河北移动案例介绍.docx

河北移动案例案例背景中国移动通信集团河北有限公司（简称河北移动），作为2013年中国移动集团安全域流量监控系统试点重要省份之一，经过充分的调研和分析，结合厂商的规模、研发实力和安全服务能力，最终选择北京启明星辰安全技术有限公司（简称启明星辰）作为试点系统的供应商，选择启明星辰的“FlowEye”产品作为安全域流量监控系统项目的产品。案例建设方案基于河北移动的现状，启明星辰的信息安全专家和河北移动网络部用户一起，根据河北移动安全域的划分情况，针对安全防护要求和集团试点技术规范要求，选择了数据网管这个大系统进行试点建设，对数据网管的外联出口和MDCN出口的流量进行采集，计划对数据网管安全域内部各个安全子域间的互联关系进行监控和梳理；计划对包含短信，彩信，彩铃、GPRS等系统与数据网管之间的互联关系进行监控和梳理。一方面在规范的指引下进行系统建设，另一方面对规范内容进行验证并总结经验和建议。实施范围河北移动从试点阶段，就选择了从大网的角度来考察启明星辰产品的实际效果。通过在“数据网管的外联出口和MDCN出口”部署流量采集引擎，从而检验产品对数据网管内部各安全子域间的互联监控和梳理、对短信，彩信，彩铃、GPRS等系统与数据网管之间的互联监控和梳理是否有效和准确。另一方面，也检验了产品的性能，为全网安全域流量的梳理摸索出经验和数据。设备数量河北移动试点阶段部署了2台流量采集引擎和1台数据分析中心，通过实际检验，启明星辰的产品成功支撑了河北移动现网的大流量数据。案例效果实施功能效果通过启明星辰FlowEye产品的实施，成功的将安全域可视化，将河北移动的公网域、DMZ域、私网域可视化，将域间的互联关系达到了可视化，将域间的互联事件属于黑白名单进行了可视化示例图1 示例图2通过启明星辰FlowEye产品的实施，成功的将各安全域、系统间的设备之间的互联关系进行了梳理，按照业务设计原则进行了黑白名单的梳理，同时，成功的发现了若干没有按照业务设计原则进行实施的业务问题，若干没有按照安全管理规定进行实施的违规业务通过启明星辰FlowEye产品的实施，成功的发现若干未对系统进行加固就匆忙上线的系统，这些系统存在若干高风险端口被境外设备访问的高安全风险问题。接口方案河北移动的安全域流量监控系统需要和ISMP平台具备“名单同步接口”、“设备发现接口”。能够通过“设备发现接口”将ISMP平台中安全域管理系统的设备发现功能与安全域流量监控系统的设备发现功能进行集成，实现全网设备发现的真实性和有效性。能够通过“名单同步接口”将安全域流量监控系统梳理出来的黑白名单同步给ISMP平台中的防火墙策略核查系统，实现ISMP平台对防火墙策略梳理的有效性和精确性。启明星辰的FlowEye产品具备上述接口的实现能力，只待和ISMP平台的厂商进行接口格式的定义。除了上述接口之外，河北移动的安全域流量监控系统还需要和安全管控平台之间具备“设备同步”接口。能够通过“设备同步”接口，最大化的发挥安全管控平台中的资源管理功能，实现全网设备资源的统一管理、统一调度，并能够按照资源的负责人信息，将黑白名单的确认工作变得更加高效和准确。目前该接口正在进行联调，联调阶段系统通过设备资源文件的导入导出方式进行的数据同步。案例点评（1）完全满足规范要求启明星辰FlowEye产品实施后，不仅从功能方面满足了集团的规范要求，成功的将试点范围内安全域间的互联关系精确的进行了梳理，并成功支撑业务系统管理员和安全管理员按照业务设计流程进行黑白名单的确认。同时，根据启明星辰FlowEye产品的自身特点，成功的为河北移动发现大量规范要求之外的同时又是目前众多安全产品无法发现的安全问题，为河北移动网络部的安全管理工作提供了坚实的支撑。（2）加强了河北移动的安全管理工作一套系统的建设，除了功能上要符合需求，在系统的应用上，还要能够支撑用户能够有效的来使用，能够将系统的价值很容易的体现出来，在当今人力资源少，系统多，任务重的情况下，让系统不成为摆设，让用户的投资能够得到有效的回报，是目前众多安全产品需要面对的现实。启明星辰的FlowEye产品实施之后，目前已经成为一套安全生产系统，系统每天都能够为安全管理人员提供大量的有效信息，让安全管理员的工作从粗放式的安全管理一步步走向了精细化的管理。让安全管理员的每一项工作都有据可依，让安全真正做到了可视化和数字化。