HNC2014_企业信息安全_华为运营商安全方案_易建超

华为运营商安全解决方案易建超华为企业网络产品线产品总监运营商安全所面临的挑战及投资驱劢力降低设备运行故障时间抵御显著增加的垃圾邮件内容抵御显著产生的安全攻击威胁提高抵御未知威胁能力保护客户数据防止窃取适应显著上升的骨干网络流量适应移劢网络流量增长趋势数据中心升级扩容基于云的安全解决方案诉求增加新的收入来源保证原有服务的持续竞争力威胁防护隐私保护网络发展增加收益安全威胁增多用户隐私泄露网络不断演进盈利能力有限面向大数据流量的下一代安全SolutionSolutionAbilityAbilityTopicTopic数据中心安全数据中心安全管道安全管道安全IT信息安全IT信息安全安全运营安全运营FBBMBBLTECGNAntiDDoSFBBMBBLTECGNAntiDDoS身份安全数据安全虚拟化安全网络与边界安全身份安全数据安全虚拟化安全网络与边界安全防攻击防泄密防特权防攻击防泄密防特权安全增值安全增值华为安全能力和愿景华为安全能力和愿景华为安全案例华为安全案例管道安全管道安全1111CleanPipeCleanPipe运营商当前网络威胁CloudCore&IGWMetro&CoreTerminal&AccessEnterpriseFinanceMetroNPEPEPEIP/MPLSCore2GBTS3GNodeB4GeNodeBBackhaulSGSNGGSNPSdomainEPCBSC/RNCIP/MPLSCoreInternetIDCIPTVIMSTrafficInterceptionPPBRASUnauthorizedAccessSCTPVulnerabilityDDoSAttackWorm,Trojan,VirusUntrustTrafficIPv4ExhaustionWorm,Trojan,VirusDDoSAttackWorm,Trojan,VirusIPv4Exhaustion管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营管道网络升级MBB管道安全华为“CleanPipe”管道安全方案FBB管道安全安全域隔离固网DDOS防护LTEIPSec加密SCTP安全防护移动网DDOS防护SGi安全防护CGN和日志溯源管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营华为运营商固定网络防护PE-AGGHGAccessNodeDSLAMBRASBRASHGNPEAccessInternetHead-endVoDServerTERMINALACCESSMETROCORE&IGWMetroPE-AGGNPEBusinessCorporateCPECLOUDGPONAccess•NAT44/NAT444•DS-Lite/NAT64/6RDIPv6MigrationAnti-DDoSAccessSec•Firewallforunauthorizedaccess•TCPFlood/UDPFlood•HTTPFlood•HTTPSDDoSCorePPISP-PEISP-PE管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营华为运营商移劢网络防护SGWIMSNon-TrustedDomainFirewallEPCTrustedDomainIPBackhaulNon-TrustedDomainIPTransportCoreInternetNMSSeGW•SCTPpacketsfloodingandSCTPstatechecking.SCTPSecSGiProtectionIPsec•Illegaldevicesaccess•Signalandusertrafficleakage•Intrusionfrominternetattack.•ExhaustionforlimitationpublicIPresource.管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营IPv6Evaluation华为华为CGNCGN解决方案解决方案20102014IPv6commercialInternetscaleIPv4address2016InitialingDevelopingDeveloped2012201420162016201620162014NetworkdevelopmentneedsIPv6NetworkdevelopmentneedsIPv6IPv4IPv4IPv4IPv4&&IPv6IPv6IPv6IPv6EvaluationofnetworkEvaluationofnetwork.•IPv4firewall•CarriergradeNAT•IPv4/IPv6Dual-stackFW•NAT444•IPv6DDoS•DS-Lite•IPv6IPS•NAT64IPv6internetIPv4internetv4v4v4v6v4v6v6v4v6v4v4v4v4华为运营商管道网络升级管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营数据中心安全数据中心安全2222安全是IDC客户最大的担忧云计算大潮已经到来，安全问题是阻碍云计算发展的最大障碍Gartner报告显示用户几个担忧都与安全有关！报告显示超过24小时的DDoS攻击，每次造成近80万美金的损失管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营传统数据中心安全威胁管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营◆身份与安全管理帐号盗用，身仹仺冒，违规操作，权限滥用◆应用与数据安全SQL注入、跨站等针对应用层的攻击已经成为安全最大的威胁。破坏数据的机密性、完整性和可用性。◆系统与主机威胁病毒蠕虫等将占用系统资源、破坏文件和数据。恶意用户也会利用本地漏洞和配置错误来获取额外权限。◆网络与边界安全针对网络层的攻击，如拒绝服务、漏洞扫描等。密码破解密码破解权限滥用权限滥用盗号盗号违规操作违规操作SQL注入SQL注入跨站攻击跨站攻击数据泄露数据泄露蠕虫蠕虫病毒病毒僵尸网络僵尸网络漏洞扫描漏洞扫描木马木马拒绝服务拒绝服务CC攻击CC攻击安全威胁云IDC环境下还存在新的威胁管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营资源池层虚拟化平台物理设备服务器存储网络应用系统办公应用管理应用业务应用PORTAL基础软件数据库应用中间件操作系统◆身份与安全管理应用系统和资源所有权的分离，导致云平台管理员可能访问用户数据◆应用与数据安全不同安全需求的租户可能运行在同一台物理机上，传统安全措施难以处理◆系统与虚拟化安全虚拟化平台运行在操作系统与物理设备之间，其设计和实现中存在漏洞风险◆网络与边界安全网络边界的模糊化，威胁种类的变化以及大流量的DDoS攻击除传统威胁外，虚拟化、多租户和特权用户问题使得云IDC面临更大风险！全方位层次化的数据中心安全方案管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营办公Internet生产边界安全防护通过业务感知实现IDC业务可视化通过FW/Anti-DDoS防御外界攻击通过IPSec/SSLVPN提供安全接入边界安全防护通过业务感知实现IDC业务可视化通过FW/Anti-DDoS防御外界攻击通过IPSec/SSLVPN提供安全接入虚拟层安全防护通过虚拟化平台确保VM资源隔离通过安全虚拟机实现VM流量的安全管理及防护虚拟层安全防护通过虚拟化平台确保VM资源隔离通过安全虚拟机实现VM流量的安全管理及防护内网深度防御通过vFW实现多租户安全通过IPS对流量深度防御内网深度防御通过vFW实现多租户安全通过IPS对流量深度防御DC出口DMZDC核心网络Managementzone2~7层深度防护层次化安全部署2~7层深度防护层次化安全部署通过对边界、内网、虚拟层的层次化深度防护，实现对数据中心网络的全方位保护及统一安全管理。通过对边界、内网、虚拟层的层次化深度防护，实现对数据中心网络的全方位保护及统一安全管理。通过对边界、内网、虚拟层的层次化深度防护，实现对数据中心网络的全方位保护及统一安全管理。通过对边界、内网、虚拟层的层次化深度防护，实现对数据中心网络的全方位保护及统一安全管理。防火墙IPS/IDSAnti-DDoSSIG业务感知IPSec/SSLVPNAnti-virus安全管理IT信息安全IT信息安全3333企业信息化面临的安全挑战内部泄密企业技术方案、代码、市场运作、财务数据、公司策略等机密资料越来越有有价值内部员工可能会将机密信息转移出去，销售给竞争对手泄密手段多样化，如终端拷贝、打印，邮件、web网络等IT特权滥用IT运维人员可以接触公司的各种机密数据，泄密更容易企业管理人员IT特权滥用，导致机密资料有意或无意泄露恶意攻击攻击终端：通过网络攻击在终端置入木马，窃取机密信息攻击服务器：通过攻击服务器获取权限，窃取信息数据攻击网络和服务：造成网络不畅，甚至网络瘫痪安全管理网络设备多，安全事件独立，无法端到端分析安全事件当安全事件发生时，如何快速定位解决并分析回溯安全策略如何集中快速部署管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营完善的信息安全体系指导企业信息安全建设安全技术框架安全技术框架安全政策框架安全治理Governance风险管理RiskManagement法规遵从Compliance风险评估风险控制审核和批准行业标准遵从检查遵从测试安全能力管理框架SSE过程安全度量体系安全过程评估安全知识管理安全运行管理框架防泄密防攻击防IT特权策略方针规定标准流程业务连续性培训事件管理配置管理变更管理安全组织框架信息安全管理委员会信息安全部信息中心安全管理部普通员工漏洞管理补丁管理事件管理日志管理配置管理用户管理安全设施运行管理安全管理外部信息安全顾问信息安全审计部门管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营安全管理安全管理————ITIT安全治理与合规安全治理与合规防特权防特权————权限滥用管控权限滥用管控防泄密防泄密————信息的安全信息的安全防攻击防攻击————基础设施保护基础设施保护终端AV/HIPS/HFWTSM服务器AV/IPS漏扫网络USG/NIP/Anti-DDoS/SVN/ASG/AVG应用-WEBWAF/防篡改/NIP身身份份认认证证与与授授权权终端（控制/加密）TSM/MDM策略管理VSM/xManager安全监控iSOC/漏扫/加固合规审计iSOC/eLog/UMA/UMA-DB防IT特权滥用ITOC（USG/UMA/IPS/SVN）外网接入认证SVN内网上网认证ASG运维管理认证UMA内网接入认证TSM/SACG基础认证组件PKI/SecureID/LDAP/USBkey应用-EmailIMSA/NIP网络（访问控制/防外发/防窃听）USG/ASG/DLP/SVN服务器（智慧隔离/加密）USG/SVN/VES数据权限管理DSM/OIC防数据库特权滥用UMA-DB信息安全技术框架管道安全管道安全数据中心安全数据中心安全IT信息安全IT信息安全安全运营安全运营安全运营安全运营4444安全运营将成为运营商收入的一个增长点MSS（可管理安全服务）：以SOC平台为基础、安全技术服务体系为核心，从远端的安全运营中心管理、监控企业的IT安全信息、资产和流程，面向信息资产的安全事件统一管理的服务缺乏专业的安全技术人员，网管、系统管理员难以完成安全管理工作；发生安全事件后无法及时发现；发现问题后没有能力处理，导致事件影响严重；发生事故后缺乏分析与总结，同类事件多次发生；安全问题安全状况的实时监控安全事件的及时知晓安全事故的迅速处理重要事件的分析溯源安全管理水平的提升安全态势的总结分析安全需求管理型安全服务安全事件监控安全