【人社行业】云安全解决方案v1.0.ppt

民生行业部,民生行业云安全解决方案,目录,PART/01,云安全需求分析,云计算的安全威胁及风险,传统安全问题依然存在，云计算带来了新的攻击面,业务系统的高度集中降低了攻击成本,云基础设施成为新的攻击目标,2017年5月12日晚不法分子利用2017年4月泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击进行勒索，也称“魔窟”蠕虫（WannaCry）。截止到5月16日勒索软件攻击了100+国家。据360威胁情报中心监测，国内超30万台机器中招，至少有28388个机构被感染。受害主机中招后，病毒就会在受害主机中植入勒索程序，硬盘中存储的文件将会被加密无法读取。,国内重要安全事件,2018年2月24日8点左右，某机构系统无法正常使用，服务区内滞留大量人员，经查系服务器中了疑似最新的勒索病毒：“大厅内业务系统等设备大部分处于关闭状态，服务器所有数据文件被强行加密”，导致系统瘫痪，无法服务，影响恶劣。,民生行业云安全现状,网络安全法对民生行业提出要求,第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（定义CII。重点保护是符合等级保护三级以上，接受国家公安机关的监管。注意，CII包括国企，也包括私企）第三十二条按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。（明确CII重点保护的主管部门，依据是公安等级保护标准，建立行业等保标准）第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的与性能，并保证安全技术措施同步规划、同步建设、同步使用。（CII规划建设的三同步原则，同步是一起设计，不是分开设计，安全是保护网络与服务，必需了解网络架构与业务流程，网络、业务、安全）,云面临多方面安全需求,多方参与，责任如何界定？职责划分，分工界面当前信息安全环境下,如何发现安全问题？全程全网监测攻击事件、数据泄密业务上云后，如何防护？云平台安全、数据安全、应用安全出问题后如何快速响应，及时减损？联动响应、本地处置、远程协助是否能够防患于未然？安全事件预警、威胁情报,PART/02,建设思路,同步建设,同步使用,同步规划,云安全运营中心如何建？,运营,依据标准,信息安全技术网络安全等级保护基本要求（送审稿）信息安全技术云计算服务安全能力要求GB/T31168-2014信息安全技术云计算服务安全指南GB/T31167-2014云安全要求GW00132017,云安全运营中心规划方法论,在信息安全进化过程中每个环节都离不开人，人是安全的尺度,云分类,人社云简介,人社云是运用云计算技术构建的全国一体化的人力资源和社会保障行业云，支持行业内业务经办、监管决策、大数据应用和公共服务。,人社云总体架构,人社行业云按部省两级云数据中心节点模式进行建设，各省可根据信息化建设的要求采用自建私有云、地方政务云或者部分基于公有云的方式进行建设。,人社云数据中心逻辑架构,人社云应依托虚拟化、分布式存储、分布式计算、内存计算等云计算技术，基于开放技术架构的硬件设备及软件产品，建立资源的按需分配机制，实现业务应用及海量数据的分布式管理、应用系统的自动弹性伸缩、批量业务的高效并行计算处理。人社云安全运营中心规划围绕人社行业业务系统安全需求，规划建设安全管理体系、安全技术体系、安全运营体系、安全合规及监管体系，保障民生行业云上业务安全，通过工具实现安全运营和数据展示。,人社云数据中心安全体系规划,人社云安全运营中心规划围绕人社行业业务系统安全需求，规划建设安全管理体系、安全技术体系、安全运营体系、安全合规及监管体系，保障人社行业云上业务安全，通过工具实现安全运营和数据展示。,人社云安全整体防护思路,公有云、私有云、政务云、行业云,网络,物理设备,云运维管理,云安全服务,服务器,虚拟化,操作系统,中间件运行平台,数据,IAAS,PAAS,SAAS,物理安全,网络安全,主机安全,数据安全,应用安全,应用,PART/03,云安全解决方案,安全运维,网络安全,技术要求,物理安全,网络与通信安全,设备和计算安全,应用和数据安全,数据安全,应用安全,操作系统,虚拟化安全,网页防篡改,数据库审计,物理安全,CCTV,门禁,漏洞管理,管理要求,建设管理,等保集成,建设管理,安全运维,360云安全解决方案-等级保护安全架构,策略制度,等保咨询,策略制度,数据防泄漏,安全培训,防火,防水,电力保障,机房抗震,日志审计,电磁防护,基础环境评估,广播报文限制,360云安全解决方案-设计思路,地址欺骗防护,网络拓扑感知,租户网络隔离,入侵防范,租户安全自服务,管理业务流量分离,边界访问控制,虚机资源隔离,虚机级访问控制,Web内容监测,审计权限分割,管理权限分割,恶意代码检测,非授权行为审计,故障资源隔离,网络接口配置,虚机快照管理,虚机迁移加密,数据存储管理,数据删除管理,异常流量检测,网络组件管理,云厂商,360企业安全,其它厂商,云计算管理套件vR,360云安全解决方案,虚拟化资源池,存储资源池,网络资源池,计算资源池,南北向安全服务,东西向安全服务,主机安全服务,风险管理,计量管理,权限管理,资源池管理,日志管理,租户管理,云平台运维管理门户,vFW,vIPS,防暴力破解,Hypervisor,云安全解决方案网络架构,承载客户业务或云上租户的虚拟化或云环境如行业公有云：云、警务云等；私有云：央企、金融及大企业等。,SW,核心,云端安全服务,核心,业务云,云安全管理平台功能,管理门户,系统管理员,安全管理员,审计管理员,租户、租户.,租户管理,虚拟设备管理,订单审批,授权管理,日志审计,分析呈现,云平台,自服务,X86服务器,X86服务器,X86服务器,云堡垒机,HAV，HFW，HIPS,vWAF防篡改,vFW/vIPS,其他组件,日志收集,云业务资源池,云平台,云安全资源池,云安全管理平台,TOR/EOR交换机,物理设备,租户VPC,vFW,vVPN,vIPS,vWAF,vDBAudit,vJumpHost,安全服务,H-FW,H-IPS,租户自服务门户,云安全管理平台为租户提供基于云安全的自服务门户。租户可以通过自助门户快速便捷地进行安全组件的购买、续费、扩容、策略管理等功能，全面满足租户按需使用、快速部署、安全可靠、专业服务的安全需求,云安全管理平台,云端决策体系,自服务门户,运维管理中心,云端安全服务,自服务门户使用办法,运维管理中心,运维管理中心主要负责安全资源池管理、租户管理、权限管理及一些其它管理功能。运维管理中心使用者为云安全管理平台的管理员,租户VPC,vFW,vVPN,vIPS,vWAF,vDBAudit,vJumpHost,安全服务,H-FW,H-IPS,云安全管理平台,云端决策体系,自服务门户,运维管理中心,云端安全服务,运维管理中心使用方法,云端安全服务,通过云端决策体系，能够为租户提供多种云端安全服务，并利用云安全管理平台的自服务门户，可实现云端安全服务的统一购买、部署、管理和使用，对本地安全服务能力进行增强,360SERVICE,失陷主机云服务,恶意代码云服务,系统主防云服务,威胁情报云服务,DDoS监测云服务,仿冒网站监测云服务,网站监测云服务,网站防御云服务,租户VPC,vFW,vVPN,vIPS,vWAF,vDBAudit,vJumpHost,安全服务,H-FW,H-IPS,云安全管理平台,云端决策体系,自服务门户,运维管理中心,云端安全服务,云端安全服务使用办法,PART/04,价值优势,民生行业云安全运营核心价值,民生行业云安全优势,360企业安全全面提供安全能力助力云上合规实现安全可运营,云平台安全能力,云租户安全能力,云集成安全能力,合规,有效,增值,5,构建合作生态，为客户提供丰