等级保护20解决方案-云计算课件

网络安全等级保护解决方案——云计算绿盟科技网络安全等级保护解决方案——云计算绿盟科技目录CONTENTS01等级保护2.0变化及要求04云等保解决方案案例04云等保解决方案04云等保解决方案场景分析目录01等级保护2.0变化等保2.0变化及要求01等保2.0变化及要求01等级保护的发展历程开始关注等保1994-2005初建等保标准体系2005-2008完善测评管理体系2008-2010推动落地实施2010-2014云等保来临至今12345等级保护的发展历程开始关注等保初建等保标准体系完善测评管理体4确立法律地位，云计算被纳入保护对象国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管。关键基础设施实行重点保护。1提升到法律层面2等级保护对象包括云计算平台/系统、通信网络设施、物联网、工业控制系统等。提出云计算扩展要求。应对新技术等级保护2.0确立法律地位，云计算被纳入保护对象国家实行网络安全等级保护制5安全责任共担，服务模式确定责任责任主体一分为二根据服务模式，安全管理职责不同云计算平台和云上信息系统分别定级、备案、测评云平台不能承载高于平台级别的信息系统云服务商云服务客户SaaSPaaSIaaSIaaSPaaSSaaS注重平台防护，云服务客户往往忽视信息系统防护应用平台软件平台虚拟化计算资源资源抽象控制硬件设施范围和控制安全责任共担，服务模式确定责任责任主体一分为二云服务商云服务6新增安全要求，建立主动防护体系实现对网络攻击特别是新型网络攻击行为的分析落实网络安全态感知监测预警措施集中安全管理12被动安全防护缺少监测预警新增安全要求，建立主动防护体系实现对网络攻击特别是新型网络攻7重视云平台安全，忽视信息系统安全云服务商云服务商责任共担模型参与角色：云平台云上信息系统防火墙入侵检测/防御Web应用防护DDoS防护未提出相关安全要求由云服务商负责信息系统安全安全管理职责不变重视云平台安全，忽视信息系统安全云服务商云服务商责任共担模型8传统交付模式，不适应云服务模式云服务客户安全计算存储网络未实现服务化，少量基础安全服务基础防御，并不了解信息系统的安全需求云服务商无法了解安全状态，动态调整策略安全云计算平台/系统申请云服务商审批，自动化交付审批，手动交付基础产品计算存储网络传统交付模式，不适应云服务模式云服务客户安全未实现服务化，少9安全风险加剧，防护措施需完善勒索病毒0day漏洞APT传统安全能力，难以应对新型攻击和威胁安全设备单点防护，无法整体监控和预警云计算平台/系统安全风险。大量安全事件，无法及时验证和处理安全事件。维护人员新型攻击政务云东西向攻击虚拟化漏洞安全风险加剧，防护措施需完善勒索病毒0day漏洞APT传统安10云等保解决方案02云等保解决方案02多方协同，纵深防御，持续监控安全管理中心安全计算环境安全区域边界安全通信网络构建纵深的防御体系按需提供安全服务，保护云上信息系统完善基础防护措施，确保平台安全建设主动防护能力，持续安全监控预警云平台云上信息系统集中管理多方协同，纵深防御，持续监控安全管理中心安全计算环境安全区域12多方共建安全能力，共同守护面向各委办局，提供云安全服务。利用网络安全设备，保护云平台网络安全。云平台具备安全功能，确保云平台安全。利用云安全服务，保护云服务客户的信息系统。监管方云服务客户云服务商提供安全服务使用安全服务日志监控预警、安全评估日志监控预警、技术方案评估监测预警，发布安全通告技术方案评估，安全评估多方共建安全能力，共同守护面向各委办局，提供云安全服务。利用13完善基础防护措施，确保平台安全根据网络安全等级保护三级要去，利用硬件安全设备，分别在云平台边界和安全管理区域，从外到内构建防护体系，确保云平台整体的安全保护能力。防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区三级等保区计算资源池存储区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查安全管理中心二级等保区计算资源池存储区核心交换区安全通信网络：划分核心交换区、不同等保区、安全管理区等安全区域边界：部署防火墙、DDoS防护、入侵防御、网络审计等设备安全计算环境：部署防病毒、EDR等设备安全管理：部署日志审计、安全管理中心、扫描器等完善基础防护措施，确保平台安全根据网络安全等级保护三级要去，14按需提供安全服务，保护云上信息系统委办局1虚拟机虚拟机委办局2虚拟机虚拟机委办局3虚拟机虚拟机防火墙WAFIPS防火墙WAF网络审计防火墙DDoS防护WAF物理服务器安全即服务软件定义安全服务平台计算网络存储统一管控服务化防火墙入侵防御入侵检测Web应用防护安全审计防病毒EDR虚拟化硬件安全设备提供丰富、专业的安全服务，多达12个。自定义安全服务包，按需选择，快速实现防护。自助使用，自动交付，掌握业务系统安全状态。高可用设计，保障安全防护连续性。按需提供安全服务，保护云上信息系统委办局1虚拟机虚拟机委办局15做好区域隔离，实现东西向防护某委办局子网2信息系统2安全组1安全组2虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机业务区数据区子网1信息系统1安全组1安全组2虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机业务区数据区区域1区域2区域1区域2利用云平台原生安全能力，依据委办局、业务系统、服务器功能等进行隔离，缩小安全风险域。不同委办局的资源部署在不同VPC内，实现委办局间隔离；同委办局各信息系统部署在不同子网内，实现信息系统间隔离，从而达到东西向防护。利用终端检测响应服务，防护信息系统的虚拟机。将不同信息系统的资源划分不同隔离区域，区域间限制访问；利用轻量级客户端，实现虚拟机的入侵防御和基线核查等。安全管理平台做好区域隔离，实现东西向防护某委办局子网2信息系统2安全组116建设主动防护能力，持续安全监控预警威胁情报中心安全专家策略管理及时获取热点事件、漏洞、恶意IP/域名。全面分析安全设备日志，建立整体安全态势，发现未知威胁。为云服务平台和云服务客户提供安全运营服务，及时响应和处置安全事件。资源池防火墙DDoS防护WAFWeb漏扫IPS网络审计系统漏扫安全运营平台安全数据资产分析感知溯源预警热点事件预警攻击威胁源封禁攻击事件发现与排查安全事件应急响应运营服务安全日志采集建设主动防护能力，持续安全监控预警威胁情报中心安全专家策略管17全流程咨询服务，帮助客户等保合规等级定级系统备案建设整改等级测评监督检查业务系统云服务商咨询合作伙伴测评合作伙伴确定安全保护等级，编写顶级报告协调第三方机构为运营单位提供辅导服务。辅导运营单位准备的定级报告，并组织专家评审（三级）准备备案材料，到当地公安机关备案协调第三方机构为运营单位提供辅导服务。辅导运营单位准备的备案材料和备案建设符合等级要求的安全技术和管理体系提供符合等级要求必须的安全产品和服务。辅导运营单位进行系统安全加固和制定安全管理制度准备和接受测评机构测评提供云服务商安全资质、云平台通过等保的证明材料协助运营单位参与等级测评过程并进行整改测评机构对系统等级符合性状况进行测评接受公安机关的定期检查协助运营单位接受检查和进行整改绿盟协助运营单位进行定级评估；协助运营单位进行备案；协助云租户定级云平台定级协助云租户协助云平台协助云平台安全顶层设计，参照等保标准提供安全能力，并且协助定级评估；协助云平台进行备案；提供系统等级要求的安全产品及服务；提供云平台自身等级要求的安全产品及服务，以及提供云平台可供租户的安全产品及服务；云服务商申请测评机构进行测评。提供安全产品及服务相关的材料；技术人员驻场支持等级测评中的技术风险及问题；安全运维驻场保障云平台安全运行并且定期进行风险评估及其他安全服务；提供安全产品及服务后续支持工作；云服务商根据承载业务等级，进行相应的等级平台评估和定级；服务商进行定级本案申请；云服务商进行等级保护要求进行建设；云服务商接受主管部门、运营单位及公安机关的监督和定期检查。协助云租户定期完成检查。云租户运营单位协助咨询技术测评全流程咨询服务，帮助客户等保合规等级定级系统备案建设整改等级18云等保解决方案防护示意图技术要求安全计算环境安全通信网络安全物理环境管理要求安全管理制度安全管理机构安全管理人员安全运维管理安全建设管理要求应对措施安全管理中心高可用设计区域划分网络隔离VPN防火墙入侵检测入侵防范网络防毒邮件安全网关安全审计日志审计堡垒机防病毒EDR日志审计扫描器配置核查数据库审计统一身份认证应用防火墙数据防泄漏堡垒机日志审计态势感知威胁情报安全管理中心等保咨询服务安全加固服务安全区域边界渗透测试服务安全培训服务威胁管理与响应服务应急响应服务应急演练服务云等保解决方案防护示意图技术要求安全计算环境安全通信网络安全19价值—明确的责任边界，符合合规性要求绿盟科技为云服务商和云服务客户提供安全产品和等保咨询服务云服务商选择安全设备，保护云平台构建监测预警体系云服务客户使用丰富、专业的安全防护服务价值—明确的责任边界，符合合规性要求绿盟科技为云服务商和云服20价值—完善的防御体系，防护更主动主动防护体系预测响应检测防护防火墙入侵检测Web应用防护DDoS防护系统漏洞扫描Web漏洞扫描安全审计入侵检测威胁情报全流量分析态势感知安全运营应急响应防病毒EDR等保咨询价值—完善的防御体系，防护更主动主动防护体系预测响应检测防护21价值—服务化的安全能力，实现安全服务增值计算服务网络服务存储服务防火墙DDoS防护WAFWeb漏扫IPS网络审计系统漏扫安全服务云计算解决方案完善和丰富云计算解决方案可提供服务类别，增强解决方案竞争力。将IT投入和安全投入，转化为创收方式，拓展业务收入来源。服务器NFV价值—服务化的安全能力，实现安全服务增值计算服务网络服务存储22云等保解决方案场景分析03云等保解决方案场景分析03虚拟化场景等保专版计算资源池存储区计算资源池存储区核心交换区环境：仅是一个虚拟化，典型产品是VMwarevSphere，吞吐量小于1G。需求：通过部署一个设备，快速满足等保要求；资金投入少，使用简单。推荐产品：NCSS（等保专版，包含多款虚拟化安全产品）价值：等保套餐设计，按需选择一体化部署快速建设，快速实现等保合规集中化管理，降低运维工作量套餐设置涉及产品等保二级包防火墙入侵防护WEB防护堡垒机日志审计主机防病毒等保三级包防火墙入侵防护WEB防护堡垒机日志审计安全审计安全扫描主机防病毒数据库审计虚拟化场景等保专版计算资源池存储区计算资源池存储区核心交换区24私有云（无租户）场景防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区三级等保区计算资源池存储区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查态势感知二级等保区计算资源池存储区核心交换区环境：单位内部私有云，无租户。需求：保证平台云满足等保三级要求，云上信息系统等保合规。推荐产品：硬件安全产品+态势感知价值：全面安全产品和服务，助力等保合规。丰富、专业的安全产品，构建纵深安全体系。安全管理中心，完善网络安全监控预警防火墙入侵防御DDoS防护Web应用防护威胁分析系统安全审计日志审计系统漏扫Web漏扫防病毒态势感知威胁情报中心堡垒机私有云（无租户）场景防火墙入侵防御网络审计DDoS防护Web25私有云（有租户）场景虚拟化层虚拟机虚拟机虚拟机虚拟机安全代理安全代理安全代理安全代理云平台核心交换机接入交换机安全设备路由器入侵防护入侵检测应用防护系统漏扫Web漏扫虚拟化安全能力虚拟化层配置核查防火墙安全审计防病毒EDR日志审计堡垒机安全服务服务编排弹性扩展主动防护日志管理虚拟化安全能力虚拟化安全能力X86服务器安全防护架构安全控制信息系统环境：私有云(有租户），有硬件安全设备。需求：租户信息系统等保推荐产品：NCSS+各虚拟化安全产品价值：按需提供安全服务，安全责任清晰。等保套餐设置，快速满足等保要求。安全管理中心，统一安全管理。防火墙入侵防御DDoS防护入侵检测安全审计日志审计Web应用防护系统漏扫Web漏扫堡垒机防病毒EDR注：堡垒机、防病毒、EDR和日志审计等计划9月份实现。私有云（有租户）场景虚拟化层虚拟机虚拟机虚拟机虚拟机安全代理26行业云/政务云场景防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查安全管理中心计算资源池存储区核心交换区防火墙入侵防御入侵检测安全资源池网站安全NCSS安全审计DB审计系统漏扫Web漏扫需求：平台满足等保三级，租户信息系统按需等保推荐产品：硬件安全产品+态势感知+NCSS+各虚拟化安全产品价值：明确的责任边界，符合合规性要求。完善的防御体系，防护更主动。服务化的安全能力，实现安全服务增值。防火墙入侵防御DDoS防护威胁分析系统安全审计Web应用防护Web漏扫系统漏扫日志审计防病毒态势感知威胁情报中心堡垒机云安全集中管理系统防火墙入侵防御Web应用防护入侵检测安全审计日志审计Web漏扫系统漏扫堡垒机防病毒EDR注：堡垒机、防病毒、EDR和日志审计等计划9月份实现。行业云/政务云场景防火墙入侵防御网络审计DDoS防护Web应27云等保解决方案案例04云等保解决方案案例04厦门市政务云安全客户介绍随着厦门市政府部门推进信息化建设，越来越多的政务信息系统将迁移到政务云中，为实现绿色政务，提升政务服务水平迈出坚实的一步。业务挑战信息系统中涉及到厦门市各委办厅局的重要信息，如何保障信息系统安全，是政务云急需面对和解决重要挑战。作为政务应用的承载体，政务云应严格按照国家及行业安全标准规范设计建设，安全合规。安全能力建设应符合云计算的特点，为各委办厅局提供丰富的、弹性的、按需的云安全服务。厦门市政务云安全客户介绍随着厦门市政府部门推进信息化建设，越29厦门市政务云安全解决方案“绿盟星云”云安全解决方案遵循以业务为中心，风险为导向，基于纵深主动防护思想，综合考虑云平台安全威胁、需求特点和相关要求，对安全防护体系架构、内容、实现机制及相关产品组件进行了优化设计，从管理和技术两个方面充分保障政务云安全。云边界防护云边界通过传统物理手段，部署NTA、ADS和IPS等设备，对异常流量进行检测和清洗，对各种网络攻击进行检测和阻断。云内防护基于x86服务器和虚拟化技术，集成多种虚拟化安全组件（vWAF、vNF、vRSAS、vSAS等）形成统一的安全资源池，基于软件定义安全（SDS）的架构，利用智能化、自动化的业务编排和管理，将流量分别牵引到不同的虚拟化安全设备中，实现灵活的安全防护。厦门市政务云安全解决方案“绿盟星云”云安全解决方案遵循以业务30厦门市政务云安全客户价值构建全方位的防护体系基于云边界防护、云内防护、统一管理，“三步走”设计原则，建设一套从点到面的全方位防护体系，为客户的云环境提供持续全面地安全保障。提供可控灵活的安全防护能力云安全资源池可以随着客户云环境的扩容进行灵活弹性的扩展，满足客户对安全服务能力的需求。解决方案统一管理、安全运营利用统一管理门户对安全资源池内所有资源进行统一管理，统一监控，虚拟化设备生命周期的管理，查看整个安全资源池的运行状态和日志报表展现。安全态势感知通过大数据技术，实现对云中安全设备数据集中收集、分析，将大量安全日志转化为少量安全事件，展示在显示大屏，帮助管理员快速掌握云平台安全状态，提供决策支撑实现安全的集中运维简单、易用的运维平台可对云内虚拟化安全设备进行统一运维管理，可大幅度降低客户运维成本的投入，提高运维管理效率。满足等保合规要求通过构建安全监测、识别、防护、审计和响应的综合能力，有效抵御相关威胁，使客户在向云迁移的过程中满足监管与合规性要求。厦门市政务云安全客户价值构建全方位的防护体系解决方案统一管理31深圳证券通信有限公司客户介绍深