什么是HiSec?
华为HiSec安全解决方案采取IPDRR(风险识别、安全防御、安全检测、安全响应和安全恢复)模式,从五大方面管理网络风险,同时利用分析器、控制器和执行器三层方案架构之间的紧密配合构筑网络韧性,以应对5G、IoT、云、网络等多场景的网络安全挑战。
为什么需要HiSec?
全球网络威胁形势不断变化,新型攻击复杂且隐蔽,攻击频率和严重程度不断增长,网络技术与应用的发展无疑又加重了安全管理的负担,安全管理人员面临着巨大的挑战。
- 网络与应用的快速发展,增加了安全管理的复杂度。企业使用私有云、公有云混合部署,安全策略需要跨越多个环境,并保持一致。不断增长的用户与设备,复杂的应用访问关系,使得安全策略纷繁复杂,管理耗时,且容易出错。
- 恶意攻击者可利用的途径正在扩大,任何进入与离开网络的流量都不再可信。企业员工可能在任何时间、从任何地点、使用任意移动设备接入网络。要保证所有连接到企业网络的终端都是安全的,几乎是不可能完成的任务。与此同时,云服务的广泛应用,也给攻击者提供了新的渗透渠道。
- 新型攻击复杂且隐蔽,传统基于签名的防护技术已经落伍。恶意软件变种多、更新速度快,传统防御手段被动响应,疲于应付。
- 各个安全设备各自为战,导致检测及响应周期长。发现攻击只是一个开始,只有快速有效地识别和处理威胁,才能最大限度降低安全风险和损失。
为了应对当今广泛的网络威胁环境,保护业务安全,用户需要一个全面的安全解决方案。不仅能充分利用威胁情报阻断已知威胁,还要持续分析业务流量,提供全面的可视化能力,快速缓解和闭环威胁。在运维管理方面,需要一个统一的策略管理平台, 不仅为复杂环境提供一致的安全策略,还能根据业务需要实现策略自动化生成与调整,保证合规性与业务敏捷。
为此,华为遵从业界最佳实践,推出HiSec解决方案,采取IPDRR(风险识别、安全防御、安全检测、安全响应和安全恢复)模式,从五大方面管理网络安全风险,构筑网络韧性,以应对持续性的网络安全挑战。
- 风险识别(Identify):围绕企业业务目标,识别网络关键资产及相关网络安全风险。
- 安全防御(Protect):针对关键资产和风险制定和实施保护措施。
- 安全检测(Detect):利用大数据分析全网运行日志、抽样流量等,联动安全信息中心,及时准确地发现异常。
- 安全响应(Response):自动下发安全策略,有效应对网络安全事件,保障业务正常运营。
- 安全恢复(Recover):快速完善网络保护措施、响应措施、安全策略,增强网络安全保护、防御能力。
HiSec能带来哪些价值
华为HiSec安全解决方案主要从安全能力和安全运维两个角度出发,将大数据分析能力融入到安全解决方案中,打通各组件的管理接口,在实现统一安全视角的同时,简化安全运维,带来如下价值:
- 感知全网安全态势
图形化界面帮助客户直观理解全网安全态势,并可以根据区域、关键资产去查看对应的风险,并给出处理建议。运维人员可以快速找到自己负责的区域和资产,并根据安全状态和处理建议对这些设备进行系统升级、补丁安装等安全加固工作。
- 快速发现高级威胁
基于对网络流量、威胁日志、恶意加密流量的采集,通过大数据分析检测技术,帮助客户实时快速发现网络中的安全威胁事件、高级威胁,对于可疑扫描和访问,通过网络诱捕技术深度验证,将被动防御变为主动防御。
- 秒级安全联动响应
通过和安全控制器、安全设备的快速联动,实现安全事件秒级响应,大大提高安全响应速度和效率。并可以进行手动或自动的安全策略联动,对安全威胁进行处置,降低其对网络和业务的影响。
- 安全策略智能运维
基于动态应用访问关系的智能策略运维,提供应用互访关系展示,已上线策略动态调优,新上线策略仿真验证功能,为管理员应对海量安全策略提供了强有力的支撑。
- 安全业务统一管理
统一管理防火墙安全策略,解决防火墙的管理手段分散、无有效集中管理工具的痛点,支持策略变更统计、配置一致性统计、部署状态统计等,提高安全管理员的运维效率。
HiSec的方案架构
华为HiSec解决方案采用分析器、控制器、执行器三层架构模型,如下图所示。
华为HiSec解决方案逻辑架构
分析器
华为HiSec解决方案分析器能够对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集,通过大数据实时及离线分析,结合机器学习技术、专家信誉、情报驱动等措施有效的发现网络中的潜在威胁和高级威胁,实现企业内部的全网安全态势感知。当前包含如下两款设备,请根据实际业务需求进行选择。
- HiSec Insight:HiSec Insight是一个先进的威胁检测与安全分析系统,以持续检测应对高级持续性威胁。HiSec Insight全面采集全网流量元数据、网络安全设备的日志信息,持续监控网络活动,运用大数据分析和机器学习技术,检测、分析并发现高级威胁。联合网络控制器iMaster NCE和安全控制器SecoManager,HiSec Insight可以实时阻断流量或隔离感染主机,加速威胁响应。
- FireHunter沙箱:FireHunter沙箱是华为公司推出的高性能APT威胁检测系统。FireHunter在传统安全检测技术基础上,引入多引擎虚拟检测技术,分析和收集软件的静态及动态行为,凭借独有的行为模式库技术,精准识别网络中传输的恶意文件和C&C连接,有效避免未知威胁的扩散。
控制器
华为HiSec解决方案控制器包含如下两款,请根据实际业务需求进行选择。
- 网络控制器: iMaster NCE是华为面向市场发布的端到端SDN解决方案的控制器,全面覆盖敏捷数据中心、敏捷园区、敏捷物联等各种应用场景,实现端到端的基于应用的网络自动化部署和高效运维。
- 安全控制器:SecoManager是安全策略全生命周期管理的核心,实现安全业务按需编排和策略统一管理。SecoManager协同网络控制器,实现统一业务编排。协同HiSec Insight,实现自动威胁响应、安全策略仿真和策略调优,显著提高运维效率。
执行器
华为HiSec解决方案把网络基础设施转化为安全检测的传感器和安全响应的执行器。作为传感器,交换机、路由器、防火墙等网络设备为分析器提供流量、Netflow、Metadata、日志、文件等信息输入。作为执行器,网络设备接收控制器下发的防御策略,实施威胁防御动作。
- USG/Eudemon系列防火墙是华为为数字化企业提供的下一代防火墙产品。通过应用、内容、时间、用户、威胁和位置六个维度的“ACTUAL“全局环境感知架构,提供精细化业务访问控制。深度融合入侵防御和反病毒等安全功能,提供完整丰富的应用层防护能力,有效缓解已知威胁。
- CE系列交换机是面向下一代数据中心的高性能交换机,支持全面的虚拟化能力、丰富的数据中心特性,以及创新的高品质架构。S系列交换机是面向企业园区网推出的新一代智能交换机,覆盖核心、汇聚、接入功能,充分满足园区灵活组网需求。
在HiSec解决方案中,分析器、控制器和执行器紧密配合,网络威胁得以快速发现,恶意行为自动阻断,安全策略智能优化。
HiSec的典型应用场景
HiSec安全解决方案的先进理念适用于多种类型的应用场景,并可根据具体的场景需求进行优化调整。当前,HiSec安全解决方案的应用场景包括:
- 零信任场景
- 视频大数据场景
- 安全管理中心场景
- 电子政务外网安全监测场景
零信任场景
随着企业各类业务的不断发展,业务种类和数量不断增加,且用户、数据和应用混合,业务与访问控制复杂,存在多种不同的数据交换通道,外部攻击容易通过边界渗透,无法实现基于用户、应用、API(Application Programming Interface,应用程序接口)的细颗粒度访问控制。
为此华为推出HiSec零信任安全解决方案。零信任安全建设以“安全、可信、合规的访问数据业务”为目标,实现访问用户的身份可信,确保业务仅对合法用户可见,并结合业务场景和使用环境进行精细化的动态授权与阻断,保证数据安全流动和安全访问。华为零信任安全解决方案具有以下价值:
- 全局防御
零信任安全解决方案对终端风险、用户异常行为、流量威胁、应用鉴权行为等多方面要素进行评估,最终输出一条完整的信任链。通过对信任分低的用户或设备生成相应的处置策略,联动网络或安全设备进行快速处置,为企业搭建一张“零信任+网安联动”的安全网络。
- 动态授权
零信任安全解决方案不仅通过网络层面控制访问权限,还将访问目标的权限控制细化到应用级、功能级和数据级,只对访问主体开放最小授权,极大地收缩了潜在攻击面。同时,安全控制策略基于访问主体、目标客体和环境属性(终端状态、网络风险和用户行为等)进行权限动态判定,实现了应用、功能和数据维度的动态控制。
- 持续验证
零信任安全解决方案秉承“持续验证、永不信任”的理念,对人、终端和应用进行统一身份化管理,建立以身份为中心的访问控制机制。以访问主体的身份、网络环境和终端状态等作为认证的动态考量要素,持续监测访问过程中的违规和异常行为,确保接入网络的用户和终端的持续可信。
华为零信任敏感应用安全场景如下图所示。
企业内部敏感应用没有做权限控制,而访问应用的用户类型复杂,导致数据泄露风险高。华为将零信任架构和企业敏感应用安全访问需求相结合,推出基于敏感应用访问场景的零信任安全解决方案。
- 用户只能通过云桌面访问敏感数据,所有数据不允许带出数据中心。
- IAM统一身份认证与访问管理系统可对用户账号的全生命周期进行管理。
- 基于终端、用户、应用、API和数据维度进行访问控制,最大化收缩攻击面。
- 结合用户行为和安全风险持续评估,自动化响应,动态调整授权。
零信任敏感应用安全场景
视频大数据场景
视频监控网络在维护社会公共安全中发挥着越来越重要的作用。利用高清视频监控技术,视频监控系统不仅可以震慑和抑制恐怖袭击,预防社会治安事件,还为案件分析与追查提供技术保障。然而,视频监控系统自身的安全问题也越来越突出。
- 仿冒:伪装IPC接入视频网络,作为攻击核心系统的跳板。
- 劫持:海量摄像头被入侵、控制,沦为黑客发动DDoS攻击的肉鸡。
- 窃听:视频资料被窃取,造成个人隐私和商业机密泄露。
- 致盲:监控区域的视频不能正常传送到视频中心存储。
- 内网渗透:利用被攻破的IPC进一步渗透视频中心,破坏整个视频中心甚至更大范围的网络。
针对视频监控网络的问题与挑战,华为公司推出了一整套适用于视频监控网络的HiSec视频大数据安全部署方案。其典型部署场景如下图所示。
- 前端IPC接入控制
IPC接入区部署视频网关、资产探测系统和广目系统,对入网IPC做接入控制,防止非视频应用、非授权厂商IPC接入;通过在视频网关部署入侵防御、反病毒功能,阻断黑客对摄像头网络的非法入侵。漏扫系统负责发现资产中的漏洞,广目系统会从漏扫系统获取到资产中的漏洞信息。
广目系统作为IPC接入控制的管理中心,集中进行资产管理,并向视频网关下发安全配置。同时广目系统还可以直观呈现IPC资产信息、威胁信息、拦截效果、漏洞信息等。
- 后端数据中心安全联动闭环
各个分区的网络边界均会部署防火墙,确保视频数据安全。在市局运维中心部署HiSec Insight和SecoManager,与防火墙一起实现全网联动和安全协同防御。HiSec Insight采集网络流量和日志信息做关联分析,将分析结果通过安全联动策略的形式,下发到SecoManager。SecoManager接收HiSec Insight下发的安全联动策略,并编排为防火墙可执行的安全策略,下发到防火墙,阻断威胁。
安全管理中心场景
随着着企业或机构的不断发展,网络上承载的业务种类和数量也在不断增加。对于大数据融合和大数据应用的远景目标来讲,现有网络在网络架构、链路承载、互联互通、安全隔离、快速响应、流量调度和智能管控等方面已不能满足要求。因此,升级现有网络架构,建设新一代信息网的需求尤为迫切。
为此华为推出了HiSec安全管理中心部署场景,安全管理中心集资产管理、基线配置、策略控制和态势感知为一体,实现了对安全资产、安全策略和安全能力的统一管控。其总体逻辑框架如下图所示:
- 统一Portal:由高级威胁分析系统(HiSec Insight)提供统一Portal,实现对各个子系统的集中式登录。
- 资产管理:由资产安全治理系统实现对资产的管理,并由漏洞扫描系统实现对资产漏洞的排查。
- 基线配置:由资产安全治理系统实现基线建立和监测,并由漏洞扫描系统实现基线的扫描。
- 策略控制:由策略控制系统(SecoManager)实现风险识别和策略下发。
- 态势感知:由高级威胁分析系统(HiSec Insight)实现对整网安全态势的展示,并由日志审计系统(HiSec LogAuditor)实现对设备的安全审计。
安全管理中心架构
电子政务外网安全监测场景
过去十年,云计算,大数据,5G,人工智能等ICT技术迅猛发展,使得以政务服务为主体的电子政务网络架构正在被重构。新技术带来快捷便利,同时也对网络安全体系带来内、外部挑战。近年来,因信息泄露、网络诈骗等原因,造成的经济损失巨大;政府网站被入侵次数连年增加,地方政府网站成为“重灾区”。由于顶层设计缺乏统筹,规范化不足,架构层面缺乏整体设计,安全架构缺乏协同等造成政务网站内部管理同样面临严重挑战。
为应对上诉挑战,国家信息中心负责为电子政务外网管理制定标准,牵引国家、省、地市三级电子政务外网安全监测体系建设,识别网内网间安全威胁,并通报预警,驱动责任单位整改。其典型部署场景如下图所示。
电子政务外网安全监测场景典型组网
- 安全监测平台(HiSec Insight)部署在安全管理区,采集骨干网流量、数据中心流量、委办局出口流量。
- 在委办局和各地市政务外网出口部署探针,识别委办局和各地市政务外网的威胁和受害资产等信息。流量探针部署(Probe)在出口核心交互设备上,采集南北向流量,运用AI技术完成边缘威胁检测,将告警和上下文取证信息回传至安全监测平台(HiSec Insight)
- 在城域核心、广域核心的骨干网上部署探针(HiSec Insight流探针)采集委办局、下级地市的出口流量,将告警和上下文取证信息回传至安全监测平台(HiSec Insight)。
- 作者: 金德胜
- 最近更新: 2021-10-09
- 浏览次数: 16103
- 平均得分:
