1、 2009 联想网御 运营商安全解决方案联想网御科技(北京)有限公司联想网御科技(北京)有限公司 电信顾问电信顾问 孙波孙波 20102010年年5 5月月运营商解决方案运营商解决方案v流量清洗解决方案流量清洗解决方案v移动接入解决方案v业务智能巡检方案v网站安全解决方案需求分析需求分析v 519 DNS暴风影音事件、最近百度DNS劫持事件;(已交流广(已交流广西移动、广西电信、云南移动、江西联通、山西联通用户,西移动、广西电信、云南移动、江西联通、山西联通用户,效果非常好)效果非常好)v 各省运营商城域网IDC租赁流量清洗服务业务,帮助运营商考虑IDC租赁增值服务;(陕西移动(陕西移动IDC
2、IDC用户)用户)v 行业背景需求及异常流量所带来危害。包括占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。(中国电信世纪互联用户、四川移动门(中国电信世纪互联用户、四川移动门户网站、吉林移动门户网站)户网站、吉林移动门户网站)流量清洗解决方案流量清洗解决方案v 应用场景 各省城域网核心出口处 各省运营商门户网站处 各省IDC核心出口处v 解决问题 看实时了解网络的流量及业务情况,了解用户上网及应用的行为 管可以采取措施减缓异常流量对网络的影响,控制P2P流量及用户的访问v 组网方案 流量清洗设备(Gua
3、rd)+流量检测设备(detector)方案优势方案优势v 基于多核架构平台,专业防DDOS产品;v 基于DNS FLOOD和DNS 劫持量身定制DNS功能,满足用户切身需求;v 虚拟Guard产品功能推广和应用;v 实现与第三方流量检测联动,更贴近用户实际情况,解决用户关注流量异常问题。组网图组网图运营商解决方案运营商解决方案v流量清洗解决方案v移动接入解决方案移动接入解决方案v业务智能巡检方案v网站安全解决方案需求分析需求分析v 移动或远程用户远程登入运营商业务系统时整个网络链式安全性考虑;(山西电信、中国联通(山西电信、中国联通)v 访问运营商内部服务器的权限管理,对访问系统的识别、认证
4、、授权、审计。保证只有授权的用户可以访问授权的资源,并且对整个访问过程进行实时监控。(云南移动、(云南移动、中国移动用户)中国移动用户)v 审计移动或远程用户Telnet命令操作过程,包括账号、执行命令、修改参数、文件编辑等审计分析。(浙江移动用(浙江移动用户)户)移动接入解决方案移动接入解决方案v 应用场景 移动用户、合作伙伴远程访问内部资源v 解决问题 远程登入用户身份合规性、安全性问题;随时随地访问企业内部网络,对访问过程全程监控和审计v 组网方案 SSL VPN+主机审计产品方案优势方案优势v 不改变用户现有网络拓扑,可实现旁路和串联接入;v 远程用户不安装客户端软件,不运行安全控件,
5、即可通过SSL VPN安全隧道访问运营商网络资源;v 可以实现客户端对各种B/S、C/S服务的访问;v 具有完整和丰富的认证功能来满足移动不同用户级别的认证等级需求。应具有细粒度的访问控制,实现不同用户允许访问的应用不同;v 应具有强大的安全审计功能,以便管理员对用户访问进行跟踪;v 采用叠加方式扩容。组网图组网图运营商解决方案运营商解决方案v流量清洗解决方案v移动接入解决方案v业务智能巡检方案业务智能巡检方案v网站安全解决方案需求分析需求分析v 系统繁杂,人员紧张。一个管理员要维护多个业务系统,以现有的监控维护方式,需要占用维护人员大量的时间和精力,工作量大,且存在人为失误,实时性差等诸多问
6、题;v 业务系统涉及网元复杂。各系统之间高度关联,业务流程复杂,故障点多,一个业务涉及多个系统平台的配合;v 网管系统存在不足;各个网管系统分散运行,存在信息孤岛,问题发生时,难以准确定位,无法判断影响范围;v 缺乏有效管理。由于缺少业务层面的监测系统,无法有效的进行业务管理,导致管理脱节。各维护员只管理各自的系统,无法准确获知整个业务的运行状况。(山西移动用户)(山西移动用户)智能巡检系统解决方案智能巡检系统解决方案v 应用场景 移动网管中心 门户网站出口v 解决问题 采集基线建模,实时监控业务运行状态;减轻系统管理员工作量,提高日常工作效率 提前发现业务问题,降低日常投诉率,提高用户感知度
7、v 组网方案 智能化巡检系统方案优势方案优势v 旁路部署、日常维护简单,不改变用户业务模式;v 智能巡检各业务系统运行参数,提前发现故障隐患,降低安全风险;v 提高工作效率,完善业务流程。组网图组网图运营商解决方案运营商解决方案v流量清洗解决方案v移动接入解决方案v业务智能巡检方案v网站安全解决方案网站安全解决方案需求分析需求分析v 门户网站页面文件存在被修改的风险v 挂接相关木马,直接控制Web服务器v 嵌入相关恶意代码,感染至访问者机器,构筑僵尸网络v 企业形象受损,直接影响用户服务满意度和感知度v 对于系统资源以及设备的管理访问,大都局限于简单的用户名/口令这样的单因素认证方式;v 单一
8、密码方式被公认为弱身份,存在问题很多。v 内部人员误操作、违规操作、越权操作;v 第三方维护人员安全隐患;v 最高权限用户操作;v 员工离职后泄漏公司信息;v 日志缺失或不完整;v 安全事件难于追溯或定位。网站网站WEBWEB应用安全解决方案应用安全解决方案v 应用场景 门户网站v 解决问题 网页安全性 用户身份合法性 后台数据库全程监控和审计v 组网方案 网页防篡改+身份认证+数据库审计产品方案优势方案优势v 提供立体防御,同时提供实时防御及即时恢复功能;v 保护所有网页:静态网页、脚本、动态网页、数据库、所有文件;v 即能满足内部工作人员原有的工作习惯(用户名+密码),同时又不会对现有的业务系统造成大规模改造工作,保证在最短的时间内实现对用户的加强身份认证;v 全面的双向审计,可以全面记录数据库执行、响应结果等过程信息。各类访问全面支持,不但支持基本的SQL命令,还支持FTP、TELNET等其他协议的访问。
