内容摘要:华为i3SAFE信息安全服务模型糅合了安全领域三大国际标准(ISO7799、ISO7498-2、SSE-CMM),以策略为核心,以管理为重点、以技术为支撑、以工程方法论为指导,为客户提供以电信级业务为核心的电信级安全解决方案,为客户创建立体的安全防御体系,全面保障电信业务的持续运营
数据支撑网络DCN(数据通信网络)经过多年建设,已成为目前主要的内部系统承载网络,承载的系统包括了计费、MIS、OA、经营分析、短信、电子运维、静态资源管理、网管系统等等,是一个综合的承载网,与各个业务子系统都有接口,并且已经延伸到省内的各县市公司和主要机房。
目前,DCN(数据通信网络)上的各种业务应用无序繁杂,彼此互通,各种不同安全等级的设备没有实施隔离,使病毒、非法入侵、IP冲突、广播风暴等越来越对业务安全运营服务造成威胁。市场竞争日益激烈,在运营商市场上恶性竞争、商业间谍、企业经营机密、客户资料泄密的事件越来越多,保障DCN网络的正常运转和其承载的信息安全是使企业在激烈的市场竞争中利于不败的必要条件。
华为i3SAFE信息安全服务模型糅合了安全领域三大国际标准(ISO7799、ISO7498-2、SSE-CMM),以策略为核心,以管理为重点、以技术为支撑、以工程方法论为指导,为客户提供以电信级业务为核心的电信级安全解决方案,为客户创建立体的安全防御体系,全面保障电信业务的持续运营。电信级的专业解决方案
i3-SAFE信息安全架构
华为i3-SAFE信息安全架构糅合了安全领域三大国际标准(ISO17799,ISO7498-2,ISO7498-2),以业务为中心,整网统一规划(包括支撑网、运营网、OA),分期逐级实现;以业务划分网络,解析网络特点,定制安全策略;以风险管理为基础,综合考虑安全、性能、可管理、可扩展和成本等因素;融合安全技术、安全管理和安全工程;兼顾保障网络、设备安全和开展安全业务。
安全域划分
数据网络安全域划分从网络域入手,依照安全域理论将数据网络划分为网络域、计算域、用户域、公共外部接口区、安全服务域、跨子域数据交换区:
网络域:为业务系统提供承载平台,是整个数据网络的基础。
计算域:基于MPLSVPN技术,以每一个site为一个安全域基本单位。安全域等级根据资产分类、识别及防护等级定义,据此对site进行分类,同类site之间共享同等安全防护强度。系统业务之间互访不需通过防火墙,而跨业务的访问需要通过防火墙。
用户域:将风险源与计算域分开,根据权限最小化安全原则进行终端的网络授权访问,精确的控制“谁、可以做什么、谁、什么时候、去那里、做了什么”,实施完善的逆向审计措施,保持系统对使用者的约束力,使得安全责任得到切实实行。同时,为了避免终端之间的相互感染和病毒感染,还可以考虑利用PUPV技术,结合安全认证网关MA5200F/G,使得所有终端两两相互隔离。
公共外部接口区和安全服务域:统一的管理各个业务的对外接口,避免出现“非正规的后门”连接,导致出现不可控的安全风险;同时统一的接口还利于部署统一的安全策略,避免各个业务部门独立部署的成本过高、过多依赖个人技术水平和策略不统一造成的对接问题。总之,这两个区域为数据网络的各个业务提供了安全的服务,并明确了各个业务和网络平台部门之间的安全责任,有利于安全的管理。
数据交换区:计算域细分后各个细分域之间并不是没有业务联系的,他们之间有互通的需求,为了满足这种需求我们通过建立MPLSVPN的HUB节点,建立各个细分安全域之间的可信通道来满足各个细分域之间的通信需求。
DCN的正常运转,保障DCN网络上承载的信息安全,是支撑企业业务正常运行,使企业在激烈的市场竞争中利于不败的必要条件。数据网络安全解决方案给用户带来的收益:
1、网络优化保障用户数据网络的业务提供能力、可靠性、可扩展性
2、安全域划分保障数据网络承载各业务系统有效隔离
3、边界整合保障业务间的安全互通
4、INTERNET边界防护保障上网安全,防护INTERNET带来的攻击
5、终端安全防护保障安全接入以及终端自身安全
6、各个子域安全需求分析和产品部署,实现定制化安全,全面满足用户需求。
DCN安全解决方案帮助客户建立整体安全体系,规范数据网络标准和组网原则;提高了运维管理能力,规范全网管理,增加了系统无故障运行的可能性;提高整体的服务水平,提升网络整体服务品质,打造出精品DCN网络。
华为公司作为电信运营商的长期合作伙伴,更了解运营商的业务和系统的安全需求和业务发展,提高DCN网络安全性,保证业务正常可靠运行,让客户将更多的精力投入到业务运营发展上去是我们共同的目标。
