數據支撐網絡DCN(數據通信網絡)經過多年建設,已成為目前主要的內部系統承載網絡,承載的系統包括了計費、MIS、OA、經營分析、短信、電子運維、靜態資源管理、網管系統等等,是一個綜合的承載網,與各個業務子系統都有接口,并且已經延伸到省內的各縣市公司和主要機房。
目前,DCN(數據通信網絡)上的各種業務應用無序繁雜,彼此互通,各種不同安全等級的設備沒有實施隔離,使病毒、非法入侵、IP沖突、廣播風暴等越來越對業務安全運營服務造成威脅。市場競爭日益激烈,在運營商市場上惡性競爭、商業間諜、企業經營機密、客戶資料泄密的事件越來越多,保障DCN網絡的正常運轉和其承載的信息安全是使企業在激烈的市場競爭中利于不敗的必要條件。
華為i3SAFE信息安全服務模型糅合了安全領域三大國際標準(ISO7799、ISO7498-2、SSE-CMM),以策略為核心,以管理為重點、以技術為支撐、以工程方法論為指導,為客戶提供以電信級業務為核心的電信級安全解決方案,為客戶創建立體的安全防御體系,全面保障電信業務的持續運營。電信級的專業解決方案
i3-SAFE信息安全架構
華為i3-SAFE信息安全架構糅合了安全領域三大國際標準 (ISO17799,ISO7498-2,ISO7498-2),以業務為中心,整網統一規劃(包括支撐網、運營網、OA),分期逐級實現;以業務劃分網絡,解析網絡特點,定制安全策略;以風險管理為基礎,綜合考慮安全、性能、可管理、可擴展和成本等因素;融合安全技術、安全管理和安全工程;兼顧保障網絡、設備安全和開展安全業務。
安全域劃分
數據網絡安全域劃分從網絡域入手,依照安全域理論將數據網絡劃分為網絡域、計算域、用戶域、公共外部接口區、安全服務域、跨子域數據交換區:
網絡域:為業務系統提供承載平臺,是整個數據網絡的基礎。
計算域:基于MPLSVPN技術,以每一個site為一個安全域基本單位。安全域等級根據資產分類、識別及防護等級定義,據此對site進行分類,同類site之間共享同等安全防護強度。系統業務之間互訪不需通過防火墻,而跨業務的訪問需要通過防火墻。
用戶域:將風險源與計算域分開,根據權限最小化安全原則進行終端的網絡授權訪問,精確的控制“誰、可以做什么、誰、什么時候、去那里、做了什么”,實施完善的逆向審計措施,保持系統對使用者的約束力,使得安全責任得到切實實行。同時,為了避免終端之間的相互感染和病毒感染,還可以考慮利用PUPV技術,結合安全認證網關MA5200F/G,使得所有終端兩兩相互隔離。
公共外部接口區和安全服務域:統一的管理各個業務的對外接口,避免出現“非正規的后門”連接,導致出現不可控的安全風險;同時統一的接口還利于部署統一的安全策略,避免各個業務部門獨立部署的成本過高、過多依賴個人技術水平和策略不統一造成的對接問題。總之,這兩個區域為數據網絡的各個業務提供了安全的服務,并明確了各個業務和網絡平臺部門之間的安全責任,有利于安全的管理。
數據交換區:計算域細分后各個細分域之間并不是沒有業務聯系的,他們之間有互通的需求,為了滿足這種需求我們通過建立MPLSVPN的HUB節點,建立各個細分安全域之間的可信通道來滿足各個細分域之間的通信需求。
DCN的正常運轉,保障DCN網絡上承載的信息安全,是支撐企業業務正常運行,使企業在激烈的市場競爭中利于不敗的必要條件。數據網絡安全解決方案給用戶帶來的收益:
1、網絡優化保障用戶數據網絡的業務提供能力、可靠性、可擴展性
2、安全域劃分保障數據網絡承載各業務系統有效隔離
3、邊界整合保障業務間的安全互通
4、INTERNET邊界防護保障上網安全,防護INTERNET帶來的攻擊
5、終端安全防護保障安全接入以及終端自身安全
6、各個子域安全需求分析和產品部署,實現定制化安全,全面滿足用戶需求。
DCN安全解決方案幫助客戶建立整體安全體系,規范數據網絡標準和組網原則;提高了運維管理能力,規范全網管理,增加了系統無故障運行的可能性;提高整體的服務水平,提升網絡整體服務品質,打造出精品DCN網絡。
華為公司作為電信運營商的長期合作伙伴,更了解運營商的業務和系統的安全需求和業務發展,提高DCN網絡安全性,保證業務正常可靠運行,讓客戶將更多的精力投入到業務運營發展上去是我們共同的目標。
