構(gòu)筑主動(dòng)防御體系-護(hù)航電視臺(tái)信息化建設(shè)

構(gòu)筑主動(dòng)防御的等保合規(guī)體系，護(hù)航電視臺(tái)信息化建設(shè)何平|華為安全產(chǎn)品領(lǐng)域市場(chǎng)總監(jiān)近年來(lái)電視臺(tái)攻擊頻繁發(fā)生2015年4月8日，法國(guó)電視臺(tái)TV5Monde遭到來(lái)自ISIS擁護(hù)者、黑客組織CyberCaliphate的大規(guī)模網(wǎng)絡(luò)攻擊，電視臺(tái)廣播傳輸渠道被入侵，11個(gè)頻道全部被黑，大量信息傳輸中斷長(zhǎng)達(dá)數(shù)小時(shí)，攻擊原因是不滿(mǎn)法國(guó)總統(tǒng)Hollande參加國(guó)際反恐行動(dòng)。官網(wǎng)被黑傳輸渠道被黑感染勒索病毒2010年12月10日，X省廣播電視總臺(tái)官網(wǎng)被非法控制，上傳黑客軟件，攻擊其他計(jì)算機(jī)，導(dǎo)致X省廣播電視總臺(tái)的官方網(wǎng)站藍(lán)網(wǎng)近20個(gè)小時(shí)無(wú)法正常運(yùn)轉(zhuǎn)，使該臺(tái)10月12日晚20：00-22：00舉辦的網(wǎng)上同步直播節(jié)目受到嚴(yán)重干擾。2017年4月，美國(guó)舊金山主流公共廣播電視臺(tái)KQED遭遇大規(guī)模勒索軟件攻擊，預(yù)先錄好的影像片段遭到清除。該攻擊及其造成的破壞非常嚴(yán)重，KQED高級(jí)編審稱(chēng)，該電視臺(tái)一朝回到20年前。網(wǎng)絡(luò)安全法、等保2.0相繼頒布，推動(dòng)電視臺(tái)等保加速實(shí)施2017年6月中國(guó)《網(wǎng)絡(luò)安全法》正式實(shí)施2019年5月13日正式發(fā)布等保2.0規(guī)范等保2.0安全通用要求云計(jì)算安全擴(kuò)展要求移動(dòng)互聯(lián)安全擴(kuò)展要求工業(yè)控制系統(tǒng)安全擴(kuò)展要求物聯(lián)網(wǎng)安全擴(kuò)展要求各級(jí)電視中心播出相關(guān)信息系統(tǒng)安全保護(hù)等級(jí)要求各級(jí)電視中心播出相關(guān)信息系統(tǒng)安全保護(hù)定級(jí)序號(hào)信息系統(tǒng)分類(lèi)機(jī)構(gòu)級(jí)別國(guó)家級(jí)省級(jí)省會(huì)城市、計(jì)劃單列市地市及以下1播出系統(tǒng)第四級(jí)第三級(jí)第三級(jí)第三級(jí)2新聞制播系統(tǒng)第三級(jí)第三級(jí)第三級(jí)第二級(jí)3播出整備系統(tǒng)第三級(jí)第三級(jí)第二級(jí)第二級(jí)4業(yè)務(wù)支撐系統(tǒng)第二級(jí)第二級(jí)第二級(jí)第二級(jí)5媒資系統(tǒng)第二級(jí)第二級(jí)第二級(jí)第二級(jí)6綜合制作系統(tǒng)第二級(jí)第二級(jí)第二級(jí)第二級(jí)7生產(chǎn)管理系統(tǒng)第二級(jí)第二級(jí)第二級(jí)第二級(jí)《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GD/J037-2011)基礎(chǔ)合規(guī)滿(mǎn)足等保基線(xiàn)，具備基礎(chǔ)安全以通過(guò)等保測(cè)評(píng)為目標(biāo)持續(xù)合規(guī)適應(yīng)業(yè)務(wù)發(fā)展的動(dòng)態(tài)安全安全策略自動(dòng)化部署超越合規(guī)整網(wǎng)安全有機(jī)運(yùn)轉(zhuǎn)，智能化&自動(dòng)化全網(wǎng)協(xié)同，主動(dòng)防御未知威脅等保合規(guī)并非一勞永逸，攻防對(duì)抗永無(wú)止境華為HiSec：滿(mǎn)足差異化合規(guī)需求，構(gòu)筑主動(dòng)防御的電視臺(tái)等保體系基礎(chǔ)合規(guī)20年安全能力積累，全面等保方案全程參與等保標(biāo)準(zhǔn)制定一套安全架構(gòu)適配三個(gè)業(yè)務(wù)階段持續(xù)合規(guī)安全業(yè)務(wù)自動(dòng)化配置，租戶(hù)服務(wù)化配置業(yè)務(wù)驅(qū)動(dòng)的安全策略管理，安全策略自動(dòng)匹配業(yè)務(wù)變化超越合規(guī)基于深度神經(jīng)網(wǎng)絡(luò)算法的未知威脅防御基于大數(shù)據(jù)的智能分析，事前主動(dòng)防御全網(wǎng)協(xié)同，自動(dòng)化處置威脅執(zhí)行器交換機(jī)路由器WIFI防火墻AntiDDoS入侵防御WEB應(yīng)用防火墻融合聯(lián)動(dòng)控制器SecoManager控制器全球安全智能中心分析器分析器CISFireHunter終端安全…面向等保2.0，提供從產(chǎn)品到方案的立體防御體系產(chǎn)品可信自主可控HiSecFWIPSAV日志審計(jì)集中管理等保1.0等保2.0安全基礎(chǔ)產(chǎn)品華為HiSec安全解決方案智能防御聯(lián)動(dòng)閉環(huán)實(shí)時(shí)聯(lián)動(dòng)防御產(chǎn)品安全基石數(shù)據(jù)庫(kù)審計(jì)基礎(chǔ)合規(guī)：基于HiSec架構(gòu)，提供全面的合規(guī)交付能力華為安全商業(yè)聯(lián)盟合規(guī)要求技術(shù)要求子項(xiàng)安全方案通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)防火墻通信傳輸防火墻區(qū)域邊界邊界防護(hù)防火墻、終端準(zhǔn)入訪(fǎng)問(wèn)控制防火墻入侵防范Anti-DDoS、IPS、APT檢測(cè)惡意代碼防范防火墻、IPS安全審計(jì)上網(wǎng)行為管理計(jì)算環(huán)境身份鑒別設(shè)備自身機(jī)制或堡壘機(jī)訪(fǎng)問(wèn)控制設(shè)備自身機(jī)制安全審計(jì)日志審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)入侵防范IPS、WAF、漏洞掃描惡意代碼防范主機(jī)防病毒軟件數(shù)據(jù)完整性應(yīng)用自身機(jī)制數(shù)據(jù)備份恢復(fù)異地災(zāi)備剩余信息保護(hù)應(yīng)用自身機(jī)制個(gè)人信息保護(hù)

應(yīng)用自身機(jī)制管理中心系統(tǒng)管理網(wǎng)管系統(tǒng)、堡壘機(jī)審計(jì)管理堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)集中管控

統(tǒng)一網(wǎng)管、態(tài)勢(shì)感知系統(tǒng)安全管理堡壘機(jī)樣本情報(bào)統(tǒng)一的安全控制器統(tǒng)一的安全分析器標(biāo)準(zhǔn)化南向接口沙箱檢測(cè)大數(shù)據(jù)智能分析VAS訂閱網(wǎng)絡(luò)協(xié)同資源管理威脅聯(lián)動(dòng)編排策略協(xié)同控制數(shù)據(jù)上送安全執(zhí)行器的協(xié)同威脅情報(bào)的協(xié)同…基礎(chǔ)合規(guī)：基于三重防護(hù)設(shè)計(jì)思想，構(gòu)筑協(xié)同防御體系安全管理中心通信網(wǎng)絡(luò)防護(hù)安全邊界防護(hù)計(jì)算環(huán)境防護(hù)核心信息資產(chǎn)邊界安全防護(hù)邊界已知威脅全面防護(hù)未知威脅深度防護(hù)計(jì)算環(huán)境安全防護(hù)主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理中心統(tǒng)一管理集中審計(jì)安全態(tài)勢(shì)感知通信網(wǎng)絡(luò)安全防護(hù)傳輸信息加密可信接入保護(hù)參考《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》物理環(huán)境建設(shè)“一個(gè)中心”管理下的“三重防護(hù)”體系日志綜合分析威脅情報(bào)（文件MD5值）共享基礎(chǔ)合規(guī)：等保2.0，沙箱輕松應(yīng)對(duì)未知的新型網(wǎng)絡(luò)攻擊第三代沙箱技術(shù)：Hypervisor行為捕獲行為機(jī)器學(xué)習(xí)基于Hypervisor行為捕獲細(xì)顆粒度監(jiān)控：全部API調(diào)用防止沙箱躲避：惡意軟件無(wú)法探測(cè)虛擬化環(huán)境檢出率提升50%：行為人工智能分析工作效率提升100%：虛擬化層統(tǒng)一監(jiān)控，多操作系統(tǒng)高效監(jiān)控合規(guī)要求等級(jí)保護(hù)（三級(jí)）安全通用要求：8.1.3.3入侵防范：c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析未知文件未知文件未知文件未知文件惡意文件安全文件基礎(chǔ)合規(guī)：網(wǎng)絡(luò)誘捕技術(shù)，精確鎖定攻擊源，實(shí)現(xiàn)主動(dòng)防御第三方蜜罐系統(tǒng)真實(shí)主機(jī)真實(shí)主機(jī)③通過(guò)“誘捕器”或第三方蜜罐系統(tǒng)模擬園區(qū)主流業(yè)務(wù)，構(gòu)建”誘捕陷阱”，用于捕捉攻擊源①攻擊源通過(guò)IP或端口掃描感知內(nèi)網(wǎng)其他主機(jī)或服務(wù)，嘗試橫向擴(kuò)散合作伙伴（仍在洽談中）HUAWEI流探針集成②園區(qū)交換機(jī)通過(guò)內(nèi)置的“誘捕探針”發(fā)現(xiàn)可疑掃描行為，并將其訪(fǎng)問(wèn)流量引至“誘捕器”對(duì)接APP④將捕獲的攻擊源信息通過(guò)SYSLOG信息上報(bào)HUAWEI誘捕陷阱誘捕陷阱誘捕陷阱誘捕器網(wǎng)絡(luò)誘捕技術(shù)，可以與攻擊源進(jìn)行主動(dòng)交互，通過(guò)網(wǎng)絡(luò)欺騙和業(yè)務(wù)仿真能力，在攻擊源發(fā)起內(nèi)網(wǎng)掃描階段時(shí)即將其識(shí)別出來(lái)，并可通過(guò)聯(lián)動(dòng)處置能力將其快速隔離，避免真實(shí)業(yè)務(wù)受到影響。演示：網(wǎng)絡(luò)誘捕系統(tǒng)，實(shí)現(xiàn)威脅主動(dòng)發(fā)現(xiàn)在交換機(jī)上內(nèi)置“引誘”能力，在黑客攻擊和內(nèi)部擴(kuò)散的必經(jīng)之路上，布下“天羅地網(wǎng)”內(nèi)

網(wǎng)交換機(jī)內(nèi)置誘捕探針針對(duì)所有不存在IP和未開(kāi)放端口的誘騙發(fā)現(xiàn)掃描行為將流量引入誘捕器蜜罐模擬出相似的仿真業(yè)務(wù)，確認(rèn)攻擊后門(mén)被控制/感染的主機(jī)開(kāi)始內(nèi)部掃描/擴(kuò)散真實(shí)主機(jī)仿真主機(jī)失陷主機(jī)黑客誘捕探針響應(yīng)攻擊源誘捕探針響應(yīng)攻擊源誘捕探針響應(yīng)攻擊源誘捕探針響應(yīng)攻擊源管理區(qū)大數(shù)據(jù)分析平臺(tái)CIS控制器關(guān)聯(lián)分析，鎖定攻擊源和攻擊路徑關(guān)聯(lián)分析，鎖定攻擊源和攻擊路徑等保2.0方案新要求——可信驗(yàn)證方案特點(diǎn)合規(guī)要求：

可基于可信根對(duì)邊界設(shè)備系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。

可信根：

華為設(shè)備采用自研海思CPU芯片，完全自主可控，硬件可信根固化在CPU內(nèi)部，完成最基礎(chǔ)的啟動(dòng)驗(yàn)證，驗(yàn)證引導(dǎo)程序完整性；可信啟動(dòng)：

啟動(dòng)過(guò)程由硬件可信根開(kāi)始并逐級(jí)向后校驗(yàn)，確保啟動(dòng)過(guò)程中的信任鏈。硬件信任根在上電第一時(shí)間執(zhí)行，BIOS階段使用數(shù)字簽名驗(yàn)證下一階段的完整性，以此類(lèi)推，每個(gè)階段啟動(dòng)完成后都要對(duì)下一個(gè)啟動(dòng)階段進(jìn)行完整性校驗(yàn)，如果驗(yàn)證不通過(guò)，啟動(dòng)過(guò)程中止。應(yīng)用關(guān)鍵環(huán)節(jié)可信驗(yàn)證：對(duì)應(yīng)用軟件版本升級(jí)前，補(bǔ)丁和插件加載前，將使用數(shù)字簽名對(duì)軟件包進(jìn)行完整性校驗(yàn)；自研CPU芯片BOOTROOMBootLoader引導(dǎo)程序OS系統(tǒng)程序APP應(yīng)用程序可信根密鑰遠(yuǎn)程證明動(dòng)態(tài)可信服務(wù)器安全管理中心持續(xù)合規(guī)：安全業(yè)務(wù)自動(dòng)化部署，提升合規(guī)效率彈性：安全資源按需部署安全資源按需調(diào)度，適配業(yè)務(wù)變化按需開(kāi)通和分配彈性擴(kuò)縮容，最大化安全資源利用靈活：租戶(hù)差異化安全服務(wù)為租戶(hù)提供租戶(hù)網(wǎng)絡(luò)邊界和租戶(hù)內(nèi)VM級(jí)差異化的安全防護(hù)功能基于同一套安全基礎(chǔ)設(shè)施滿(mǎn)足不同租戶(hù)個(gè)性化的安全業(yè)務(wù)訴求自動(dòng)化：安全業(yè)務(wù)動(dòng)態(tài)部署業(yè)務(wù)策略翻譯，將業(yè)務(wù)策略轉(zhuǎn)化為設(shè)備策略基于業(yè)務(wù)網(wǎng)絡(luò)拓?fù)鋵?shí)現(xiàn)策略的自動(dòng)化編排和分發(fā)業(yè)務(wù)鏈自動(dòng)引流安全業(yè)務(wù)編排安全資源池化Manager合規(guī)要求等級(jí)保護(hù)（三級(jí)）安全通用要求：8.1.5.4集中管控：a)應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；e)應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；持續(xù)合規(guī)：基于應(yīng)用的安全策略，自動(dòng)匹配業(yè)務(wù)變化SecoManagerSecoManager安全Policy多租戶(hù)策略配置模型映射策略自動(dòng)化策略調(diào)優(yōu)模擬執(zhí)行租戶(hù)信息

策略信息

資源管理

SLA保障生命周期管理服務(wù)編排網(wǎng)絡(luò)拓?fù)浠趹?yīng)用的安全策略?xún)?yōu)化的策略辦公區(qū)管理區(qū)互聯(lián)網(wǎng)出口區(qū)數(shù)據(jù)中心（云平臺(tái)）應(yīng)用1應(yīng)用2WEB1WEB2WEB1WEB2APP1APP2APP3APP1APP2APP3DB1DB2DB1DB2超越合規(guī)：基于AI的威脅自學(xué)習(xí)檢測(cè)，提前預(yù)警安全事件判斷動(dòng)作2動(dòng)作1動(dòng)作3動(dòng)作4動(dòng)作5動(dòng)作6動(dòng)作N動(dòng)態(tài)行為數(shù)字化形成特征向量數(shù)字化結(jié)果集訓(xùn)練模型隨機(jī)森林算法深度神經(jīng)網(wǎng)絡(luò)算法評(píng)估效果威脅檢測(cè)結(jié)果基于AI和大數(shù)據(jù)的威脅分析合規(guī)要求等級(jí)保護(hù)（三級(jí)）安全通用要求：8.1.3.2訪(fǎng)問(wèn)控制：內(nèi)容過(guò)濾控制8.1.3.3入侵防范：未知威脅檢測(cè)8.1.3.4惡意代碼防范：防垃圾郵件8.1.4.4入侵防范：系統(tǒng)漏洞管理超越合規(guī)：全網(wǎng)協(xié)同處置威脅，保護(hù)關(guān)鍵信息系統(tǒng)智能威脅檢測(cè)，全網(wǎng)態(tài)勢(shì)感知安全策略統(tǒng)一調(diào)度分析器CISFireHunter安全事件日志文件信譽(yù)探針元數(shù)據(jù)Netflow按需引流主機(jī)隔離IP流量阻斷按需引流Internet防火墻防火墻防火墻隔離/引流策略SecoManager防火墻網(wǎng)絡(luò)拓?fù)淇刂破鬓k公區(qū)管理區(qū)互聯(lián)網(wǎng)出口區(qū)數(shù)據(jù)中心（云平臺(tái)）合規(guī)要求等級(jí)保護(hù)（三級(jí)）安全通用要求：8.1.3.2訪(fǎng)問(wèn)控制：內(nèi)容過(guò)濾和訪(fǎng)問(wèn)控制8.1.3.3入侵防范：檢測(cè)和限制網(wǎng)絡(luò)攻擊行為8.1.3.4惡意代碼防范：檢測(cè)和防范惡意代碼和垃圾郵件8.1.4.4入侵防范：系統(tǒng)漏洞管理等保技術(shù)要求子項(xiàng)主要內(nèi)容對(duì)應(yīng)產(chǎn)品安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)G選型合理，分區(qū)隔離，冗余架構(gòu)，高峰可用NGFW、防DDoS通信傳輸G采用校驗(yàn)技術(shù)/密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性和保密性NGFW（IPSec&SSLVPN）可信驗(yàn)證S基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點(diǎn)動(dòng)態(tài)驗(yàn)證，可報(bào)警、可審計(jì)設(shè)備可信啟動(dòng)機(jī)制安全區(qū)域邊界邊界防護(hù)G跨邊界控制，內(nèi)聯(lián)設(shè)備，外聯(lián)行為監(jiān)測(cè)，無(wú)線(xiàn)網(wǎng)限制NGFW、網(wǎng)絡(luò)準(zhǔn)入控制訪(fǎng)問(wèn)控制G五元組過(guò)濾、內(nèi)容過(guò)濾、策略?xún)?yōu)化、基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪(fǎng)問(wèn)控制NGFW、安全控制器入侵防范G防外部攻擊、防內(nèi)部攻擊、防新型未知網(wǎng)絡(luò)攻擊IPS/IDS、探針、沙箱、NTA惡意代碼防范G

網(wǎng)絡(luò)防病毒、垃圾郵件過(guò)濾NGFW（AV）、NGFW（防垃圾郵件）安全審計(jì)G用戶(hù)行為、安全事件審計(jì)，遠(yuǎn)程用戶(hù)行為，訪(fǎng)問(wèn)互聯(lián)網(wǎng)用戶(hù)行為單獨(dú)審計(jì)和數(shù)據(jù)分析堡壘機(jī)，上網(wǎng)行為管理、綜合日志審計(jì)系統(tǒng)可信驗(yàn)證S基于可信根對(duì)區(qū)域設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點(diǎn)可動(dòng)態(tài)驗(yàn)證，可報(bào)警、可審計(jì)設(shè)備可信啟動(dòng)機(jī)制等保三級(jí)技術(shù)要點(diǎn)-安全通信網(wǎng)絡(luò)和安全區(qū)域邊界*紅色是等保2.0相對(duì)2級(jí)的遞增*藍(lán)色是等保2.0相比1.0典型增加等保技術(shù)要求子項(xiàng)主要內(nèi)容對(duì)應(yīng)產(chǎn)品安全計(jì)算環(huán)境身份鑒別S身份唯一性、鑒別信息復(fù)雜度，口令、密碼技術(shù)、生物技術(shù)等雙因子及以上認(rèn)證且其中一種必須為密碼技術(shù)堡壘機(jī)、認(rèn)證服務(wù)器訪(fǎng)問(wèn)控制S用戶(hù)權(quán)限管理、管理用戶(hù)權(quán)限最小化訪(fǎng)問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶(hù)級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)訪(fǎng)問(wèn)控制平臺(tái)，API網(wǎng)關(guān)安全審計(jì)G用戶(hù)行為審計(jì)，對(duì)審計(jì)進(jìn)程保護(hù)上網(wǎng)行為管理、日志審計(jì)系統(tǒng)入侵防范G檢測(cè)入侵行為、非使用端口關(guān)閉、管理終端限制、發(fā)現(xiàn)已知漏洞IPS、漏洞掃描惡意代碼防范G安裝防惡意代碼軟件或免疫可信驗(yàn)證機(jī)制，防護(hù)機(jī)制支持升級(jí)和更新NGFW（AV）、主機(jī)防病毒軟件可信驗(yàn)證S基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)，應(yīng)用關(guān)鍵點(diǎn)動(dòng)態(tài)驗(yàn)證，可報(bào)警、可審計(jì)設(shè)備可信啟動(dòng)機(jī)制保障數(shù)據(jù)完整性S數(shù)據(jù)防篡改；應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸/存儲(chǔ)過(guò)程中的完整性NGFW、VPN、WAF、網(wǎng)頁(yè)防篡改，加密機(jī)數(shù)據(jù)備份恢復(fù)A數(shù)據(jù)本地備份和恢復(fù)、提供異地實(shí)時(shí)備份功能、數(shù)據(jù)處理系統(tǒng)熱冗余多活數(shù)據(jù)中心剩余信息保護(hù)S鑒別信息、敏感信息緩存清除應(yīng)用自身機(jī)制個(gè)人信息保護(hù)S個(gè)人信息最小采集原則、訪(fǎng)問(wèn)控制應(yīng)用自身機(jī)制等保三級(jí)技術(shù)要點(diǎn)-安全計(jì)算環(huán)境*紅色是等保2.0相對(duì)2級(jí)的遞增*藍(lán)色是等保2.0相比1.0典型增加等保技術(shù)要求子項(xiàng)主要內(nèi)容對(duì)應(yīng)產(chǎn)品安全管理中心系統(tǒng)管理G應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別、應(yīng)通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理網(wǎng)管系統(tǒng)、堡壘機(jī)審計(jì)管理G應(yīng)對(duì)安全審計(jì)員進(jìn)行身份鑒別、應(yīng)通過(guò)安全審計(jì)員對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理堡壘機(jī)、綜合日志審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)集中管控G特定管理分區(qū)、統(tǒng)一網(wǎng)管和檢測(cè)、日志采集和集中分析、安全事件識(shí)別告警和分析、策略補(bǔ)丁升級(jí)集中管理網(wǎng)管系統(tǒng)、安全控制器、態(tài)勢(shì)感知系統(tǒng)、補(bǔ)丁服務(wù)器安全管理G應(yīng)對(duì)安全管理員進(jìn)行身份鑒別、應(yīng)通過(guò)安全審計(jì)員對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理堡壘機(jī)、日志審計(jì)系統(tǒng)等保三級(jí)技術(shù)要點(diǎn)-安全管理中心*紅色是等保2.0相對(duì)2級(jí)的遞增*藍(lán)色是等保2.0相比1.0典型增加等保實(shí)踐：基于HiSec的電視臺(tái)云數(shù)據(jù)中心安全總體框架智能安全管理云平臺(tái)安全……防火墻VPNWAFIPSAntiDDoS安全合規(guī)遵從與認(rèn)證安全專(zhuān)業(yè)服務(wù)VPC/安全組防病毒剩余數(shù)據(jù)擦除南北向流量監(jiān)控虛擬網(wǎng)卡隔離防虛擬機(jī)逃逸鏡像完整性保護(hù)數(shù)據(jù)加密應(yīng)用身份鑒權(quán)計(jì)算環(huán)境安全虛擬機(jī)隔離多數(shù)據(jù)副本備份計(jì)算環(huán)境安全區(qū)域邊界安全東西向流量監(jiān)控態(tài)勢(shì)感知威脅分析日志報(bào)表安全體系規(guī)劃與集成業(yè)務(wù)上云策略部署等保合規(guī)咨詢(xún)安全健康檢查租戶(hù)安全Web掃描FW主機(jī)IDSWAF網(wǎng)頁(yè)防篡改DB審計(jì)IPS防病毒堡壘機(jī)………….…….…….安全資源池化配置自動(dòng)化運(yùn)維智能化涵蓋云平臺(tái)、網(wǎng)絡(luò)和安全協(xié)同租戶(hù)業(yè)務(wù)服務(wù)化配置與網(wǎng)絡(luò)協(xié)同的業(yè)務(wù)鏈業(yè)務(wù)靈活編排提升資源利用率按需彈性擴(kuò)展基于應(yīng)用的安全策略管理低危策略自動(dòng)審批冗余策略分析全網(wǎng)態(tài)勢(shì)感知攻擊路徑展示威脅可視安全策略O(shè)A系統(tǒng)防火墻下發(fā)工單自動(dòng)策略轉(zhuǎn)換控制器分析器AI智能算法全網(wǎng)信息采集全網(wǎng)策略聯(lián)動(dòng)業(yè)務(wù)系統(tǒng)1vFWvIPSvIPSec業(yè)務(wù)系統(tǒng)MvFWvIPSvIPSec業(yè)務(wù)系統(tǒng)NFWIPSVPN云平臺(tái)租戶(hù)1租戶(hù)2租戶(hù)3控制器SecoManager租戶(hù)安全：為電視臺(tái)云數(shù)據(jù)中心提供租戶(hù)安全即服務(wù)能力華為等保建設(shè)實(shí)踐廣X市電視臺(tái)媒資新媒體云項(xiàng)目上海市政務(wù)云項(xiàng)目電視臺(tái)其他廣東電視臺(tái)湖南電視臺(tái)江西電視臺(tái)河北電視臺(tái)北京電視臺(tái)…山西電視臺(tái)廣州電視臺(tái)天津電視臺(tái)西安電視臺(tái)貴陽(yáng)電視臺(tái)…教育部數(shù)據(jù)中心國(guó)家體育館無(wú)線(xiàn)場(chǎng)館國(guó)防科大云數(shù)據(jù)中心中山大學(xué)國(guó)家超算中心北京同仁醫(yī)院復(fù)旦大學(xué)附屬中醫(yī)院上海市政務(wù)云北京市地鐵浙江海事局民航局清算中心廣州鐵路局網(wǎng)管區(qū)……等保2.0標(biāo)準(zhǔn)編寫(xiě)主要參與者，助力標(biāo)準(zhǔn)規(guī)范化華為作為主要的起草單位，是唯一一家參與五大分冊(cè)標(biāo)準(zhǔn)制定的安全廠商（包括安全通用要求、云計(jì)算安全、移動(dòng)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全）支撐等保2.0：核心軟、硬件安全產(chǎn)品100%自主研發(fā)，滿(mǎn)足國(guó)家自主創(chuàng)新要求平臺(tái)安全網(wǎng)絡(luò)安全應(yīng)用安全自研RTOS操作系統(tǒng)數(shù)據(jù)庫(kù)安全操作系統(tǒng)加固，最小開(kāi)放原則系統(tǒng)日志獨(dú)立帶外管理口，管理面業(yè)務(wù)面隔離IP地址訪(fǎng)問(wèn)控制網(wǎng)絡(luò)協(xié)議安全性硬件安全自研硬件自研芯片硬件接口安全安全啟動(dòng)自研安全檢測(cè)引擎和特征庫(kù)數(shù)據(jù)安全傳輸協(xié)議個(gè)人數(shù)據(jù)隱私保護(hù)認(rèn)證和授權(quán)管理密碼和會(huì)話(huà)管理操作日志管理及審計(jì)VRPRTOS分區(qū)分域三權(quán)分立NGE引擎全網(wǎng)聯(lián)動(dòng)主動(dòng)防御特征庫(kù)縱深防御、層層保護(hù)、自主研發(fā)、安全可控連續(xù)3年成為Gartner企業(yè)防火墻魔力象限挑戰(zhàn)者

國(guó)內(nèi)唯一進(jìn)入Gartner挑戰(zhàn)者象限的安全廠商企業(yè)級(jí)