华为运营商安全解决方案易建超华为企业网络产品线产品总监运营商安全所面临的挑战及投资驱动力⏹降低设备运行故障时间⏹抵御显著增加的垃圾邮件内容 ⏹抵御显著产生的安全攻击威胁 ⏹提高抵御未知威胁能力 ⏹保护客户数据防止窃取⏹适应显著上升的骨干网络流量 ⏹适应移动网络流量增长趋势 ⏹数据中心升级扩容⏹基于云的安全解决方案诉求 ⏹增加新的收入来源⏹保证原有服务的持续竞争力威胁防护隐私保护网络发展增加收益安全威胁增多 用户隐私泄露网络不断演进 盈利能力有限面向大数据流量的下一代安全SolutionAbilityTopic数据中心安全 管道安全 IT 信息安全 安全运营FBB MBB LTE CGN AntiDDoS身份安全 数据安全 虚拟化安全 网络与边界安全防攻击 防泄密 防特权安全增值华为安全能力和愿景华为安全案例1Clean Pipe 管道安全运营商当前网络威胁CloudCore & IGWMetro & CoreTerminal & AccessEnterprise Finance MetroNPEPEPEIP/MPLSCore2G BTS3G NodeB 4G eNodeBBackhaulSGSN GGSNPS domainEPCBSC/RNC IP/MPLSCoreInternetIDCIPTVIMSTrafficInterceptionPPBRASUnauthorizedAccessSCTPVulnerabilityDDoS AttackWorm, Trojan,VirusUntrustTrafficIPv4 ExhaustionWorm, Trojan, VirusDDoS AttackWorm, Trojan,VirusIPv4Exhaustion管道网络升级MBB 管道安全 华为“ Clean Pipe ” 管道安全方案FBB 管道安全安全域隔离 固网DDOS 防护LTE IPSec 加密 SCTP 安全防护 移动网DDOS 防护 SGi 安全防护CGN 和日志溯源华为运营商固定网络防护PE-AGGHGAccess NodeDSLAMBRASBRASHGNPEAccessInternetHead-endVoD ServerTERMINALACCESSMETRO CORE & IGW MetroPE-AGGNPEBusinessCorporateCPECLOUDGPONAccess•NAT44/NAT444•DS-Lite/NAT64/6RDIPv6 MigrationAnti-DDoSAccess Sec•Firewall for unauthorized access•TCP Flood/UDP Flood •HTTP Flood •HTTPS DDoSCorePPISP-PEISP-PE华为运营商移动网络防护SGWIMSNon-Trusted DomainFirewallEPC Trusted DomainIP BackhaulNon-Trusted DomainIP Transport CoreInternetNMSSeGW•SCTP packets flooding and SCTP state checking.SCTP SecSGi ProtectionIPsec•Illegal devices access•Signal and user traffic leakage•Intrusion from internetattack.•Exhaustion for limitation public IP resource.IPv6 Evaluation华为CGN 解决方案2010 IPv6 commercialInternet scaleIPv4 address2016InitialingDevelopingDeveloped2012 2014 Network development needs IPv6Network development needs IPv6IPv4IPv4IPv4IPv4& IPv6IPv6IPv6IPv6Evaluation of network Evaluation of network.• IPv4 firewall• Carrier grade NAT• IPv4/IPv6 Dual-stack FW • NAT444•IPv6 DDoS •DS-Lite•IPv6 IPS •NAT64IPv6 internetIPv4 internetv4v4v4 v6 v4 v6 v6 v4v6v4v4v4v4华为运营商管道网络升级2数据中心安全安全是IDC 客户最大的担忧云计算大潮已经到来,安全问题是阻碍云计算发展的最大障碍Gartner 报告显示用户几个担忧都与安全有关!报告显示超过24小时的DDoS 攻击,每次造成近80万美金的损失管道安全数据中心安全 IT 信息安全 安全运营传统数据中心安全威胁◆ 身份与安全管理 帐号盗用,身份仿冒,违规操作,权限滥用◆ 应用与数据安全 SQL 注入、跨站等针对应用层的攻击已经成为安全最大的威胁。
破坏数据的机密性、完整性和可用性。
◆系统与主机威胁 病毒蠕虫等将占用系统资源、破坏文件和数据。
恶意用户也会利用本地漏洞和配置错误来获取额外权限。
◆网络与边界安全 针对网络层的攻击,如拒绝服务、漏洞扫描等。
密码破解权限滥用盗号违规操作SQL 注入 跨站攻击 数据泄露 蠕虫病毒僵尸网络漏洞扫描木马拒绝服务CC 攻击安全威胁云IDC 环境下还存在新的威胁资源池层虚拟化平台物理 设备服务器 存储 网络应用系统办公应用 管理应用 业务应用PORTAL基础软件数据库应用 中间件操作 系统◆身份与安全管理应用系统和资源所有权的分离,导致云平台管理员可能访问用户数据◆应用与数据安全不同安全需求的租户可能运行在同一台物理机上,传统安全措施难以处理◆系统与虚拟化安全虚拟化平台运行在操作系统与物理设备之间,其设计和实现中存在漏洞风险◆网络与边界安全网络边界的模糊化,威胁种类的变化以及大流量的DDoS 攻击除传统威胁外,虚拟化、多租户和特权用户问题使得云IDC 面临更大风险!全方位层次化的数据中心安全方案办公Internet生产 边界安全防护⏹通过业务感知实现IDC 业务可视化⏹通过FW/Anti-DDoS 防御外界攻击 ⏹通过IPSec/SSL VPN 提供安全接入虚拟层安全防护 ⏹通过虚拟化平台确保VM 资源隔离 ⏹通过安全虚拟机实现VM 流量的安全管理及防护内网深度防御⏹通过vFW 实现多租户安全 ⏹通过IPS 对流量深度防御DC 出口DMZDC 核心网络Management zone⏹ 2~7 层深度防护⏹ 层次化安全部署通过对边界、内网、虚拟层的层次化深度防护,实现对数据中心网络的全方位保护及统一安全管理。
防火墙IPS/IDSAnti-DDoSSIG 业务感知IPSec/ SSLVPNAnti-virus安全管理3IT信息安全企业信息化面临的安全挑战内部泄密◆ 企业技术方案、代码、市场运作、财务数据、公司策略等机密资料越来越有有价值 ◆ 内部员工可能会将机密信息转移出去,销售给竞争对手◆ 泄密手段多样化,如终端拷贝、打印,邮 件、web 网络等IT 特权滥用◆IT 运维人员可以接触公司的各种机密数据,泄密更容易◆企业管理人员IT 特权滥用,导致机密资料有意或无意泄露恶意攻击◆ 攻击终端:通过网络攻击在终端置入木马,窃取机密信息 ◆ 攻击服务器:通过攻击服务器获取权限,窃取信息数据◆ 攻击网络和服务:造成网络不畅,甚至网络瘫痪安全管理◆ 网络设备多,安全事件独立,无法端到端分析安全事件◆ 当安全事件发生时,如何快速定位解决并分析回溯◆ 安全策略如何集中快速部署完善的信息安全体系指导企业信息安全建设安全技术框架安全政策框架安全治理Governance风险管理 Risk Management法规遵从 Compliance风险评估 风险控制审核和批准行业标准 遵从检查 遵从测试安全能力管理框架SSE 过程安全度量体系安全过程评估安全知识管理安全运行管理框架防泄密防攻击 防IT 特权 策略方针 规定标准 流程 业务连续性 培训事件管理 配置管理变更管理安全组织框架信息安全管理委员会信息安全部 信息中心安全管理部普通员工漏洞管理补丁管理事件管理日志管理配置管理用户管理安全设施运行管理安全管理外部信息安全顾问信息安全审计部门安全管理安全管理————IT安全治理与合规防特权防特权————权限滥用管控权限滥用管控防泄密防泄密————信息的安全信息的安全防攻击防攻击————基础设施保护基础设施保护终端AV/HIPS/HFWTSM服务器AV/IPS漏扫网络USG/NIP/Anti-DDoS/SVN/ASG/AVG应用-WEBWAF/防篡改/NIP身份认证与授权终端(控制/加密)TSM/MDM策略管理VSM/x Manager 安全监控iSOC/漏扫/加固合规审计iSOC/eLog/UMA/UMA-DB防IT特权滥用ITOC(USG/UMA/IPS/SVN)外网接入认证SVN内网上网认证ASG运维管理认证UMA内网接入认证TSM/SACG基础认证组件PKI/SecureID/ LDAP/USBkey应用-EmailIMSA/NIP 网络(访问控制/防外发/防窃听)USG/ASG/DLP/SVN服务器(智慧隔离/加密)USG/SVN/VES数据权限管理DSM/OIC防数据库特权滥用UMA-DB信息安全技术框架4安全运营安全运营将成为运营商收入的一个增长点MSS (可管理安全服务):以SOC 平台为基础、安全技术服务体系为核心,从远端的安全运营中心管理、监控企业的IT 安全信息、资产和流程,面向信息资产的安全事件统一管理的服务☐ 缺乏专业的安全技术人员,网管、系统管理员难以完成安全管理工作; ☐ 发生安全事件后无法及时发现;☐ 发现问题后没有能力处理,导致事件影响严重; ☐ 发生事故后缺乏分析与总结,同类事件多次发生;安全问题安全状况的实时监控安全事件的及时知晓 安全事故的迅速处理 重要事件的分析溯源 安全管理水平的提升安全态势的总结分析 安全需求管理型安全服务 安全事件监控安全威胁预警 安全风险管理 安全通告应急响应与处置 功能性安全服务 安全扫描 安全过滤 安全评估 安全防护服务内容 Interne t tA通过海量事件处理 发现真正的安全威胁路由器防火墙入侵检测(IDS )服务器交换机收集代理⏹安全需求 ⏹服务模式SecaaS ( Security as a Service ):云安全服务,安全服务提供商通过建立云,把安全当成一种服务提供给客户,如邮件过滤、WEB 过滤、病毒检测等。