等级保护2.0解决方案-云计算演示教学

业务系统
确定安全保护等级，编 准备备案材料，到当地 建设符合等级要求的安 准备和接受测评机构测 接受公安机关的定期检
写顶级报告
公安机关备案
全技术和管理体系
评
查
协助云租户 定级
云平台定级 协助云租户 协助云平台
信息系统2
安全管理平台
利用云平台原生安全能力，依据委办局、业务系 统、服务器功能等进行隔离，缩小安全风险域。
不同委办局的资源部署在不同VPC内，实现委办局 间隔离；
同委办局各信息系统部署在不同子网内，实现信息 系统间隔离，从而达到东西向防护。
利用终端检测响应服务，防护信息系统的虚拟机。
将不同信息系统的资源划分不同隔离区域，区域间 限制访问；
安全责任共担，服务模式确定责任
责任主体一分为二 根据服务模式，安全管理职责不同 云计算平台和云上信息系统分别定
级、备案、测评 云平台不能承载高于平台级别的信
息系统
云服务商
注重平台防护，云服务客户往往忽视 信息系统防护
SaaS PaaS IaaS
云服务客户
应用平台 软件平台 虚拟化计算资源 资源抽象控制
安全即服务
软件定义安全
硬件安全设备
统一管控
虚拟化
服务化
物理服务器
做好区域隔离，实现东西向防护
某委办局
子网1
子网2
安全组1
安全组2
区 虚拟机 域
1 虚拟机
虚拟机 区 域
虚拟机 2
虚拟机 虚拟机
业务区
数据区
信息系统1
安全组1
安全组2
区 虚拟机 域
1 虚拟机
虚拟机 区 域
虚拟机 2
虚拟机 虚拟机
业务区
数据区
自助使用，自动交付，掌 握业务系统安全状态。
高可用设计，保障安全防 护连续性。
委办局1
虚拟机
虚拟机
委办局2
虚拟机
虚拟机
委办局3
虚拟机
虚拟机
防火墙 WAF
IPS
防火墙 网络审计 WAF
防火墙 DDoS防护 WAF
服务 平台
计算
存储
网络
防火墙 入侵防御 入侵检测 Web应用防护 安全审计 防病毒 EDR
核心交换区
边 DDoS防护
界
网络审计
防 护
入侵防御
区 Web应用防护
计算资源池
计算资源池
防火墙
DDoS防护
边
网络审计
界 防
入侵防御
护
Web应用防护 区
存储区
二级等保区
存储区
三级等保区
堡垒机 系统漏扫 日志审计 Web漏扫 配置核查
防病毒 安全管理中心
安全管理区
根据网络安全等级保护三级要去，利用硬件 安全设备，分别在云平台边界和安全管理区 域，从外到内构建防护体系，确保云平台整 体的安全保护能力。
云等保解决方案
多方协同，纵深防御，持续监控
安全 通信 网络
安全 区域 边界
安全 计算 环境
安全管 理中心
构建纵深的防御体系
集中管理
建设主动防护能力，持续安全监控预警
按需提供安全服务，保护云上信息系统
云上信息系统
云平台
完善基础防护措施，确保平台安全
多方共建安全能力，共同守护
日志 监控预警、技术方案评估
攻击事件发 现与排查
安全事件 应急响应
安全 运营平台
感知
溯源
分析
安全数据
资产
采集 安全日志
资源池
防火墙
DDoS防护
WAF
IPS
Web漏扫
预警
网络审计
系统漏扫
威胁情报中心
安全专家
策略管理
全流程咨询服务，帮助客户等保合规
等级定级
系统备案
建设整改
等级测评
监督检查
云租户 运营单位
云服务商
绿盟
咨询合作伙 伴
网络安全等级保护解决方案——云计算
绿盟科技
目录
CONTENTS
01 等级保护2.0变化及要求 04 云等保解决方案 04 云等保解决方案场景分析 04 云等保解决方案案例
01
等保2.0变化及要求
等级保护的发展历程
1
2
3
4
5wenku.baidu.com
开始关注等保 1994-2005
初建等保标准体系 完善测评管理体系
2005-2008
硬件 设施
范围和控制
IaaS PaaS SaaS
新增安全要求，建立主动防护体系
实现对网络攻击特 别是新型网络攻击
行为的分析
被动安全防护
1
2
缺少监测预警
落实网络安全态感 知监测预警措施 集中安全管理
重视云平台安全，忽视信息系统安全
防火墙 入侵检测/防御 Web应用防护 DDoS防护
云平台
云上信息系统
云服务商无法了解安全状 态，动态调整策略
安全风险加剧，防护措施需完善
新型攻击
虚拟化漏洞 东西向攻击
勒索病毒 0day漏洞
APT
政务云
维护人员
传统安全能力，难以应对新 型攻击和威胁
安全设备单点防护，无法整 体监控和预警云计算平台/系 统安全风险。
大量安全事件，无法及时验 证和处理安全事件。
02
监管方
日志
监控预警、安全评估
监测预警，发布安全通告 技术方案评估，安全评估
云服务客户
利用云安全服务，保护云服务客户的信 息系统。
提供 安全 服务
使用 安全 服务
云服务商
面向各委办局，提供云安全服务。 利用网络安全设备，保护云平台网络安全。 云平台具备安全功能，确保云平台安全。
完善基础防护措施，确保平台安全
安全通信网络：划分核心交换区、不同等 保区、安全管理区等
安全区域边界：部署防火墙、DDoS防 护、入侵防御、网络审计等设备
安全计算环境：部署防病毒、EDR等设备 安全管理：部署日志审计、安全管理中
心、扫描器等
按需提供安全服务，保护云上信息系统
提供丰富、专业的安全服 务，多达12个。
自定义安全服务包，按需 选择，快速实现防护。
未提出相关安全要求 由云服务商负责信息系统安全
参与角色：
云服务商
云服务商
责任共担模型 安全管理职责不变
传统交付模式，不适应云服务模式
审批，手动交付
申请 云服务客户
安全 计算 存储 网络
云服务商
安全
基础 产品
计算
存储
网络
云计算平台/系统
审批，自动化交付
未实现服务化，少量基础安 全服务
基础防御，并不了解信息系统 的安全需求
利用轻量级客户端，实现虚拟机的入侵防御和基线 核查等。
建设主动防护能力，持续安全监控预警
及时获取热点事件、漏 洞、恶意IP/域名。
全面分析安全设备日志， 建立整体安全态势，发现 未知威胁。
为云服务平台和云服务客 户提供安全运营服务，及 时响应和处置安全事件。
运营 服务
热点事件 预警
攻击威胁源 封禁
2008-2010
推动落地实施 2010-2014
云等保来临 至今
确立法律地位，云计算被纳入保护对象
1
提升到法律层面
国家实行网络安全等级保护制度， 对网络实施分等级保护、 分等级监管。
关键基础设施实行重点保护。
等级保护2.0
2
应对新技术
等级保护对象包括云计算平 台/系统、通信网络设施、物
联网、工业控制系统等。 提出云计算扩展要求。