搜索
民生行业部民生行业云安全解决方案目录PART/01云安全需求分析PART/02PART/03PART/04价值/优势建设思路云安全解决方案PART/01云安全需求分析云计算的安全威胁及风险威胁:拒绝服务威胁:云服务资源滥用威胁:资源共享漏洞威胁:账户及服务劫持威胁:内部用户不可信威胁:风险评估不足威胁:数据的非法访问威胁:数据丢失威胁:账户及服务劫持威胁:不安全接口及API威胁:云服务资源滥用传统安全问题依然存在,云计算带来了新的攻击面业务系统的高度集中降低了攻击成本云基础设施成为新的攻击目标2017年5月12日晚不法分子利用2017年4月泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击进行勒索,也称“魔窟”蠕虫(WannaCry)。截止到5月16日勒索软件攻击了100+国家。据360威胁情报中心监测,国内超30万台机器中招,至少有28388个机构被感染。受害主机中招后,病毒就会在受害主机中植入勒索程序,硬盘中存储的文件将会被加密无法读取。国内重要安全事件2018年2月24日8点左右,某机构系统无法正常使用,服务区内滞留大量人员,经查系服务器中了疑似最新的勒索病毒:“大厅内业务系统等设备大部分处于关闭状态,服务器所有数据文件被强行加密”,导致系统瘫痪,无法服务,影响恶劣。民生行业云安全现状组织方面组织架构不全角色定义不清岗位职责不明专业人员缺失管理方面制度规范不全管理流程不畅管理执行困难监管考核缺失技术方面总体合规规划缺失防护不到位(设备/策略)系统“带病”运行缺乏体系化运行维护网络安全法对民生行业提出要求第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。(定义CII。重点保护是符合等级保护三级以上,接受国家公安机关的监管。注意,CII包括国企,也包括私企)第三十二条按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。(明确CII重点保护的主管部门,依据是公安等级保护标准,建立行业等保标准)第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的与性能,并保证安全技术措施同步规划、同步建设、同步使用。(CII规划建设的三同步原则,同步是一起设计,不是分开设计,安全是保护网络与服务,必需了解网络架构与业务流程,网络、业务、安全)云面临多方面安全需求云安全云合规传统安全•多方参与,责任如何界定?–职责划分,分工界面•当前信息安全环境下,如何发现安全问题?–全程全网监测攻击事件、数据泄密•业务上云后,如何防护?–云平台安全、数据安全、应用安全•出问题后如何快速响应,及时减损?–联动响应、本地处置、远程协助•是否能够防患于未然?–安全事件预警、威胁情报PART/02建设思路同步建设同步使用同步规划云安全运营中心如何建?合规是基本要求,持续监控、分析、处置是核心运营依据标准《信息安全技术网络安全等级保护基本要求》(送审稿)《信息安全技术云计算服务安全能力要求》GB/T31168-2014《信息安全技术云计算服务安全指南》GB/T31167-2014《云安全要求》GW0013—2017云安全运营中心规划方法论依赖进化•安全体系•安全域•安全加固•补丁管理•应用内建•传统安全•收缩攻击面•消耗攻击资源•迟滞攻击•安全分析•追踪溯源•响应处置•信息收集•情报生产•分析验证•情报猎捕•法律手段•反制措施•自我防卫架构安全被动防御积极防御威胁情报进攻反制强身健体纵深防御检测响应掌握敌情先发制人在信息安全进化过程中每个环节都离不开人,人是安全的尺度人社云简介人社云是运用云计算技术构建的全国一体化的人力资源和社会保障行业云,支持行业内业务经办、监管决策、大数据应用和公共服务。人社云总体架构人社行业云按部省两级云数据中心节点模式进行建设,各省可根据信息化建设的要求采用自建私有云、地方政务云或者部分基于公有云的方式进行建设。人社云数据中心逻辑架构人社云应依托虚拟化、分布式存储、分布式计算、内存计算等云计算技术,基于开放技术架构的硬件设备及软件产品,建立资源的按需分配机制,实现业务应用及海量数据的分布式管理、应用系统的自动弹性伸缩、批量业务的高效并行计算处理。人社云安全运营中心规划围绕人社行业业务系统安全需求,规划建设安全管理体系、安全技术体系、安全运营体系、安全合规及监管体系,保障民生行业云上业务安全,通过工具实现安全运营和数据展示。人社云数据中心—安全体系规划人社云安全运营中心规划围绕人社行业业务系统安全需求,规划建设安全管理体系、安全技术体系、安全运营体系、安全合规及监管体系,保障人社行业云上业务安全,通过工具实现安全运营和数据展示。人社云安全整体防护思路公有云、私有云、政务云、行业云网络物理设备云运维管理云安全服务服务器虚拟化操作系统中间件/运行平台数据IAASPAASSAAS物理安全网络安全主机安全数据安全应用安全应用PART/03云安全解决方案安全运维网络安全技术要求物理安全网络与通信安全设备和计算安全应用和数据安全数据安全应用安全操作系统虚拟化安全网页防篡改数据库审计物理安全CCTV门禁漏洞管理管理要求建设管理等保集成建设管理安全运维360云安全解决方案--等级保护安全架构策略制度等保咨询策略制度数据防泄漏安全培训防火防水电力保障机房抗震日志审计电磁防护基础环境评估广播报文限制360云安全解决方案-设计思路地址欺骗防护网络拓扑感知租户网络隔离入侵防范租户安全自服务管理业务流量分离边界访问控制虚机资源隔离虚机级访问控制Web内容监测审计权限分割管理权限分割恶意代码检测非授权行为审计故障资源隔离网络接口配置虚机快照管理虚机迁移加密数据存储管理数据删除管理异常流量检测网络组件管理云厂商360企业安全其它厂商云计算管理套件vR360云安全解决方案虚拟化资源池存储资源池网络资源池计算资源池南北向安全服务东西向安全服务主机安全服务主页防篡改网站监测网站防护威胁情报众测服务DDOS清洗云端安全资源池云安全管理平台CSMPVPN防火墙入侵检测WEB防护数据库审计堡垒机本地安全资源池vWAFvFW主机杀毒统一认证中心安全资源监控安全订单管理安去组件管理安全资源池管理安全策略管理云安全自服务门户风险管理计量管理权限管理资源池管理日志管理租户管理云平台运维管理门户vFWvIPS防暴力破解Hypervisor云安全解决方案网络架构承载客户业务或云上租户的虚拟化或云环境如行业公有云:云、警务云等;私有云:央企、金融及大企业等。然而云安全不仅仅是虚拟化安全云安全管理平台CSMP为客户提供覆盖传统安全策略的SecaaS运营平台,满足云安全的多样化需求。SW本地安全云SW核心逻辑关联租户1逻辑关联租户2逻辑关联租户3逻辑关联租户4逻辑关联租户5逻辑关联租户6VRvSwitchvFWvAVvIPSvWAFvVPNHSMPvDBAV堡垒机NFVs360-Hypervisor基础物理资源安全合规资源组件360CSMP-管理平台云端安全服务网站监测恶意代码威胁情报DDoS清洗仿冒网站网站防护系统主防核心业务云Hypervisor基础物理资源租户1HFW租户2租户3租户4租户5租户6HAVHIPSHGHFWHAVHIPSHGHFWHAVHIPSHGHFWHAVHIPSHGHFWHAVHIPSHGHFWHAVHIPSHG云管理平台云安全管理平台功能管理门户系统管理员安全管理员审计管理员租户、租户….租户管理虚拟设备管理订单审批授权管理日志审计分析呈现云平台自服务X86服务器X86服务器X86服务器云堡垒机HAV,HFW,HIPSvWAF防篡改vFW/vIPS其他组件…日志收集云业务资源池云平台云安全资源池云安全管理平台TOR/EOR交换机物理设备租户VPCVMVMVMVMVMvFWvVPNvIPSvWAFvDBAuditvJumpHost安全服务…vSwitchH-FWH-IPS租户自服务门户云安全管理平台为租户提供基于云安全的自服务门户。租户可以通过自助门户快速便捷地进行安全组件的购买、续费、扩容、策略管理等功能,全面满足租户按需使用、快速部署、安全可靠、专业服务的安全需求云安全管理平台云端决策体系自服务门户运维管理中心云端安全服务自服务门户使用办法运维管理中心运维管理中心主要负责安全资源池管理、租户管理、权限管理及一些其它管理功能。运维管理中心使用者为云安全管理平台的管理员租户VPCVMVMVMVMVMvFWvVPNvIPSvWAFvDBAuditvJumpHost安全服务…vSwitchH-FWH-IPS云安全管理平台云端决策体系自服务门户运维管理中心云端安全服务运维管理中心使用方法云端安全服务通过云端决策体系,能够为租户提供多种云端安全服务,并利用云安全管理平台的自服务门户,可实现云端安全服务的统一购买、部署、管理和使用,对本地安全服务能力进行增强360SERVICE失陷主机云服务恶意代码云服务系统主防云服务威胁情报云服务DDoS监测云服务仿冒网站监测云服务网站监测云服务网站防御云服务租户VPCVMVMVMVMVMvFWvVPNvIPSvWAFvDBAuditvJumpHost安全服务…vSwitchH-FWH-IPS云安全管理平台云端决策体系自服务门户运维管理中心云端安全服务云端安全服务使用办法PART/04价值/优势民生行业云安全运营核心价值核心价值安全专业人员【安全运营工作】最佳管理实践【安全管理执行】成熟安全技术【安全技术防护】以安全军师的身份为云安全出谋划策,合规设计方法指导,共同应对网络安全问题。以安全管家的身份通过安全运营,以“管家”模式分工、监督和验收,管好云的安全。用专业安全技能服务于政务业务保障安全运行。民生行业云安全优势1通过构建安全的防护能力,保障云服务的安全,让用户无需担忧云安全合规问题3提供自助服务,省去多产品无法统一管理的烦扰,减轻维护工作量2从主机层、东西向、南北向、应用层进行立体防护,形成一体化安全防护能力体系4实现安全服务运营,支持计算用量等服务5专注云安全,世界一流的云安全攻防技术研究团队,持续输出安全能力。360企业安全全面提供安全能力助力云上合规实现安全可运营云平台安全能力云租户安全能力云集成安全能力合规有效增值5构建合作生态,为客户提供丰富的、可持续输出的安全能力支持的云平台厂商安全的技术研究能力30世界先进的攻防技术研究能力360MarvelTeam目前在云安全-虚拟化攻防领域,是国内最领先的专业安全研究团队,相比于处于第二名的(阿里巴巴公司)瀚海源虚拟化安全团队,在漏洞挖掘数量,挖洞利用数量,多种平台加固方案完整程度方面都保持着绝对领先的位置。专业虚拟化挖洞团队谢谢