等保案例 4

用户简介

内蒙古自治区政务云目前已完成政务信息资源共享平台（一期）的建设工作，随着《网络安全法》、等级保护2.0等政策及标准的出台，内蒙古自治区政务云在安全方面、监管方面面临的压力不断增长。需以《网络安全等级保护基本要求》中第三级系统的要求为基础，进行系统化的等级保护安全建设，建立一套完善的安全保障体系，有效保障内蒙古自治区政务云系统业务的正常开展，保障信息和数据安全。

痛点和需求

通过访谈、对实际环境调研，内蒙古自治区电子政务外网系统目前主要核心区、互联网出口区、移动接入区、运维管理区、对外云资源区、对内云资源区、对内托管区、纵向互联网区等多个网络区域组成，目前关注的主要安全需求如下：

合规需求：基于《政务云安全要求》，政务云通过等级保护三级测评。

应对新型安全问题：政务云在面临传统安全威胁的基础上，云环境特有的安全问题也不容忽视，如云环境中边界模糊引起的运维难度提高及责任划分不清晰、横向威胁防御能力缺乏、云环境中防御割裂导致威胁感知能力缺乏、云上安全能力交付困难等问题。

体系化安全建设：单位需要一套体系化的网络安全建设方案，方案应具备全面性、前瞻性和专业性，能够真正为用户解决系统建设及运维中遇到的问题。

解决之道

结合内蒙古自治区电子政务外网建设现状，深信服通过对安全威胁和实际需求的分析，充分理解用户痛点需求，深入研究用户关心的技术问题，基于“持续保护、不止合规”的安全保护建设理念为用户设计政务云整体安全解决方案。该解决方案基于电子政务外网系列标准和安全标准，在满足网络安全等级保护第三级要求的基础上，贯彻落实积极防御、综合防范方针，根据着眼全局、突出重点的思路，为用户建设完善政务外网网络安全防护与管理体系。

解决方案架构基础安全防护、数据中心核心安全和全局可视安全治理三个层面组成，全方位为用户提供可靠防御、持续监测、快速响应的能力，提供事前预防、事中控制和事后审计的全流程防御措施，给用户带来“持续保护、不止合规”的安全体检。

具体包括：

解决方案从用户政务信息资源共享平台建设为出发点，通过规划互联网出口、云安全防护、安全接入平台、电子政务骨干网络及业务系统安全态势感知，为用户梳理出责权清晰的责任边界。

面向合规和业务需求，提供功能全面的安全产品，包括安全接入SSL VPN、下一代防火墙AF、上网行为管理AC，应用交付AD、终端检测响应平台EDR等满足各类业务不同阶段的安全需求。

着重解决云环境下特有安全问题，通过在用户网路中部署云安全资源池是的方式，实现安全资源以服务化交付，即提供开放、资源弹性、按需分配、自动化的安全服务。

结合安全感知平台，形成一套符合自治区电子政务外网防御、检测、响应为一体的安全体系，并从技术、管理、运营多个角度，平衡防御、检测、响应的投资，形成整体的安全框架思路。

方案价值： 

解决方案以相关法律法规及标准为基准，以“持续保护、不知合规”为思路，以安全感之平台SIP的“安全可视、动态感知、闭环联动”和云安全资源池的“服务化交付、平台解耦、灵活易用”为方案亮点，从多个维度为用户提供全面完善的政务云安全建设服务。

完整的安全防御体系：参考等级保护建设规范，通过边界、纵向、横向

端到端的多个层面安全建设，满足多维度安全要求，并且通过态势感知平台将割裂的安全进行连接，形成一套完整的安全防御体系。主要包括云平台边界进行域划分和安全隔离，对于外部用户借助成熟的SSL加密技术，满足数据完整性、保密性及访问控制中对外部用户访问的控制，实现端到端的全程防护；通过负载均衡设备实现网络及应用层面的高可用性；云平台内部的东西向流量通过轻量级的Agent实现微隔离，防止安全风险的横向移动，重塑云平台内部的应用安全边界；对于租户，将安全业务化，按需交付，提供丰富灵活的租户安全解决方案。

基于AI，大数据安全检测、发现新型网络攻击：通过部署安全感知平台，强化数据中心安全运营的闭环管理和安全态势的可视化。通过对数据中心的相关安全设备日志、网络流量、资产漏洞和云端威胁情报进行自动化关联分析，综合利用沙箱分析、威胁情报、机器学习算法等新技术提升未知威胁和APT攻击的发现能力，并以威胁情报形式打通定位攻击、溯源与阻断多个工作环节，通过联动机制，实现平台与安全设备间的智能协同防御。

服务化的安全能力交付：通过部署安全资源池将安全资源的部署与物理网络解耦，云平台将安全资源根据业务情况按需分配，实现业务流量调度、安全策略部署的集中管控，轻松实现安全业务的自动化部署。同时，每个租户可根据自身的安全需求通过云安全资源池自主选择不同的安全组件，并进行自主运维，在满足等级保护的相关要求的基础上最终实现安全能力的服务化方式交付。

全局风险可视与简化运维：通过安全感知平台与各安全设备间的信息交换，为用户提供了攻击行为感知、应用风险感知、内外威胁感知、漏洞感知、业务风险感知等全方位的安全感知能力。通过安全感知平台内置的大屏功能，让运维和管理人员直观地感受到数据中心内部地安全问题，真正做到安全可视。另外，通过在网络中部署堡垒机设备，提升运维管理自动化程度，减少人为参与带来的安全问题，简化安全运维人员工作，提高运维工作效率。