华为大企业信息安全解决方案简介

1、华为大企业信息安全解决方案简介华为大企业信息安全解决方案主要面向大企业客户，立足于企业信息安全的主要痛点，诠释了企业信息安全该如何建设的真谛。该安全解决方案以精细化的的数据安全保护，保障商业机密信息的安全交换；以精准主动的威胁防御，保障企业业务运营的连续性；以防IT特权滥用，从内部瓦解潜在威胁，避免滥用权限造成信息泄密；以通过安全策略分发和安全态势分析的安全管理，精细化的安全审计，让违规行为无处藏身，通过合规遵从性检查避免企业遭受外部法律风险，满足行业要求。通过大企业信息安全解决方案的诠释，华为希望同客户一起完善企业信息安全体系的建设，有效地保障企业业务可持续性的健康发展，帮助企业避免因信息安

2、全事件导致经济损失,避免企业核心竞争力的减弱，避免连锁化的反应导致市场份额的减少。大企业信息安全解决方案概述由于入侵、破坏企业信息系统的事件每天都在发生，加上人们对Internet危险性的认知不断加强，人们对信息安全的需求前所未有地高涨起来。对于大多数高级企业主管而言，已经认识到安全问题已不再遥不可及。安全风险会大大降低公司的市场价值，甚至威胁企业的生存。即使很小的风险也能将公司的名誉、客户的隐私信息和知识产权等置于危险之中。在这样的环境中，企业如何才能有效地解决这些问题呢？值得高兴的是，华为提供了一套行之有效的信息安全解决方案帮助企业建立安全灵活的基础设施，保护极其复杂的应用程序和资源，并通

3、过系统的安全管理策略，计划规程，实施及监督程序等来保护企业的核心业务。大企业信息安全体系华为公司的IT实践表明，信息安全不是简单的产品堆砌，安全实际上是企业管理和技术的综合性问题，只有分阶段性建立科学完善的信息安全管理体系，并在这个管理体系的指导下，构筑符合企业自身需要的信息安全技术架构，从管理和技术两个维度才能保证企业IT基础设施的安全，保证企业信息资产的安全。下图为：华为信息安全解决方案为企业客户构筑的企业信息安全体系图。企业信息安全体系全景图信息安全管理体系包括安全组织框架，安全政策框架，安全运作框架和安全能力管理框架。安全管理的核心是安全组织，包括决策层，管理层和执行层，有明确的责权定

4、义。安全组织的主要职责是制定企业信息安全的行政政策和技术策略，标准，指导以及基线，所有企业信息安全相关活动都需要在安全政策的规定下进行。安全策略指导信息安全管理与业务和流程的有机结合，明确信息安全建设的方向和策略。安全运作包含流程、人、技术，能够保证安全落到实处，并且是逐渐闭环优化的。安全能力是评估企业进行信息安全建设的能力框架，包括评估、度量、知识库等，通过对安全工程管理的方式，将系统安全工程转变为一个具有良好定义的、成熟的、可测量的信息安全工程。安全技术框架信息安全技术架构为企业信息安全管理提供技术支撑，主要围绕企业信息安全的问题展开，包括：企业机密信息防泄密，基础设施防攻击防入侵，IT权

5、限管控，安全管理以及合规审计等。另外，身份认证与授权为企业安全基础设施，为防攻击方案，防泄密方案，IT权限管理，安全管理以合规审计及提供身份和授权服务，为企业业务发展保驾护航，保障企业商业交换的安全，构筑企业核心竞争力。大企业信息安全解决方案组成华为大企业信息安全解决方案主要面向企业客户，从数据防泄密，攻击防护，避免IT特权滥用，安全管理及合规审计等四个维度，诠释企业信息安全建设的纲领，构筑企业核心竞争力。该安全解决方案着眼于拓宽企业用户的视野，帮助客户了解信息安全建设真谛，解读方案的技术实现，解决企业信息安全诉求，是最贴近用户安全诉求的企业信息安全解决方案。另外，华为大企业信息安全解决方案以

6、完备的企业信息安全体系，诠释着信息安全该如何建设的真谛；以贯穿多安全维度的身份识别，让伪装者和违规者有迹可循，无路可逃；以精细化的数据安全保护，来保障商业机密信息的安全交换；以精准主动的威胁防御，来保障企业业务运营的连续性；以严密的防特权滥用，从内部瓦解潜在威胁，避免滥用权限造成内部信息泄密；以灵活可靠的安全管理，进行安全策略分发，安全事件审计和安全态势分析，让IT运维人员解放双手，让违规无处藏身，让企业IT系统遵从外部信息安全法律法规和标准、满足行业的监管与要求。下图为华为大企业信息安全解决方案技术框架图：大企业信息安全技术框架图安全解决方案特点及价值场景子解决方案子方案特点解决客户问题身份

7、认证与授权内网接入认证针对不同安全级别和类型的办公区域采取不同认证方式高安全要求：802.1x+Mac认证一般安全要求：Portal+Mac认证/SAGC方式内部无线办公要求:802.1x认证访客区域要求：portal认证对接入企业内网的终端进行身份识别，避免非法终端和外来终端的随意接入。外网接入认证丰富的身份认证，广泛的终端支持：提供本地认证/多种第三方认证/组合认证；灵活的授权管理，细粒度的授权访问：基于角色/资源关联的授权方式，可同步外部组的授权；基于接入终端安全等级的动态授权访问企业资源对以移动方式或从分支机构接入企业内网的远程终端或移动办公终端进行身份识别，确保接入的终端可信和可靠。

8、运维管理认证统一运维入口，实现单点登录统一身份、认证管理统一严格授权管理企业对内部运维人员访问核心系统进行认证与授权，确保核心资源不会随意被访问，导致信息被窃取。内网上网认证多种认证机制，灵活选择免认证（特权用户/外来人员）；手动认证（Web认证/终端认证）；自动认证（AD/TSM单点登录/网段认证）；本地账号/第三方账号认证（AD/LDAP/Radius/TSM）基于用户的精细权限控制网络应用/站点访问/信息外发/邮件等权限控制。对有内部上网行为的员工进行认证、授权以及监控，避免访问与工作无关的网站，违规或携带病毒木马的网站，导致企业内部网络被病毒入侵，同时提高工作效率。防泄密企业信息资产安

9、全管理企业信息资产统一管理信息资产集中管理，安全管控：信息资产权限管理、查阅管控、加密管控、追踪管控等。企业对所有信息资产进行统一管理、安全管控，防止信息泄密网络数据安全防护三种手段确保企业网络数据安全：VPN方案保证网络传输安全、企业业务数据分区、关键数据外发管控(ASG)保障公司网络传输数据安全，不被黑客监听和窃取、信息资产不会被从内部外发，导致内部泄密终端信息安全管控端口管理+文档加密+终端漏洞修复保证企业终端数据安全；通过沙箱技术保证BYOD终端数据安全避免因通过终端拷贝，网络共享，感染病毒等途径，导致机密信息资产泄密；同时确保用户通过移动设备访问公司资源时，与公司相关的资产信息不会遗

10、留到移动设备，导致信息泄密。泄密事件审计终端、网络、IT运维各方面共同对泄密事件进行审计，全网追踪溯源企业如何对所有泄密安全事件进行审计，追踪溯源，界定责任防攻击终端安全防护终端准入控制；一键式修复更新终端漏洞、补丁，保证终端安全可靠企业如何确保终端安全，避免内部和外部恶意攻击导致业务网络安全防护企业网络立体防护防DDoS攻击+防网络病毒+攻击入侵检测企业如何确保公司网络不遭受病毒、木马等恶意攻击，保障业务正常运行服务器安全防护四级防护，保障服务器安全；网络防护+攻击分析预警+主机防护+主机漏洞管理企业服务器如何进行整体防护，避免因重要资源服务器被攻击导致业务中断应用安全防护WEB防攻击：DD

11、oS攻击流量清洗+安全分区+页面防篡改；Email安全防护：邮件安全网关保障企业邮件安全保障web应用、E-mail应用的安全可靠，防止web应用被攻击，被篡改；防止邮件网关遭受攻击，进行垃圾邮件过滤，防止邮件钓鱼。防IT特权滥用防系统越权操作通过UMA实现统一认证、统一授权、统一审计，防止IT运维人员或业务管理人员越权操作避免IT运维人员或业务管理人通过自身IT权限访问核心业务系统，窃取机要信息。防数据越权访问虚拟机数据加密存储文档加密存储安全管理安全策略管理安全策略集中配置，批量下发，可视化操作企业如何进行安全策略的统一管理，如何对企业信息安全事件进行分析、预警、审计等；同时保证企业IT系

12、统遵从外部信息安全法律法规和标准、满足行业的监管与要求。安全运营管理提供安全事件分析、安全风险预警功能、安全运维管理功能安全合规审计记录操作过程，快速定位安全故障；为第三方审计机构提供审计报表和原始数据解决方案优势灵活的认证授权管理，支持泛终端、多认证方式，满足企业不同办公场景 认证方式灵活，支持多终端、多认证方式(MAC认证、802.1x认证、Portal认证、SACG网关认证)，用户无需关注接入终端类型，方便网络部署。 支持主流的外部认证平台进行联动认证，如AD、LDAP、USBKEY数字证书等。严密可靠的数据安全保护，确保信息资产不丢失 强大的动态加解密技术，为文档提供更高安全性；动态文

13、档权限管理，持久保护文档安全。 超过6500万URL/130种分类/13种语言，1200种应用/含300种移动应用的应用识别能力，助力员工高效办公、高速上网。 以检出率最高，检测最全面，web信誉领先的多重威胁防护体系，确保员工上网安全。 以及基于环境感知的网络接入控制，带给客户最简单，安全性高，无缝的接入体验；并根据策略阻止或是能应用的上传，下载；伴随注销时的临时文件和数据的无痕化擦除，减少数据泄密的风险。企业全网保护，性能无忧 全面检查终端健康状态，一键式自动修补策略漏、补丁下载安装，多种手段保证终端数据安全，包括外设接口管理控制、终端非法外联控制、USB存储设备加密、移动终端数据加密及远

14、程擦除等。 业界领先防DDoS攻击方案，有效检测流量型、应用型攻击；支持IPV6攻击防御；业界第一的攻击响应速度，秒级检测、秒级清洗；提供50万小时无故障运营保障，99.9999%可靠性，保证企业应用持久运行。 业界领先的URL过滤，6500万URL分类特征库以及实时9000万域名监控，高达96%的精准识别率；全面精准病毒查杀能力，可检测700多万种病毒，防御各种木马，蠕虫，恶意脚本等的威胁攻击，保障企业网络安全。 四层防护全面高效保障服务器安全：网络防御+主机防护（主机防火墙、主机防病毒、主机IPS）+主机漏洞管理(漏洞扫描、配置核查、补丁更新)。统一认证，统一授权，统一审计，避免企业IT特

15、权滥用 统一运维入口、账号集中管理、权限严格控制，定期审计，防止IT运维或业务管理人员滥用IT特权。 支持字符终端，图形终端，数据库，应用终端，文件传输以及KVM运维方式，几乎涵盖了所有的运维方式，完全满足数据中心运维管理的需要。业界领先的日志采集，事件智能分析，统一安全策略管理，提升安全运营管理效率 安全管理统一安全策略管理，安全策略集中配置，批量下发，操作简单高效，支持可视化运维诊断。 采用业界领先的并行处理技术实现海量日志数据的即时高效采集和分析。 强大关联分析引擎支持日志事件智能分析，实现安全事故预警及事后分析。解决方案涉及产品维度子安全解决方案相关产品身份认证与授权内网接入认证TSM

16、（终端安全管理系统）；外部认证源（Windows AD、Novell ED、IBM Tivoli、Sun One、JIT Galaxy、标准CSP接口的USBKEY）；USG2000/5000（SACG设备）；标准802.1X交换机（标准802.1X）；华为NAC交换机（扩展的802.1X、Portal认证）；外网接入认证SVN2000/5000（SSL VPN网关）；移动安全客户端（支持IOS、Android、Windows mobile、Blackberry操作系统）；MDM（管理平台）；运维管理认证UMA（堡垒主机，运维操作审计）；内网上网认证ASG（上网行为审计）；防泄密终端 （控制/

17、加密）TSM（终端安全管理）;MDM（管理平台）；网络（访问控制/防外发/防窃听）USG2100/2200/5500(统一安全网关)；ASG（上网行为管理）；DLP（数据泄露防护）；SVN2000/5000（移动办公接入网关）；服务器（智慧隔离/加密）USG2100/2200/5500(统一安全网关)；SVN2000/5000（移动办公接入网关）；VES（虚拟磁盘加密系统）；数据权限管理DSM（文档安全管理系统）；外部认证源（Windows AD、Novell ED、IBM Tivoli、Sun One、JIT Galaxy、标准CSP接口的USBKEY）；OIC（文件信息管控中心）；防攻击终

18、端AV（防病毒软件）；HIPS（基于主机的入侵防御系统）；HFW（主机防火墙）；TSM（终端安全管理系统）；网络USG2100/2200/5500(统一安全网关)；NIP 2000/5000（入侵检测/防护系统）；AMS1000/8000（抗DDoS攻击防护）；SVN2000/5000（SSL VPN网关）；ASG（上网行为管理）；AVE（防病毒网关）；服务器AV（服务器杀毒软件）NIP 2000/5000（入侵检测/防护系统）；漏扫（专业的漏洞扫描工具）；应用-Email应用-WEBIMSA（趋势WEB安全网关产品）NIP 2000/5000（入侵检测/防护系统）；WAF/防篡改(应用安全网

19、关)防IT特权滥用防系统越权操作USG2100/2200/5500(统一安全网关)；UMA（华为统一运维管理与审计平台）；NIP 2000/5000（入侵检测/防护系统）；SVN2000/5000（SSL VPN网关）；防数据越权访问UMA-DB（UMA数据库审计系统）；安全管理安全策略管理VSM（统一安全网管系统）；安全运营管理iSOC（统一安全管控中心）；漏扫（专业的漏洞扫描工具）；加固（专业加固产品）；安全合规审计iSOC（统一安全管控中心）；eLog（日志管理系统）；UMA（华为统一运维管理与审计平台）；UMA-DB（UMA数据库审计系统）；某汽车制造商内网终端安全解决方案：某汽车制造

20、商内网终端安全解决方案某汽车制造商内网安全的挑战某汽车制造上园区的网络规格庞大，接入终端分散，且访客和不安全终端随意接入问题比较突出终端数较多，防病毒和补丁防护措施实施困难，外设端口无法统一管理导致公司涉密信息外泄，办公行为也无法统一监管。解决方案部署华为TSM终端安全管理系统，通过在网络层部署专业安全接入控制网关，实现基于AD域帐号的身份认证和网络访问权限控制，保证企业内部每个终端的安全性和权限合理控制，保障企业终端、网络、核心资源的安全。客户收益解决了复杂环境下的内网准入控制问题，确保入网终端满足企业要求，降低信息泄密和病感染病毒的风险，提升办公效率，保证IT管理制度遵从性。项目建设快，投资少，维护简单，同时可以大大降低企业后期运营维护成本。某酒业集团分支与总部互联安全解决方案：某酒业集团VPN互联项目某酒业集团分支与总部互联的安全挑战某酒业集团日益发展扩大，办事处、分支机构、出差员工以及商业合作伙伴逐步增多，如何将这些小型的办公网络、移动办公员工和集团总部网络