等级保护2.0解决方案-云计算

网络安全等级保护解决方案——云计算绿盟科技目录CONTENTS01等级保护2.0变化及要求04云等保解决方案案例04云等保解决方案04云等保解决方案场景分析等保2.0变化及要求01等级保护的发展历程开始关注等保1994-2005初建等保标准体系2005-2008完善测评管理体系2008-2010推动落地实施2010-2014云等保来临至今12345确立法律地位，云计算被纳入保护对象国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管。关键基础设施实行重点保护。1提升到法律层面2等级保护对象包括云计算平台/系统、通信网络设施、物联网、工业控制系统等。提出云计算扩展要求。应对新技术等级保护2.0安全责任共担，服务模式确定责任责任主体一分为二根据服务模式，安全管理职责不同云计算平台和云上信息系统分别定级、备案、测评云平台不能承载高于平台级别的信息系统云服务商云服务客户SaaSPaaSIaaSIaaSPaaSSaaS注重平台防护，云服务客户往往忽视信息系统防护应用平台软件平台虚拟化计算资源资源抽象控制硬件设施范围和控制新增安全要求，建立主动防护体系实现对网络攻击特别是新型网络攻击行为的分析落实网络安全态感知监测预警措施集中安全管理12被动安全防护缺少监测预警重视云平台安全，忽视信息系统安全云服务商云服务商责任共担模型参与角色：云平台云上信息系统防火墙入侵检测/防御Web应用防护DDoS防护未提出相关安全要求由云服务商负责信息系统安全安全管理职责不变传统交付模式，不适应云服务模式云服务客户安全计算存储网络未实现服务化，少量基础安全服务基础防御，并不了解信息系统的安全需求云服务商无法了解安全状态，动态调整策略安全云计算平台/系统申请云服务商审批，自动化交付审批，手动交付基础产品计算存储网络安全风险加剧，防护措施需完善勒索病毒0day漏洞APT传统安全能力，难以应对新型攻击和威胁安全设备单点防护，无法整体监控和预警云计算平台/系统安全风险。大量安全事件，无法及时验证和处理安全事件。维护人员新型攻击政务云东西向攻击虚拟化漏洞云等保解决方案02多方协同，纵深防御，持续监控安全管理中心安全计算环境安全区域边界安全通信网络构建纵深的防御体系按需提供安全服务，保护云上信息系统完善基础防护措施，确保平台安全建设主动防护能力，持续安全监控预警云平台云上信息系统集中管理多方共建安全能力，共同守护面向各委办局，提供云安全服务。利用网络安全设备，保护云平台网络安全。云平台具备安全功能，确保云平台安全。利用云安全服务，保护云服务客户的信息系统。监管方云服务客户云服务商提供安全服务使用安全服务日志监控预警、安全评估日志监控预警、技术方案评估监测预警，发布安全通告技术方案评估，安全评估完善基础防护措施，确保平台安全根据网络安全等级保护三级要去，利用硬件安全设备，分别在云平台边界和安全管理区域，从外到内构建防护体系，确保云平台整体的安全保护能力。防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区三级等保区计算资源池存储区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查安全管理中心二级等保区计算资源池存储区核心交换区安全通信网络：划分核心交换区、不同等保区、安全管理区等安全区域边界：部署防火墙、DDoS防护、入侵防御、网络审计等设备安全计算环境：部署防病毒、EDR等设备安全管理：部署日志审计、安全管理中心、扫描器等按需提供安全服务，保护云上信息系统委办局1虚拟机虚拟机委办局2虚拟机虚拟机委办局3虚拟机虚拟机防火墙WAFIPS防火墙WAF网络审计防火墙DDoS防护WAF物理服务器安全即服务软件定义安全服务平台计算网络存储统一管控服务化防火墙入侵防御入侵检测Web应用防护安全审计防病毒EDR虚拟化硬件安全设备提供丰富、专业的安全服务，多达12个。自定义安全服务包，按需选择，快速实现防护。自助使用，自动交付，掌握业务系统安全状态。高可用设计，保障安全防护连续性。做好区域隔离，实现东西向防护某委办局子网2信息系统2安全组1安全组2虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机业务区数据区子网1信息系统1安全组1安全组2虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机业务区数据区区域1区域2区域1区域2利用云平台原生安全能力，依据委办局、业务系统、服务器功能等进行隔离，缩小安全风险域。不同委办局的资源部署在不同VPC内，实现委办局间隔离；同委办局各信息系统部署在不同子网内，实现信息系统间隔离，从而达到东西向防护。利用终端检测响应服务，防护信息系统的虚拟机。将不同信息系统的资源划分不同隔离区域，区域间限制访问；利用轻量级客户端，实现虚拟机的入侵防御和基线核查等。安全管理平台建设主动防护能力，持续安全监控预警威胁情报中心安全专家策略管理及时获取热点事件、漏洞、恶意IP/域名。全面分析安全设备日志，建立整体安全态势，发现未知威胁。为云服务平台和云服务客户提供安全运营服务，及时响应和处置安全事件。资源池防火墙DDoS防护WAFWeb漏扫IPS网络审计系统漏扫安全运营平台安全数据资产分析感知溯源预警热点事件预警攻击威胁源封禁攻击事件发现与排查安全事件应急响应运营服务安全日志采集全流程咨询服务，帮助客户等保合规等级定级系统备案建设整改等级测评监督检查业务系统云服务商咨询合作伙伴测评合作伙伴确定安全保护等级，编写顶级报告协调第三方机构为运营单位提供辅导服务。辅导运营单位准备的定级报告，并组织专家评审（三级）准备备案材料，到当地公安机关备案协调第三方机构为运营单位提供辅导服务。辅导运营单位准备的备案材料和备案建设符合等级要求的安全技术和管理体系提供符合等级要求必须的安全产品和服务。辅导运营单位进行系统安全加固和制定安全管理制度准备和接受测评机构测评提供云服务商安全资质、云平台通过等保的证明材料协助运营单位参与等级测评过程并进行整改测评机构对系统等级符合性状况进行测评接受公安机关的定期检查协助运营单位接受检查和进行整改绿盟协助运营单位进行定级评估；协助运营单位进行备案；协助云租户定级云平台定级协助云租户协助云平台协助云平台安全顶层设计，参照等保标准提供安全能力，并且协助定级评估；协助云平台进行备案；提供系统等级要求的安全产品及服务；提供云平台自身等级要求的安全产品及服务，以及提供云平台可供租户的安全产品及服务；云服务商申请测评机构进行测评。提供安全产品及服务相关的材料；技术人员驻场支持等级测评中的技术风险及问题；安全运维驻场保障云平台安全运行并且定期进行风险评估及其他安全服务；提供安全产品及服务后续支持工作；云服务商根据承载业务等级，进行相应的等级平台评估和定级；服务商进行定级本案申请；云服务商进行等级保护要求进行建设；云服务商接受主管部门、运营单位及公安机关的监督和定期检查。协助云租户定期完成检查。云租户运营单位协助咨询技术测评云等保解决方案防护示意图技术要求安全计算环境安全通信网络安全物理环境管理要求安全管理制度安全管理机构安全管理人员安全运维管理安全建设管理要求应对措施安全管理中心高可用设计区域划分网络隔离VPN防火墙入侵检测入侵防范网络防毒邮件安全网关安全审计日志审计堡垒机防病毒EDR日志审计扫描器配置核查数据库审计统一身份认证应用防火墙数据防泄漏堡垒机日志审计态势感知威胁情报安全管理中心等保咨询服务安全加固服务安全区域边界渗透测试服务安全培训服务威胁管理与响应服务应急响应服务应急演练服务价值—明确的责任边界，符合合规性要求绿盟科技为云服务商和云服务客户提供安全产品和等保咨询服务云服务商选择安全设备，保护云平台构建监测预警体系云服务客户使用丰富、专业的安全防护服务622191546%79%36%94%安全通信网络安全区域边界安全计算环境安全管理中心等保要求覆盖情况覆盖控制点数量覆盖率价值—完善的防御体系，防护更主动主动防护体系预测响应检测防护防火墙入侵检测Web应用防护DDoS防护系统漏洞扫描Web漏洞扫描安全审计入侵检测威胁情报全流量分析态势感知安全运营应急响应防病毒EDR等保咨询价值—服务化的安全能力，实现安全服务增值计算服务网络服务存储服务防火墙DDoS防护WAFWeb漏扫IPS网络审计系统漏扫安全服务云计算解决方案完善和丰富云计算解决方案可提供服务类别，增强解决方案竞争力。将IT投入和安全投入，转化为创收方式，拓展业务收入来源。服务器NFV云等保解决方案场景分析03虚拟化场景等保专版计算资源池存储区计算资源池存储区核心交换区环境：仅是一个虚拟化，典型产品是VMwarevSphere，吞吐量小于1G。需求：通过部署一个设备，快速满足等保要求；资金投入少，使用简单。推荐产品：NCSS（等保专版，包含多款虚拟化安全产品）价值：等保套餐设计，按需选择一体化部署快速建设，快速实现等保合规集中化管理，降低运维工作量套餐设置涉及产品等保二级包防火墙入侵防护WEB防护堡垒机日志审计主机防病毒等保三级包防火墙入侵防护WEB防护堡垒机日志审计安全审计安全扫描主机防病毒数据库审计私有云（无租户）场景防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区三级等保区计算资源池存储区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查态势感知二级等保区计算资源池存储区核心交换区环境：单位内部私有云，无租户。需求：保证平台云满足等保三级要求，云上信息系统等保合规。推荐产品：硬件安全产品+态势感知价值：全面安全产品和服务，助力等保合规。丰富、专业的安全产品，构建纵深安全体系。安全管理中心，完善网络安全监控预警防火墙入侵防御DDoS防护Web应用防护威胁分析系统安全审计日志审计系统漏扫Web漏扫防病毒态势感知威胁情报中心堡垒机私有云（有租户）场景虚拟化层虚拟机虚拟机虚拟机虚拟机安全代理安全代理安全代理安全代理云平台核心交换机接入交换机安全设备路由器入侵防护入侵检测应用防护系统漏扫Web漏扫虚拟化安全能力虚拟化层配置核查防火墙安全审计防病毒EDR日志审计堡垒机安全服务服务编排弹性扩展主动防护日志管理虚拟化安全能力虚拟化安全能力X86服务器安全防护架构安全控制信息系统环境：私有云(有租户），有硬件安全设备。需求：租户信息系统等保推荐产品：NCSS+各虚拟化安全产品价值：按需提供安全服务，安全责任清晰。等保套餐设置，快速满足等保要求。安全管理中心，统一安全管理。防火墙入侵防御DDoS防护入侵检测安全审计日志审计Web应用防护系统漏扫Web漏扫堡垒机防病毒EDR注：堡垒机、防病毒、EDR和日志审计等计划9月份实现。行业云/政务云场景防火墙入侵防御网络审计DDoS防护Web应用防护入侵防御网络审计DDoS防护Web应用防护边界防护区边界防护区系统漏扫日志审计堡垒机Web漏扫安全管理区防病毒配置核查安全管理中心计算资源池存储区核心交换区防火墙入侵防御入侵检测安全资源池网站安全NCSS安全审计DB审计系统漏扫Web漏扫需求：平台满足等保三级，租户信息系统按需等保推荐产品：硬件安全产品+态势感知+NCSS+各虚拟化安全产品价值：明确的责任边界，符合合规性要求。完善的防御体系，防护更主动。服务化的安全能力，实现安全服务增值。防火墙入侵防御DDoS防护威胁分析系统安全审计Web应用防护Web漏扫系统漏扫日志审计防病毒态势感知威胁情报中心堡垒机云安全集中管理系统防火墙入侵防御Web应用防护入侵检测安全审计日志审计Web漏扫系统漏扫堡垒机防病毒EDR注：堡垒机、防病毒、EDR和日志审计等计划9月份实现。云等保解决方案案例04厦门市政务云安全客户介绍随着厦门市政府部门推进信息化建设，越来越多的政务信息系统将迁移到政务云中，为实现绿色政务，提升政务服务水平迈出坚实的一步。业务挑战信息系统中涉及到厦门市各委办厅局的重要信息，如何保障信息系统安全，是政务云急需面对和解决重要挑战。作为政务应用的承