背景

　　2010年1月，溫家寶主持召開國務院常委會議，決定加速進行“三網(wǎng)融合”建設，在廣電行業(yè)加速推進下一代廣播電視網(wǎng)（NGB, Next Generation Broadcasting Network），2010年7月，國務院發(fā)布了第一批三網(wǎng)融合12個試點城市名單，深圳位列其中。

　　深圳廣電地處中國改革開放的前沿窗口，引領了電視傳媒的生產(chǎn)與管理，打造“國家三網(wǎng)融合示范城市”。2011年，深圳廣電率先完成網(wǎng)絡融合改造，在“三網(wǎng)融合”總體推進過程中起到了排頭兵的作用。2011年5月，原國家廣播電影電視總局科技司下發(fā)了《GD/J038—2011 廣播電視相關信息系統(tǒng)安全等級保護基本要求》，深圳廣電全網(wǎng)融合下的信息安全架構建設就是按此要求展開的。

　　關鍵挑戰(zhàn)：

　　廣播電視網(wǎng)是我國重要的信息基礎設施之一，在業(yè)務內(nèi)容、輿論公信度等方面具有不可替代的優(yōu)勢，電視節(jié)目不僅僅是信息傳播工具，而且是黨和政府最重要的輿論陣地。NGB發(fā)展遵循的總體原則為保障國家信息與文化安全，建立符合全業(yè)務運營要求的可管、可控、具備安全保障能力的技術管理系統(tǒng)和業(yè)務支撐系統(tǒng)。具體分為三個階段，第一階段（2010-2012年），研究三網(wǎng)融合戰(zhàn)略下安全與管理體系；第二階段（2013-2015年），研究支持超高速、超大容量、高效率、可重構的網(wǎng)絡技術，適合于三網(wǎng)融合的安全設備；第三階段（2016-2019年），根據(jù)NGB的整體目標，面向發(fā)展過程中的新問題，結合技術、業(yè)務和安全管理的最新發(fā)展，持續(xù)推動NGB自主創(chuàng)新。具體安全建設依據(jù)等級保護要求。

　　深圳廣電前期已完成了對辦公網(wǎng)、業(yè)務網(wǎng)及數(shù)據(jù)中心的定級與備案工作，隨著業(yè)務的不斷發(fā)展與融合，信息安全問題越發(fā)顯得重要。2013年NGB安全建設已進入第二階段，正是安全設備選型和采購的關鍵時期，那么什么樣的安全設備才能滿足NGB的總體技術要求和廣電行業(yè)等級保護的安全性要求呢？

　　高安全性：深圳廣電希望分別在互聯(lián)網(wǎng)邊界，生產(chǎn)網(wǎng)邊界和數(shù)據(jù)中心邊界提供全面的防護能力，保障業(yè)務24小時不間斷運行。設備必須滿足等級保護要求，滿足不同級別的防護要求。不但包括細粒度的訪問控制能力，還需要深度融合入侵防御、防病毒，Anti-DDoS和應用識別等各項安全特性。

　　高性能：適應廣電業(yè)務的流量特點，確保能夠在高峰流量期對業(yè)務進行全面的安全檢查，同時也要考慮未來業(yè)務發(fā)展的總體要求，這就需要最少10G以上的全業(yè)務防護性能。

　　高可靠性：鑒于廣電業(yè)務的特殊性，深圳廣電希望所有的安全防護采用雙機冗余部署，并實現(xiàn)主要硬件器件冗余能力，最大限度的保障業(yè)務可持續(xù)性。

　　可擴展性：作為運營網(wǎng)絡，必須能夠支撐業(yè)務的快速發(fā)展和網(wǎng)絡需求的變化，具備靈活的，多樣化的組網(wǎng)能力。同時，支持IPV6網(wǎng)絡環(huán)境，不但提供網(wǎng)絡協(xié)議轉(zhuǎn)發(fā)，更可基于IPV6網(wǎng)絡提供全面的安全防護。

　　簡單易用：廣電網(wǎng)絡“三網(wǎng)融合”的轉(zhuǎn)換過程也是由專網(wǎng)向公共網(wǎng)絡轉(zhuǎn)換的過程。對于數(shù)據(jù)網(wǎng)絡的諸多安全問題，深圳廣電網(wǎng)絡安全人員期望更簡單高效的管理，因此希望安全設備在滿足安全防護的同時，管理越簡單越好，最好是“傻瓜式”的。

　　解決方案：

　　為了保障產(chǎn)品符合業(yè)務訴求，深圳廣電對國內(nèi)外各廠商產(chǎn)品進行了嚴格的測試，華為USG6000系列下一代防火墻在性能和安全能力方面表現(xiàn)優(yōu)異，同時有效保障了可靠性、擴展性和易管理要求，成為深圳廣電辦公網(wǎng)、業(yè)務網(wǎng)邊界防護的首選品牌。

　　華為根據(jù)深圳廣電不同業(yè)務場景的性能要求，通過USG6650+USG6680相結合的解決方案，在互聯(lián)網(wǎng)邊界和辦公網(wǎng)邊界采用USG6650提供20G防護，在業(yè)務網(wǎng)邊界用USG6680提供40G防護，為每一個業(yè)務系統(tǒng)和辦公系統(tǒng)提供邊界隔離與防護。同時全網(wǎng)設備通過管理中心統(tǒng)一調(diào)度管理和報表展現(xiàn)，整網(wǎng)方案為深圳廣電構建了一套簡潔高效的安全防護體系。

　　USG6000系列是華為2013年發(fā)布的下一代防火墻新品，在滿足Gartner對NGFW定義要求的基礎上，提供6000+應用識別和6維安全管控，是業(yè)界管控能力最精細的下一代防火墻。USG6000系列在能力上緊隨ICT發(fā)展趨勢和威脅趨勢變化，提供基于特征的入侵防護和基于行為的未知威脅防護，為深圳廣電提供了全面的網(wǎng)絡安全防護。

　　客戶價值：

　　防護能力最全面，保障深圳廣電業(yè)務順暢。USG6000系列在提供基于特征匹配的入侵防護和病毒防護能力的基礎上，更基于云端沙箱技術，提供對未知威脅的行為特征分析，可有效防范針對廣電業(yè)務系統(tǒng)的各類未知威脅及APT攻擊。在網(wǎng)絡雙向提供精細的訪問控制和用戶身份認證，提供基于用戶和應用權限管理，即保障了深圳廣電業(yè)務的穩(wěn)定開展，也可滿足廣電行業(yè)不同級別的安全等級保護要求。

　　全威脅高性能防護，支撐大業(yè)務流量。USG6000系列通過全新的軟硬件設計，可以做到在全威脅防護開啟情況下，性能下降小于50%，在所有參與的安全廠商中，性能下降幅度最小。大于10G的全威脅防護性能有能力同時為每一個業(yè)務系統(tǒng)提供全方位的安全防護。全特性的虛擬化能力還可為每一個等級的業(yè)務系統(tǒng)提供獨立的安全計算環(huán)境，保障“國家級”等保防護要求。

　　硬件可靠性設計，保障業(yè)務延續(xù)。華為為深圳廣電提供的解決方案在電源、風扇、硬盤上均采用冗余設計，同時在每個節(jié)點采用雙機熱備冗余部署，有效降低了每一個環(huán)節(jié)可能帶來的業(yè)務風險。

　　面向網(wǎng)絡發(fā)展趨勢，兼顧未來業(yè)務防護。USG6000系列采用了高密度接口設計，最大可提供64個千兆接口和16個萬兆接口的擴展能力，保障深圳廣電在業(yè)務進一步發(fā)展的情況下充分的接口擴容能力。同時，USG6000系列提供全面的IPV6支持，在未來深圳廣電與IPV6網(wǎng)絡對接時，即可保障順利對接，也可實現(xiàn)IPV6環(huán)境下的安全防護。

　　高效的管理手段，降低TCO。華為USG6000系列在設計開發(fā)過程中引入了全新的管理理念，即基于流量學習的自動化策略配置和優(yōu)化。在設備上線時通過預置模板提供快速部署；上線后通過流量學習與分析，自動生成安全策略建議，不斷的細化安全策略管理。在穩(wěn)定運行后，通過策略學習自動精簡冗余策略，提高策略匹配效率。USG6000系列的自動化管理手段讓深圳廣電輕松開啟了全威脅安全防護，TCO降低30%以上。

　　華為下一代防火墻深圳廣電解決方案解決了用戶的相關建設訴求，在保障業(yè)務安全性和延續(xù)性的同時，嚴格按照廣電行業(yè)等保要求進行產(chǎn)品推薦和方案設計，助力深圳廣電構筑全網(wǎng)融合安全信息基礎架構信息安全等級保護工程。華為方案的優(yōu)異表現(xiàn)獲得了深圳廣電領導的一致好評。