1、新华三信息安全产品及解决方案12新华三安全市场地位新华三安全市场地位新华三新安全理念新华三云安全方案优势010203新华三安全产品0423新华三安全产品市场地新华三安全产品市场地位位3 防火墙、入侵防御系统、负载均衡等安全产品连续9年入围中移动、中电信、中联通三大运营商,综合市场份额第一。2017年高端防火墙M9000销售数量第一;泰尔实验室防火墙综合测试M9K夺魁 2017年IDC中国防火墙市场排名第二(QQ3)广泛服务于政府、金融、企业、教育、能源、大型企业等各行业客户,在公安部、工行、农行 等广泛高端应用2017年,年,网络安网络安全全硬件产品国内硬件产品国内第第一一34新华三安全业务发
2、展历新华三安全业务发展历程程2003200407200810201114201516安全起航安全起航网安融合网安融合态势感知态势感知 主动防御主动防御2017大安全战略大安全战略应需而安应需而安华 三 成立,发 布 F100/F1000 系 列 防火墙,正式进入 专业安全领域国内首创全系列SecBlade安全插卡国内第一台IPS产品 发布Secblade万兆插卡 发布业界最高端的40G防火墙F5000-A5发布业 界 首 款 全 千 兆 UTM发布业界最高性能 40Gbps SecBlade 安全插卡发布业界最高端 M9000分布式综 合安全网关发布新华三大安全解决方案发布云安全解决方案规 模
3、落地新华三信息安全技术有限公司的成立产品+服务+培训三 箭齐发安全态势感知平台发布452016年,新华三集团合肥信息安全公司成年,新华三集团合肥信息安全公司成立立打造业内一流的信息安打造业内一流的信息安全全研究研究中中心,心,研究研究新新型型安全安全防防御体御体系系,致,致力力于打于打造造研研 发全国领先云安全及安发全国领先云安全及安全全态势态势感感知防知防御御系统。系统。56新华三安全技术实新华三安全技术实力力615大类,大类,160款款信息安全产品信息安全产品4款领先产品款领先产品防火墙防火墙、IPS、负负载均载均衡衡、上、上网网行为行为审审计计等等 产品进入产品进入Gartner或或ID
4、C排名排名900+件专利信息安全领域拥有者,全件专利信息安全领域拥有者,全 部自主可控部自主可控800+人的研发、攻防及服务咨询人的研发、攻防及服务咨询 专业团队储备专业团队储备华三安全15年投入年投入67打造国内最强安全产品线打造国内最强安全产品线入侵防御系统入侵防御系统T1000/5000/9000系列应用控制应用控制ACG1000/2000/8000系列负载均衡负载均衡L1000/5000/9000系列Web防火墙防火墙W1000/2000系列Cache堡垒机堡垒机网页防篡改网页防篡改数据库审计数据库审计安全管理中心安全管理中心安全态势感知安全态势感知漏洞扫描漏洞扫描终端安全管理终端安全
5、管理下一代防火墙下一代防火墙/UTM/VPN系列系列M9000多多业务网关业务网关F100系列U200系列F1000系列F50X0系列化安全化安全安全刀片安全刀片 NFV虚拟虚拟SecBlade Lite/III/IVVMSG虚拟安全网关F10X0系列安全管 理网 络 层 安 全应 用 层 安 全78新华三安全市场地位新华三新安全理念新华三新安全理念新华三云安全方案010203新华三安全产品0489网络攻击的复杂度和网络攻击的复杂度和频度越来越严频度越来越严峻峻200+平均值(天),直 到被发现为止,攻击 者在受害者的网络中 隐身的时间75%+的网络入侵归因于 用户身份的失窃$5000亿网络犯
6、罪对全球经 济造成的潜在损失$3.5M商业公司由于数据 破坏造成的平均损 失到2019年,网络安全将 会成为一个 2.1万亿万亿 美元美元的问题到2020年,将会有208亿亿 互联的裝置对于大型跨国公司的GDPR罚款可达数十亿数十亿到2022年,将会有180万万网络安全职位空缺黑客组织使用工具太太多多,攻击工作开发者五花八门五花八门913H3C安全态势感知系统为安全态势感知系统为“数字经济数字经济”保驾护保驾护航航13政府网站安全监测政府网站安全监测安全合规得分排名安全合规得分排名威胁情报共享威胁情报共享安全事件应急指挥安全事件应急指挥安全威胁态势展现安全威胁态势展现安全风险预警通报安全风险预
7、警通报威胁攻击监控威胁攻击监控主动防御控制主动防御控制攻击溯源取证攻击溯源取证远程运维管理远程运维管理安全资产管理安全资产管理安全事件审计安全事件审计“云网端云网端”立体防护立体防护态势感知态势感知 主动防御主动防御云端分析云端分析 边界防护边界防护10系统特系统特点点一:提前预警,一:提前预警,缩短自由缩短自由攻攻击时击时间间攻攻击击 开始开始系系统统入侵入侵攻攻击监视击监视攻攻击击完成完成探探针针投投递递横向横向传传播播目目标标分析分析时间时间攻攻击击准准备备提升提升权权限限创建驻点创建驻点攻攻击预测击预测物理物理安全安全驻驻点清除点清除系系统统反反馈馈威威胁评胁评估估系系统统恢复恢复基于
8、基于情情报报 发现发现攻攻击击监视监视和和控制控制风险风险分析分析系系统统反反应应威威胁胁分析分析基于基于防御防御 组组件件识别识别 攻攻击击事件事件告警告警可压缩可压缩的的攻击攻击时时间间时间时间1711系系统特点二:统特点二:AI场景分析场景分析,准确定位,准确定位攻攻击威击威胁胁未知威胁未知威胁 检测检测异常流量异常流量/行为检行为检测测安全趋势安全趋势预测预测安全策略安全策略生成生成安全风险安全风险 评估评估基于AI的态势分析计算场景数据源数据源安全数据流安全数据流应用场景应用场景感知结果感知结果1712系统特系统特点点三:多维关联分析,实时三:多维关联分析,实时检检测风测风险险资资产
9、产配置基 线检查漏洞 关联安全事件关联威胁情 报关联风险资产输出配置基线OS/应用/组件/版本IP/端口/用户/操作目的/意图/作用范围风险资产告警基线库漏洞情报库安全事件情报库威胁情报库1713系系统统特点四:云网端协同联动,快特点四:云网端协同联动,快速速响响应应处处置置3rd情报情报 共享平共享平 台台安全态势感知中心安全态势感知中心综合风险分析&全局策略管控情报共享威胁检测/异常流量分析 352H3C特特征库基征库基 线中心线中心5未知威胁/流量监控边界防护:安全设备防护策略下 发144全网设备自动升级情报交换同步外部威胁情报接入边界防护:交换机策略控制SMB用户/分支出口安全园区出口
10、安全数据中心边安全1714主动防御:价值体现主动防御:价值体现 减少攻击面:补丁更新、最小端口开放、FW访问控制;IPS/AV签 名、FW/ASG/NIP信誉 防御等事前防护事前防护事中响应事中响应 提供涵盖终端、网络的 响应能力 联动现网FW/IPS等安全 策略执行点,实现防御 闭环事中检测事中检测 内置安全规则模型,快 速检测未知威胁 整合网络和终端的信 息,确定攻击事件、并 确定优先级事后优化事后优化 安全策略端到端智能化 管理 攻击溯源取证分析 设备策略的自适应调整1715新华三安全市场地位新华三新安全理念新华三云安全方案新华三云安全方案010203新华三安全产品170416云安全需求
11、分布图(云安全需求分布图(Forrester Research)20%15%10%5%0%40%35%30%25%云安全云安全需需求求分布分布专有云 公有云 私有云17 目前所有的云平台类型第 一关注就是合规,第二是 安全可视化,第三就是防 护级别一致,不低于本地 局域网的防护能力 公有云额外关注敏感数据的分布,租户的有效隔离 还有云资源的有效利用 私有云由于不能做过强的 隔离措施,所以更加关注 敏感数据分布 专有云第一会关注租户隔离,因为涉及不同组织的 租户;第二回关注资源的 管理,因为会涉及过度申 请导致运营成本增加17安全法及合规要安全法及合规要求求中央网信办中央网信办公安部公安部 关于
12、加强党政部门云计算服务网络安全管理的意见 信息安全技术云计算服务安全指南(GB/T 31167-2014)信息安全技术云计算服务安全能力要求(GB/T 31168-2014)适用范围:政务云、公有云、以及对外提供服适用范围:政务云、公有云、以及对外提供服务务运营的运营的云云平台平台 网络安全等级保护基本要求 第1部分:安全通用要求 网络安全等级保护基本要求 第2部分:云计算安全扩展要求适用范围:凡是承载等保业务的云平台均受约束适用范围:凡是承载等保业务的云平台均受约束网络安全法网络安全法网网络空间络空间主主权权国国家纵向家纵向至至个人个人等等保定级保定级参参照照服服务提供务提供者者义务义务能能
13、力及合力及合法法性性等等保控制保控制点点满足满足 能力能力运运营者义务营者义务建建立安全立安全体体系系国国家相关家相关标标准准个个人人信信息息保保护护主主动动保保护护个个人行为人行为的的合法合法 审计审计个个人信息人信息的的安全安全 承载承载关关键基础键基础设设施保施保 护护安安全资源全资源投投入入行行业差异业差异化化满足满足持持续性和续性和能能力积力积累累现阶段凡是定级为等保三级或以上的业务系统均算作关键基础设现阶段凡是定级为等保三级或以上的业务系统均算作关键基础设施施1718云安全能力框架云安全能力框架安全组织 与人员风险评估 与监控应急与灾备物理与环境保护物理安全边界安全网络安全主机安全
14、租 户 隔 离资 源 独 立分 卷 存 储安 全 目 录应用安全数据安全开发安全管理安全抽象安全物理平台安全,监控系统、门禁、电源等安全安全云边界云边界防防护护租户隔离分域分级虚拟化防病毒、系统漏洞管理授权、CA、应用漏洞管理、监控数据备份、镜像保护、数据清除开发工具安全、API安全保护安全组织、安全运营、安全监管安全安全管理中管理中心心、身份、身份认认证、资证、资源源监控、堡监控、堡垒垒机机互联网安全防护同步内网安全防护 HA、集群、冗余、备份安 全 审 计访问控制系统与通信保护访问控制配置管理与维护云计算服务安全能力要求云计算服务安全能力要求等级保护要求等级保护要求合规必备的安全能力合规必
15、备的安全能力基 础 设 施 安 全IaaS 安全管理 安全PaaS 安全安安全防护全防护 资资源池源池安安全检测全检测 资资源池源池开发与供应链安全1719Border BorderLeafLeafSpine(RR)Spine(RR)复制分流复制分流EVPN/VxlanLB资源池资源池网网 未未 入入络络 知知 侵侵行行 威威 检检为为 胁胁 测测审审 防防 系系计计 护护 统统数数据据库库审审计计安全监安全监测区测区vSwitch虚拟虚拟杀毒杀毒漏漏 扫扫堡堡 垒垒 机机认认 证证镜像流量镜像流量管理流量管理流量APPDB计算资源池计算资源池Web裸金属服务器区裸金属服务器区物理物理物理物理
16、物理物理物理机物理机机机机机机机杀毒杀毒隔离区域隔离区域原原DMZ区域区域GAPWAF新华三云安全架构新华三云安全架构资源资源池类型:池类型:基础安全接入资源基础安全接入资源NFV及软件资源及软件资源服务链资源池服务链资源池网站监控、防篡改网站监控、防篡改 vOA(NFV)租户漏扫(软件)租户漏扫(软件)管理交换机管理交换机防防 火火 墙墙负负IP载载S均均 衡衡vSwitchvFWvLBService Leaf防火墙、防火墙、IPS、AV、LLBDC核心核心生产终端接入核心交换区公有云专线原办公网原办公网原办公网原办公网核心交换区办公互联网接入 业务流管量理流量镜像流量增强安全接入资源增强安
17、全接入资源边界安全边界安全 云云 DC核心核心 1720租户安全服务目租户安全服务目录录防火墙防火墙负载均衡负载均衡网站监测网站监测日志审计日志审计(第三方第三方)vLB网页防篡改网页防篡改vWAFv堡垒机堡垒机主机防病毒主机防病毒租户南北向安全租户南北向安全应用开发安全应用开发安全身份认证第三方身份认证第三方数据加密(第三方)数据加密(第三方)租户东西向安全租户东西向安全租户运维安全租户运维安全vFW系统漏扫系统漏扫数据库漏扫数据库漏扫Web漏扫漏扫CA基础设施(第三基础设施(第三方)方)vIPS标准二级等保标准二级等保增强三级等保增强三级等保IPS网络防病毒网络防病毒标准三级等保标准三级等
18、保1721云平台云平台(OpenStack Based)网络安全服务网络安全服务应用安全服务应用安全服务安全业务编排安全业务编排资源池层资源池层业务调度层业务调度层业务展示层业务展示层南北向基础安全南北向基础安全东西向基础安全东西向基础安全基础网络基础网络 大大二层网络二层网络网络架构服务网络架构服务服务链服务链CAS/KVM/Vmware ESXi/Xen/Hyper-V网络编排网络编排NetConf/OpenFlowNetConf/OpenFlowNetConf或或XML Based接口接口安全业务编排安全业务编排抽象层抽象层VCFC(网络、安全资源网络、安全资源/业务业务/服务链管理)服
19、务链管理)OpenStack Netron PlugIn(网络(网络&安全)安全)OpenStack扩展扩展网络策网络策略略安全策安全策略略安全策略安全策略技术优势技术优势(1):):基基于于SDN的云安的云安全全解决方解决方案案应用安应用安全全运维安全运维安全审计安全审计安全开发安全开发安全服务链服务链1722技术优势(技术优势(2):南北向安全防:南北向安全防护护跨设备跨设备端口捆绑端口捆绑N:1虚拟化虚拟化HTTP压缩地址转换路由协议防攻击智能调度健康检查资源占用独立资源占用独立特性能力独立特性能力独立UDP分担长连接SOP-1=VPC-1配置文件独立保存配置文件独立保存安全日志独立保存
20、安全日志独立保存多多 虚虚 一一一一 虚虚 多多HTTP压缩地址转换路由协议防攻击智能调度健康检查UDP分担长连接SOP-2=VPC-2vRouterVRF-2业业务核心务核心VRF-1入入侵防御侵防御VMVMVMVMVMVMVxLAN 100VxLAN 200VxLAN 300VxLAN 400VxLAN 500VxLAN 600虚虚拟防火墙拟防火墙vFW-2vFW-3vFW-4vFW-1其其他安全他安全负负载均衡载均衡 管管理核心理核心VRF-0VRF-1VRF-21723技术优势技术优势(3):东西向安全防:东西向安全防护护 通过报文封装来选择路径 服务链定义、变更容易 虚拟机迁移灵活,
21、安全策略不受位置、IP、VLAN限制FWIPSLB服务节点服务节点服务节点基于安全服务链的流量基于安全服务链的流量牵牵引引服务链标识数据报文 数据流源源目的目的服务链服务链 解决了传统安解决了传统安全全部部署署时时的的“拓扑依赖问题拓扑依赖问题”,实实现现了了全全局局视视野野的的“统统一一安安全全策策略略”vSwitch 嵌入式安全服务链APP第三方 安全设备17安全云服务H3C Vxlan service Chain 服务链安全资源池NFV硬件安全设备安全设备资源池纳管与编排24新华三安全市场地位新华三新安全理念新华三云安全方案优势010203新华三安全产品新华三安全产品17042550分布
22、式多业务安全网关分布式多业务安全网关:M900050前后风道散热设计单槽位T级别带宽,320Gbps安全能力6+1电源,可插拔冗余设计业务插卡子母卡灵活设计高密度10G、40G、100G端口设计1M/EPS日志能力,50K条态势感知策略2651前后风道散热设计大容量存储,2插槽HDD和SSD1+1双电源,可插拔冗余设计支持双主控100Gbps,24*10G+40*1G接口100K/EPS日志,10K条态势感知策略态势感知系统态势感知系统F5K网关网关:100Gbps旗舰旗舰27新华三安全最佳实践覆新华三安全最佳实践覆盖盖全行全行业业为高校提供高性能多业务平台;独特的多虚一能力实现高可靠 系统;
23、开放的API接口,实现对 对不合规网站的自动隔离。为云计算环境提供强大的服务 链能力,提供从硬件安全资源 池到软件安全资源池的全套解 决方案。防火墙集群技术+虚拟化技术 为铁路提供高可靠的同时,满 足多种业务的隔离需求。近5000 家门店通过防火墙的 IPSec VPN进行互联,提供精 细应用内容识别,提供内容安 全,同时提供智能选路。教育教育政府政府交通交通企业企业南京大学南京大学河南省政务云河南省政务云西安铁路局西安铁路局百盛餐饮百盛餐饮天 津 大 学天 津 大 学 南 开 大 学南 开 大 学 吉林大学吉林大学陕西师范大学陕西师范大学公安部公安部 国国家气象局家气象局四川省人民政府四川省
24、人民政府广东省政府广东省政府郑州铁路局郑州铁路局 成都铁路局成都铁路局 济南铁路局济南铁路局 南昌铁路局南昌铁路局国美电器国美电器 人民在线人民在线 奇瑞汽车奇瑞汽车 武汉钢铁武汉钢铁525600+政府及企业用户,政府及企业用户,400+行业行业5228新华三安全最佳实践覆盖全行新华三安全最佳实践覆盖全行业业为高校提供高性能多业务平台;独特的多虚一能力实现高可靠 系统;开放的API接口,实现对 对不合规网站的自动隔离。为云计算环境提供强大的服务 链能力,提供从硬件安全资源 池到软件安全资源池的全套解 决方案。防火墙集群技术+虚拟化技术 为铁路提供高可靠的同时,满 足多种业务的隔离需求。近500
25、0 家门店通过防火墙的 IPSec VPN进行互联,提供精 细应用内容识别,提供内容安 全,同时提供智能选路。教育教育政府政府交通交通企业企业南京大学南京大学河南省政务云河南省政务云西安铁路局西安铁路局百盛餐饮百盛餐饮天 津 大 学天 津 大 学 南 开 大 学南 开 大 学 吉林大学吉林大学陕西师范大学陕西师范大学公安部公安部国家气象局国家气象局四川省人民政府四川省人民政府 广东省政府广东省政府郑州铁路局郑州铁路局 成都铁路局成都铁路局 济南铁路局济南铁路局 南昌铁路局南昌铁路局国美电器国美电器 人民在线人民在线 奇瑞汽车奇瑞汽车 武汉钢铁武汉钢铁795600+政府及企业用户,政府及企业用户,400+行业行业792980上海上海湖北江西湖南广东四川河南吉林陕西黑龙江辽宁新疆山西广西重庆内蒙古青海西藏云南贵州江苏安徽浙江福建宁夏 甘肃海南新华三信息安全技术有限公司安全领航者计划等保 测评中心AK专享精英合作伙伴涉密集成专业渠道安全方案合规测评服务应急安全能力集应用、产品、技术应用、产品、技术、营销营销、运维、运维、应急应急客户价客户价值值合法免责主动安全智御攻击维护网络空间安全主权签约等保测评中心:1825签约安全专业渠道:154300北京北京 天津河北山东FY2018 新华三新华三“安全领航者计划安全领航者计划”3081 Thanks!31
