绿盟科技等级保护2.0云计算安全解决方案

合集下载

等级保护2.0云计算解决方案网络安全等级保护云计算解决方案

将不同信息系统的资源划分不同隔离区域，区域间限制访问；
利用轻量级客户端，实现虚拟机的入侵防御和基线核查等。
等级保护2.0云计算解决方案
建设主动防护能力，持续安全监控预警
及时获取热点事件、漏洞、
运营服务
恶意IP/域名。
热点事件预警
攻击威胁源封禁
攻击事件发现与排查
安全事件应急响应
自定义安全服务包，按需选择，快速实现防护。
自助使用，自动交付，掌握业务系统安全状态。
高可用设计，保障安全防护连续性。
委办局1
虚拟机
虚拟机
委办局2
虚拟机
虚拟机
委办局3
虚拟机
虚拟机
防火墙 WAF
IPS
防火墙网络审计 WAF
防火墙 DDoS防护 WAF
服务平台
计算
存储
网络
防火墙入侵防御入侵检测 Web应用防护安全审计防病毒 EDR
SaaS PaaS IaaS
云服务客户
应用平台软件平台虚拟化计算资源资源抽象控制
硬件设施
范围和控制
等级保护2.0云计算解决方案
IaaS PaaS SaaS
新增安全要求，建立主动防护体系
实现对网络攻击特别是新型网络攻击
行为的分析
被动安全防护
1
2
缺少监测预警
落实网络安全态感知监测预警措施
集中安全管理
安全即服务
软件定义安全
硬件安全设备
统一管控
虚拟化
服务化
物理服务器
等级保护2.0云计算解决方案
做好区域隔离，实现东西向防护
某委办局
子网1
子网2

云平台网络安全等级保护2.0三级建设方案

第二阶段
进行系统服务的调研和评估，根据评估结果制定安全防护方案，并进行方案的实施。
实施步骤与详细方案
01
第三阶段
进行应用服务的调研和评估，根据评估结果制定安全防护方案，并进行方案的实施。
02
详细方案
每个阶段都需要制定详细的实施方案，包括具体的操作步骤、实施时间和责任人等。
03
第一阶段
对网络设备进行安全配置，包括禁止不必要的端口和服务、限制访问IP等；对服务器进行安全配置，包括安装补丁、关闭不必要的服务等；对数据库进行漏洞扫描和安全配置，包括设置强密码、限制访问权限等。
网络隔离与访问控制
通过VLAN、VPN等技术实现网络隔离，确保数据只能被授权用户访问。
数据安全
数据加密
采用数据加密技术，确保数据在存储和传输过程中被窃取后仍无法被非法获取。
数据备份与恢复
制定完善的数据备份与恢复策略，防止数据丢失给业务带来严重影响。
数据访问控制
对数据进行分类，设置不同的访问权限，确保敏感数据只能被授权用户访问。
安全制度培训与宣传
定期组织员工进行安全制度培训，提高员工的安全意识，确保员工了解并遵守相关安全制度。
安全运维管理
安全漏洞发现与修复
01
建立安全漏洞发现与报告机制，及时发现并修复安全漏洞，防
止漏洞被利用。
安全审计与监控
02
建立安全审计与监控机制，对系统、网络、数据等资源进行实
时监控和审计，及时发现并处理异常行为。
实施风险与应对措施
实施风险
在实施过程中，可能会遇到以下风险和挑战
人员技能不足
需要具备专业的网络安全知识和技能，如果人员技能不足，可能会影响实施效果。

网络安全等级保护2.0 对应的安全产品

安全审计（G）
日志收集分析系统及备份功能、网络审计、上网行为管理、云平台操作审计
虚拟化运维审计
集中管控（G）
安全管理系统、安全管控平台、日志收集分析系统、数据库审计、网络管理系统、态势感知、病毒管理端；安全管理系统、网管
虚拟日志收集分析系统
虚拟化数据库/网络审计、杀毒管理中心
防护子项
云平台安全
云租户安全
身份鉴别（S）
设备、操作系统、数据库、中间件自带认证、统一身份认证4A、堡垒机、ssh管理、多因素认证、CA证书、双向认证SSH/ HTTPS
双向认证、SSH/ HTTPS
访问控制（S）
系统账号划分、4A系统自带访问控制功能、终端安全管理、数据库防火墙、管理类手段、强访问控制、加密、平台身份认证，授权权限划分、存储加密；
云计算环境选择
运维地点，配置数据、日志信息存放地点
运维地点，配置数据、日志信息存放地点
统一策略下发平台、虚拟化防火墙、东西向虚拟化防火墙、虚拟化日志收集、杀毒，
入侵防范（G）
未知威胁攻击防护系统、抗异常流量拒绝服务攻击；网络回溯系统、入侵防护/检测
虚拟化防火墙、东西向虚拟化防火墙入侵防御模块
恶意代码（G）
防病毒网关；防火墙、统一威胁防护系统、入侵防御/检测木马监测、安全邮件网关
虚拟化防火墙（入侵防御/杀毒模块）、东西向虚拟化防火墙、主机杀毒
镜像校验；镜像加密
安全操作系统、虚拟漏洞扫描、虚拟化基线配置核查系统
应用和数据安全
防护子项
云平台安全
云租户安全
身份鉴别（S）
统一身份认证、多因素认证、证书
业务应用系统自身认证；
访问控制（S）
身份认证、管理类手段、最小化原则、数据库防火墙；敏感数据加密、访问控制、云平台账号三权分立；

云计算数据中心等保2.0解决方案

云计算数据中心等保2.0解决方案目录1建设原则 (3)2等保相关要求 (3)3安全架构 (6)4云平台安全 (7)5网络安全 (7)6WEB 应用安全 (18)7主机安全 (20)8数据安全 (23)9安全系统间联动要求 (25)1 建设原则云平台按网络安全等级保护第三级要求进行建设。

根据云平台数据中心不同业务功能区域之间的隔离需求，将数据中心的网络按照功能的不同分成多个业务区域，各业务区域之间实现网络的不同程度隔离。

考虑整体的安全防护时，整体安全策略需要遵循下列原则：（1）最小授权原则依据“缺省拒绝”的方式制定防护策略。

防护策略在身份鉴别的基础上，只授权开放必要的访问权限，并保证数据安全的完整性、机密性、可用性。

（2）业务相关性原则在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。

（3）策略最大化原则当存在多项不同安全策略时，安全域防护策略包含这些策略的合集，并选取最严格的防护策略，安全域的防护必须遵循策略最大化原则。

在云平台总体安全架构建设方面，按纵深防御思想进行设计：第一层防护：外部单位至云数据中心的物理边界防护，即云平台南北向的安全防护；第二层防护：数据中心不同业务区之间的安全防护；第三层防护：数据中心内部，不同租户间的东西向防护采用V PC 中虚拟防火墙进行访问控制，同一租户内的业务隔离采用安全组的方式进行控制；第四层防护：在数据中心，部署安全资源池，各租户根据其需求调用安全资源池中的防护能力，用于满足租户的安全需求。

2 等保相关要求根据等保2.0 相关要求，本期部署相应的安全产品，具体等保重点要求内容如下表：安全管理中心管理应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等日志审计系统集中管控应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求日志审计系统3 安全架构（4）计算存储区安全资源池本身是将多种安全设备、安全功能及安全服务统一起来，提供灵活的应用接口，为租户提供安全资源服务。

绿盟科技等级保护云计算安全解决方案

绿盟科技等级保护云计算安全解决方案随着云计算的快速发展和广泛应用，云计算安全问题越来越受到关注。

绿盟科技是一家专注于网络安全的高科技企业，为各类企事业单位提供全
面的网络安全解决方案。

在云计算安全方面，绿盟科技提供了一系列的等
级保护云计算安全解决方案，以确保客户的云计算环境的安全性。

首先，绿盟科技的等级保护云计算安全解决方案包括强大的防护系统
和安全管理平台。

防护系统可以对云计算网络进行实时监控和检测，发现
并阻止各类网络攻击行为。

安全管理平台则能够对云计算环境进行全面的
安全管理，包括权限管理、漏洞扫描、日志审计等功能，提高云计算环境
的整体安全水平。

其次，绿盟科技的解决方案还包括基于云计算的安全策略和安全服务。

通过对云计算环境进行全面的风险评估，绿盟科技能够制定出适合客户需
求的安全策略，并为客户提供相应的安全服务，如数据备份与恢复、应急
响应、安全培训等，确保云计算环境的数据安全和业务连续性。

最后，绿盟科技的云计算安全解决方案还采用了先进的安全技术和产品。

绿盟科技与国内外众多安全厂商合作，整合了各类先进的安全技术和
产品，如入侵检测与防御系统、数据加密和身份认证技术等，在云计算环
境中提供全面的安全保护。

等级保护2.0建设方案

等级保护2.0建设方案等级保护2.0解决方案2020年5月目录一、等级保护2.0技术要求 (3)1、测评对象及控制点 (4)2、技术要求解读 (5)2.1 物理与环境要求 (5)2.2网络与通信安全 (6)2.3设备与计算安全 (6)2.4应用与数据安全 (7)3.管理要求解读 (8)3.1安全管理机构和人员 (8)3.2安全建设管理 (9)3.3安全运维管理 (10)二、等保2.0建设配置 (11)1、防火墙 (13)2、入侵防御 (14)3、WEB应用防火墙 (15)4、安全审计系统 (16)5、VPN设备 (17)6、堡垒机 (18)7、上网行为管理 (19)8、安全隔离网闸 (23)9、流量监控设备 (24)10、漏洞扫描设备 (25)11、态势感知 (26)三、不同场景下的等保建设方案 (27)1、等保一体机解决方案 (27)1.1 配置组件 (27)1.2 部署方式 (30)1.3方案优势 (31)2、等保云安全池解决方案 (33)2.1配置组件 (33)2.2部署方式 (35)2.3方案优势 (36)3、传统等保解决方案 (37)3.1 配置组件 (38)3.2部署方式 (39)3.3方案优势 (39)一、等级保护2.0技术要求等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致。

为了配合《中华人民共和国网络安全法》的实施，同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展，新标准针对共性安全保护需求提出安全通用要求，针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。

调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

等保2.0与云安全方案

等保2.0与云安全方案目录一、等保2.0时代安全内外环境发生变化 (3)二、全面布局应对云安全挑战 (4)一、等保2.0时代安全内外环境发生变化今年《网络安全法》颁布实施，新修订的网络安全等级保护标准也陆续出台，以适应新技术变化的应用环境，标志着等级保护工作进入到了2.0时代。

与等保 1 . 0 时代不同，当前的信息系统架构更加复杂，新技术不断得到应用，安全威胁也更加强大。

因此，2.0版本的等级保护标准采取了更加灵活的模式，通用要求与面向云计算、工业控制、物联网、移动互联网等新技术的扩展要求相结合，为不同的应用场景提供差异化的安全防护最佳实践。

在安全能力方面，等级保护2.0标准也提出了更高的要求。

一方面，检测深度进一步加强，增加了对未知攻击、内部攻击的检测要求；另一方面，防护能力进一步提升，增加了对无线安全、邮件安全等的防护要求。

总之，等级保护2.0是应对当前主要网络安全威胁的重要指导方针。

云计算安全是等级保护2.0的核心内容之一。

等级保护2.0对云计算技术的主要安全风险做了分析，并提出了相应的防护要求。

可以说，云计算技术正在或已成为当前数据中心建设的核心技术。

如何识别云计算技术的安全风险，并将其纳入到数据中心整体风险管理体系，通过一系列的安全治理将其控制到一个可以接受的范围，是当前数据中心建设运营团队的重要关注点。

这样的应用环境对网络安全厂商而言，既是机遇也是挑战。

Gartner市场预测提出，全球云安全服务将保持强劲增长势头，整体增速高于信息安全总体市场，一方面是安全合规需求，另一方面就是高端数据泄漏的压力。

如何把握时代新需求，调整产品和服务策略，即是当前各网络安全厂商重点考虑的工作重心。

二、全面布局应对云安全挑战作为国内网络安全的领军企业，绿盟积极参与等级保护2.0标准的制定工作，将自己在云安全方面的实践经验展现出来，为标准的最终形成贡献了自己的力量。

同时，结合等级保护2.0云计算标准的防护要求，绿盟也形成了自己对云安全的理解，围绕云计算的安全需求打造预警、防护、检测、响应闭环的自适应防御能力体系。

绿盟科技云计算安全解决方案落地

龙源期刊网
绿盟科技云计算安全解决方案落地
作者：洪蕾
来源：《中国信息化周报》2015年第50期
近期，行业领先网络安全公司绿盟科技在智慧安全2.0战略发布会上发布了2015云计算
安全解决方案。

本方案基于长期对云安全的研究及建设经验，结合行业最佳实践，给出了云安全设计、云安全实施、云安全运维及云安全服务等方面的框架和方案，并分享云安全在业务环境中落地的实践经验。

经过长年与国际云安全联盟CSA的协作以及十多年在网络安全领域的实践，绿盟科技发现云计算已经打破了传统的信息安全保障体系设计、实现方法和运维管理体系。

同时，云计算的资源弹性、按需调配、高可靠性及资源集中化等特性也给安全措施改进和升级、安全运维和管理等带来了问题和挑战。

绿盟科技结合多年实践成果与合作伙伴一起，不断分析云计算系统面临的安全威胁、安全需求和挑战，并实践不同类型的云安全防护场景，最终形成绿盟科技云安全解决方案。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

绿盟科技等级保护2.0 云计算安全解决方案
网络安全法与等级保护
《中华人民共和国网络安全法》
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过 2017年6月1日正式实施
第三章网络运行安全第一节一般规定第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
网络和主机安全
SaaS服务
租户1
数据安全
租户n
数据安全
应用安全
软件平台安全
网络和主机安全
虚拟
资资源源安全层安物理全资源
安全
资源抽象控制层安全
计算资源
网络资源
存储资源
分布式操作系统/虚拟机监视器
基础硬件与网络安全物理与环境安全
安全管理中心安全管理中心
系统管理
安全管理
审计管理
的安全服务
通过云安全管理平台的门户，实现安全即服务
的按需分配、自动化
在云计算安全研究方面不断积累
安全研究Research 安全产品 Products
持续开展云计算安全分析研究
安全服务 Services 安全运营 Operation
软件定义安全虚拟化安全安全资源池化服务链与服务编排安全大数据分析
安全防护资源池化
外置资源池+内置资源池，灵活部署, 全面防护
基于安全资源池的服务编排
安全资源池控制器，根据用户具体的防护需求，动态形成相应的编排策略；通过API形式，触发SDN控制器，实现资源池内安全能力之间的服务编排。
资源池入口
安全资源池
IPS IPS WAF
agent vSwitch
输入网卡
资源管理用户管理
安全控制平台
设备管理网络管理
配置管理流量调度
云计算安全等级保护方案总结
云安全管理可视化，安全设备池化
云安全管理平台统一管理，资源池可内置或外
置灵活部署
基于安全域的纵深防护体系，保障云平台
的安全
构建安全监测、识别、防护、审计和响应的综合能力充分满足云等保
合规要求
资源弹性的安全即服务，提供面向云租户
输出网卡
安全节点
SDN控制器
IPS FW WAF
agent
vSwitch
输入网卡
输出网卡
Openflow 指令
安全节点
Overlay Network
安全资源池控制器
IPS FW WAF
agent
vSwitch
输入网卡
输出网卡
资源池出口
云平台与安全资源池的集成
外部接口区
核心交换区
计算服务区
• 自适应安全防护：结合云内流量的数据分析，自动化优化安全策略，实现自适应安全防护
• 容器/微服务安全：容器等PaaS平台安全研究
多款安全产品持续入围Gartner魔力象限，始终处于国内市场领先地位。
• 网络入侵防御系统 • Web应用防火墙 • 漏洞扫描系统 • 网站安全监测系统
2017年，IDG旗下国际权威媒体 Network World网站收录了RSA 2017 中展示的48款热点产品。绿盟威胁情报中心（NTI）凭借自身优势
管理维护区
内部网
互联网
外部网
APP
APP
OS Hypervisor OS
APP Hypervisor OS
业务平台-A
业务平台-B
业务平台-C
维护终端接入区
安全管理子区
运维管理子区
vRSAS vIDS vWAF
L B
NF
vRSAS vIDS vWAF
…
Virtual Switch
DDOS
WAF
IDS
成为48款热点产品中，唯一入选的 “中国造”。
谢谢！
硬件
网络
PaaS
应用程序
中间件
虚拟机操作系统
虚拟化管理程序
存储
硬件
网络
IaaS
应用程序中间件虚拟机
操作系统虚拟化管理程序存储硬件网络
虚拟机 Virtual machine
管理程序 Hypervisor
硬件 Hardware
等级保护2.0云计算安全建设指导
用户层安全区域边界安全
用户安全
访问层安全
网络访问
通信网络安全
API 接口
用户安全
WEB 服务
计算环境安全
IaaS服务
租户1 租户n
数据数据
服安全安全
务应用应用层安全安全
安全
软件平软件平台安全台安全
网络和网络和主机安主机安
全
全
PaaS服务
租户1
数据安全
应用安全
租户n
数据安全
应用安全
软件平台安全
云计算技术发展带来的挑战
计算资源池化
计算资源按需扩展与安全资源集中投入之间的矛盾
安全需求差异化
不同租户的应用形态和功能不同，安全需求也差异明显
演进过程中的问题
向云计算平台演进过程中，遗留安全设备的利旧问题
SaaS
应用程序
中间件
虚拟机操作系统
虚拟化管理程序
存储
绿盟科技研究院
绿盟科技研究院始终致力于跟踪国内外最新云计算安全研究动向，积极参与国际、国内云安全研究以及标准化工作，不断将最新的云计算安全技术与工程实践相结合，持续提高在云计算安全研究领域的技术水平。
持续跟踪云计算安全前沿技术，持续提高在云计算安全研究领域的技术水平。
• 软件定义安全：依托资源池技术，通过软件定义实现安全服务弹性扩展和动态编排