安全 iMaster NCE-CampusInsight

本次项目在信息安全规划和设计时， 通过划分安全域实现业务的正常运行和安全的有效保障。
结合该公司实际情况对安全等级进行评估，按照不同要求划分成了多个安全域，提升整体安全性。数据中心划分为应用业务安全域、数据库安全域、 运维管理安全域，出口防护安全域四个个安全域。
应用业务安全域
部署防火墙:主要对数据中心内部,各服务器及虚拟机之间进行安全隔离,访问控制。
部署WAF （Web Application Firewall, Web应用防火墙），通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护，防止网站文字、图片等内容被篡改。
部署IPS 入侵防御系统 访问服务器的流量都要经过IPS会对数据的网络层 ，传输层，应用层中各字段做分析并与特征库做比对，如果没有问题，才转发出去，保护服务器安全。
数据库安全域应部署数据库审计设备，   对数据库系统中的操作进行记录、监控和分析的过程，用于检查和评估数据库的安全性、合规性和完整性。
出口防护区
部署防火墙设备，配置NAT，实现内、外网地址转换，访问互联网。配置访问安全策略，防止非法访问和网络攻击。配置ACL流策略等,实现内网用户访问不同的出口网络,当带宽溢出时,访问备用出口。
部署DDoS异常流量检测与清洗设备，对来自Internet的各种DDoS攻击进行清洗。
安全运维管理安全域
管理区运维审计:通过对核心业务系统、主机、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制,满足相关法规、标准要求,实现对核心资源统一接入管理和运维审计；
园区接入部署NAC ( Network Admission Control,网络准入控制) :对接入网络的用户进行认证、授权和 上网行为记录 ，避免非法用户的接入或未授权用户访问核心资产。
 

部署HiSec Insight

 HiSec Insight 作为网络的安全智能分析引擎，实现的是对APT（Advanced Persistent Threat）等高级威胁检测，其核心思想是以持续检测应对持续攻击，在部署模式上，将采集组件部署在关键部门和关键资产相关位置，通过对实时流量信息和离线信息进行持续检测、分析，从而有效发现高级威胁，通过和网络设备、安全设备、流量探针设备等多种能力联动，实现安全威胁的分析和闭环。 

同时部署 旁挂漏洞扫描设备，定期对数据中心内服务器等关键设备进行扫描，及时发现安全漏洞和威胁，可供修复和完善。 

完整的安全体系不可能一蹴而就,是一个长期经营、不断完善的过程。公司在满足等级保护要求的基础网络安全能力之外,不断提升各行业的网络安全运维人员的安全技能，增强 广大员工的安全意识,积极参加公安部组织护网行动,以攻促防从而不断完善公司网络安全体系。 

传统网络网管只能监控网络KPI，无法感知用户体验，IT人员无法第一时间感知业务故障；故障发生后更多是依赖专业人员的运维经验判定业务故障原因，故障无法快速定位；

网络指标劣化后，需要由IT人员借助网管评估网络状况，做出针对性的优化策略并部署，网络无法实现自主优化。

本次项目引入，华为 iMaster NCE-CampusInsight        基于AI加持的iMaster NCE-CampusInsight分析组件，

实时采集和分析Wi-Fi网络及用户数据，并提供7个维度的网络健康度评估，让IT人员直观了解当前网络状态和质量；

用户体验可视，从用户接入网络到断开连接的整个过程，CampusInsight可提供用户全旅程体验感知；

当用户接入发生故障时，通过接入协议回放快速定位故障及根因，并提供修复建议,辅助IT人员快速排障。

更为重要的是，CampusInsight可通过大数据及AI技术学习网络模型并进行业务趋势预测，基于预测结果对Wi-Fi网络进行智能的射频调整和优化，

为公司提供更优的Wi-Fi网络接入服务，实现园区网络从管理到服务的转变。