构筑主动防御体系-护航电视台信息化建设

构筑主动防御的等保合规体系，护航电视台信息化建设何平|华为安全产品领域市场总监近年来电视台攻击频繁发生2015年4月8日，法国电视台TV5Monde遭到来自ISIS拥护者、黑客组织CyberCaliphate的大规模网络攻击，电视台广播传输渠道被入侵，11个频道全部被黑，大量信息传输中断长达数小时，攻击原因是不满法国总统Hollande参加国际反恐行动。官网被黑传输渠道被黑感染勒索病毒2010年12月10日，X省广播电视总台官网被非法控制，上传黑客软件，攻击其他计算机，导致X省广播电视总台的官方网站蓝网近20个小时无法正常运转，使该台10月12日晚20：00-22：00举办的网上同步直播节目受到严重干扰。2017年4月，美国旧金山主流公共广播电视台KQED遭遇大规模勒索软件攻击，预先录好的影像片段遭到清除。该攻击及其造成的破坏非常严重，KQED高级编审称，该电视台一朝回到20年前。网络安全法、等保2.0相继颁布，推动电视台等保加速实施2017年6月中国《网络安全法》正式实施2019年5月13日正式发布等保2.0规范等保2.0安全通用要求云计算安全扩展要求移动互联安全扩展要求工业控制系统安全扩展要求物联网安全扩展要求各级电视中心播出相关信息系统安全保护等级要求各级电视中心播出相关信息系统安全保护定级序号信息系统分类机构级别国家级省级省会城市、计划单列市地市及以下1播出系统第四级第三级第三级第三级2新闻制播系统第三级第三级第三级第二级3播出整备系统第三级第三级第二级第二级4业务支撑系统第二级第二级第二级第二级5媒资系统第二级第二级第二级第二级6综合制作系统第二级第二级第二级第二级7生产管理系统第二级第二级第二级第二级《广播电视相关信息系统安全等级保护定级指南》(GD/J037-2011)基础合规满足等保基线，具备基础安全以通过等保测评为目标持续合规适应业务发展的动态安全安全策略自动化部署超越合规整网安全有机运转，智能化&自动化全网协同，主动防御未知威胁等保合规并非一劳永逸，攻防对抗永无止境华为HiSec：满足差异化合规需求，构筑主动防御的电视台等保体系基础合规20年安全能力积累，全面等保方案全程参与等保标准制定一套安全架构适配三个业务阶段持续合规安全业务自动化配置，租户服务化配置业务驱动的安全策略管理，安全策略自动匹配业务变化超越合规基于深度神经网络算法的未知威胁防御基于大数据的智能分析，事前主动防御全网协同，自动化处置威胁执行器交换机路由器WIFI防火墙AntiDDoS入侵防御WEB应用防火墙融合联动控制器SecoManager控制器全球安全智能中心分析器分析器CISFireHunter终端安全…面向等保2.0，提供从产品到方案的立体防御体系产品可信自主可控HiSecFWIPSAV日志审计集中管理等保1.0等保2.0安全基础产品华为HiSec安全解决方案智能防御联动闭环实时联动防御产品安全基石数据库审计基础合规：基于HiSec架构，提供全面的合规交付能力华为安全商业联盟合规要求技术要求子项安全方案通信网络网络架构防火墙通信传输防火墙区域边界边界防护防火墙、终端准入访问控制防火墙入侵防范Anti-DDoS、IPS、APT检测恶意代码防范防火墙、IPS安全审计上网行为管理计算环境身份鉴别设备自身机制或堡垒机访问控制设备自身机制安全审计日志审计系统、数据库审计入侵防范IPS、WAF、漏洞扫描恶意代码防范主机防病毒软件数据完整性应用自身机制数据备份恢复异地灾备剩余信息保护应用自身机制个人信息保护

应用自身机制管理中心系统管理网管系统、堡垒机审计管理堡垒机、日志审计、数据库审计集中管控

统一网管、态势感知系统安全管理堡垒机样本情报统一的安全控制器统一的安全分析器标准化南向接口沙箱检测大数据智能分析VAS订阅网络协同资源管理威胁联动编排策略协同控制数据上送安全执行器的协同威胁情报的协同…基础合规：基于三重防护设计思想，构筑协同防御体系安全管理中心通信网络防护安全边界防护计算环境防护核心信息资产边界安全防护边界已知威胁全面防护未知威胁深度防护计算环境安全防护主机安全应用安全数据安全安全管理中心统一管理集中审计安全态势感知通信网络安全防护传输信息加密可信接入保护参考《信息安全技术信息系统等级保护安全设计技术要求》物理环境建设“一个中心”管理下的“三重防护”体系日志综合分析威胁情报（文件MD5值）共享基础合规：等保2.0，沙箱轻松应对未知的新型网络攻击第三代沙箱技术：Hypervisor行为捕获行为机器学习基于Hypervisor行为捕获细颗粒度监控：全部API调用防止沙箱躲避：恶意软件无法探测虚拟化环境检出率提升50%：行为人工智能分析工作效率提升100%：虚拟化层统一监控，多操作系统高效监控合规要求等级保护（三级）安全通用要求：8.1.3.3入侵防范：c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击的检测和分析未知文件未知文件未知文件未知文件恶意文件安全文件基础合规：网络诱捕技术，精确锁定攻击源，实现主动防御第三方蜜罐系统真实主机真实主机③通过“诱捕器”或第三方蜜罐系统模拟园区主流业务，构建”诱捕陷阱”，用于捕捉攻击源①攻击源通过IP或端口扫描感知内网其他主机或服务，尝试横向扩散合作伙伴（仍在洽谈中）HUAWEI流探针集成②园区交换机通过内置的“诱捕探针”发现可疑扫描行为，并将其访问流量引至“诱捕器”对接APP④将捕获的攻击源信息通过SYSLOG信息上报HUAWEI诱捕陷阱诱捕陷阱诱捕陷阱诱捕器网络诱捕技术，可以与攻击源进行主动交互，通过网络欺骗和业务仿真能力，在攻击源发起内网扫描阶段时即将其识别出来，并可通过联动处置能力将其快速隔离，避免真实业务受到影响。演示：网络诱捕系统，实现威胁主动发现在交换机上内置“引诱”能力，在黑客攻击和内部扩散的必经之路上，布下“天罗地网”内

网交换机内置诱捕探针针对所有不存在IP和未开放端口的诱骗发现扫描行为将流量引入诱捕器蜜罐模拟出相似的仿真业务，确认攻击后门被控制/感染的主机开始内部扫描/扩散真实主机仿真主机失陷主机黑客诱捕探针响应攻击源诱捕探针响应攻击源诱捕探针响应攻击源诱捕探针响应攻击源管理区大数据分析平台CIS控制器关联分析，锁定攻击源和攻击路径关联分析，锁定攻击源和攻击路径等保2.0方案新要求——可信验证方案特点合规要求：

可基于可信根对边界设备系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

可信根：

华为设备采用自研海思CPU芯片，完全自主可控，硬件可信根固化在CPU内部，完成最基础的启动验证，验证引导程序完整性；可信启动：

启动过程由硬件可信根开始并逐级向后校验，确保启动过程中的信任链。硬件信任根在上电第一时间执行，BIOS阶段使用数字签名验证下一阶段的完整性，以此类推，每个阶段启动完成后都要对下一个启动阶段进行完整性校验，如果验证不通过，启动过程中止。应用关键环节可信验证：对应用软件版本升级前，补丁和插件加载前，将使用数字签名对软件包进行完整性校验；自研CPU芯片BOOTROOMBootLoader引导程序OS系统程序APP应用程序可信根密钥远程证明动态可信服务器安全管理中心持续合规：安全业务自动化部署，提升合规效率弹性：安全资源按需部署安全资源按需调度，适配业务变化按需开通和分配弹性扩缩容，最大化安全资源利用灵活：租户差异化安全服务为租户提供租户网络边界和租户内VM级差异化的安全防护功能基于同一套安全基础设施满足不同租户个性化的安全业务诉求自动化：安全业务动态部署业务策略翻译，将业务策略转化为设备策略基于业务网络拓扑实现策略的自动化编排和分发业务链自动引流安全业务编排安全资源池化Manager合规要求等级保护（三级）安全通用要求：8.1.5.4集中管控：a)应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；持续合规：基于应用的安全策略，自动匹配业务变化SecoManagerSecoManager安全Policy多租户策略配置模型映射策略自动化策略调优模拟执行租户信息

策略信息

资源管理

SLA保障生命周期管理服务编排网络拓扑基于应用的安全策略优化的策略办公区管理区互联网出口区数据中心（云平台）应用1应用2WEB1WEB2WEB1WEB2APP1APP2APP3APP1APP2APP3DB1DB2DB1DB2超越合规：基于AI的威胁自学习检测，提前预警安全事件判断动作2动作1动作3动作4动作5动作6动作N动态行为数字化形成特征向量数字化结果集训练模型随机森林算法深度神经网络算法评估效果威胁检测结果基于AI和大数据的威胁分析合规要求等级保护（三级）安全通用要求：8.1.3.2访问控制：内容过滤控制8.1.3.3入侵防范：未知威胁检测8.1.3.4恶意代码防范：防垃圾邮件8.1.4.4入侵防范：系统漏洞管理超越合规：全网协同处置威胁，保护关键信息系统智能威胁检测，全网态势感知安全策略统一调度分析器CISFireHunter安全事件日志文件信誉探针元数据Netflow按需引流主机隔离IP流量阻断按需引流Internet防火墙防火墙防火墙隔离/引流策略SecoManager防火墙网络拓扑控制器办公区管理区互联网出口区数据中心（云平台）合规要求等级保护（三级）安全通用要求：8.1.3.2访问控制：内容过滤和访问控制8.1.3.3入侵防范：检测和限制网络攻击行为8.1.3.4恶意代码防范：检测和防范恶意代码和垃圾邮件8.1.4.4入侵防范：系统漏洞管理等保技术要求子项主要内容对应产品安全通信网络网络架构G选型合理，分区隔离，冗余架构，高峰可用NGFW、防DDoS通信传输G采用校验技术/密码技术保证通信过程中数据的完整性和保密性NGFW（IPSec&SSLVPN）可信验证S基于可信根对通信设备的系统引导，应用关键点动态验证，可报警、可审计设备可信启动机制安全区域边界边界防护G跨边界控制，内联设备，外联行为监测，无线网限制NGFW、网络准入控制访问控制G五元组过滤、内容过滤、策略优化、基于应用协议和应用内容的访问控制NGFW、安全控制器入侵防范G防外部攻击、防内部攻击、防新型未知网络攻击IPS/IDS、探针、沙箱、NTA恶意代码防范G

网络防病毒、垃圾邮件过滤NGFW（AV）、NGFW（防垃圾邮件）安全审计G用户行为、安全事件审计，远程用户行为，访问互联网用户行为单独审计和数据分析堡垒机，上网行为管理、综合日志审计系统可信验证S基于可信根对区域设备的系统引导，应用关键点可动态验证，可报警、可审计设备可信启动机制等保三级技术要点-安全通信网络和安全区域边界*红色是等保2.0相对2级的递增*蓝色是等保2.0相比1.0典型增加等保技术要求子项主要内容对应产品安全计算环境身份鉴别S身份唯一性、鉴别信息复杂度，口令、密码技术、生物技术等双因子及以上认证且其中一种必须为密码技术堡垒机、认证服务器访问控制S用户权限管理、管理用户权限最小化访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级访问控制平台，API网关安全审计G用户行为审计，对审计进程保护上网行为管理、日志审计系统入侵防范G检测入侵行为、非使用端口关闭、管理终端限制、发现已知漏洞IPS、漏洞扫描恶意代码防范G安装防恶意代码软件或免疫可信验证机制，防护机制支持升级和更新NGFW（AV）、主机防病毒软件可信验证S基于可信根对计算设备的系统引导，应用关键点动态验证，可报警、可审计设备可信启动机制保障数据完整性S数据防篡改；应采用校验技术或密码技术保证重要数据在传输/存储过程中的完整性NGFW、VPN、WAF、网页防篡改，加密机数据备份恢复A数据本地备份和恢复、提供异地实时备份功能、数据处理系统热冗余多活数据中心剩余信息保护S鉴别信息、敏感信息缓存清除应用自身机制个人信息保护S个人信息最小采集原则、访问控制应用自身机制等保三级技术要点-安全计算环境*红色是等保2.0相对2级的递增*蓝色是等保2.0相比1.0典型增加等保技术要求子项主要内容对应产品安全管理中心系统管理G应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置、控制和管理网管系统、堡垒机审计管理G应对安全审计员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机、综合日志审计系统、数据库审计集中管控G特定管理分区、统一网管和检测、日志采集和集中分析、安全事件识别告警和分析、策略补丁升级集中管理网管系统、安全控制器、态势感知系统、补丁服务器安全管理G应对安全管理员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机、日志审计系统等保三级技术要点-安全管理中心*红色是等保2.0相对2级的递增*蓝色是等保2.0相比1.0典型增加等保实践：基于HiSec的电视台云数据中心安全总体框架智能安全管理云平台安全……防火墙VPNWAFIPSAntiDDoS安全合规遵从与认证安全专业服务VPC/安全组防病毒剩余数据擦除南北向流量监控虚拟网卡隔离防虚拟机逃逸镜像完整性保护数据加密应用身份鉴权计算环境安全虚拟机隔离多数据副本备份计算环境安全区域边界安全东西向流量监控态势感知威胁分析日志报表安全体系规划与集成业务上云策略部署等保合规咨询安全健康检查租户安全Web扫描FW主机IDSWAF网页防篡改DB审计IPS防病毒堡垒机………….…….…….安全资源池化配置自动化运维智能化涵盖云平台、网络和安全协同租户业务服务化配置与网络协同的业务链业务灵活编排提升资源利用率按需弹性扩展基于应用的安全策略管理低危策略自动审批冗余策略分析全网态势感知攻击路径展示威胁可视安全策略OA系统防火墙下发工单自动策略转换控制器分析器AI智能算法全网信息采集全网策略联动业务系统1vFWvIPSvIPSec业务系统MvFWvIPSvIPSec业务系统NFWIPSVPN云平台租户1租户2租户3控制器SecoManager租户安全：为电视台云数据中心提供租户安全即服务能力华为等保建设实践广X市电视台媒资新媒体云项目上海市政务云项目电视台其他广东电视台湖南电视台江西电视台河北电视台北京电视台…山西电视台广州电视台天津电视台西安电视台贵阳电视台…教育部数据中心国家体育馆无线场馆国防科大云数据中心中山大学国家超算中心北京同仁医院复旦大学附属中医院上海市政务云北京市地铁浙江海事局民航局清算中心广州铁路局网管区……等保2.0标准编写主要参与者，助力标准规范化华为作为主要的起草单位，是唯一一家参与五大分册标准制定的安全厂商（包括安全通用要求、云计算安全、移动互联网安全、物联网安全、工业控制系统安全）支撑等保2.0：核心软、硬件安全产品100%自主研发，满足国家自主创新要求平台安全网络安全应用安全自研RTOS操作系统数据库安全操作系统加固，最小开放原则系统日志独立带外管理口，管理面业务面隔离IP地址访问控制网络协议安全性硬件安全自研硬件自研芯片硬件接口安全安全启动自研安全检测引擎和特征库数据安全传输协议个人数据隐私保护认证和授权管理密码和会话管理操作日志管理及审计VRPRTOS分区分域三权分立NGE引擎全网联动主动防御特征库纵深防御、层层保护、自主研发、安全可控连续3年成为Gartner企业防火墙魔力象限挑战者

国内唯一进入Gartner挑战者象限的安全厂商企业级