中国电信SOA安全策略架构方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

52IBM电信解决方案集电信安全策略SOA创新方案面向服务的体系架构(SOA)以其业务与IT对齐、有效降低成本与提高业务和IT的灵活性等特点,受到越来越多电信企业的青睐,很多电信企业将BOSS、计费、营业系统、经营分析系统等业务支撑系统都加入到企业化整合的体系架构中。随着对SOA使用的增加,SOA的安全和管控问题为变得更加重要。如何才能保证实现服务数据的机密性、完整性和可用性,以及健全的治理体系将是SOA成功的关键。提供WebService的统一认证、授权、安全访问的管理体系,确保了数据访问的合法性、电信安全策略SOA创新方案提供了WebService的统一认证、授权、安全访问的管理体系,确保了数据访问的合法性、机密性和完整性。建立WebService统一访问的服务总线,实现了服务虚拟化和路由功能,通过建设服务存储与注册机制,解决WebService的统一发布、注册、分组和生命周期管理等问题。NayanaCommunications在高流量网络中获得安全和性能方面的双重提升概述难题:在不影响性能和可用性的前提下,为5万家客户增强网络安全性解决方案:采用IBMProventia®NetworkIntrusionPreventionSystem(IPS)GX6116解决方案,它能在网络周边内部增加先发制人型安全层主要益处:通过先发制人型网络安全方法,帮助避开攻击;支持所需的性能级别;允许每家客户执行各自的安全策略;适应网络流量的增长IBM客户案例53新运维·迎先机成为远东蓬勃发展的企业当许多韩国企业需要基于因特网的托管服务时,都会向NayanaCommunications(www.nayana.com)求助。该公司为各种规模的企业提供高性能的Web托管、服务器托管以及域名系统(DNS)托管服务。Nayana的业务量不可小觑,它维护着超过5万家企业的客户群,这会产生巨大的网络流量。同时,每一家客户都需要具有业界领先水平的性能和安全性。防御来自全球Web的威胁因特网上充斥着风险,是各种勒索软件、僵尸网络、键盘记录器、蠕虫病毒、分布式拒绝服务(DDoS)攻击以及其他各种数之不尽的威胁繁殖的温床。而这也是Nayana的业务经营场所。因此,网络攻击对于Web托管提供商而言是家常便饭。然而最近,Nayana对于遏制这些威胁已开始感到力不从心。公司不断增大的客户群意味着网络流量正迅猛增长,这使得公司更难以集中精力关注这些问题。“对我们来说,一款高性能IPS产品至关重要,因为我们将通过它来应对大量需求、实现各种客户配置,并满足客户对安全防护的期望。”——Dae-ShicKim,NayanaCommunications公司首席安全主管Nayana的主要防线位于其Cisco路由器上的访问控制列表(ACL)。周边的安全性则主要由客户负责,他们自行管理各自的防火墙。由于每个客户都遵循各自独特的安全策略,因此,周边的安全举措难免不相一致。但是网络风险已经太大,仅仅防御周边远远不够。包括缓冲溢出和密码破解在内的一些攻击,已经越过了Nayana客户维护的防火墙。如果没有能够检测并防御入侵的系统,大量攻击还将在整个网络中肆意蔓延,这不仅会影响到一家客户,甚至有可能影响到所有5万家客户。不幸的是,解决这一问题的方法并不像在网络核心部署防火墙或者其他传统安全设备那样显而易见。防火墙仅能提供有限的保护,甚至可能将性能降低至无法接受的级别。同时,防火墙技术还缺乏适应大量不同客户配置的粒度。包括故障、重启等在内的任何中断,都会使所有用户的网络会话中止。正如Nayana公司首席安全主管Dae-ShicKim所说,“由于我们流量巨大,我们需要的解决方案不仅要满足性能需求,还要能够保护客户的安全,即使这些客户并不是攻击的直接目标。”防止来自网络界限内的攻击为了防止攻击并减轻影响,Nayana无疑需要比传统安全设备更高级的产品。Kim说:“对我们而言,找到一种高性能的入侵防御系统至关重要,因为我们将通过它来应对大量需54IBM电信解决方案集求、实现各种客户配置,并满足客户对安全防护的期望。”答案就是新的IBMProventiaNetworkIPSGX6116,这是最新的IBMInternetSecuritySystemsTM(ISS)安全技术。该解决方案专为实现更高的性能、可用性和可靠性而设计,它可以为Nayana提供各种功能,帮助增强网络安全性、延长设备正常运行时间以及优化吞吐量。它的处理速度高达每秒15GB,并能以最高每秒6GB的速度检查八个受保护段的网络流量。ProventiaNetworkIPS解决方案可以提供对Nayana取得成功至关重要的速度和保护功能。ProventiaNetworkIPS解决方案通过高速处理多个段,使得Web托管提供商能够将入侵防御移入网络核心内,保护网络不受快速传播的蠕虫病毒侵害,并防止木马病毒给收入和盈利能力带来灾难。该IPS解决方案组合使用了多种保护技术,保护网络不受各种威胁的侵害。Proventia技术没有使用基于签名的算法(仅能检测已知威胁),而是使用关注漏洞的算法,从而保护网络不受任何种类的攻击,包括蠕虫病毒、间谍软件、拒绝服务(DoS)或DDoS攻击以及缓冲溢出。此外,它还融入了由IBMInternetSecuritySystemsX-Force®研发团队收集和分析的安全智慧,因此,该算法能够保护网络不受任何最新威胁的侵害。集中管理的安全性会对可用性造成广泛影响说到可管理性,目前,Web托管提供商的负担减轻了不少。Nayana无需再一一应用补丁解决安全问题,它可以通过一个中心位置管理整个网络的安全性。公司可以利用控制台运行报告、分析数据及使用自动警报识别出现的问题。通过使用热插拔冗余硬件组件,即使在出现问题的情况下,Nayana仍然可以保持网络正常运行。事实上,ProventiaNetworkIPS解决方案旨在实现吞吐量最大化并减少等待时间,即使在运行扫描或阻挡入侵时也能够如此。这是一个振奋人心的消息,对于以下客户尤为如此:这些客户使用基于IP的语音服务(VoIP)技术、下一代网络(NextGenerationNetwork,NGN)应用程序以及其他需要大量带宽的系统。此外,Nayana的客户可使用不同方式配置端口、使用自己的防火墙,以及遵循自己的安全策略。同时,还能够依靠ProventiaNetworkIPS解决方案为网络核心提供强有力的保护层。因此,客户有理由相信,即使有攻击穿透了某位客户的防御,网络仍能在威胁影响这些客户自身系统之前将其检测出来并进行隔离。“IBMProventiaNetworkIPS有着高保真度的签名,可以过滤DDoS攻击,因此我们可以在不损失客户业务连接性的基础上就阻挡住攻击。”——Dae-ShicKim,NayanaCommunications公司首席安全主管世界一流的保护和性能安全和性能,鱼和熊掌不可兼得?情况早已改变。Nayana可以两者兼得,既能为关键业务应用程序和Web站点流量提供先发制人型安全性,又能满足客户所需的快速响应时间。ProventiaNetworkIPS解决方案在帮助避开攻击以及防止他们在整个网络中蔓延方面遥遥领先。“IBMProventiaIPS有着高保真度的签名,可以过滤DDoS攻击,因此我们可以在不损失客户业务连接性的基础上就阻挡住攻击,”Kim说道。事实上,自从Nayana采用了IBMISS产品,成功的DDoS攻击数量就已经骤减。而安全补丁目前在整个网络中得以快速且持续地应用。事实上,该解决方案过滤了主要通道中的恶意流量之后,释放了大量带宽,这就意味着实现了更佳的性能。自从公司能够在任意段上工作而不影响其他段之后,网络可用性也得以增强。此外,该解决方案还允许Nayana的客户遵循各自的安全策略,而不会危及整个网络的完整性。随着公司的不断发展,它可以使用IBMProventiaNetworkIPS解决方案监控额外的网络线路,并适应不断扩展的网络容量。55新运维·迎先机概述Hughes利用IBMInternetSecuritySystems降低了成本并增强了客户忠实度。业务需求2004年,一些支付卡发行商确立了“支付卡行业数据安全标准”(PCIDSS),支持电子网络,防止客户身份被盗。信用卡发行商现在要求零售商及其服务提供商严格遵守PCIDSS的要求,否则,如果信用卡数据失窃,他们将面临严重的经济处罚。作为受管网络服务提供商,Hughes必须按照PCI标准进行信用卡交易。解决方案IBMISS与Hughes的技术资源密切合作,对Hughes的网络和安全架构进行了为期三天的安全评估。Hughes已制定了良好的网络安全标准和策略,但在此评估完成之前,Hughes并不能确定具体状况。在评估过程中,公司认识到他们需要更正式的文档来确保符合规则性。他们请求IBMISS提供技术指导,以审核的方式确保交易的安全性。收益目前,Hughes通过遵循PCIDSS并加强服务提供,已能够向全球零售客户提供增强的接口功能。客户确信Hughes符合交易处理安全性的最佳业务实践,并且他们的数据受到保护、安全可靠。同时,Hughes深化了在竞争激烈的市场中人们对其品牌的认知。客户语录[我们的IBMISS评估员]……技术熟练且精通安全性,因此他通过少量的学习便能对我们的系统进行详细而具体的评估。——DougMedina,Hughes企业营销高级总监Hughes所在地:北美洲美国地区行业:电信关注领域:管理业务基础架构和安全性地理位置:北美洲56IBM电信解决方案集解决方案彻底地通过PCIDDS评估和审计。主要收益●在截止期限之前满足了PCIDDS认证要求●通过增强交易的安全性改善了客户服务●保护和深化了品牌认知为全球的零售商提供了安全环境当今的零售商面临着黑客和复杂的网络犯罪攻击盗窃客户身份的威胁。不论零售商提供电子商务还是只通过电子方式处理信用卡数据,诸如身份盗用和欺诈行为的安全威胁都会产生深远的经济影响,并波及到客户、零售商以及信用卡发行商。HughesNetworkSystems,LLC是为大型企业、政府、小型企业和个人提供宽带卫星网络和服务的全球领先者。它的HughesNet服务囊括了Hughes的全部宽带解决方案和受管服务,将最好的卫星和地面技术联系起来。Hughes已为100多个国家或地区的客户输送了150多万个系统。Hughes总部位于华盛顿,特区之外的马里兰州德国镇,并在全球设有销售和支持办事处。Hughes是HughesCommunications,Inc.(NASDAQ:HUGH)的全资子公司。作为受管网络服务提供商,Hughes可以安全地连接分布式企业,支持客户关系管理(CRM)、企业资源计划(ERP)和信用卡处理服务。Hughes的大多数客户都是零售商。2004年,一些支付卡发行商确立了“支付卡行业数据安全标准”(PCIDSS),支持电子网络,防止客户身份被盗。信用卡发行商(如Visa、MasterCard、AmericanExpress和Discover)现在要求零售商及其服务提供商严格遵守PCIDSS的要求,否则,如果信用卡数据失窃,他们将面临严重的经济处罚。正如零售商必须符合PCI标准一样,作为受管网络服务提供商,Hughes也必须按照PCI标准进行信用卡交易。“长期以来,Hughes在处理客户的信用卡数据方面具有的安全性、速度、效率和合理的费用都得到了零售商客户的信任”,Hughes企业营销高级主管DougMedin说,“我们虽然已遵循ISO-9001标准并严格维护安全策略,但就我们处理的案例而言,符合PCI标准还需要第三方进行年度审计。这时我们便求助于IBMInternetSecuritySystems。”通过合格的安全性评估机构(QSA)支持合规性根据PCIDSS,Hughes取得1级服务提供商资格。这意味着Hughes必须通过合格的第三方供应商来完成年度PCI合规性报告(ROC)。只有通过审批和认证的公司和评估机构才有权执行第三方ROC评估,这直接精减了潜在提供

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功