华为视频会议终端TE20支持操作系统安全、网络层安全、防火墙安全、Web鉴权、协议防攻击、敏感数据保护以及系统管理和维护安全等多重安全措施，保障TE20安全稳定运行。今天重庆五极信息技术来说说华为TE20针对安全方面做了哪些布置

系统层安全维护的目的是保障操作系统可以正常运行，以支撑应用层各个应用软件的运行。终端遥控器操作界面采用定制的Android操作系统，提供比Windows操作系统更高的安全性及病毒免疫能力。

 

入驻式、IMS Hosted以及SP Hosted组网下，网络层安全策略不同。

– TE20与SMC2.0、MCU等都部署在信任区域，与DMZ（Demilitarized Zone）区域和非信任区域隔离，并通过防火墙进行安全域划分和访问控制。

– 非信任区域终端（例如TE Desktop、TE Mobile）需要通过DMZ区域的SBC或SC（Switch Center）与信任区域网元交互。

– TE20部署在非信任区域，经过SBC或外网防火墙与DMZ区域和信任区域隔离。

– 组网部署DMZ区域时，需要在DMZ部署SBC、SC、USM Proxy和MediaXProxy来代理TE20的接入。

– 组网没有部署DMZ区域时，TE20通过SBC代理接入信任区域，无需单独部署USM Proxy和MediaX Proxy。

– 在DMZ区域与非信任区域、信任区域的网络边界上分别部署防火墙进行安全域划分和访问控制。

 

防火墙通过隔离内部和外部网络数据的通信来保护您的IP网络。通过公私网协议的信令交互及NAT（Network Address Translation）接入技术，可实现异地不同局域网之间的通信，真正实现异地零距离视频会议。NAT网络地址转换技术是指对内部LAN网络的某设备使用专用的内部IP地址，同时使用一个外部IP地址以使该设备能够与外部网络的其他设备进行通信。NAT映射，只要少量IP便可使整个私有网络连接Internet，通过防火墙的端口控制，可使私有网络更安全。

 

l 对于每一个需要授权访问的页面或Servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作。

l 对用户的终认证处理过程放在服务器上执行。

l 用户产生的数据在服务端进行校验，数据在输出到客户端前必须先进行HTML编码，以防止执行恶意代码、跨站脚本攻击。

l 使用Web安全扫描软件扫描Web服务器和Web应用，不存在高级别的漏洞。协议防攻击

l 产品对外发布资料中配套提供通信矩阵，通信矩阵列出可以开启或者关闭的服务和端口，以及开启和关闭的条件，未在通信矩阵中列出的服务和端口不会开启。通信端口矩阵中记录如下信息：该产品开放的端口、该端口使用的传输层协议、通过该端口与对端通信的对端网元名称、该端口使用的应用层协议及应用层服务的描述、应用层服务能否关闭、该端口使用的认证方式、该端口的用途（如控制数据流量）等。

l H.235媒体流和信令加密、SRTP（Secure Real-time Transport Protocol）、TLS（Transport Layer Security）、HTTPS等多重安全加密措施，保证了用户的安全性。

l 网管支持SNMP v3（Simple Network Management Protocol v3）协议，具有更强的适应性和安全性。网管在连接终端时需要输入用户名和密码。

l 使用协议健壮性测试工具扫描协议，不存在高级别的漏洞。

l 采用FTPS和LDAPS协议，通过SSL（Secure Sockets Layer）对地址本数据进行加密，防止数据被窃取并且保证了数据的完整性。

 

l 产品的日志、诊断调试信息、告警信息中不包含敏感数据信息。

l 产品在传输敏感数据时，使用安全传输通道，或者对数据进行加密后再传输。

l 对密码进行复杂度检查，支持在输入框口令显示为“.”或者“*”，输入的口令不允许拷贝。

l 在日志中禁止打印等敏感数据，例如口令信息、加密上下文等。如果有必须打印敏感数据的场景，使用“***”替代。

l 采用标准的加密算法和密钥协商机制，不使用私有算法。

l 如果您的终端是通过自动注册方式接入公共网络的，终端上电启动时会访问部署在华为公有云上的重定向服务器，请求消息中带有终端的设备序列号，重定向服务器响应消息中包含终端管理服务器地址，接口通过HTTPS加密。系统管理和维护安全

l 软件包（含补丁包）发布前，需要经过至少五款主流防病毒软件扫描，保证防病毒软件不产生告警，特殊情况下对告警作出解释说明。

l 所有用户操作及系统异常均记录日志