华为立体安全防护方案

产品与方案

立体安全防护考虑到了信息安全防范的多个层次以及各个方面,是一个完善的解决方案。

信息系统在提高工作效率、辅助决策、优化管理的同时,也带来了众多的信息安全风险,比如: 黑客的入侵和犯罪、病毒木马的泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、DDoS攻击的巨大危害、内部人员的违规和违法操作、用户上网行为的管理和控制、移动存储介质带来的信息泄密、网络与主机系统、服务的脆弱和瘫痪,信息产品的管理和失控等等。这些风险时刻威胁着各项业务的正常运转。一旦风险失控,将可能带来无法估量的重大损失。

针对上述种种安全隐患,同时为了降低各种信息安全风险,保障业务的连续性,将损失尽可能降到最低点,基于信息安全的“保密性”、“可用性”和“完整性”原则,华为推出了融“慧”贯通的立体安全防护体系,为客户业务保驾护航,目前在各行各业的信息化领域得到了广泛的成功应用。

“融”: 融合网络和内容安全

“融”是指融合网络安全和内容安全,包括Web安全、邮件安全、应用与通信过程的安全及安全管理平台。它是方案的全貌。

从入口方向,方案要做的是: 抑制恶意代码通过Web应用传播,阻止病毒通过Web下载传播,对所有的请求进行数据安全性验证; 抑制垃圾邮件传播、抑制病毒或恶意代码通过邮件传播,同时对邮件服务系统进行加固;阻止利用网站应用漏洞使用SQL注入或跨站攻击等方式获得系统或数据库管理员权限,保护网站Web应用安全;评估与防护系统漏洞、防止DDoS攻击。

在出口方向,方案要做的是: 提供主动危害防护,对恶意内容过滤,控制内容访问; 对邮件进行加密,避免信息泄漏,建立邮件审计机制,对用户恶意行为有追述能力,过滤邮件中的恶意内容; 基于应用和操作识别,控制访问过程和数据传播过程。

俗话说: “三分技术,七分管理”。优秀的产品与技术需要优秀的管理平台支撑,否则只是一盘散沙,无法发挥应有的作用。在华为立体安全防护解决方案中,整个安全体系由统一的安全管理平台VSM管理,对网络中的路由器、交换机、防火墙、入侵检测系统、VPN、Secospace等网络及安全产品进行统一的集中管理与监控,保证各个产品的正常运行与协同工作,使安全管理真正落到实处,真正体现立体安全防护体系的威力,减少管理环节,提高管理效率,降低管理运维成本。

“慧”: 构建主动安全架构

“慧”指的是主动安全架构。

安全是动态变化的,安全防护产品及技术体系必须时刻研究变化发展的安全趋势,适应新的安全形势。为此,华为提出了业界领先的主动安全架构(Proactive Security Frame)模型,它是华为针对未来安全的发展趋势,运用华为立体安全防护的理念提出的主动安全解决方案的集合,该方案针对网络模型中各层威胁的特点,提供应用和内容的双向安全管理与防护。借助华为分布于全球的IP信誉评估系统,它能够提供及时主动的、实时的在线安全。

为了保证能及时了解变化发展的安全形势,华为专门成立了近200人的安全专家团队。这是国内最大的安全技术预研小组,专注于对网络安全基础及前沿技术进行深入分析研究,并进行协议分析、防病毒、反垃圾邮件、网络攻防技术的研究和相关知识库的积累。这些能力和积累是华为提供优质安全产品、解决方案和服务的最有力的支撑。

“贯”: 建立纵深安全防御体系

“贯”是指建立纵深安全防御体系,实现“进不来”、“看不了”、“拿不走”、“打不开”、“跑不掉”的安全目标,保证信息资源的安全,保持业务的连续性。

在总部与分支机构、移动用户、合作伙伴等的数据传输上,通过IPSec/SSL VPN 实现信息的加密安全传输,防止被黑客非法窃听;

在网络层,通过防火墙、UTM综合安全网关堵截网络威胁,通过连接控制、认证、授权技术对访问者进行认证授权,并为事后的追溯提供依据。

通过入侵检测系统对各类网络攻击、入侵行为进行检测响应,及时报警通知管理员采取适当的防护措施,同时可与防火墙、UTM设备进行联动,及时阻断入侵行为的继续进行,保证内部网络及业务的安全性。

Web网关具备防恶意软件能力,对Web应用程序进行控制,通过Web过滤、SSL流量检测、内容检查和防信息泄漏等技术,保证Web应用安全。

邮件安全网关提供反垃圾邮件、防病毒、内容检测、加密以及信侵检测等功能。

所有的安全功能,均由华为的安全知识库体系提供有力的技术支撑。

Secospace内网终端安全管理系统对内网及终端用户进行保护及控制,可以与已有的用户认证系统结合,非法用户将被阻止接入网络,合法用户认证通过后,需经过安全检查确认该终端的安全性之后方可授权访问权限内的资源; 同时能够规范员工行为,管理和审计终端的各种行为举动,监测控制非法外联、非法存储介质的使用,防止机密资料的外泄,对安全状态进行连续监控,实现不间断防护。

Secospace文档安全管理系统可以为机密文档加强保护,保证文档的权限不会扩散,即使不慎丢失或者被黑客、间谍窃取也无法使用,防止泄密。

日志审计、流量分析解决方案可以为管理员了解网络及业务运行情况提供有力的数据支持,便于管理员提出信息化优化方案,进一步促进业务的发展; 在安全事件发生后,可以为事后追踪取证提供依据,防止抵赖。

“通”: 时刻保持网络的畅通

“通”是指保证网络出口不受DDoS攻击的影响,时刻保持网络的畅通,保证业务的可用性。

华为防DDoS攻击技术通过对攻击指纹信息的匹配与学习,采用线速的深度报文检测技术,可以有效抵御各种类型DDoS的攻击,阻断僵尸网络的传播与控制途径。

华为防DDoS方案提供10G接口以及20G的流量清洗能力。该方案不仅支持流量型攻击检测和清洗,同时还支持小流量应用层的攻击检测和清洗,如http get及CC攻击; 同时开放接口设计,可轻松地与统一网关平台进行对接,为客户提供安全灵活的组网部署方案。

融“慧”贯通的华为立体安全防护解决方案考虑到了信息安全防范的多个层次和各个方面,是一个完善的立体安全防护解决方案,在国内外各行各业得到了广泛应用,如乌兰察布盟电子政务、昆明市政府电子政务、云南红河州电子政务、北京海淀区政府、贵阳市公安局、华北电网、辽宁电力、河北电力、兴业银行、工银瑞信基金管理有限公司、石家庄陆军指挥学院、东南汽车、鞍钢集团、内蒙古神舟硅业等等,都已成功应用了华为立体安全防护解决方案,保护其业务的安全性与连续性。华为期望能够为更多客户提供更多优秀的安全产品与解决方案,希望能与更多的客户合作,携手构建安全可信网络,缔造和谐信息世界。

图注:华为立体安全防护解决方案示意图