网银安全解决方案主打胶片

SecurityLevel:HUAWEITECHNOLOGIESCO.,LTD.体验、安全、可信—华为网银安全解决方案HUAWEITECHNOLOGIESCO.,LTD.1.网银业务趋势及风险分析2.华为网银安全解决方案3.华为安全产品及能力中心简介4.成功案例目录HUAWEITECHNOLOGIESCO.,LTD.信息服务类查询类交易类扩展业务类•银行基本信息发布、银行业务品种的介绍、银行储蓄网点、自动柜员机ATM网点和特约商户的分布情况•个人综合帐户余额查询、个人综合帐户交易历史查询•企业综合帐户余额查询、企业综合帐户交易历史查询、支票情况查询、企业受信额度查询、企业往来信用证查询•客户贷款帐户资料查询、汇兑状态查询、利率查询•网上转帐（即实现网上银行签约帐户之间的转帐）、网间转帐（即客户可将网上银行帐户的款项转入综合业务网络其它帐户）•代收和代付费业务（比如从活期或信用卡帐户代扣代缴日常水费、电费、煤气费、电话费和公用事业付费等）•个人小额抵押贷款、个人外汇买卖、企业外汇买卖、换兑等•企业银行服务、中间业务如证券交易、网上购物和网上支付、移动电子交易等，与CallCenter和CRM结合提供个性化金融服务网银当前业务介绍HUAWEITECHNOLOGIESCO.,LTD.网银业务发展趋势互联网和电子商务的发展给网银带来了新的挑战与机遇手机网银、移动支付和钓鱼网站的防护成为网银安全新的课题HUAWEITECHNOLOGIESCO.,LTD.RA注册认证中心WEB服务器应用服务器验签服务器网银前置及核心系统客户端通讯网络DB服务器网银WEB服务器网银应用服务器银行内网客户端安全风险网络安全风险未授权的访问控制拒绝服务攻击蠕虫、病毒、应用漏洞攻击数据泄漏和篡改链路与网路拥塞WEB应用安全风险主机安全风险内网边界风险客户信息窃取网银木马侵害访问钓鱼网站键盘窃听USBKey控制网页篡改敏感信息泄漏SQL注入攻击跨站脚本攻击主机资源大量消耗，服务无法正常响应营业柜台未授权的访问控制蠕虫、病毒、应用漏洞攻击运维PC内网边界风险未授权的访问控制蠕虫、病毒、应用漏洞攻击补丁和系统配置未跟踪导致安全漏洞安全管理风险安全事件未记录或不可追踪响应未及时处理导致运行风险网银面对的安全威胁与挑战HUAWEITECHNOLOGIESCO.,LTD.1.网银业务趋势及风险分析2.华为网银安全解决方案3.华为安全产品及能力中心简介4.成功案例目录HUAWEITECHNOLOGIESCO.,LTD.网银安全建设目标网银系统和数据的完整性、可用性、可追查性、保密性和抗抵赖性本地计算安全目标服务器可用性保障应用和数据的机密性、完整性内部与外部攻击行为审计管理员操作审计审计数据的保护补丁与系统加固跟踪与评估系统连续性和失效恢复保障系统边界安全目标物理与逻辑边界保护边界系统与网络可用性保障边界安全行为的可检测、审计与响应网络通信基础设施安全目标局域/广域网网络通信可用性保障网络上传输数据的机密性、完整性保护重要业务流量（如用户流量、网络设施控制流量）免受影响确保保护机制不会干扰骨干网和封闭网络的无缝操作支撑性基础设施安全目标密钥与证书的提供和识别入侵与违规事件的检测、分析、响应与报告机制端到端安全目标为远程用户提供安全的会话、并发与时间控制对用户从边界外发送和接收信息进行强身份认证和访问控制为密码提供生命周期保护接收方、发送者和攻击者信息可追查、防抵赖提供服务与资源，阻止非法用户访问用户隐私数据传输过程的防修改、防伪造HUAWEITECHNOLOGIESCO.,LTD.华为网银安全解决方案设计思路端到端的安全防护动态的安全闭环防护检测响应修复全生命周期的安全管理事前主动发现事后及时恢复全生命周期安全管理事中实时防护客户端安全网络安全系统安全应用安全合理的IT逻辑架构互联网外联隔离区生产应用区DMZ区运维管理区生产数据区内联隔离区核心系统区内联接入区HUAWEITECHNOLOGIESCO.,LTD.华为网银IT逻辑架构设计Page9应用/证书服务器DB/存储网银用户生产应用区运维管理区审计/监控/管理服务器/控制台核心系统区WEB服务器DMZ区核心业务系统生产数据区Internet内联接入区网络/安全/PC内联隔离区网络/安全外联隔离区网络/安全合理的网银IT逻辑架构是网银安全的前提和基本保证客户端木马防御方案：•客户信息窃取•网银木马侵害网络安全方案：•DDOS流量清洗•外网边界安全与访问控制•链路与广域网负载均衡网络安全方案：•内网边界安全与访问控制•入侵检测与防御网络安全解决方案：•内网边界安全与访问控制•入侵检测与防御安全管理方案：•日志收集•事件关联分析•统一运维审计系统安全方案：•主机漏洞扫扫描•系统加固WEB应用安全方案：•网页篡改防护•WEB应用攻击防护•数据传输安全•服务器负载均衡•WEB安全监测评估HUAWEITECHNOLOGIESCO.,LTD.客户端安全网络安全系统安全WEB应用安全华为网银安全解决方案整体框架•网页篡改防护•WEB应用攻击防护•服务器负载均衡•WEB安全监测评估•数据传输安全•主机漏洞扫描与加固•主机安全威胁及时感知•DDOS流量清洗•内外网边界安全与访问控制•入侵检测与防御•链路与广域网负载均衡•客户信息窃取•网银木马侵害HUAWEITECHNOLOGIESCO.,LTD.客户端安全—木马防御方案方案及其特点方案•安全控件随网银登陆页面自动下发；•安全控件将扫描登陆环境，包括木马、僵尸、蠕虫、恶意程序或者其他病毒，清除网银使用的客户端环境，保障网银客户账号使用安全。•检测到木马病毒，即主动提醒客户，并互动清除•安全控件从DSE下载新的病毒码，将日志和告警信息上送DSE引擎客户端安全控件木马病毒查杀DMZ区DSE扫描引擎网页+安全控件网银木马/蠕虫主动提醒/互动清除日志/告警/病毒码安全控件互联网特点•主动提醒、互动清除•网银木马病毒及时更新；•安全状况，网银中心实时掌控HUAWEITECHNOLOGIESCO.,LTD.网络安全—DDOS清洗方案用户网络上级网络网络出口旁路DPI检测动态引流清洗DPI检测中心清洗中心镜像流量管理中心清洗后流量清洗前流量管理流量流量及攻击日志方案及其特点方案•旁路部署DPI流量分析设备，全网流量检测异常后，自动下发引流策略到核心路由，将异常流量引入清洗设备进行清洗•管理中心可查看报表、攻击事件、清洗情况等•检测设备可部署在清洗设备上方，实现全流量检测；•检测设备可部署在清洗设备下方，实现小范围精确检测，节约成本特点•旁路部署，不影响正常业务；•异常流量深度检测，DDOS攻击精确检测•攻击情况可视查看，及时响应HUAWEITECHNOLOGIESCO.,LTD.网络安全—链路及广域网负载均衡方案方案•GBS：广域网负载均衡，实现多中心分担网银业务，保证网银服务可用性；•LBS：•链路负载均衡，实现多链路负载分担，保证链路传输免受故障影响；•防火墙负载均衡，保证边界安全防护高效、及时处理•WEB应用防火墙负载均衡，保证WEB应用安全高效、及时处理•WAF：WEB服务器负载分担、WEB应用安全防护，WEB服务优化特点•多中心、多链路全面的网络流量分担；•安全处理多设备分担，降低网络延迟链路及广域网负载均衡方案及其特点GBSGBSWAFWAFLBSLBSLBSLBSLBSLBSHUAWEITECHNOLOGIESCO.,LTD.网络安全—网络边界安全方案内外网边界安全防护外联隔离区生产应用区DMZ区运维管理区生产数据区核心系统区内联接入区外联接入区方案及其特点方案•内部系统IP免受外部感知•各类区域FW边界安全防护，免受非法访问•各类区域IPS入侵防护，网络异常流量、安全风险及时感知；•安全域间防护，过滤非业务流量HUAWEITECHNOLOGIESCO.,LTD.系统安全—主机安全方案方案•SecureScan：对网银各类服务器漏洞进行即时安全扫描；•包括：WEB服务器漏洞扫描、数据库漏洞扫描、应用服务器漏洞扫描•协议和端口漏洞扫描：对各类服务器的端口和协议进行扫描特点•功能全面的内网服务器系统漏洞安全管理；•漏洞复现技术：复现漏洞被利用的场景，呈现漏洞造成的危害程度；•华为云中心的安全能力支撑，提供更及时的扫描能力升级主机安全防护方案及其特点外联隔离区生产应用区DMZ区运维管理区生产数据区核心系统区内联接入区内联隔离区网页防篡改报表SecureScanHUAWEITECHNOLOGIESCO.,LTD.WEB应用安全—WEB应用安全方案方案•华为云安全中心：对网银网站进行页面解析、状态监控、渗透测试、漏洞扫描，并将监测情况以可视化报表展示；•WAF：用户与服务器双向流量检测，实时阻断WEB应用攻击与异常流量•网页防篡改：网页篡改驱动层检测，最快速度修复网页•iSOC：WEB应用攻击和检测都有日志记录与告警，事后可追查与回溯特点•事前、事中、事后全生命周期安全管理与防护；•产品+服务多种手段解决WEB安全问题WEB应用安全防护方案及其特点外联隔离区生产应用区DMZ区运维管理区生产数据区核心系统区内联接入区内联隔离区LBSLBSWAFWAF华为云安全中心网站监测/渗透网页防篡改报表iSOC事前主动发现事中实时防护事后恢复审计HUAWEITECHNOLOGIESCO.,LTD.安全管理解决方案方案•iSOC：安全事件采集，关联分析，安全状况可视化展示；•UMA-DB：数据库操作日志采集、监测•UMA：为核心业务系统提供统一维护操作入口，实现单点登录特点•全方位的安全管理：事前日志采集、事中关联分析，协助安全管理、事后追溯审计；•统一运维入口：服务器、网络、安全设备统一运维入口，单点登录，有效监控运维管理•运维集中管理：账号集中管理，权限严格控制，杜绝越权访问，实现命令级的控制方案及其特点iSOC安全管控中心UMA统一运维审计服务器iSOC安全/网络设备扫描器DB服务器DBUMA-DBUserAUserB合作方×禁止HUAWEITECHNOLOGIESCO.,LTD.华为网银安全解决方案全景图HUAWEITECHNOLOGIESCO.,LTD.华为网银安全解决方案可销售安全产品清单方案名设备型号备注客户端安全解决方案安全控件终端安全扫描引擎，在网页中嵌入DSEWEB安全动态检测引擎，在DMZ区部署异常流量清洗解决方案ADIDDOS检测设备ADDDDOS清洗设备ATIC安全策略服务器链路及广域网负载均衡解决方案F5-BIG-LB-1600/3600/3900(加GTMlicense)广域网负载均衡器，多中心场景使用F5-BIG-LB-1600/3600/3900链路负载均衡器，覆盖链路负载均衡、安全设备负载均衡HUAWEITECHNOLOGIESCO.,LTD.华为网银安全解决方案可销售安全产品清单方案名设备型号备注网络边界安全解决方案USG2000/USG5000系列防火墙覆盖外联隔离区、内联隔离区、服务器区间隔离NIP2000/NIP5000服务器区域边界主机安全解决方案SecureScan漏洞扫描器WEB应用安全解决方案NetscalerMPX7500F5-BIGIP-ASM-3900明御WAF-1000A天清汉马WAG1010攻击报文事中拦截iGuard网页防篡改系统标准版V3.0InforGuard网页防篡改V5网页事后恢复iSOC事后审计追溯安全管理解决方案VSM可以覆盖交换机、安全设备管理iSOCDDOS清洗设备UMA100/UMA200覆盖主机系统、数据库系统、网络设备和应用系统UMA-DB使用UMA-DB企业版HUAWEITECHNOLOGIESCO.,LTD.1.网银业务趋势及风险分析2.华为网银安全解决方案3.华为安全产品及能力中心简介4.成功案例目录HUAWEITECHNOLOGIESCO.,LTD.和世界顶级运营商联手，拥有遍布全球的蜜网系统，能够及时搜集恶意样本并