 内网接入认证 | TSM(终端安全管理系统); 外部认证源(Windows AD、Novell ED、IBM Tivoli、Sun One、JIT Galaxy、标准CSP接口的USBKEY); USG2000/5000(SACG设备); 标准802.1X交换机(标准802.1X); 华为NAC交换机(扩展的802.1X、Portal认证); |
外网接入认证 | SVN2000/5000(SSL VPN网关); 移动安全客户端(支持IOS、Android、Windows mobile、Blackberry操作系统); MDM(管理平台); |
|
运维管理认证 | UMA(堡垒主机,运维操作审计); | |
内网上网认证 | ASG(上网行为审计); | |
防泄密 | 终端 (控制/加密) | TSM(终端安全管理); MDM(管理平台); |
网络(访问控制/防外发/防窃听) | USG2100/2200/5500(统一安全网关); ASG(上网行为管理); DLP(数据泄露防护); SVN2000/5000(移动办公接入网关); |
|
服务器(智慧隔离/加密) | USG2100/2200/5500(统一安全网关); SVN2000/5000(移动办公接入网关); VES(虚拟磁盘加密系统); |
|
数据权限管理 | DSM(文档安全管理系统); 外部认证源(Windows AD、Novell ED、IBM Tivoli、Sun One、JIT Galaxy、标准CSP接口的USBKEY); OIC(文件信息管控中心); |
|
防攻击 | 终端 | AV(防病毒软件); HIPS(基于主机的入侵防御系统); HFW(主机防火墙); TSM(终端安全管理系统); |
网络 | USG2100/2200/5500(统一安全网关); NIP 2000/5000(入侵检测/防护系统); AMS1000/8000(抗DDoS攻击防护); SVN2000/5000(SSL VPN网关); ASG(上网行为管理); AVE(防病毒网关); |
|
服务器 | AV(服务器杀毒软件) NIP 2000/5000(入侵检测/防护系统); 漏扫(专业的漏洞扫描工具); |
|
应用-Email 应用-WEB |
IMSA(趋势WEB安全网关产品) NIP 2000/5000(入侵检测/防护系统); WAF/防篡改(应用安全网关) |
|
防IT特权滥用 | 防系统越权操作 | USG2100/2200/5500(统一安全网关); UMA(华为统一运维管理与审计平台); NIP 2000/5000(入侵检测/防护系统); SVN2000/5000(SSL VPN网关); |
防数据越权访问 | UMA-DB(UMA数据库审计系统); | |
安全管理 | 安全策略管理 | VSM(统一安全网管系统); |
安全运营管理 | iSOC(统一安全管控中心); 漏扫(专业的漏洞扫描工具); 加固(专业加固产品); |
|
安全合规审计 | iSOC(统一安全管控中心); eLog(日志管理系统); UMA(华为统一运维管理与审计平台); UMA-DB(UMA数据库审计系统); |
某汽车制造商内网终端安全解决方案:
某汽车制造商内网终端安全解决方案
某汽车制造商内网安全的挑战
某汽车制造上园区的网络规格庞大,接入终端分散,且访客和不安全终端随意接入问题比较突出终端数较多,防病毒和补丁防护措施实施困难,外设端口无法统一管理导致公司涉密信息外泄,办公行为也无法统一监管。
解决方案
部署华为TSM终端安全管理系统,通过在网络层部署专业安全接入控制网关,实现基于AD域帐号的身份认证和网络访问权限控制,保证企业内部每个终端的安全性和权限合理控制,保障企业终端、网络、核心资源的安全。
客户收益
解决了复杂环境下的内网准入控制问题,确保入网终端满足企业要求,降低信息泄密和病感染病毒的风险,提升办公效率,保证IT管理制度遵从性。
项目建设快,**少,维护简单,同时可以大大降低企业后期运营维护成本。
某酒业集团分支与总部互联安全解决方案:
某酒业集团VPN互联项目
某酒业集团分支与总部互联的安全挑战
某酒业集团日益发展扩大,办事处、分支机构、出差员工以及商业合作伙伴逐步增多,如何将这些小型的办公网络、移动办公员工和集团总部网络进行经济灵活而有效的互联,并且与整个企业网络安全方案有机融合,提高企业信息化程度,优化商业运作效率,成为企业 IT 网络建设亟待解决的问题。
解决方案
根据客户的建设需求,首先在集团总部部署USG5500系列万兆UTM防火墙,为集团总部提供全面的UTM防护功能,并作为各分支机构互联的核心节点。
其次,在人员较多的分支办事处部署USG2200系列千兆UTM防火墙,为各个分支机构提供全面的UTM防护功能,并且每个分支机构与总部的USG5500产品建立IPsec VPN互联,为分支和总部的数据传输提供安全加密保障。
最后在总部部署专业的SSL VPN设备SVN产品,为移动办公用户灵活的接入集团总部,访问总部资源提供安全的VPN保障。
客户收益
为某酒业集团客户构建了一整套在不安全的 Internet 之上建立廉价、安全、私有的企业VPN 网络,实现分支办事处、移动办公员工与集团总部安全的互联互通,避免了客户构建付费专网所需要的昂贵费用 。
某大型互联网企业Anti-DDoS安全解决方案:
某大型互联网企业面临网络攻击的安全挑战
经常会面临超过40G的DDoS攻击流量,包括多种DNS flood在内的应用层攻击 ,攻击手段多样化,攻击的持续时间长,严重干扰了业务的正常运行;
企业的IDC遍布全球,需要多点部署,统一防护 ;
解决方案
出口旁挂DDoS防护网关,40G防护能力,100+种DDoS攻击防护
多级部署,集中管理
客户收益
来自客户的声音:“贵公司设备在IDC攻击防护过程中,各项指标正常,成功防护持续不断的DNS FLOOD攻击,保证业务始终平稳运行,无一单用户投诉 ”。