云安全体系汇报PPT
合集下载
云计算及云安全演示PPT课件
“云”的依托
云的相关拓展
云计算的未来
7
技术支撑 将服务器“虚拟化” 将大量的信息“分散处理
”
文献综述
2020/2/26
“云”的依托
云的相关拓展
云计算的未来
8
பைடு நூலகம்的使用、云战略
文献综述
2020/2/26
“云”的依托
云的相关拓展
云计算的未来
9
云计算被视为科技业的下一次革命,它 将带来工作方式和商业模式的根本性改变。 首 先,对中小企业和创业者来说,云计算意味着巨 大的商业机遇,他们可以借助云计算在更高的层 面上和大企业竞争。其次,从某种意义上说,云 计算意味着那些对计算需求量越来越大的中小企 业,不再试图去买价格高昂的硬件,而是从云计
2020/2/26
“云”的依托
云的相关拓展
云计算的未来
6
家庭预算支出方面——免去初期费用! 性能方面——高性能的计算机已经不需要了 服务方面——从烦恼的版本升级中解放出来 会计方面——从折旧费的重压下解放出来 交货期方面——系统构建的时间缩短了 质量、性能方面——服务不断推陈出新
文献综述
2020/2/26
4
超大规模、抽象化、高可靠性、通用性、高可 扩展性、按需服务、廉价、自动化、节能环保 、完善的运维机制。
云计算云安全
2020/2/26
“云”的依托
云的相关拓展
云计算的未来
5
云计算的劣势
缺点:1、云计算不能减少所有工作量。 2、私有云和公用云实现无缝集成比较困难。 3、云厂商不能确保云安全。
文献综述
云 计 算 及云 安 全
云计算及云安全 陈婷婷
2020/2/26
1
云计算安全体系架构
认证管理 (Authentication)
• 双因子认证 • 动态令牌:RSA、VASCO、动 联 • SMS短信、RADIUS、AD域
授权管理 (Authorization)
运维人员只能使用最小的账号进 行资源访问;另外单点登录使资 产账号密码对运维人员不可见,
安全审计(Audit)
• 实时监控、阻断 • 事后回放、记录 • 运维报表
河南公安
广东公安 日照公安 银川公安 滨州公安 ……
中国海洋大学
山东教育厅 内蒙古民族大学 广西科技大学 南京市教育考试 院 ……
江西道路运输
诚信农江 中国六安 安徽体育 山水利厅 胜利油田 南方电网 ……
云安全-InCloud Manager安全体系
InCloud Manager
强制访问控制:最小权限、等保分保的要求
实现管理员“三权分立”,避免对内部人员/第三方运维人员对系统的误操作行为; 业内首家支持Hypervisor安全加固,保障虚拟化层安全稳定运行。 通过集中管理平台,实现策略分发、资源监控、威胁分析等,简化操作,使安全更简单;
符合国家等级保护主机层面三级要求,满足业务系统合规性
系统内核加固,保证设备本身安全 虚拟化,支持1虚多,业务隔离,互不干扰,可以和 云平台联动
云安全-SSA优势
SSA
三款产品(SSA2000/4000/5000)入围中国联通; SSA5000
SSR
SSC
SDP
中标中国联通云化项目,打破国外高端负载均衡在运
营商的垄断;
两款产品(SSA2000/4000)入围国家电网选型测试; SSA4000 通过安徽农商银行选型测试,综合排名前三; SSA 在哈尔滨银行、广州农信正式上线运行,为其网上银行保驾护航;
云计算的安全体系和关键技术PPT29页
❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
云计算的安全体系和关键技术
56、死去何所道,托体同山阿。 57、春秋多佳日,登高赋新诗。 58、种豆南山下,草盛豆苗稀。晨兴 理荒秽 ,带月 荷锄归 。道狭 草木长 ,夕露 沾我衣 。衣沾 不足惜 ,但使 愿无违 。 59、相见无杂言,但道桑麻长。 60、迢迢新秋夕,亭
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
云计算的安全体系和关键技术
56、死去何所道,托体同山阿。 57、春秋多佳日,登高赋新诗。 58、种豆南山下,草盛豆苗稀。晨兴 理荒秽 ,带月 荷锄归 。道狭 草木长 ,夕露 沾我衣 。衣沾 不足惜 ,但使 愿无违 。 59、相见无杂言,但道桑麻长。 60、迢迢新秋夕,亭
云平台安全解决方案PPT课件
数据内
管理
? ??管整理网员安特全权状滥态用缺缺乏乏可监 视管化
?海量日志不宜管理 众多安全系统管理不统一
云平台安全解决方案架构
安全服务
安全管理
应用安全 数据安全 业务安全
安全管理咨询服务
信息安全评估
信息安全业务评估 信息安全渗透测试 信息安全加固优化
身份认证管理
访问和授权策略管理 统一运维管理
终端信息防泄露
终端用户的接入认证和数据加密传输功能。
4. 深度检测:交换机旁挂 IPS/IDS 设备,对异常流量 进行检测和阻断, 防止黑客攻击。
5.
应用安全: 服务器前部署
设备,针对
http/https 进we行b检测,对
流W量AF进行安全控制。
部署 设备对邮件、文件w服eb务器流量进行过滤。
AVE
云平台内部安全方案
终端接入 网络
AVE
应用
管理
AVE
价值 AVE 1. 有效防止针对服务器发起的网络病毒攻击,如木马注入、蠕虫
攻击、垃圾邮件等;
2.
有效防护针对服务器自身漏洞的攻击,如
攻击预防; 0 day
3.
有效防护 注入攻击,跨站攻击基于
类的病毒攻击;
SQL
web
4.
清洗针对服务器的
攻击,特别是应用层的攻击;
DoS
方案
?
统一安全管控中心,对整网设备及业务系统信息进行
iSoC
采集、关联分析、告警呈现;提供各种合规满足程度的呈
现、报表来满足法规要求
价值
? 安全告警 (事前): 实现安全事件的集中、量化管理,在最快的时间
内作出适当的精确警示
? 安全运维 (事中): 协助安全管理人员作出正确的判断,提升安全管
管理
? ??管整理网员安特全权状滥态用缺缺乏乏可监 视管化
?海量日志不宜管理 众多安全系统管理不统一
云平台安全解决方案架构
安全服务
安全管理
应用安全 数据安全 业务安全
安全管理咨询服务
信息安全评估
信息安全业务评估 信息安全渗透测试 信息安全加固优化
身份认证管理
访问和授权策略管理 统一运维管理
终端信息防泄露
终端用户的接入认证和数据加密传输功能。
4. 深度检测:交换机旁挂 IPS/IDS 设备,对异常流量 进行检测和阻断, 防止黑客攻击。
5.
应用安全: 服务器前部署
设备,针对
http/https 进we行b检测,对
流W量AF进行安全控制。
部署 设备对邮件、文件w服eb务器流量进行过滤。
AVE
云平台内部安全方案
终端接入 网络
AVE
应用
管理
AVE
价值 AVE 1. 有效防止针对服务器发起的网络病毒攻击,如木马注入、蠕虫
攻击、垃圾邮件等;
2.
有效防护针对服务器自身漏洞的攻击,如
攻击预防; 0 day
3.
有效防护 注入攻击,跨站攻击基于
类的病毒攻击;
SQL
web
4.
清洗针对服务器的
攻击,特别是应用层的攻击;
DoS
方案
?
统一安全管控中心,对整网设备及业务系统信息进行
iSoC
采集、关联分析、告警呈现;提供各种合规满足程度的呈
现、报表来满足法规要求
价值
? 安全告警 (事前): 实现安全事件的集中、量化管理,在最快的时间
内作出适当的精确警示
? 安全运维 (事中): 协助安全管理人员作出正确的判断,提升安全管
云安全体系建设汇报PPT
分层安全建设
6
云等保要点抽取
2020/3/22
云等保要点抽取 注意优势:具有公安部颁发的信息安全等级保护安全建设服务机构能力评估合格证书。
政务云安全需求-概览
2020/3/22
安全规划思路
2020/3/22
典型方案示例
特点:
① 三口
② 两核心
③ 多租户
④ 增值安全
⑤ 双中心
⑥ 一个平台
1
①投标人提供的云平台案例中,通过省级以上公安部门等级保护一级评测的得1分,通过省级以上公安部门等级保护二级评测的得2分,通过
省级以上公安部门等级保护三级及以上评测的得3分,否则不得分。②投标人具有公安部颁发的信息安全等级保护安全建设服务机构能 力评估合格证书,得1分。(需提供相关资质证书复印件,原件备查)
政务云安全体系建设
梳理分析
典型建设模式
自建 自用
主管单位牵头、预 算筹资,集成商帮 助规划、建设,主 管单位单一、绝对 强势
业务机构单一,常 见于专有云,如山 东警务云,其实质 为大型私有云
自建 专用
主管单位牵头、预 算筹资,集成商帮 助规划、建设,提 供给横向机关、机 构使用,主管单位 绝对强势
具体要求如下:
7.1设计确保政务云计算中心采用自主可控、安
全可靠的软硬件产品的解决方案,并组织实施; 7.2提供统一的身份认证、访问授权、数据加解密、数 据隔离等安全保障服务,增强政务云中心安全防护能 力; 7.3安全保障服务应从一个中心三重防护角度出发,保 护网络边界,包括:平台边界、安全域边界、主机/虚 拟主机边界三个层面;保护计算环境;保护通信网络; 建设一个安全管理中心展开,使呼和浩特市政务云中
监管报告 安全应急辅助
云安全PPT
3
为了让大家更好地了解,我们将从以下几 个方面简单的介绍一下“云安全”:
一、概念 二、名称设计 三、思想来源 四、发展趋势 五、策略构想 六、难点问题 七、近年 云安全的变化
4
一、概念:“云安全(Cloud Security)”计划是网络时代 信息安全的最新体现,它融合了并行处理、网格计算、未知 病毒行为判断等新兴技术和概念,通过网状的大量客户端对 网络中软件行为的异常监测,获取互联网中木马、恶意程序 的最新信息,传送到Server端进行自动分析和处理,再把病 5 毒和木马的解决方案分发到每一个客户端。
11
七、近年 云安全的变化
1、增强功能 2、新增功能
12
1、增强功能
漏洞扫描: 漏洞扫描:应用全新开发的漏洞扫描引擎,智能检测Windows系统 漏洞、第三方应用软件漏洞和相关安全设置,并帮助用户修复。用 户也可以根据设置,实现上述漏洞的自动修复,简化了用户的操作 ,同时更加及时的帮助用户在第一时间弥补安全隐患。 强力修复: 强力修复:对于被病毒破坏的系统设置,如IE浏览器主页被改、经 常跳转到广告网站等现象,卡卡助手会修复注册表、系统设置和host 文件,使电脑恢复正常。 进启管理: 进启管理:帮助用户有效管理电脑中的驱动、开机自启动软件、浏 览器插件等,可有效提高用户电脑的运行效率。 高级工具集: 高级工具集:针对熟练电脑用户,卡卡上网安全助手6.0提供了全面 的实用功能。垃圾文件清理、系统启动项管理、服务管理、联网程 序管理、LSP修复、文件粉碎和专杀工具。 七大监控: 七大监控:卡卡上网安全助手6.0,具有自动在线诊断、U盘病毒免 疫、自动修复系统漏洞、木马行为判断与拦截、不良网站防护、IE 防漏墙和木马下载拦截7大监控体系。全面开启保护用户电脑安全。
最新云安全教学讲义ppt
11
二 云计算
12
二 云计算
2.2 云计算按服务分为三个层次:
1.基础设施即服务(IaaS),如Amazon的 弹性计算云 EC2和简单存储服务S3 等
2.平台即服务(PaaS),如Google的 Google App Engine 与微软的Azure平 台等
3.软件即服务(SaaS),如Salesforce公 司的Online CRM等
一
二 三 四
五 六
2
一 引言
当很多人认为“云计算”还仅仅处于 概念阶段的时候,其在安全领域的应用已 汹涌而来。
3
一 引言
4
一 引言
20世纪60年代初,美国贝尔实验室里,三个年轻的程序员 编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身 来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。20 世纪70年代,美国作家雷恩在其出版的<<p1的青春>>一书中 构思了一种能够自我复制的计算机程序,并第一次称之为 “计算机病毒”。计算机病毒作为计算机普及的一个副产品, 越来越为广大的用户所了解,而网络的发展让用户在感受到 方便的同时,更是深深体会到了病毒的威力。与此同时,反 病毒软件也迎难而上,不断探索新的技术,充分利用网络的 便利性,与病毒展开了一场旷日持久的较量。
23
四 云安全与传统杀毒
4.3 传统杀毒软件的不足
病毒频繁升级。新的病毒的出现 另杀毒软件报告你的计算机无毒, 只能说明没有该查毒软件查出来 的病毒。面对这个难题,在现实 中只能靠杀毒软件的频繁升级来 换取计算机资源的安全将越来越 困难。
24
四 云安全与传统杀毒
4.3 传统杀毒软件的不足
病毒加密。软件加密技术应用于 病毒软件加密之后,这种反跟踪 技术和变形性病毒的出现,使得 杀毒软件编写者困难重重。
二 云计算
12
二 云计算
2.2 云计算按服务分为三个层次:
1.基础设施即服务(IaaS),如Amazon的 弹性计算云 EC2和简单存储服务S3 等
2.平台即服务(PaaS),如Google的 Google App Engine 与微软的Azure平 台等
3.软件即服务(SaaS),如Salesforce公 司的Online CRM等
一
二 三 四
五 六
2
一 引言
当很多人认为“云计算”还仅仅处于 概念阶段的时候,其在安全领域的应用已 汹涌而来。
3
一 引言
4
一 引言
20世纪60年代初,美国贝尔实验室里,三个年轻的程序员 编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身 来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。20 世纪70年代,美国作家雷恩在其出版的<<p1的青春>>一书中 构思了一种能够自我复制的计算机程序,并第一次称之为 “计算机病毒”。计算机病毒作为计算机普及的一个副产品, 越来越为广大的用户所了解,而网络的发展让用户在感受到 方便的同时,更是深深体会到了病毒的威力。与此同时,反 病毒软件也迎难而上,不断探索新的技术,充分利用网络的 便利性,与病毒展开了一场旷日持久的较量。
23
四 云安全与传统杀毒
4.3 传统杀毒软件的不足
病毒频繁升级。新的病毒的出现 另杀毒软件报告你的计算机无毒, 只能说明没有该查毒软件查出来 的病毒。面对这个难题,在现实 中只能靠杀毒软件的频繁升级来 换取计算机资源的安全将越来越 困难。
24
四 云安全与传统杀毒
4.3 传统杀毒软件的不足
病毒加密。软件加密技术应用于 病毒软件加密之后,这种反跟踪 技术和变形性病毒的出现,使得 杀毒软件编写者困难重重。
云安全体系建设汇报PPT课件
可提供通过异常行为检测发现已被黑客控制虚机的服务
可提供针对租户业务系统的应用负载均衡服务
可提供针对租户数据库审计服务
可提供针对租户虚机的运维审计服务
可提供针对租户Web业务的安全监测服务
可提供针对租户Web业务的安全运营服务
快速威胁发现能力
已有部分成果
THANKS!
政务互联网业务区
NGAF(FW、IPS、WAF)、服务器负载、失控主机检测、AV
政务内部业务区
NGAF(FW、IPS)、服务器负载、AV
政务云管理区
NGAF(FW、IPS)、数据库审计、SOC、堡垒机
平台安全服务
安全域规划设计、云平台安全事件应急处置、未知威胁通报与突发事件处置
租户系统安全、合规
租户安全资源池
虚机防护
云管平台
管理中心
行为检测
租户边界防护
在线应急处置
安全事件处置
基于软件定义安全技术,安全能力服务化交付
安全服务申请 安全服务交付 安全服务运营
租户方
运营方
内置、可选安全服务包
可提供IPSEC VPN、SSL VPN等安全接入服务
可提供应用控制、FW、AV、IPS等防御服务
可提供WAF、防篡改、数据防泄密等服务
政务云建设、运维云自身的安全保障
自主可控等保三级要求
等级保护三级要求等级保护安全建设服务机构能力评估合格证书
1、政务云服务2、政务云安全监管服务不接受进口服务提供商应具备信息安全等保三级系统能力(GBT 31168-2014)(GBT 31167-2014)
注意优势:具有公安部颁发的信息安全等级保护安全建设服务机构能力评估合格证书。
特点:三口两核心多租户增值安全双中心一个平台解释:5网络流向1个中心3重防护
可提供针对租户业务系统的应用负载均衡服务
可提供针对租户数据库审计服务
可提供针对租户虚机的运维审计服务
可提供针对租户Web业务的安全监测服务
可提供针对租户Web业务的安全运营服务
快速威胁发现能力
已有部分成果
THANKS!
政务互联网业务区
NGAF(FW、IPS、WAF)、服务器负载、失控主机检测、AV
政务内部业务区
NGAF(FW、IPS)、服务器负载、AV
政务云管理区
NGAF(FW、IPS)、数据库审计、SOC、堡垒机
平台安全服务
安全域规划设计、云平台安全事件应急处置、未知威胁通报与突发事件处置
租户系统安全、合规
租户安全资源池
虚机防护
云管平台
管理中心
行为检测
租户边界防护
在线应急处置
安全事件处置
基于软件定义安全技术,安全能力服务化交付
安全服务申请 安全服务交付 安全服务运营
租户方
运营方
内置、可选安全服务包
可提供IPSEC VPN、SSL VPN等安全接入服务
可提供应用控制、FW、AV、IPS等防御服务
可提供WAF、防篡改、数据防泄密等服务
政务云建设、运维云自身的安全保障
自主可控等保三级要求
等级保护三级要求等级保护安全建设服务机构能力评估合格证书
1、政务云服务2、政务云安全监管服务不接受进口服务提供商应具备信息安全等保三级系统能力(GBT 31168-2014)(GBT 31167-2014)
注意优势:具有公安部颁发的信息安全等级保护安全建设服务机构能力评估合格证书。
特点:三口两核心多租户增值安全双中心一个平台解释:5网络流向1个中心3重防护
云安全技术PPT课件
3.下??意? 件
4.?送信息/ 下?病毒
云安全
?客?所??的网??行安全?估 –阻止? 高??网?的??
32
第32页/共38页
云安全的客户价值
•获得防护所需时间(小时)
•病毒代?部署
•Bandwidth Consumption (kb/day)
•Memory Usage (MB)
•病毒代?更新
•??到威?
更快的防护= 更低的风险+更低的花费
33
第33页/共38页
云安全优势
第34页/共38页
云安全改变信息安全行业
1
防御模式的改变
“云安全”使得网络安全防御模式由被动式向主动式转变。
2 分析模式的改变
“云安全”的出现,使原始的传统病毒分析处理方式,转变为 “云安全”模式下的互联网分析模式。
3
研究方向更加明确
课程要点
• 什么是云计算 • 什么是云安全 • 保护云计算的安全性(云计算安全) • 安全作为云计算的一种服务(安全云)
第1页/共38页
什么是云计算?
第2页/共38页
天下大势,合久必分,分久必合, 计算机技术的分合演义
• 早期计算技术以合为特征—曲高和寡 • 个人电脑的发展使分成为了主流—计算机飞入寻
分析“云安全”的数据,可以全面精确的掌握“安全威胁”动向。
第35页/共38页
互联网内容
下载 网站
门户 网站
搜索 网站
恶意威胁
来源挖掘
用户计算机
用户计算机
用户计算机
云安全客户端
用户计算机
用户计算机
威胁信息 数据中心
数据分析
威胁挖 掘集群
即时升级 服务器
云安全.
OS坏
无相应软件
我是云计算 我骄傲!!
忘记密码
计算不可用:由于T的原因,人们无法处理I
网络断
音箱坏
硬件故障
……
云计算通俗讲义
本章实验:
分别登陆到几个有名的云计算供应商网站,尝试申请一些云产
品
云计算通俗讲义
云计算通俗讲义
2、云计算的概念 3、云计算的实际应用
7、几个云计算实例
不完整是指在违背数据主人意愿的前提下, 数据全部丢失或者部分丢失。
1、完整性 2、保密性 3、一致性
泄密是指他人违背数据所有者的意愿而从数 云 据中获取到信息 端 、 、 、 、 、 、 、 、
数 集 异 入 数 防 用 恒 多 据 群 地 侵 据 火 户 温 级 一致性是指数据没有乱,能从中获取到这些 灾 检 快 墙 行 恒 电 安 数据所蕴含的全部信息 备 测 照 为 湿 力 全 中 分 机 保 措 心 析 房 障 施
1
5
3
4
9
2
6
7
8
、 专 家 运 维
云计算通俗讲义
计算不可用:
停电
云计算与云安全PPTQA第二章云计算安全问题与安全体系
1.了解云计算安全问题;2.了解云计算面临的安全威胁;3.理解云计算安全架构及关键技术;4.掌握云计算中心安全建设;
本章学习目标
云计算安全事件
2.1
(1)Amazon宕机事件:云服务提供商Amazon公司的云计算数据中心宕机,导致数千家商业客户受到影响。 修改网络设置过程中,将主网络中的全部数据切换到备份网络上,由于备份网络的带宽较小,无法承载所有数据造成的网络堵塞,导致存储数据的MySQL数据库宕机。 (2)Google Gmail事件:Google Gmail爆发全球性的故障,服务中断时间长达4个小时。 位于欧洲的数据中心例行维护时,新发布的程序代码产生副作用,致使欧洲另一个资料中心过载,使得故障扩展至其他数据中心的接口,最终导致其他所有数据中心都不能正常工作。
管理层面的安全威胁
云安全联盟(CSA)在2016年3月召开的RSA会议上,发布报告指出云计算面临的安全威胁有十二个。
云安全联盟定义的安全威胁
云计算安全架构及关键技术
2.3
研究云计算安全问题的基础是建立在云安全体系框架上的,合理完备的体系架构可以有效部署各种安全技术。 (1)IBM云计算安全框架:可分为用户认证与授权、数据的隔离和保护、流程管理及分级控制、灾备以及服务器、网络、存储等基础设施的安全保护五个方面。 (2)VMware云计算安全框架:分为三个层面,保护云计算中的虚拟数据中心、保护整个数据中心内部的安全区域、保护虚拟机安全。 (3)Amazon EC2安全框架:可分为宿主操作系统、guest操作系统(虚拟化操作系统)、防火墙、签名API调用等多个层面。 (4)思科云数据中心安全框架:描述云数据中心的威胁模型以及可用于减少安全风险的措施,显示控制合规和SLA组件的关系。
国内外云安全体系架构
本章学习目标
云计算安全事件
2.1
(1)Amazon宕机事件:云服务提供商Amazon公司的云计算数据中心宕机,导致数千家商业客户受到影响。 修改网络设置过程中,将主网络中的全部数据切换到备份网络上,由于备份网络的带宽较小,无法承载所有数据造成的网络堵塞,导致存储数据的MySQL数据库宕机。 (2)Google Gmail事件:Google Gmail爆发全球性的故障,服务中断时间长达4个小时。 位于欧洲的数据中心例行维护时,新发布的程序代码产生副作用,致使欧洲另一个资料中心过载,使得故障扩展至其他数据中心的接口,最终导致其他所有数据中心都不能正常工作。
管理层面的安全威胁
云安全联盟(CSA)在2016年3月召开的RSA会议上,发布报告指出云计算面临的安全威胁有十二个。
云安全联盟定义的安全威胁
云计算安全架构及关键技术
2.3
研究云计算安全问题的基础是建立在云安全体系框架上的,合理完备的体系架构可以有效部署各种安全技术。 (1)IBM云计算安全框架:可分为用户认证与授权、数据的隔离和保护、流程管理及分级控制、灾备以及服务器、网络、存储等基础设施的安全保护五个方面。 (2)VMware云计算安全框架:分为三个层面,保护云计算中的虚拟数据中心、保护整个数据中心内部的安全区域、保护虚拟机安全。 (3)Amazon EC2安全框架:可分为宿主操作系统、guest操作系统(虚拟化操作系统)、防火墙、签名API调用等多个层面。 (4)思科云数据中心安全框架:描述云数据中心的威胁模型以及可用于减少安全风险的措施,显示控制合规和SLA组件的关系。
国内外云安全体系架构
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• “杭州微贷”“个人资信评估系统”在阿里云上,下单1000多个vSSL • 比亚迪混合云业务架构混合云安全 • 天津天狮集团,跨国业务混合云安全 • 。。。。。。
政务云安全体系
安全资源池分析与实践汇报
CONTENTS
1 政务云建设过程的安全挑战 2 深信服政务云安全方案概述 3 Part1:安全资源池平台 4 Part2:安全云服务平台
深信服政务云安全方案框架
合规安全资源池
安全运营服务云
云计算 基础资源服务/管理平台
2020/3/22
SERVER6
SERVER7
政务云安全关键问题1:
单一、基础的网络服务 缺乏完整、个性化的按需合规技术手段
政务云安全关键问题2:
仅仅有了安全设备不够,还需要持续的安全运营服务
投资主要在防护层面,安全的交付是产品
✓ 攻防不对称 ✓ 基于已知攻击的特征,防护滞后
缺乏对云上业务安全的持续检测和运营
力争第一
深信服进入的每一个细分市场,都会努力成为No.1
硬件VPN
No.1
上网行为管理
No.1
SSL VPN
No.1
广域网优化
No.1
下一代防火墙
No.3
5款产品入围
应用交付
No.2
Gartner
全球魔力象限
公司荣誉
CMMI5国际认证 第一批国家高新技术企业 连续六年获得“深圳市重点软件企业” 连续五年被评为“国家规划布局内重点软件企业” 连续八届获得“亚太地区德勤高科技高成长500强” 连续两届获得《财富》杂志评选的“中国卓越雇主奖”
✓ 专业人才 ✓ 工具的利用 ✓ 数据分析
缺乏对风险的感知和主动快速响应
✓ 威胁情报库 ✓ 专业人才
CONTENTS
1 政务云建设过程的安全挑战 2 深信服政务云安全方案概述 3 Part1:安全资源池平台 4 Part2:安全云服务平台
政务云的一种安全设计思路:两段分层
数据中心(云平台)安全等级,不低于租户应用系统的安全等级,且需先完成等级保护测评。 云服务提供方和租户,应各自保障可控信息系统的安全;云服务方应为租户提供必要安全措施和服务。
7
30%市场10%其他
55
全球55个直属分支机构 3大CTI呼叫中心
7个国际直属分支机构 美国、英国、香港、新加坡 印尼、马来西亚、泰国
3
3大研发中心 北京、深圳、硅谷
公产司品概成况绩
网络安全市场 排名第一(IDC)
No.1
66.9
70.98
72.2
81.9
HW
TS
LS
深信服
安全市场
FW
IPS 行为管理 UTM VPN IDS
政务云云平台安全合规 解决方案汇报
CONTENTS
1 深信服公司介绍 2 政务云的安全挑战与需求 3 深信服政务云平台安全解决方案 4 政务云平台安全解决方案优势
让IT更简单 更安全 更有价值
云计算
随需应变 平滑演进
企业级安全
企业级安全的赋能者
公司规模
2300 员工人数 2800人 40%研发 20%服务
云服务 商
设施层安全; 负责硬件层、资源抽象层、 虚拟化技术资源层的安全。
包括机房采暖、通风、空调、电力和通信等机 房基础设施的安全保障。 云服务商自身云平台组成的服务器、网络设备 和安全设备等硬件层安全,及其云管理平台安 全; 政务云平台网络边界的安全防护。
使用单 位
负责自身部署系统的软件平 台层、应用软件层安全和系 统数据安全,实施对这些资 源操作、更新、配置的安全 可靠管理。
业务系统相关的安全责任,包括主机、应用和 数据安全,如操作系统、数据库、中间件和应 用系统的安全配置检查和加固,应用系统的升 级维护和日常代码审计、渗透测试等,以及业 务数据的加密和备份等
市经信委和市公服中心, 通过自身和云安全监管服 务商,监督和检查云服务 商安全保障工作以及服务 质量。
以IaaS服务为主,参照《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)划分。
广泛合作
承接国家级 安全保障任务
国家“九三大阅兵”活动网络安全重点保障单位 国家“互联网威胁情报整治”活动重点支撑单位 “首都安全周”活动网络安全重点保障单位 广东“护城河”项目重点支撑单位 国家信息安全和云计算安全骨干企业
全面发力云安全领域
• 深圳市政府云安全产业重点支持单位:
• 业界最全的云安全产品序列,涵盖:
– 虚拟化、私有云、政务云、公有云、混合云
2020/3/22
最齐全的云安全产品
产品
VMware
私有云/行业云
KVM
数梦
浪潮云
AWS
公有云
阿里云
腾讯云
京东云
vNGAF
√
√
√
√
√
√
√
即将上线
vSSL
√
√
√
√
√
√
√
即将上线
vWOC
√
√
即将上线
√
√
√
-
即将上线
vAD
√
√
-
-
-
Байду номын сангаас
-
-
即将上线
安全服务云
• 相关案例:
政务云的现状
政务云与安全合规现状
• 电子政务外网上的非涉密政务系统
系统属性 • 常常是有信息安全等级的信息系统
• 网信办 • 工信(如:经信委…)
主管单位 • 公安(如:网监、测评中心…)
• 发改委(如:电子政务外网管理中心..)
平台和租户的责任边界划分- GB/T 31167
单位
责任边界
说明
跨平台的闭环安全自动化服务
• 政府:安徽省政务云平台、福建政务云、德阳政务云、贵州政务云。。。。。。
• 企业/运营商:上海电信IDC、安徽移动IDC、海底捞、比亚迪。。。。。。
公有云安全建设方案
腾讯云
阿里云
vSSL 、vAF、 vAD 、vWOC
…
亚马逊云
深信服是唯一一家同时支持阿里云、腾讯云、亚马逊云的安全厂商
政务云租户:
应用多样,个性化需求多样
我要Web防护
我要7层负载均衡
政务云
我要安全扫描评估
我要提升应用速度
我要多种身份认证 我要国密加密传输
传统方案:边界部署安全硬件设备
互联网
一虚多防火墙
内网
一虚多防火墙
一虚多LB
办公
管理
一虚多LB
运维
SERVER1
SERVER2
SERVER3
SERVER4
SERVER5
技术标准核心 起草单位
• SSL VPN技术国家标准 • IPSec VPN技术国家标准 • 《第二代防火墙》公共安全行业标准 • 网络通信审计产品》公共安全行业标准
• 互联网应急中心应急服务支撑单位 • 国家信息安全漏洞共享平台CNVD成员单位 • 中国国家信息安全漏洞库CNNVD技术支撑单位 • 公共漏洞和暴露组织CVE认证合作单位 • 中国反网络病毒联盟ANVA成员单位 • 微软MAPP计划合作单位
政务云安全体系
安全资源池分析与实践汇报
CONTENTS
1 政务云建设过程的安全挑战 2 深信服政务云安全方案概述 3 Part1:安全资源池平台 4 Part2:安全云服务平台
深信服政务云安全方案框架
合规安全资源池
安全运营服务云
云计算 基础资源服务/管理平台
2020/3/22
SERVER6
SERVER7
政务云安全关键问题1:
单一、基础的网络服务 缺乏完整、个性化的按需合规技术手段
政务云安全关键问题2:
仅仅有了安全设备不够,还需要持续的安全运营服务
投资主要在防护层面,安全的交付是产品
✓ 攻防不对称 ✓ 基于已知攻击的特征,防护滞后
缺乏对云上业务安全的持续检测和运营
力争第一
深信服进入的每一个细分市场,都会努力成为No.1
硬件VPN
No.1
上网行为管理
No.1
SSL VPN
No.1
广域网优化
No.1
下一代防火墙
No.3
5款产品入围
应用交付
No.2
Gartner
全球魔力象限
公司荣誉
CMMI5国际认证 第一批国家高新技术企业 连续六年获得“深圳市重点软件企业” 连续五年被评为“国家规划布局内重点软件企业” 连续八届获得“亚太地区德勤高科技高成长500强” 连续两届获得《财富》杂志评选的“中国卓越雇主奖”
✓ 专业人才 ✓ 工具的利用 ✓ 数据分析
缺乏对风险的感知和主动快速响应
✓ 威胁情报库 ✓ 专业人才
CONTENTS
1 政务云建设过程的安全挑战 2 深信服政务云安全方案概述 3 Part1:安全资源池平台 4 Part2:安全云服务平台
政务云的一种安全设计思路:两段分层
数据中心(云平台)安全等级,不低于租户应用系统的安全等级,且需先完成等级保护测评。 云服务提供方和租户,应各自保障可控信息系统的安全;云服务方应为租户提供必要安全措施和服务。
7
30%市场10%其他
55
全球55个直属分支机构 3大CTI呼叫中心
7个国际直属分支机构 美国、英国、香港、新加坡 印尼、马来西亚、泰国
3
3大研发中心 北京、深圳、硅谷
公产司品概成况绩
网络安全市场 排名第一(IDC)
No.1
66.9
70.98
72.2
81.9
HW
TS
LS
深信服
安全市场
FW
IPS 行为管理 UTM VPN IDS
政务云云平台安全合规 解决方案汇报
CONTENTS
1 深信服公司介绍 2 政务云的安全挑战与需求 3 深信服政务云平台安全解决方案 4 政务云平台安全解决方案优势
让IT更简单 更安全 更有价值
云计算
随需应变 平滑演进
企业级安全
企业级安全的赋能者
公司规模
2300 员工人数 2800人 40%研发 20%服务
云服务 商
设施层安全; 负责硬件层、资源抽象层、 虚拟化技术资源层的安全。
包括机房采暖、通风、空调、电力和通信等机 房基础设施的安全保障。 云服务商自身云平台组成的服务器、网络设备 和安全设备等硬件层安全,及其云管理平台安 全; 政务云平台网络边界的安全防护。
使用单 位
负责自身部署系统的软件平 台层、应用软件层安全和系 统数据安全,实施对这些资 源操作、更新、配置的安全 可靠管理。
业务系统相关的安全责任,包括主机、应用和 数据安全,如操作系统、数据库、中间件和应 用系统的安全配置检查和加固,应用系统的升 级维护和日常代码审计、渗透测试等,以及业 务数据的加密和备份等
市经信委和市公服中心, 通过自身和云安全监管服 务商,监督和检查云服务 商安全保障工作以及服务 质量。
以IaaS服务为主,参照《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)划分。
广泛合作
承接国家级 安全保障任务
国家“九三大阅兵”活动网络安全重点保障单位 国家“互联网威胁情报整治”活动重点支撑单位 “首都安全周”活动网络安全重点保障单位 广东“护城河”项目重点支撑单位 国家信息安全和云计算安全骨干企业
全面发力云安全领域
• 深圳市政府云安全产业重点支持单位:
• 业界最全的云安全产品序列,涵盖:
– 虚拟化、私有云、政务云、公有云、混合云
2020/3/22
最齐全的云安全产品
产品
VMware
私有云/行业云
KVM
数梦
浪潮云
AWS
公有云
阿里云
腾讯云
京东云
vNGAF
√
√
√
√
√
√
√
即将上线
vSSL
√
√
√
√
√
√
√
即将上线
vWOC
√
√
即将上线
√
√
√
-
即将上线
vAD
√
√
-
-
-
Байду номын сангаас
-
-
即将上线
安全服务云
• 相关案例:
政务云的现状
政务云与安全合规现状
• 电子政务外网上的非涉密政务系统
系统属性 • 常常是有信息安全等级的信息系统
• 网信办 • 工信(如:经信委…)
主管单位 • 公安(如:网监、测评中心…)
• 发改委(如:电子政务外网管理中心..)
平台和租户的责任边界划分- GB/T 31167
单位
责任边界
说明
跨平台的闭环安全自动化服务
• 政府:安徽省政务云平台、福建政务云、德阳政务云、贵州政务云。。。。。。
• 企业/运营商:上海电信IDC、安徽移动IDC、海底捞、比亚迪。。。。。。
公有云安全建设方案
腾讯云
阿里云
vSSL 、vAF、 vAD 、vWOC
…
亚马逊云
深信服是唯一一家同时支持阿里云、腾讯云、亚马逊云的安全厂商
政务云租户:
应用多样,个性化需求多样
我要Web防护
我要7层负载均衡
政务云
我要安全扫描评估
我要提升应用速度
我要多种身份认证 我要国密加密传输
传统方案:边界部署安全硬件设备
互联网
一虚多防火墙
内网
一虚多防火墙
一虚多LB
办公
管理
一虚多LB
运维
SERVER1
SERVER2
SERVER3
SERVER4
SERVER5
技术标准核心 起草单位
• SSL VPN技术国家标准 • IPSec VPN技术国家标准 • 《第二代防火墙》公共安全行业标准 • 网络通信审计产品》公共安全行业标准
• 互联网应急中心应急服务支撑单位 • 国家信息安全漏洞共享平台CNVD成员单位 • 中国国家信息安全漏洞库CNNVD技术支撑单位 • 公共漏洞和暴露组织CVE认证合作单位 • 中国反网络病毒联盟ANVA成员单位 • 微软MAPP计划合作单位