网络安全等级保护云计算解决方案

1、网络安全等级保护处理方案云计算绿盟科技第1页目录CONTENTS 01 等级保护2.0改变及要求 04 云等保处理方案案例 04 云等保处理方案 04 云等保处理方案场景分析第2页等保2.0改变及要求01第3页等级保护发展历程开始关注等保1994-初建等保标准体系-完善测评管理体系-推进落地实施-云等保降临至今12345第4页确立法律地位，云计算被纳入保护对象国家实施网络安全等级保护制度，对网络实施分等级保护、分等级监管。关键基础设施实施重点保护。1提升到法律层面2等级保护对象包含云计算平台/系统、通信网络设施、物联网、工业控制系统等。提出云计算扩展要求。应对新技术等级保护2.0第5页安全责任

2、共担，服务模式确定责任责任主体一分为二依据服务模式，安全管理职责不一样云计算平台和云上信息系统分别定级、立案、测评云平台不能承载高于平台级别信息系统云服务商云服务客户SaaSPaaSIaaSIaaSPaaSSaaS重视平台防护，云服务客户往往忽略信息系统防护应用平台软件平台虚拟化计算资源资源抽象控制硬件设施范围和控制第6页新增安全要求，建立主动防护体系实现对网络攻击尤其是新型网络攻击行为分析落实网络安全态感知监测预警办法集中安全管理12被动安全防护缺乏监测预警第7页重视云平台安全，忽略信息系统安全云服务商云服务商责任共担模型参加角色：云平台云上信息系统防火墙入侵检测/防御Web应用防护DDoS

3、防护未提出相关安全要求由云服务商负责信息系统安全安全管理职责不变第8页传统交付模式，不适应云服务模式云服务客户安全计算存放网络未实现服务化，少许基础安全服务基础防御，并不了解信息系统安全需求云服务商无法了解安全状态，动态调整策略安全云计算平台/系统申请云服务商审批，自动化交付审批，手动交付基础产品计算存放网络第9页安全风险加剧，防护办法需完善勒索病毒0day漏洞APT传统安全能力，难以应对新型攻击和威胁安全设备单点防护，无法整体监控和预警云计算平台/系统安全风险。大量安全事件，无法及时验证和处理安全事件。维护人员新型攻击政务云东西向攻击虚拟化漏洞第10页云等保处理方案02第11页多方协同，纵深

4、防御，连续监控安全管理中心安全计算环境安全区域边界安全通信网络构建纵深防御体系按需提供安全服务，保护云上信息系统完善基础防护办法，确保平台安全建设主动防护能力，连续安全监控预警云平台云上信息系统集中管理第12页多方共建安全能力，共同守护面向各委办局，提供云安全服务。利用网络安全设备，保护云平台网络安全。云平台具备安全功效，确保云平台安全。利用云安全服务，保护云服务客户信息系统。监管方云服务客户云服务商提供安全服务使用安全服务日志监控预警、安全评定日志监控预警、技术方案评定监测预警，公布安全通告技术方案评定，安全评定第13页完善基础防护办法，确保平台安全依据网络安全等级保护三级要去，利用硬件安全

5、设备，分别在云平台边界和安全管理区域，从外到内构建防护体系，确保云平台整体安全保护能力。防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区三级等保区计算资源池存放区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查安全管理中心二级等保区计算资源池存放区关键交换区安全通信网络：划分关键交换区、不一样等保区、安全管理区等安全区域边界：布署防火墙、DDoS防护、入侵防御、网络审计等设备安全计算环境：布署防病毒、EDR等设备安全管理：布署日志审计、安全管理中心、扫描器等第14页按需提供安全服务，保护云上信息系统委办局1虚拟机虚拟机委办局

6、2虚拟机虚拟机委办局3虚拟机虚拟机防火墙WAFIPS防火墙WAF网络审计防火墙DDoS防护WAF物理服务器安全即服务软件定义安全服务平台计算网络存放统一管控服务化防火墙入侵防御入侵检测Web应用防护安全审计防病毒EDR虚拟化硬件安全设备提供丰富、专业安全服务，多达12个。自定义安全服务包，按需选择，快速实现防护。自助使用，自动交付，掌握业务系统安全状态。高可用设计，保障安全防护连续性。第15页做好区域隔离，实现东西向防护某委办局子网2信息系统2安全组1安全组2虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机业务区数据区子网1信息系统1安全组1安全组2虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机业务区数据区区域1区

7、域2区域1区域2利用云平台原生安全能力，依据委办局、业务系统、服务器功效等进行隔离，缩小安全风险域。不一样委办局资源布署在不一样VPC内，实现委办局间隔离；同委办局各信息系统布署在不一样子网内，实现信息系统间隔离，从而到达东西向防护。利用终端检测响应服务，防护信息系统虚拟机。将不一样信息系统资源划分不一样隔离区域，区域间限制访问；利用轻量级客户端，实现虚拟机入侵防御和基线核查等。安全管理平台第16页建设主动防护能力，连续安全监控预警威胁情报中心安全教授策略管理及时获取热点事件、漏洞、恶意IP/域名。全方面分析安全设备日志，建立整体安全态势，发觉未知威胁。为云服务平台和云服务客户提供安全运行服务

8、，及时响应和处置安全事件。资源池防火墙DDoS防护WAFWeb漏扫IPS网络审计系统漏扫安全运行平台安全数据资产分析感知溯源预警热点事件预警攻击威胁源封禁攻击事件发觉与排查安全事件应急响应运行服务安全日志采集第17页全流程咨询服务，帮助客户等保合规等级定级系统立案建设整改等级测评监督检验业务系统云服务商咨询合作搭档测评合作搭档确定安全保护等级，编写顶级汇报协调第三方机构为运行单位提供辅导服务。辅导运行单位准备定级汇报，并组织教授评审（三级）准备立案材料，到当地公安机关立案协调第三方机构为运行单位提供辅导服务。辅导运行单位准备立案材料和立案建设符合等级要求安全技术和管理体系提供符合等级要求必须安

9、全产品和服务。辅导运行单位进行系统安全加固和制订安全管理制度准备和接收测评机构测评提供云服务商安全资质、云平台经过等保证实材料帮助运行单位参加等级测评过程并进行整改测评机构对系统等级符合性情况进行测评接收公安机关定时检验帮助运行单位接收检验和进行整改绿盟帮助运行单位进行定级评定；帮助运行单位进行立案；帮助云租户定级云平台定级帮助云租户帮助云平台帮助云平台安全顶层设计，参考等保标准提供安全能力，而且帮助定级评定；帮助云平台进行立案；提供系统等级要求安全产品及服务；提供云平台本身等级要求安全产品及服务，以及提供云平台可供租户安全产品及服务；云服务商申请测评机构进行测评。提供安全产品及服务相关材料；

10、技术人员驻场支持等级测评中技术风险及问题；安全运维驻场保障云平台安全运行而且定时进行风险评定及其它安全服务；提供安全产品及服务后续支持工作；云服务商依据承载业务等级，进行对应等级平台评定和定级；服务商进行定级本案申请；云服务商进行等级保护要求进行建设；云服务商接收主管部门、运行单位及公安机关监督和定时检验。帮助云租户定时完成检验。云租户运行单位帮助咨询技术测评第18页云等保处理方案防护示意图技术要求安全计算环境安全通信网络安全物理环境管理要求安全管理制度安全管理机构安全管理人员安全运维管理安全建设管理要求应对办法安全管理中心高可用设计区域划分网络隔离VPN防火墙入侵检测入侵防范网络防毒邮件安全

11、网关安全审计日志审计堡垒机防病毒EDR日志审计扫描器配置核查数据库审计统一身份认证应用防火墙数据防泄漏堡垒机日志审计态势感知威胁情报安全管理中心等保咨询服务安全加固服务安全区域边界渗透测试服务安全培训服务威胁管理与响应服务应急响应服务应急演练服务第19页价值明确责任边界，符合合规性要求绿盟科技为云服务商和云服务客户提供安全产品和等保咨询服务云服务商选择安全设备，保护云平台构建监测预警体系云服务客户使用丰富、专业安全防护服务第20页价值完善防御体系，防护更主动主动防护体系预测响应检测防护防火墙入侵检测Web应用防护DDoS防护系统漏洞扫描Web漏洞扫描安全审计入侵检测威胁情报全流量分析态势感知安

12、全运行应急响应防病毒EDR等保咨询第21页价值服务化安全能力，实现安全服务增值计算服务网络服务存放服务防火墙DDoS防护WAFWeb漏扫IPS网络审计系统漏扫安全服务云计算处理方案完善和丰富云计算处理方案可提供服务类别，增强处理方案竞争力。将IT投入和安全投入，转化为创收方式，拓展业务收入起源。服务器NFV第22页云等保处理方案场景分析03第23页虚拟化场景等保专版计算资源池存放区计算资源池存放区关键交换区环境：仅是一个虚拟化，经典产品是VMware vSphere，吞吐量小于1G。需求：经过布署一个设备，快速满足等保要求；资金投入少，使用简单。推荐产品：NCSS（等保专版，包含多款虚拟化安全

13、产品）价值：等保套餐设计，按需选择一体化布署快速建设，快速实现等保合规集中化管理，降低运维工作量套餐设置包括产品等保二级包防火墙 入侵防护 WEB防护 堡垒机 日志审计 主机防病毒等保三级包防火墙 入侵防护 WEB防护 堡垒机 日志审计 安全审计 安全扫描 主机防病毒 数据库审计第24页私有云（无租户）场景防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区三级等保区计算资源池存放区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查态势感知二级等保区计算资源池存放区关键交换区环境：单位内部私有云，无租户。需求：确保平台云满足等保三

14、级要求，云上信息系统等保合规。推荐产品：硬件安全产品+态势感知价值：全方面安全产品和服务，助力等保合规。丰富、专业安全产品，构建纵深安全体系。安全管理中心，完善网络安全监控预警防火墙入侵防御DDoS防护Web应用防护威胁分析系统安全审计日志审计系统漏扫Web漏扫防病毒态势感知威胁情报中心堡垒机第25页私有云（有租户）场景虚拟化层虚拟机虚拟机虚拟机虚拟机安全代理安全代理安全代理安全代理云平台关键交换机接入交换机安全设备路由器入侵防护入侵检测应用防护系统漏扫Web漏扫虚拟化安全能力虚拟化层配置核查防火墙安全审计防病毒EDR日志审计堡垒机安全服务服务编排弹性扩展主动防护日志管理虚拟化安全能力虚拟化安

15、全能力X86服务器安全防护架构安全控制信息系统环境：私有云(有租户），有硬件安全设备。需求：租户信息系统等保推荐产品：NCSS+各虚拟化安全产品价值：按需提供安全服务，安全责任清楚。等保套餐设置，快速满足等保要求。安全管理中心，统一安全管理。防火墙入侵防御DDoS防护入侵检测安全审计日志审计Web应用防护系统漏扫Web漏扫堡垒机防病毒EDR注：堡垒机、防病毒、EDR和日志审计等计划9月份实现。第26页行业云/政务云场景防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查安全管理中心

16、计算资源池存放区关键交换区防火墙入侵防御入侵检测安全资源池网站安全NCSS安全审计DB审计系统漏扫Web漏扫需求：平台满足等保三级，租户信息系统按需等保推荐产品：硬件安全产品+态势感知+NCSS+各虚拟化安全产品价值：明确责任边界，符合合规性要求。完善防御体系，防护更主动。服务化安全能力，实现安全服务增值。防火墙入侵防御DDoS防护威胁分析系统安全审计Web应用防护Web漏扫系统漏扫日志审计防病毒态势感知威胁情报中心堡垒机云安全集中管理系统防火墙入侵防御Web应用防护入侵检测安全审计日志审计Web漏扫系统漏扫堡垒机防病毒EDR注：堡垒机、防病毒、EDR和日志审计等计划9月份实现。第27页云等保

17、处理方案案例04第28页厦门市政务云安全客户介绍伴随厦门市政府部门推进信息化建设，越来越多政务信息系统将迁移到政务云中，为实现绿色政务，提升政务服务水平迈出坚实一步。业务挑战信息系统中包括到厦门市各委办厅局主要信息，怎样保障信息系统安全，是政务云急需面对和处理主要挑战。作为政务应用承载体，政务云应严格按照国家及行业安全标准规范设计建设， 安全合规。安全能力建设应符合云计算特点，为各委办厅局提供丰富、弹性、按需云安全服务。第29页厦门市政务云安全处理方案“绿盟星云”云安全处理方案遵照以业务为中心，风险为导向，基于纵深主动防护思想，综合考虑云平台安全威胁、需求特点和相关要求，对安全防护体系架构、内

18、容、实现机制及相关产品组件进行了优化设计，从管理和技术两个方面充分保障政务云安全。云边界防护云边界经过传统物理伎俩，布署NTA、ADS和IPS等设备，对异常流量进行检测和清洗，对各种网络攻击进行检测和阻断。云内防护基于x86 服务器和虚拟化技术，集成各种虚拟化安全组件（vWAF、vNF、vRSAS、vSAS等）形成统一安全资源池，基于软件定义安全（SDS）架构，利用智能化、自动化业务编排和管理，将流量分别牵引到不一样虚拟化安全设备中，实现灵活安全防护。第30页厦门市政务云安全客户价值构建全方位防护体系基于云边界防护、云内防护、统一管理，“三步走”设计标准，建设一套从点到面全方位防护体系，为客户

19、云环境提供连续全方面地安全保障。提供可控灵活安全防护能力云安全资源池能够伴随客户云环境扩容进行灵活弹性扩展，满足客户对安全服务能力需求。处理方案统一管理、安全运行利用统一管理门户对安全资源池内全部资源进行统一管理，统一监控，虚拟化设备生命周期管理，查看整个安全资源池运行状态和日志报表展现。安全态势感知经过大数据技术，实现对云中安全设备数据集中搜集、分析，将大量安全日志转化为少许安全事件，展示在显示大屏，帮助管理员快速掌握云平台安全状态，提供决议支撑实现安全集中运维简单、易用运维平台可对云内虚拟化安全设备进行统一运维管理，可大幅度降低客户运维成本投入，提升运维管理效率。满足等保合规要求经过构建安全监测、识别、防护、审计和响应综合能力，有效抵抗相关威胁，使客户在向云迁移过程中满足监管与合规性要求。第31页深圳证券通信有限企业客户介绍深证通作为深交所控股下属机构，在公布金融云，主要面向证券交易所和区域股权交易中心等市场关键机构，证券