背景:
2010年1月,温家宝主持召开国务院常委会议,决定加速进行“三网融合”建设,在广电行业加速推进下一代广播电视网(NGB, Next Generation Broadcasting Network),2010年7月,国务院发布了第一批三网融合12个试点城市名单,深圳位列其中。
深圳广电地处中国改革开放的前沿窗口,引领了电视传媒的生产与管理,打造“国家三网融合示范城市”。2011年,深圳广电率先完成网络融合改造,在“三网融合”总体推进过程中起到了排头兵的作用。2011年5月,原国家广播电影电视总局科技司下发了《GD/J038—2011 广播电视相关信息系统安全等级保护基本要求》,深圳广电全网融合下的信息安全架构建设就是按此要求展开的。
关键挑战:
广播电视网是我国重要的信息基础设施之一,在业务内容、舆论公信度等方面具有不可替代的优势,电视节目不仅仅是信息传播工具,而且是党和政府最重要的舆论阵地。NGB发展遵循的总体原则为保障国家信息与文化安全,建立符合全业务运营要求的可管、可控、具备安全保障能力的技术管理系统和业务支撑系统。具体分为三个阶段,第一阶段(2010-2012年),研究三网融合战略下安全与管理体系;第二阶段(2013-2015年),研究支持超高速、超大容量、高效率、可重构的网络技术,适合于三网融合的安全设备;第三阶段(2016-2019年),根据NGB的整体目标,面向发展过程中的新问题,结合技术、业务和安全管理的最新发展,持续推动NGB自主创新。具体安全建设依据等级保护要求。
深圳广电前期已完成了对办公网、业务网及数据中心的定级与备案工作,随着业务的不断发展与融合,信息安全问题越发显得重要。2013年NGB安全建设已进入第二阶段,正是安全设备选型和采购的关键时期,那么什么样的安全设备才能满足NGB的总体技术要求和广电行业等级保护的安全性要求呢?
高安全性:深圳广电希望分别在互联网边界,生产网边界和数据中心边界提供全面的防护能力,保障业务24小时不间断运行。设备必须满足等级保护要求,满足不同级别的防护要求。不但包括细粒度的访问控制能力,还需要深度融合入侵防御、防病毒,Anti-DDoS和应用识别等各项安全特性。
高性能:适应广电业务的流量特点,确保能够在高峰流量期对业务进行全面的安全检查,同时也要考虑未来业务发展的总体要求,这就需要最少10G以上的全业务防护性能。
高可靠性:鉴于广电业务的特殊性,深圳广电希望所有的安全防护采用双机冗余部署,并实现主要硬件器件冗余能力,最大限度的保障业务可持续性。
可扩展性:作为运营网络,必须能够支撑业务的快速发展和网络需求的变化,具备灵活的,多样化的组网能力。同时,支持IPV6网络环境,不但提供网络协议转发,更可基于IPV6网络提供全面的安全防护。
简单易用:广电网络“三网融合”的转换过程也是由专网向公共网络转换的过程。对于数据网络的诸多安全问题,深圳广电网络安全人员期望更简单高效的管理,因此希望安全设备在满足安全防护的同时,管理越简单越好,最好是“傻瓜式”的。
解决方案:
为了保障产品符合业务诉求,深圳广电对国内外各厂商产品进行了严格的测试,华为USG6000系列下一代防火墙在性能和安全能力方面表现优异,同时有效保障了可靠性、扩展性和易管理要求,成为深圳广电办公网、业务网边界防护的首选品牌。
华为根据深圳广电不同业务场景的性能要求,通过USG6650+USG6680相结合的解决方案,在互联网边界和办公网边界采用USG6650提供20G防护,在业务网边界用USG6680提供40G防护,为每一个业务系统和办公系统提供边界隔离与防护。同时全网设备通过管理中心统一调度管理和报表展现,整网方案为深圳广电构建了一套简洁高效的安全防护体系。
USG6000系列是华为2013年发布的下一代防火墙新品,在满足Gartner对NGFW定义要求的基础上,提供6000+应用识别和6维安全管控,是业界管控能力最精细的下一代防火墙。USG6000系列在能力上紧随ICT发展趋势和威胁趋势变化,提供基于特征的入侵防护和基于行为的未知威胁防护,为深圳广电提供了全面的网络安全防护。
客户价值:
防护能力最全面,保障深圳广电业务顺畅。USG6000系列在提供基于特征匹配的入侵防护和病毒防护能力的基础上,更基于云端沙箱技术,提供对未知威胁的行为特征分析,可有效防范针对广电业务系统的各类未知威胁及APT攻击。在网络双向提供精细的访问控制和用户身份认证,提供基于用户和应用权限管理,即保障了深圳广电业务的稳定开展,也可满足广电行业不同级别的安全等级保护要求。
全威胁高性能防护,支撑大业务流量。USG6000系列通过全新的软硬件设计,可以做到在全威胁防护开启情况下,性能下降小于50%,在所有参与的安全厂商中,性能下降幅度最小。大于10G的全威胁防护性能有能力同时为每一个业务系统提供全方位的安全防护。全特性的虚拟化能力还可为每一个等级的业务系统提供独立的安全计算环境,保障“国家级”等保防护要求。
硬件可靠性设计,保障业务延续。华为为深圳广电提供的解决方案在电源、风扇、硬盘上均采用冗余设计,同时在每个节点采用双机热备冗余部署,有效降低了每一个环节可能带来的业务风险。
面向网络发展趋势,兼顾未来业务防护。USG6000系列采用了高密度接口设计,最大可提供64个千兆接口和16个万兆接口的扩展能力,保障深圳广电在业务进一步发展的情况下充分的接口扩容能力。同时,USG6000系列提供全面的IPV6支持,在未来深圳广电与IPV6网络对接时,即可保障顺利对接,也可实现IPV6环境下的安全防护。
高效的管理手段,降低TCO。华为USG6000系列在设计开发过程中引入了全新的管理理念,即基于流量学习的自动化策略配置和优化。在设备上线时通过预置模板提供快速部署;上线后通过流量学习与分析,自动生成安全策略建议,不断的细化安全策略管理。在稳定运行后,通过策略学习自动精简冗余策略,提高策略匹配效率。USG6000系列的自动化管理手段让深圳广电轻松开启了全威胁安全防护,TCO降低30%以上。
华为下一代防火墙深圳广电解决方案解决了用户的相关建设诉求,在保障业务安全性和延续性的同时,严格按照广电行业等保要求进行产品推荐和方案设计,助力深圳广电构筑全网融合安全信息基础架构信息安全等级保护工程。华为方案的优异表现获得了深圳广电领导的一致好评。