关闭>>  
扫一扫 有惊喜
  • 产品名:NE20E-X6
  • 促销价:电议/面议
电视媒体企业信息安全解决方案-北京天宇
1. 需求与挑战 

但随着企业信息化的发展,信息安全问题也一直如影随形。每年都有大量企业发生信息安全事件,包括企业遭受网络攻击、企业信息泄密等,这些安全事件给企业造成了极大的损失。据统计,2011年全球登记的信息泄密事件共819起,损失金额超过了200亿美金。而网络攻击给全球带来了1110亿美元的损失。对于中国企业,63.6%的企业用户处于“高度风险”级别,每年因网络泄密导致的经济损失高达百亿元。 


对于企业而言,面临的信息安全方面的挑战主要体现在下面4个方面: 

 安全管理:网络设备多,安全事件独立,无法端到端分析安全事件并做出相应决策。 
内部泄密:企业技术方案、代码、公司策略、财务数据等机密资料越来越有价值,且泄密手段越来越多样化,如终端拷贝、打印、邮件外发等,因此内部员工在受利益驱动下可以很方便的将企业机密信息泄露给竞争对手。据统计,在Fortune排名1000的公司中,每次电子文档泄密造成的损失平均为50万美元。 
恶意攻击:企业网络越来越复杂,往往忽略了对网络的防护,企业终端、网络、服务器等都成了攻击对象。 
IT特权滥用:IT运维人员或业务管理人员可以很方便的利用IT系统特权接触企业机密信息,增加了企业机密信息泄露的可能性。 

因此,信息安全对于每个企业都是非常迫切要解决的一个问题。企业需要构建符合自身发展的信息安全体系,包括安全管理体系、信息安全技术体系等。 


企业完整的信息安全体系,主要包括安全政策框架、安全运行管理框架、安全组织框架、安全能力管理框架、安全技术框架等。 


安全政策框架包括安全治理、风险管理、法规遵从。安全治理主要是要求企业结合企业自身实际情况制定相关安全治理的流程、标准等;风险管理则是要求企业参考国家、行业标准,制定企业安全风险管理流程制度;法规遵从则是指企业按国家、业界等保标准、正常法规来进行信息安全建设。安全政策框架的建设用以支撑企业信息安全总体原则。 


安全运行管理框架包括漏洞管理、补丁管理、事件管理等。安全运行管理中,人员是主体核心,流程是质量保证,而产品、方案是落地手段。只有人员、流程、技术相互协作运行,才能更好的保障企业安全运行。 


企业进行信息安全建设,必须结合企业自身业务组织、IT组织框架来定义合适的安全组织框架。安全能力管理是对企业信息安全建设的一个更高的要求,要求企业在信息安全建设中注重安全知识管理、安全过程评估、安全度量体系建设等。 




华为企业信息安全解决方案主要协助企业进行安全技术框架建设,包括防泄密、防攻击、防IT特权滥用以及安全管理四个场景,为企业业务发展保驾护航。 


2.解决方案 

华为信息安全解决方案主要基于安全管理,防特权,防泄密,防攻击四个场景,为企业提供完整的信息安全解决方案。 

企业信息安全解决方案架构图。 




2.1 企业防泄密解决方案 

客户场景 


企业如何避免企业信息资产泄密:包括企业信息资产管理、企业终端防泄密、企业网络传输防泄密以及企业泄密事件审计。 


方案概述 


子方案一:企业信息资产安全管理 

华为企业信息资产安全管制解决方案为客户解决企业信息资产管控的问题,从而防止信息资产的流失、泄密。 

华为企业信息资产安全管理方案由OIC(文件信息控制)系统和DSM(文档完全管理)2个组件构成,提供对企业信息资产(包括各种企业文档)集中管理,安全管控,查阅管控,加密管控,追踪管理等功能。 


通过对企业信息资产的集中管理,避免信息资产流失;通过查阅,加密,追踪等 不同管控手段保证企业信息不外泄。 



子方案二:企业终端防泄密 


终端数据防泄密解决方案主要通过终端端口管理,终端文档加密以及终端漏洞修复3种手段来保证。TSM服务器负责终端端口管理,防止通过终端拷贝企业机密资料。DSM服务器负责对终端终端文档进行加密授权,避免通过复制、打印、截屏等方式泄露终端中的信息资产。而补丁、病毒升级服务器则及时自动修复终端上的安全漏洞。 




子方案三:网络防泄密 


网络防泄密方案主要通过三种手段立体防护: 


远程数据传输保护 


企业分支合作伙伴同企业总部间的网络传输通道通过IPSec VPN加密,保证传输网络安全;而移动办公用户和企业总部间通过SSL VPN方式对数据传输网络进行加密。 


业务数据分区保护 


企业内部网络通过分区方式保证各网络逻辑区域间的数据传输安全。 


关键数据外发管控 


通过华为ASG产品对企业员工通过互联网上传或通过邮件外发机密信息的行为进行检测和审计。 


子方案四:泄密事件审计回溯 


通过对企业办公终端,企业网络、以及企业数据库、运维等方面进行全面的泄密事件的审计分析,找出可能泄密的潜在威胁;对已经出现的泄密事件按进行追踪回溯,界定责任主体。 




解决方案亮点 

 丰富全面的手段保证终端数据安全,包括外设接口管理控制、终端非法外联控制、USB存储设备加密、移动终端数据加密及远程擦除等。 
灵活的VPN方案保证分支与总部(IPSec VPN)、移动办公用户与总部(SSL VPN)的数据传输安全。 
支持员工外发内容的精细化过滤与审计:包括外发文件类型、大小检查,WEB/邮件等外发数据敏感信息识别,保存各种外发数据日志。 
统一的企业信息资产安全管理,支持企业信息资产集中管理、安全管控、查阅管控、加密管控、追踪管控。 




子方案五:移动办公防泄密 


AnyOffice客户端开创性的通过沙箱技术隔离个人和企业数据;SVN网关提供L3/L4 VPN高强度加密传输,防止数据的恶意嗅探和篡改;方案提供远程锁定、远程数据擦除、数据备份和恢复、GPS定位、自动报警等反盗窃防丢失功能。 




2.2 企业防攻击解决方案 

客户场景: 


避免企业遭受各种恶意攻击,包括终端防攻击,网络防攻击,服务器防攻击,web应用/Email应用防攻击等。 


方案概述 


子方案一:终端防攻击 


终端防攻击主要通过2种技术手段共同完成 


终端准入控制——通过定制终端接入企业网络策略,阻止非法终端接入,隔离不合规终端,同时授权终端用户访问资源,并对终端用户行为进行监控审计。 


终端安全加固——终端漏洞一键式修复,补丁、病毒库及时更新。 




子方案二:网络防攻击 


通过部署华为Anti-DDoS产品阻止僵尸主机的DDoS攻击,部署防火墙、AVE、IPS等产品全方位保护企业网络不受病毒、黑客的入侵。 




子方案三:服务器防攻击 


华为提供四级防护手段保证企业服务器不受攻击,包括网络防护、主机防护、漏洞管理以及攻击分析预警。 


网络攻击保护: 防DDOS攻击+防火墙过滤+入侵检测+病毒防护  


攻击分析预警:主机行为日志 + 网络安全事件 + 攻击检测 => 关联分析 => 发现攻击威胁 => 预警 


主机防护: 


机防护墙:阻挡非法网络嗅探、避免越权访问 


主机防病毒:避免病毒、恶意软件、危险邮件感染服务器 


主机IPS:为服务器打上“虚拟补丁” 


漏洞管理: 


漏洞扫描+配置核查+补丁更新 


子方案四:企业应用防攻击 


华为企业应用防攻击解决方案主要针对WEB和Email安全进行防护。 


Web安全防御: 

 对DDOS攻击流量清洗,保证正常访问 
安全域划分,分层部署,层级访问控制 
部署入侵防御系统,阻断黑客基于WEB系统漏洞攻击 
部署网页防篡改系统,及时阻止和恢复被篡改的网页 




Email全面防护: 

 防垃圾邮件 
防病毒 
防攻击 
防钓鱼 
内容过滤 



方案亮点 


全面检查终端健康状态,一键式自动修补策略漏、补丁下载安装。 


业界领先防DDoS攻击方案,有效检测流量型、应用型攻击;支持IPV6攻击防御;业界第一的攻击响应速度,秒级检测、秒级清洗;提供50万小时无故障运营保障,99.9999%可靠性。 


业界领先的URL过滤,6500万URL分类特征库以及实时9000万域名监控,高达96%的精准识别率。 


支持全面的攻击检测,包括服务器攻击检测、客户端攻击检测、web攻击检测、恶意软件检测、DDoS攻击检测。 


全面精准病毒查杀能力,可检测700多万种病毒,防御各种木马,蠕虫,恶意脚本等的威胁攻击。 


四层防护全面高效保障服务器安全:网络防御+主机防护(主机防火墙、主机防病毒、主机IPS)+主机漏洞管理(漏洞扫描、配置核查、补丁更新)。 


2.3 企业防IT特权解决方案 

客户场景 


防止企业内部IT特权滥用导致信息泄露等。 


方案概述 


伴随企业信息化进程,企业建设了越来越多的IT系统,但这些IT系统的系统运维、权限管理都相当薄弱。这些IT系统维护入口多,对IT运维人员或者业务管理人员的接入核心系统的控制管理非常困难。另外,IT系统运维账号的权限的更改、注销没有及时管理到位,导致存在非法登录企业核心系统的风险。并且,运维人员在维护系统过程中可能非法访问核心数据,而企业管理人员的权限没有有效监控审计,也可能导致非法越权访问获取企业机密数据,给企业造成损失。 


华为通过UMA方案,统一IT系统运维入口,实现系统单点登录,并对系统账号进行集中管理,确保人和账号严格对应,同时严格控制账号权限,对IT特权滥用及时审计回溯。 




Huawei UMA方案对登录系统人员进行统一认证、统一授权,并对其操作记录进行统一审计,杜绝IT特权滥用现象。 


解决方案亮点 


统一运维入口、账号集中管理、权限严格控制,防止IT运维或业务管理人员滥用IT特权。 


强大的文档加解密技术、完善的文档权限控制方式,防止企业机密文档被IT特权人员通过复制、分发、打印、离线使用等方式获企业机密文档。 


支持针对特定人员访问核心业务系统的完整安全审计,包括登录过程、操作行为的记录跟踪。 





2.4 企业信息安全管理 

客户场景 


信息安全管理主要包括企业安全策略管理及企业安全运营管理。 


方案概述 


子方案一:安全策略管理 


企业安全策略管理解决方案,主要由安全策略管理平台对企业全网网络统一管理,统一下发安全策略。该平台支持可视化运运维与诊断,并提供多种北向接口以便和其他IT管理系统对接集成。 




子方案二:安全运营管理 


企业安全运营管理主要有统一安全运营平台完成,该平台主要实现安全事件分析,安全风险预警、安全运维管理以及合规审计管理功能,整体有效支撑企业安全运营管理。 




方案亮点: 


安全管理统一安全策略管理,安全策略集中配置,批量下发,操作简单高效,支持可视化运维诊断。 


强大的安全运维管理能力,支持160多种设备的日志采集和识别,同时通过时间戳防篡改技术防止日志被恶意篡改。 


采用业界领先的并行处理技术实现海量日志数据的即时高效采集和分析。 


强大关联分析引擎支持日志事件智能分析,实现安全事故预警及事后分析。 


支持11类主流合规审计报表,包括等保、ISO27000、Sarbanes等。 





3. 应用案例及客户价值 

3.1 一汽大众终端防护项目 

项目背景 


一汽大众终端分散、规模庞大,访客和不合规终端随意接入,防病毒和补丁防护措施实施困难,外设端无法统一管理, 办公行为无法统一监管等内网安全问题 


华为方案 

 在所有接入终端安装TSM系统的客户端Agent 
在总部及各分支机构的汇聚交换机处侧挂2台互为冗余  
TSM系统管理服务器(SM,1台冗余)部署在总部现有业务系统区域,TSM系统控制服务器(SC)分布式部署在总部和各分支机构(各2台,互为冗余)  
在TSM系统管理界面启用基于AD域系统的准入控制功能  
分支机构边界处的核心交换机需支持策略路由或者端口重定向,若SM、SC主备系统都失效时,自动启动默认路由,放行所有用户以应对紧急状况 



客户价值 


解决了复杂环境下的内网准入控制问题,确保入网终端满足企业要求,降低信息泄密和病感染病毒的风险,提升办公效率,保证IT管理制度遵从性。 


项目建设快,投资少,维护简单,同时可以大大降低企业后期运营维护成本 





3.2 腾讯数据中心防护项目 

项目背景 


腾讯数据中心频繁发生大流量攻击(10G-40G)  


攻击类型多样化,例如应用层DNS攻击 


华为方案 


华为DDoS解决方案,以专业的硬件平台、卓越的性能、精细化防护、快速的响应机制和灵活的部署方式,赢得可腾讯严格的测试和现网应用考验,得到用户高度认可  


客户价值 


腾讯应用运维安全中心总监:“贵公司设备在IDC攻击防护过程中,各项指标正常,成功防护持续不断的DNS FLOOD攻击,保证业务始终平稳运行,无一单用户投诉”