天融信云计算安全等级保护解决方案

　　背景介绍

　　随着《网络安全法》的正式实施，等级保护已成为网络安全建设的基本要求。为适应新技术的发展，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代。

　　在云计算环境下，网络架构已不同于传统网络，打破了传统的信息安全保障体系设计、实现方法和运维管理体系。在云计算网络中，不仅需要解决虚机间通信安全和终端威胁安全，在多租户场景中，还需要根据云租户自身业务需求和安全合规要求进行顶层安全设计。但当前云平台能提供的安全措施屈指可数，安全设计难以落地，业务系统安全难以保障。

　　方案概述

　　天融信云计算等级保护安全防护解决方案针对云计算环境下特殊的网络结构，提供全面的云计算安全防护能力，从物理网络安全、云平台租户安全、云平台东西向流量安全和终端威胁安全四方面保障云计算环境安全。

　　安全技术措施设计

　　物理网络安全防护设计

　　在物理网络边界区域部署下一代防火墙、web应用防火、入侵防御、网络防病毒、VPN、运维审计、日志审计等安全设备，为云数据中心提供边界防护、访问控制、入侵防范、数据传输安全防护、恶意代码防范和安全审计能力。

　　云平台租户安全防护设计

　　天融信云安全资源池为云租户提供网络安全、主机安全、应用安全和安全审计能力，为不同的业务按需提供差异化的安全防护能力，满足云租户的云安全需求。

　　网络安全防护

　　Ø云下一代防火墙：为云租户提供访问控制、入侵防御、流杀毒等功能；

　　Ø云VPN：通过VPN对传输数据进行加密，防止网络数据盗窃的发生。

　　主机安全防护

　　Ø云基线安全检查：实现对网络设备、安全设备、服务器、中间件等IT资源进行自动化安全配置检查和分析；

　　Ø漏洞扫描：对操作系统、web应用以及数据库漏洞进行全面审计，并提供详细的修补建议；

　　ØEDR：通过终端杀毒有效解决病毒、木马、漏洞、免杀逃逸等终端威胁。

　　应用安全防护

　　ØWeb应用安全防护：实现对WEB网站的攻击防护；

　　Ø应用负载：通过优化加速以提高用户体验，减少用户服务器成本和网络运维成本，增加云环境下应用交付的安全性和可靠性。

　　安全审计防护

　　Ø安全运维审计：实现对运维操作全程记录，并提供录像回功能，实现运维审计的目的；

　　Ø综合日志审计：对用户各种虚拟化资产所产生的日志进行全生命周期管理，避免大日志量手动查看和分析，造成日志审计的局限性；

　　Ø数据库安全审计：对数据库操作进行安全审计；

　　Ø网络安全审计：对用户的网络访问行为进行审计和数据分析。

　　云平台东西向流量安全防护设计

　　天融信虚拟化防火墙为云平台东西向流量提供安全防护能力，实现微隔离、入侵防范、流量可视化和威胁可视化功能。

　　微隔离：建立微隔离策略，严格控制各虚拟机之间的相互访问，确保合法访问的正常进行；

　　入侵防范：通过深度报文检测技术实时检测和阻断来自内部虚拟机之间的非法入侵和攻击；

　　流量可视化：对虚机之间的通信关系进行深度梳理，以动态拓扑结构向用户展示云内虚机之间的通信关系，为用户云计算安全提供重要的防护依据；

　　威胁可视化：深度分析虚机之间的恶意代码传播以及入侵行为，并以动态拓扑的形式向用户展示。

　　终端威胁安全防护设计

　　天融信终端威胁防御系统为用户提供终端威胁防护能力，实现终端风险发现、入侵威胁检测、安全基线、漏洞修复和恶意代码防护等功能。

　　终端风险发现：发现当前主机存在系统漏洞、异常账号、弱口令、文件完整性等安全风险，并提供详细的修复建议；

　　入侵威胁检测：发现系统存在的暴力破解、Webshell后门、反弹Shell、异常进程、本地提权等各种入侵事件；

　　安全基线：实现操作系统基线检测、等级保护基线检测、中间件基线检测及自定义检测基线；

　　漏洞修复：对全网计算机进行漏洞扫描并进行修复；

　　恶意代码防护：对木马、蠕虫、勒索、恶意程序、垃圾广告等病毒进行查杀。

　　客户收益

　　天融信云计算等级保护安全解决方案基于安全域的纵深主动防护思想，综合考虑云计算环境安全威胁、需求特点和相关要求，对安全防护体系架构、内容、实现机制及相关产品组件进行了优化设计，为用户提供独多层次的安全防护能力，满足云平台以及云租户的云安全需求。

　　责任编辑：广汉