華為數(shù)據(jù)通信網(wǎng)絡(luò)安全解決方案

數(shù)據(jù)支撐網(wǎng)絡(luò)DCN(數(shù)據(jù)通信網(wǎng)絡(luò))經(jīng)過多年建設(shè)，已成為目前主要的內(nèi)部系統(tǒng)承載網(wǎng)絡(luò)，承載的系統(tǒng)包括了計費、MIS、OA、經(jīng)營分析、短信、電子運維、靜態(tài)資源管理、網(wǎng)管系統(tǒng)等等，是一個綜合的承載網(wǎng)，與各個業(yè)務(wù)子系統(tǒng)都有接口，并且已經(jīng)延伸到省內(nèi)的各縣市公司和主要機房。

目前，DCN(數(shù)據(jù)通信網(wǎng)絡(luò))上的各種業(yè)務(wù)應(yīng)用無序繁雜，彼此互通，各種不同安全等級的設(shè)備沒有實施隔離，使病毒、非法入侵、IP沖突、廣播風(fēng)暴等越來越對業(yè)務(wù)安全運營服務(wù)造成威脅。市場競爭日益激烈，在運營商市場上惡性競爭、商業(yè)間諜、企業(yè)經(jīng)營機密、客戶資料泄密的事件越來越多，保障DCN網(wǎng)絡(luò)的正常運轉(zhuǎn)和其承載的信息安全是使企業(yè)在激烈的市場競爭中利于不敗的必要條件。

華為i3SAFE信息安全服務(wù)模型糅合了安全領(lǐng)域三大國際標(biāo)準(zhǔn)（ISO7799、ISO7498-2、SSE-CMM），以策略為核心，以管理為重點、以技術(shù)為支撐、以工程方法論為指導(dǎo)，為客戶提供以電信級業(yè)務(wù)為核心的電信級安全解決方案，為客戶創(chuàng)建立體的安全防御體系，全面保障電信業(yè)務(wù)的持續(xù)運營。電信級的專業(yè)解決方案

i3-SAFE信息安全架構(gòu)

華為i3-SAFE信息安全架構(gòu)糅合了安全領(lǐng)域三大國際標(biāo)準(zhǔn)(ISO17799,ISO7498-2,ISO7498-2)，以業(yè)務(wù)為中心，整網(wǎng)統(tǒng)一規(guī)劃（包括支撐網(wǎng)、運營網(wǎng)、OA），分期逐級實現(xiàn)；以業(yè)務(wù)劃分網(wǎng)絡(luò)，解析網(wǎng)絡(luò)特點，定制安全策略；以風(fēng)險管理為基礎(chǔ)，綜合考慮安全、性能、可管理、可擴展和成本等因素；融合安全技術(shù)、安全管理和安全工程；兼顧保障網(wǎng)絡(luò)、設(shè)備安全和開展安全業(yè)務(wù)。

安全域劃分

數(shù)據(jù)網(wǎng)絡(luò)安全域劃分從網(wǎng)絡(luò)域入手，依照安全域理論將數(shù)據(jù)網(wǎng)絡(luò)劃分為網(wǎng)絡(luò)域、計算域、用戶域、公共外部接口區(qū)、安全服務(wù)域、跨子域數(shù)據(jù)交換區(qū)：

網(wǎng)絡(luò)域：為業(yè)務(wù)系統(tǒng)提供承載平臺，是整個數(shù)據(jù)網(wǎng)絡(luò)的基礎(chǔ)。

計算域：基于MPLSVPN技術(shù)，以每一個site為一個安全域基本單位。安全域等級根據(jù)資產(chǎn)分類、識別及防護等級定義，據(jù)此對site進行分類，同類site之間共享同等安全防護強度。系統(tǒng)業(yè)務(wù)之間互訪不需通過防火墻，而跨業(yè)務(wù)的訪問需要通過防火墻。

用戶域：將風(fēng)險源與計算域分開，根據(jù)權(quán)限最小化安全原則進行終端的網(wǎng)絡(luò)授權(quán)訪問，精確的控制“誰、可以做什么、誰、什么時候、去那里、做了什么”，實施完善的逆向?qū)徲嫶胧�，保持系統(tǒng)對使用者的約束力，使得安全責(zé)任得到切實實行。同時，為了避免終端之間的相互感染和病毒感染，還可以考慮利用PUPV技術(shù)，結(jié)合安全認(rèn)證網(wǎng)關(guān)MA5200F/G，使得所有終端兩兩相互隔離。

公共外部接口區(qū)和安全服務(wù)域：統(tǒng)一的管理各個業(yè)務(wù)的對外接口，避免出現(xiàn)“非正規(guī)的后門”連接，導(dǎo)致出現(xiàn)不可控的安全風(fēng)險；同時統(tǒng)一的接口還利于部署統(tǒng)一的安全策略，避免各個業(yè)務(wù)部門獨立部署的成本過高、過多依賴個人技術(shù)水平和策略不統(tǒng)一造成的對接問題�？傊�，這兩個區(qū)域為數(shù)據(jù)網(wǎng)絡(luò)的各個業(yè)務(wù)提供了安全的服務(wù)，并明確了各個業(yè)務(wù)和網(wǎng)絡(luò)平臺部門之間的安全責(zé)任，有利于安全的管理。

數(shù)據(jù)交換區(qū)：計算域細(xì)分后各個細(xì)分域之間并不是沒有業(yè)務(wù)聯(lián)系的，他們之間有互通的需求，為了滿足這種需求我們通過建立MPLSVPN的HUB節(jié)點，建立各個細(xì)分安全域之間的可信通道來滿足各個細(xì)分域之間的通信需求。

DCN的正常運轉(zhuǎn)，保障DCN網(wǎng)絡(luò)上承載的信息安全，是支撐企業(yè)業(yè)務(wù)正常運行，使企業(yè)在激烈的市場競爭中利于不敗的必要條件。數(shù)據(jù)網(wǎng)絡(luò)安全解決方案給用戶帶來的收益：

1、網(wǎng)絡(luò)優(yōu)化保障用戶數(shù)據(jù)網(wǎng)絡(luò)的業(yè)務(wù)提供能力、可靠性、可擴展性

2、安全域劃分保障數(shù)據(jù)網(wǎng)絡(luò)承載各業(yè)務(wù)系統(tǒng)有效隔離

3、邊界整合保障業(yè)務(wù)間的安全互通

4、INTERNET邊界防護保障上網(wǎng)安全，防護INTERNET帶來的攻擊

5、終端安全防護保障安全接入以及終端自身安全

6、各個子域安全需求分析和產(chǎn)品部署,實現(xiàn)定制化安全，全面滿足用戶需求。

DCN安全解決方案幫助客戶建立整體安全體系，規(guī)范數(shù)據(jù)網(wǎng)絡(luò)標(biāo)準(zhǔn)和組網(wǎng)原則；提高了運維管理能力，規(guī)范全網(wǎng)管理，增加了系統(tǒng)無故障運行的可能性；提高整體的服務(wù)水平，提升網(wǎng)絡(luò)整體服務(wù)品質(zhì)，打造出精品DCN網(wǎng)絡(luò)。

華為公司作為電信運營商的長期合作伙伴，更了解運營商的業(yè)務(wù)和系統(tǒng)的安全需求和業(yè)務(wù)發(fā)展，提高DCN網(wǎng)絡(luò)安全性，保證業(yè)務(wù)正�？煽窟\行，讓客戶將更多的精力投入到業(yè)務(wù)運營發(fā)展上去是我們共同的目標(biāo)。

來源：通信世界網(wǎng)