背景
2010年1月,溫家寶主持召開(kāi)國務(wù)院常委會(huì )議,決定加速進(jìn)行“三網(wǎng)融合”建設,在廣電行業(yè)加速推進(jìn)下一代廣播電視網(wǎng)(NGB, Next Generation Broadcasting Network),2010年7月,國務(wù)院發(fā)布了第一批三網(wǎng)融合12個(gè)試點(diǎn)城市名單,深圳位列其中。
深圳廣電地處中國改革開(kāi)放的前沿窗口,引領(lǐng)了電視傳媒的生產(chǎn)與管理,打造“國家三網(wǎng)融合示范城市”。2011年,深圳廣電率先完成網(wǎng)絡(luò )融合改造,在“三網(wǎng)融合”總體推進(jìn)過(guò)程中起到了排頭兵的作用。2011年5月,原國家廣播電影電視總局科技司下發(fā)了《GD/J038—2011 廣播電視相關(guān)信息系統安全等級保護基本要求》,深圳廣電全網(wǎng)融合下的信息安全架構建設就是按此要求展開(kāi)的。
關(guān)鍵挑戰:
廣播電視網(wǎng)是我國重要的信息基礎設施之一,在業(yè)務(wù)內容、輿論公信度等方面具有不可替代的優(yōu)勢,電視節目不僅僅是信息傳播工具,而且是黨和政府最重要的輿論陣地。NGB發(fā)展遵循的總體原則為保障國家信息與文化安全,建立符合全業(yè)務(wù)運營(yíng)要求的可管、可控、具備安全保障能力的技術(shù)管理系統和業(yè)務(wù)支撐系統。具體分為三個(gè)階段,第一階段(2010-2012年),研究三網(wǎng)融合戰略下安全與管理體系;第二階段(2013-2015年),研究支持超高速、超大容量、高效率、可重構的網(wǎng)絡(luò )技術(shù),適合于三網(wǎng)融合的安全設備;第三階段(2016-2019年),根據NGB的整體目標,面向發(fā)展過(guò)程中的新問(wèn)題,結合技術(shù)、業(yè)務(wù)和安全管理的最新發(fā)展,持續推動(dòng)NGB自主創(chuàng )新。具體安全建設依據等級保護要求。
深圳廣電前期已完成了對辦公網(wǎng)、業(yè)務(wù)網(wǎng)及數據中心的定級與備案工作,隨著(zhù)業(yè)務(wù)的不斷發(fā)展與融合,信息安全問(wèn)題越發(fā)顯得重要。2013年NGB安全建設已進(jìn)入第二階段,正是安全設備選型和采購的關(guān)鍵時(shí)期,那么什么樣的安全設備才能滿(mǎn)足NGB的總體技術(shù)要求和廣電行業(yè)等級保護的安全性要求呢?
高安全性:深圳廣電希望分別在互聯(lián)網(wǎng)邊界,生產(chǎn)網(wǎng)邊界和數據中心邊界提供全面的防護能力,保障業(yè)務(wù)24小時(shí)不間斷運行。設備必須滿(mǎn)足等級保護要求,滿(mǎn)足不同級別的防護要求。不但包括細粒度的訪(fǎng)問(wèn)控制能力,還需要深度融合入侵防御、防病毒,Anti-DDoS和應用識別等各項安全特性。
高性能:適應廣電業(yè)務(wù)的流量特點(diǎn),確保能夠在高峰流量期對業(yè)務(wù)進(jìn)行全面的安全檢查,同時(shí)也要考慮未來(lái)業(yè)務(wù)發(fā)展的總體要求,這就需要最少10G以上的全業(yè)務(wù)防護性能。
高可靠性:鑒于廣電業(yè)務(wù)的特殊性,深圳廣電希望所有的安全防護采用雙機冗余部署,并實(shí)現主要硬件器件冗余能力,最大限度的保障業(yè)務(wù)可持續性。
可擴展性:作為運營(yíng)網(wǎng)絡(luò ),必須能夠支撐業(yè)務(wù)的快速發(fā)展和網(wǎng)絡(luò )需求的變化,具備靈活的,多樣化的組網(wǎng)能力。同時(shí),支持IPV6網(wǎng)絡(luò )環(huán)境,不但提供網(wǎng)絡(luò )協(xié)議轉發(fā),更可基于IPV6網(wǎng)絡(luò )提供全面的安全防護。
簡(jiǎn)單易用:廣電網(wǎng)絡(luò )“三網(wǎng)融合”的轉換過(guò)程也是由專(zhuān)網(wǎng)向公共網(wǎng)絡(luò )轉換的過(guò)程。對于數據網(wǎng)絡(luò )的諸多安全問(wèn)題,深圳廣電網(wǎng)絡(luò )安全人員期望更簡(jiǎn)單高效的管理,因此希望安全設備在滿(mǎn)足安全防護的同時(shí),管理越簡(jiǎn)單越好,最好是“傻瓜式”的。
解決方案:
為了保障產(chǎn)品符合業(yè)務(wù)訴求,深圳廣電對國內外各廠(chǎng)商產(chǎn)品進(jìn)行了嚴格的測試,華為USG6000系列下一代防火墻在性能和安全能力方面表現優(yōu)異,同時(shí)有效保障了可靠性、擴展性和易管理要求,成為深圳廣電辦公網(wǎng)、業(yè)務(wù)網(wǎng)邊界防護的首選品牌。
華為根據深圳廣電不同業(yè)務(wù)場(chǎng)景的性能要求,通過(guò)USG6650+USG6680相結合的解決方案,在互聯(lián)網(wǎng)邊界和辦公網(wǎng)邊界采用USG6650提供20G防護,在業(yè)務(wù)網(wǎng)邊界用USG6680提供40G防護,為每一個(gè)業(yè)務(wù)系統和辦公系統提供邊界隔離與防護。同時(shí)全網(wǎng)設備通過(guò)管理中心統一調度管理和報表展現,整網(wǎng)方案為深圳廣電構建了一套簡(jiǎn)潔高效的安全防護體系。
USG6000系列是華為2013年發(fā)布的下一代防火墻新品,在滿(mǎn)足Gartner對NGFW定義要求的基礎上,提供6000+應用識別和6維安全管控,是業(yè)界管控能力最精細的下一代防火墻。USG6000系列在能力上緊隨ICT發(fā)展趨勢和威脅趨勢變化,提供基于特征的入侵防護和基于行為的未知威脅防護,為深圳廣電提供了全面的網(wǎng)絡(luò )安全防護。
客戶(hù)價(jià)值:
防護能力最全面,保障深圳廣電業(yè)務(wù)順暢。USG6000系列在提供基于特征匹配的入侵防護和病毒防護能力的基礎上,更基于云端沙箱技術(shù),提供對未知威脅的行為特征分析,可有效防范針對廣電業(yè)務(wù)系統的各類(lèi)未知威脅及APT攻擊。在網(wǎng)絡(luò )雙向提供精細的訪(fǎng)問(wèn)控制和用戶(hù)身份認證,提供基于用戶(hù)和應用權限管理,即保障了深圳廣電業(yè)務(wù)的穩定開(kāi)展,也可滿(mǎn)足廣電行業(yè)不同級別的安全等級保護要求。
全威脅高性能防護,支撐大業(yè)務(wù)流量。USG6000系列通過(guò)全新的軟硬件設計,可以做到在全威脅防護開(kāi)啟情況下,性能下降小于50%,在所有參與的安全廠(chǎng)商中,性能下降幅度最小。大于10G的全威脅防護性能有能力同時(shí)為每一個(gè)業(yè)務(wù)系統提供全方位的安全防護。全特性的虛擬化能力還可為每一個(gè)等級的業(yè)務(wù)系統提供獨立的安全計算環(huán)境,保障“國家級”等保防護要求。
硬件可靠性設計,保障業(yè)務(wù)延續。華為為深圳廣電提供的解決方案在電源、風(fēng)扇、硬盤(pán)上均采用冗余設計,同時(shí)在每個(gè)節點(diǎn)采用雙機熱備冗余部署,有效降低了每一個(gè)環(huán)節可能帶來(lái)的業(yè)務(wù)風(fēng)險。
面向網(wǎng)絡(luò )發(fā)展趨勢,兼顧未來(lái)業(yè)務(wù)防護。USG6000系列采用了高密度接口設計,最大可提供64個(gè)千兆接口和16個(gè)萬(wàn)兆接口的擴展能力,保障深圳廣電在業(yè)務(wù)進(jìn)一步發(fā)展的情況下充分的接口擴容能力。同時(shí),USG6000系列提供全面的IPV6支持,在未來(lái)深圳廣電與IPV6網(wǎng)絡(luò )對接時(shí),即可保障順利對接,也可實(shí)現IPV6環(huán)境下的安全防護。
高效的管理手段,降低TCO。華為USG6000系列在設計開(kāi)發(fā)過(guò)程中引入了全新的管理理念,即基于流量學(xué)習的自動(dòng)化策略配置和優(yōu)化。在設備上線(xiàn)時(shí)通過(guò)預置模板提供快速部署;上線(xiàn)后通過(guò)流量學(xué)習與分析,自動(dòng)生成安全策略建議,不斷的細化安全策略管理。在穩定運行后,通過(guò)策略學(xué)習自動(dòng)精簡(jiǎn)冗余策略,提高策略匹配效率。USG6000系列的自動(dòng)化管理手段讓深圳廣電輕松開(kāi)啟了全威脅安全防護,TCO降低30%以上。
華為下一代防火墻深圳廣電解決方案解決了用戶(hù)的相關(guān)建設訴求,在保障業(yè)務(wù)安全性和延續性的同時(shí),嚴格按照廣電行業(yè)等保要求進(jìn)行產(chǎn)品推薦和方案設計,助力深圳廣電構筑全網(wǎng)融合安全信息基礎架構信息安全等級保護工程。華為方案的優(yōu)異表現獲得了深圳廣電領(lǐng)導的一致好評。
