电力行业信息安全体系建设
6
业务系统对信息技术的依 赖程度不断加大。
目录
1 2 3
信息安全形势越来越严峻
华为在信息安全方面的能力积累
华为助力电力行业信息安全建设
7
华为在信息安全方面的积累
华为IT信息安全 实践 华为安全咨询和 服务 华为安全方案和 产品
• • • • •
防泄密 防特权 防攻击 技术 管理
• •
安全总体规划 等级保护建设 风险评估 渗透性测试
Nemertes 2012 Market Challenger
Frost&Sullivan 2012
国内市场份额领先:UTM/FW排名 领先
中国首家进入Gartner FW /UTM MQ
连续获得国际安全奖项
Source: IDC 2012.04
24
Source: Gartner MQ for Enterprise Nerwork Firewalls
能提供正常的服务。
5
安全攻击的新特点
APT攻击 有组织 有预谋 DDoS攻击 攻击实施 更简单 攻击手段 更隐蔽 攻击规模 更大 攻击目的 更趋利 隐蔽性 强 潜伏期 长 持续性 强 目标性 强
更多应用
层攻击
总体特点
攻击技术没有质的变化。 但攻击更多利用0日漏洞。 攻击更趋利益化, 或者政治化,目标性强。
总部园区网
二级分支
前置区
NAC
NAC 专线
二级分支
IPSec VPN
ADSL
Route Firewall IPS/AV
前置区
DC
IPSec VPN SSL VPN
二级分支
Firewall AV IPS WEB应用安全
Firewall IPS WEB应用安全
Firewall AV IPS WEB应用安全
园区核心
vSwitch 1
vSwitch N
VMX
App1 -----OS1
VM Z VM6
边界防火墙 eSight
AppN -----OSN
Internet
iSoC UMA
vGuard(vFW 、VES)
交换机
vSwitch 1
vSwitch N
安全管理
华为数据中心安全方案以业务安全为中心,倡导安全防护的高性能、专业化和虚拟化。 华为数据中心安全方案以业务安全为中心,提供专业的大容量和虚拟化安全防护能力。
• 信息安全架构遵循ISO 27001信息安全管理框架。 • 以管理为核心,预防为主,技术手段为支撑,法律威慑为 辅,从整体上构筑信息安全保障体系。 • 以风险管理为基础,在安全、效率和成本之间均衡考虑。 • 信息安全是“一把手工程”,必须领导重视,保证投入。 高层牵头,各级部门领导负责,全员参与,专人管理。 • 以保障业务的安全为目的和出发点。信息安全不单是信息 安全部门的事,也是业务部门的事。各级主管是信息安全 的第一责任人,组织学习,提升信息安全意识。 • 管理和技术并重;信息安全建设,重在执行和落实。 • IT策略可以是激进的,信息安全策略须是保守的。
存储与网络 安全产品线
2
防火墙, IPsec VPN,IDS,TSM 2000
12
2006
华为信息安全咨询与服务能力积累
参照华为信息安全 实践的大企业信息 安全保障体系建设 规划服务
基于等级保护基本 要求的等级保护建 设整改咨询服务
•
风险评估(漏洞扫描、渗透性测试)
•
ISO/IEC 27001 合规检查
ASG2100/2200 ASG2600/2800 WAF2230/5520/5530 AVE2200 AVE2600/2800
安全接入网关
入侵检测防御系统
DDoS攻击防护
网络安全
SVN2000 统一威胁管理
SVN5000
NIP2000/5000
AntiDDoS1000/8000
统一威胁管理
下一代防火墙
•访问控制&端到端加密传输 • IDS/IPS
19
数据中心网络安全解决方案
服务器和存储接入
VM A VM1 VM C VM2 ASG DDoS
App1 -----OS1 AppN -----OSN
数据中心网络服务区 FW IDS LB WAF
外联区/DMZ
SVN
vGuard(vFW 、VES)
核心 交换机
20
电力安全解决方案整体框架
TSM
iSOC
安全管理
电力公司
安 全 分 区 、 网 区域隔离 络 4 专 用 、 横 向 纵向边界 隔 安全 离 3 、 纵 向 认 USG 证
调度中心
管理中心
内网办 公区
区 III (管理) 其它系统 三级系统域
域 反向
5
外网办 公区
区 IV (信息) 其它系统 二级系 域 统域
数据中心 网络、应用、数据 三位一体的防护
移动办公安全
统一网络安全
数据中心安全
16
华为安全方案和产品总览
更易用的移动办公 更智能的下一代网络 更可信的云计算
移动办公解决方案
端到端安全及数据保护 完整的MDM+MAM 有线无线一体化策略
Actual 环境感知及管控
NG
云数据中心边界安全解决方案
Internet
区I (控制)
区 II (生产)
正向
IPS
USG
USG
USG USG
USG
USG
USG
调 控度 制 数 VP N 据 网
生 产 VP N
银行/气 象第三方 单位
管 理 VP N
管 理 信 息 网
信 息 VP N
USG
Internet 出口安全
2
USG
1
桌面安全
双 网 双 机 、 分 区 分 域 、 等 级 防 护 、 多 层 防 御
覆盖范围全:
公安部、工信部、保密局、密 码局、信息安全测评中心、信 息安全认证中心、军队等前面 覆盖
认证等级高:
EAL、ISCCC等均获得最高等
级认证
认证国际化:
独有 ICSA Labs、Westcoast
等海外权威安全机构认证
23
华为安全在业界的认知度
IDC China UTM
MQ for FW 2013
• 移动设备管理 • 统一策略管理
应用安全
• 安全SDK • 安全应用管理 • 应用无关沙箱
注:MAM特性会在14年Q1提供
18
华为下一代网络安全解决方案
广域网 分支园区网
一级分支机构
专线 Route Firewall IPS/AV
Route Firewall IPS/AV Route Firewall IPS/AV
华为助力电力行业信息安全建设
15
华为企业安全业务定位
研发部
Web服务
Internet
邮件服务 市场部 云桌面计算服务 客户服务
ERP服务
移动办公 在安全的条件下将企业 IT资源提供给正确的人
分支互联 以最经济和安全的方式 提供分支互联
广域 高效、安全的 应用传输网络
园区网络 基于企业应用和员工身 份的统一安全策略
VPN网关
MDM
MAM
*
办公终端
3G/4G
路由器
APP Server
接入控制
• NAC • 认证授权 • 安全检查
传输安全
• L3 VPN加密传输 • L4 VPN加密传输
威胁防护
• 攻击防范/DDoS • 网络防病毒 • IDS/IPS • 上网行为管理
数据保护
• 移动沙箱 • 反盗窃
设备&策略管理
终端侧
Office based
园区
DMZ
数据中心
Enterprise WiFi
OA Server
办公终端
Enterprise 交换机
Non-Office based SSL/IPSec Pubilic WiFi
Firewall DDoS 上网行为管理 Firewall UTM 网络防病毒 IPS WEB应用安全
全新安全体验,高性能流扫描引擎 基于沙箱技术筛选海量样本,识别 未知病毒 实时更新病毒库,覆盖流行高危恶 意软件
零日攻击智能识别 基于漏洞与行为分析的攻击检测技术 基于上下文语义还原的防躲避技术 零误报,BPS L3检测率>85%
14
目录
1 2 3
信息安全形势越来越严峻
华为在信息安全方面的能力积累
• • •
•
• • •
运维管理
应用开发 符合性
技术保障Байду номын сангаас
业务目标
9
华为信息安全保障体系的关键点
信息安全组织 信息安全制度/策略 稽核与审计 奖惩
资产分类与保护
人员分类与管理
权限管理
物理安全
业务连续性 应急响应
合规性遵从
技术保障措施
信息安全文化/
信息安全意识
10
华为在信息安全建设方面的体会
信息安全:华为持续发展的基石
华为助力电力行业 信息安全建设
褚永刚 博士
华为企业业务BG 规划咨询部 总监 chuyonggang@
目录
1 2 3
信息安全形势越来越严峻 华为在信息安全方面的能力积累
华为助力电力行业信息安全建设
1
信息安全问题与信息化建设如影随形
信息化
信息安全
• • •
提升业务/流程的效率 提升人的办公效率 贴近客户,提升客户体
