电力行业信息安全体系建设

13
深厚的安全知识库积累
业务感知

WEB信誉

云端沙箱

应用识别6000 3倍于业界平均水平 主流应用协议全覆盖 支持热门加密P2P协议、Web2.0应 用、移动应用、微应用 快速响应定制化需求
云端实时分析4亿常用URL Web分类主库容量 >8500万 企业级Web分类种类 >80种
华为助力电力行业 信息安全建设
褚永刚 博士
华为企业业务BG 规划咨询部 总监 chuyonggang@huawei.com
目录
1 2 3
信息安全形势越来越严峻 华为在信息安全方面的能力积累
华为助力电力行业信息安全建设
1
信息安全问题与信息化建设如影随形
信息化
信息安全
• • •
提升业务/流程的效率 提升人的办公效率 贴近客户，提升客户体
数据中心 网络、应用、数据 三位一体的防护
移动办公安全
统一网络安全
数据中心安全
16
华为安全方案和产品总览
更易用的移动办公 更智能的下一代网络 更可信的云计算
移动办公解决方案

端到端安全及数据保护 完整的MDM+MAM 有线无线一体化策略
Actual 环境感知及管控
NG
云数据中心边界安全解决方案
• 信息安全架构遵循ISO 27001信息安全管理框架。 • 以管理为核心，预防为主，技术手段为支撑，法律威慑为 辅，从整体上构筑信息安全保障体系。 • 以风险管理为基础，在安全、效率和成本之间均衡考虑。 • 信息安全是“一把手工程”，必须领导重视，保证投入。 高层牵头，各级部门领导负责，全员参与，专人管理。 • 以保障业务的安全为目的和出发点。信息安全不单是信息 安全部门的事，也是业务部门的事。各级主管是信息安全 的第一责任人，组织学习，提升信息安全意识。 • 管理和技术并重；信息安全建设，重在执行和落实。 • IT策略可以是激进的，信息安全策略须是保守的。
6
业务系统对信息技术的依 赖程度不断加大。
目录
1 2 3
信息安全形势越来越严峻
华为在信息安全方面的能力积累
华为助力电力行业信息安全建设
7
华为在信息安全方面的积累
华为IT信息安全 实践 华为安全咨询和 服务 华为安全方案和 产品
• • • • •
防泄密 防特权 防攻击 技术 管理
• •
安全总体规划 等级保护建设 风险评估 渗透性测试
终端侧
Office based
园区
DMZ
数据中心
Enterprise WiFi
OA Server
办公终端
Enterprise 交换机
Non-Office based SSL/IPSec Pubilic WiFi
Firewall DDoS 上网行为管理 Firewall UTM 网络防病毒 IPS WEB应用安全
• • •
•
• • •
运维管理
应用开发 符合性
技术保障
业务目标
9
华为信息安全保障体系的关键点
信息安全组织 信息安全制度/策略 稽核与审计 奖惩
资产分类与保护
人员分类与管理
权限管理
物理安全
业务连续性 应急响应
合规性遵从
技术保障措施
信息安全文化/
信息安全意识
10
华为在信息安全建设方面的体会
信息安全：华为持续发展的基石
总部园区网
二级分支
前置区
NAC
NAC 专线
二级分支
IPSec VPN
ADSL
Route Firewall IPS/AV
前置区
DC
IPSec VPN SSL VPN
二级分支
Firewall AV IPS WEB应用安全
Firewall IPS WEB应用安全
Firewall AV IPS WEB应用安全
VPN网关
MDM
MAM
*
办公终端
Fra Baidu bibliotek
3G/4G
路由器
APP Server
接入控制
• NAC • 认证授权 • 安全检查
传输安全
• L3 VPN加密传输 • L4 VPN加密传输
威胁防护
• 攻击防范/DDoS • 网络防病毒 • IDS/IPS • 上网行为管理
数据保护
• 移动沙箱 • 反盗窃
设备&策略管理
园区核心
vSwitch 1
vSwitch N
VMX
App1 -----OS1
VM Z VM6
边界防火墙 eSight
AppN -----OSN
Internet
iSoC UMA
vGuard(vFW 、VES)
交换机
vSwitch 1
vSwitch N
安全管理
华为数据中心安全方案以业务安全为中心，倡导安全防护的高性能、专业化和虚拟化。 华为数据中心安全方案以业务安全为中心，提供专业的大容量和虚拟化安全防护能力。
华为安全产品的优势
可靠性、稳定性高
性能高、接口灵活
参数指标真实可信
与网络方案紧耦合
人数多、投入大
25
总结：华为愿助力电力行业信息安全建设
信息安全总体规划
信息安全保障体系建设
信息安全解决方案
Internet
区I (控制)
区 II (生产)
正向
IPS
USG
USG
USG USG
USG
USG
USG
调 控度 制 数 VP N 据 网
生 产 VP N
银行/气 象第三方 单位
管 理 VP N
管 理 信 息 网
信 息 VP N
USG
Internet 出口安全
2
USG
1
桌面安全
双 网 双 机 、 分 区 分 域 、 等 级 防 护 、 多 层 防 御
电厂/变电站
上/下级电力公司
21
华为安全产品全景图
安全服务
能 力 中 心
僵尸网络特征库 应用协议分类库 病毒/恶意代码特征库 垃圾邮件库 URL分类库 入侵/漏洞特征库
服 务 中 心
安全应急响应 在线升级平台 信誉评估中心
安全管理中心 安全管理服务 安全咨询
上网行为管理
WEB应用防火墙
防病毒网关
应用安全
20
电力安全解决方案整体框架
TSM
iSOC
安全管理
电力公司
安 全 分 区 、 网 区域隔离 络 4 专 用 、 横 向 纵向边界 隔 安全 离 3 、 纵 向 认 USG 证
调度中心
管理中心
内网办 公区
区 III (管理) 其它系统 三级系统域
域 反向
5
外网办 公区
区 IV (信息) 其它系统 二级系 域 统域
• 移动设备管理 • 统一策略管理
应用安全
• 安全SDK • 安全应用管理 • 应用无关沙箱
注：MAM特性会在14年Q1提供
18
华为下一代网络安全解决方案
广域网 分支园区网
一级分支机构
专线 Route Firewall IPS/AV
Route Firewall IPS/AV Route Firewall IPS/AV
基于Web沙箱技术识别未知恶意URL 独家Mobile沙箱，识别恶意应用 每周检测存活恶意网站>25万
每周检测存活恶意网站>25万

僵木蠕防护

病毒防护

入侵防御

已识别僵尸网络: 500+ 蠕虫识别：400+ 业界唯一的基于僵尸网络拓朴分析技术 的精确角色识别能力 僵尸工具圈养分析技术
•访问控制&端到端加密传输 • IDS/IPS
19
数据中心网络安全解决方案
服务器和存储接入
VM A VM1 VM C VM2 ASG DDoS
App1 -----OS1 AppN -----OSN
数据中心网络服务区 FW IDS LB WAF
外联区/DMZ
SVN
vGuard(vFW 、VES)
核心 交换机
能提供正常的服务。
5
安全攻击的新特点
APT攻击 有组织 有预谋 DDoS攻击 攻击实施 更简单 攻击手段 更隐蔽 攻击规模 更大 攻击目的 更趋利 隐蔽性 强 潜伏期 长 持续性 强 目标性 强
更多应用
层攻击
总体特点
攻击技术没有质的变化。 但攻击更多利用0日漏洞。 攻击更趋利益化， 或者政治化，目标性强。
防泄密
防特权
11
防攻击
华为公司信息安全业务发展历程
• 华为企业业务BG 企业网络产品线
• 安全规划、安全研发、安全营销 • 主要面向企业网市场， 同时服务于运营商市场
4
3
华赛
UTM, 防DDoS, SSL VPN, IPS,CGN 2012.4
企业网络产 品线
NGFW, SWG
1
开始安全研发
高端FW/VPN, DSM 2008
存储与网络 安全产品线
2
防火墙, IPsec VPN,IDS,TSM 2000
12
2006
华为信息安全咨询与服务能力积累
参照华为信息安全 实践的大企业信息 安全保障体系建设 规划服务
基于等级保护基本 要求的等级保护建 设整改咨询服务
•
风险评估（漏洞扫描、渗透性测试）
•
ISO/IEC 27001 合规检查
Firewall IPS
DC
3G/4G
直属机关
ADSL 3G
DMZ
数据中心
广域安全互联
• 灵活互联方式与多业务承载 • 网络病毒，恶意攻击防御，阻断 • IPSec VPN加密传输 • SSL VPN加密传输 • 基于用户与应用管控 • 完善QOS保障
全面网络安全防护
• 攻击防范/DDoS • 上网行为管理
ASG2100/2200 ASG2600/2800 WAF2230/5520/5530 AVE2200 AVE2600/2800
安全接入网关
入侵检测防御系统
DDoS攻击防护
网络安全
SVN2000 统一威胁管理
SVN5000
NIP2000/5000
AntiDDoS1000/8000
统一威胁管理
下一代防火墙
覆盖范围全：
公安部、工信部、保密局、密 码局、信息安全测评中心、信 息安全认证中心、军队等前面 覆盖
认证等级高：
EAL、ISCCC等均获得最高等
级认证
认证国际化：
独有 ICSA Labs、Westcoast
等海外权威安全机构认证
23
华为安全在业界的认知度
IDC China UTM
MQ for FW 2013
高性能保护

数据中心边界安全 海量DDoS威胁防护 WEB业务保护
智能管理
未知威胁防护
MDM
MAM
+ UTM 系列
NGFW系列
Anti-DDoS
WAF
Anti-DDoS
安全APP
终端安全套件
AV网关
上网行为管理
IPS&IDS
SSL VPN
T级 云安全网关
17
AnyOffice BYOD安全解决方案
Nemertes 2012 Market Challenger
Frost&Sullivan 2012

国内市场份额领先：UTM/FW排名 领先

中国首家进入Gartner FW /UTM MQ

连续获得国际安全奖项
Source: IDC 2012.04
24
Source: Gartner MQ for Enterprise Nerwork Firewalls
数据中心安全网关
USG2110/2100/2200
USG5100/5500
USG3000/6000
USG9500
终端安全
终端安全管理
TSM
移动终端客户端
AnyOffice
安全管理
统一网络管理
eSight
安全管理中心
iSOC
UMA/UMA-DB
统一运维审计
文档安全管理
DSM
视频搜索系统
OMM
22
华为安全产品资质
• • • • •
防火墙/VPN 防DDoS IPS 防病毒网关 上网行为管理
整改
• •
8
华为信息安全保障体系框架
企业业务要求
国家法规 要求
驱动
• • •
组织 策略
信息安全组织 监控 审计 制定 信息安全政策 制度，流程 技术保障措施 人员 使用 保障 信息 资产 监控 审计
人员
资产分类与保护 物理安全 业务连续性
•
信息化程度越高，信息
没有信息安全的保障，
安全挑战越大。
•
验
信息化就是“裸奔”。
2
信息安全总体形势日益严峻
业务越来越依赖信息科技
网络攻击已上升到国家层面
业务连续性保障压力凸显
信息泄密事件时有发生
3
快速变化的信息科技对既有安全体系带来挑战
云化 虚拟化 服务器，存储，网络
（边界重构与隔离）
IaaS，PaaS，SaaS
华为助力电力行业信息安全建设
15
华为企业安全业务定位
研发部
Web服务
Internet
邮件服务 市场部 云桌面计算服务 客户服务
ERP服务
移动办公 在安全的条件下将企业 IT资源提供给正确的人
分支互联 以最经济和安全的方式 提供分支互联
广域 高效、安全的 应用传输网络
园区网络 基于企业应用和员工身 份的统一安全策略
全新安全体验，高性能流扫描引擎 基于沙箱技术筛选海量样本，识别 未知病毒 实时更新病毒库，覆盖流行高危恶 意软件
零日攻击智能识别 基于漏洞与行为分析的攻击检测技术 基于上下文语义还原的防躲避技术 零误报，BPS L3检测率>85%


14
目录
1 2 3
信息安全形势越来越严峻
华为在信息安全方面的能力积累
（数据机密性，应用可用性）
移动化/BYOD
无线网络覆盖（通信安全）
大数据
配发PAD/专用设备开展业务
（数据与应用隔离，设备丢失）
海量信息中获取价值信息
（法规遵从，隐私保护）
4
新攻击行为带来的安全威胁
APT攻击 DDoS攻击
• •
窃取机密信息 破坏目标系统，特别
•
使目标系统瘫痪，不
是国家重要的基础设施