?百大案例 | “多合一”+“統(tǒng)一管”，華為護航墨西哥道路和橋梁網(wǎng)絡(luò)和數(shù)據(jù)安全

CAPUFE （ Caminosy Puentes Federales de Ingresosy Servicios Conexos, 聯(lián)邦道路和橋梁及相關(guān)服務(wù)）是墨西哥的一個聯(lián)邦政府機構(gòu)，負責(zé)運營和維護聯(lián)邦擁有的道路和橋梁。CAPUFE下面有13個分支機構(gòu)，總部和分支機構(gòu)之間需要實現(xiàn)安全的互聯(lián)互通。

互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊事件從來沒有停止過，近年來更愈演愈烈，面臨勒索病毒等主流網(wǎng)絡(luò)威脅的攻擊風(fēng)險，墨西哥聯(lián)邦政府機構(gòu)CAPUFE遇到前所未有的挑戰(zhàn)。CAPUFE有1個主園區(qū)及13個分支網(wǎng)絡(luò)，現(xiàn)網(wǎng)沒有部署專業(yè)安全設(shè)備，數(shù)據(jù)安全“裸奔”，網(wǎng)絡(luò)威脅的防護能力非常脆弱，網(wǎng)絡(luò)缺乏全網(wǎng)安全規(guī)劃和設(shè)計能力。CAPUFE每日近1000+條策略變更頻繁，運維人員有限，統(tǒng)一運維難度大，運維復(fù)雜，不能及時響應(yīng)和處置威脅和攻擊事件。同時，總部和分支需要部署專用網(wǎng)絡(luò)及安全設(shè)備，設(shè)備部署難度大，投資成本高。

和Capufe客戶的交流，源于一次看網(wǎng)講網(wǎng)交流，起初只是為了給客戶提供網(wǎng)絡(luò)建設(shè)和下一步演進的建議，但在這中間發(fā)現(xiàn)各個分支，因為運維成本等問題，基本沒做安全防護，雖然業(yè)務(wù)數(shù)據(jù)都是存儲在總部數(shù)據(jù)中心里，但因業(yè)務(wù)需要，分支需要不斷訪問總部數(shù)據(jù)中心，且有些數(shù)據(jù)會緩存在分支辦公設(shè)備中，這無形中給客戶的數(shù)據(jù)中心增加了新的攻擊方式，所以從整網(wǎng)安全的角度，華為建議客戶對分支做安全加固，因客戶和華為在網(wǎng)絡(luò)建設(shè)上長期的友好合作，故客戶同意由專門的安全同事和華為安全一起設(shè)計整網(wǎng)安全加固方案。

設(shè)計加固方案前，首先我們組織華為安全同事和客戶安全運維同事做了多輪溝通，最終了解清楚現(xiàn)網(wǎng)的業(yè)務(wù)和網(wǎng)絡(luò)拓撲，然后按照統(tǒng)一運維和分支多合一防護的原則，均衡安全能力、成本和運維，為客戶設(shè)計總部通過Secomanager統(tǒng)一管理分支的防火墻，接收所有分支的安全和業(yè)務(wù)日志，進行綜合分析，以快速高效定位業(yè)務(wù)的安全威脅，并支持按需自定義威脅報表，供運維匯報和歸檔。

和客戶對齊安全加固方案后，項目就進行到了正式的投標階段，最終憑借HiSecEngineUSG系列防火墻優(yōu)異的安全防護能力，Secomanager統(tǒng)一管理特別是日志分析能力和最優(yōu)的整體商務(wù)，一舉拿下項目，完成安全拉美首單交通行業(yè)的突破和上量。

CAPUFE成功部署華為HiSecEngine USG防火墻后，經(jīng)過運營實踐，統(tǒng)一的安全設(shè)備管理運維使客戶部署和運維效率提升50%，實現(xiàn)了總部和13個分支之間安全互聯(lián)，數(shù)據(jù)防護報表顯示，華為防火墻部署后平均每日攔截500+威脅事件，保障客戶網(wǎng)絡(luò)安全可靠。更重要的是，華為HiSecEngine USG防火墻一機集成多種功能，降低客戶投資及部署復(fù)雜度，幫助客戶成本節(jié)省30%，大大超過了CAPUFE的預(yù)期。