总22期
Patent    成功案例
Patent    成功案例
首批“等保2.0”四级云平台之一,紫光云是如何做到的?
文/杨红起
分享

通过“等保2.0”评测是紫光云发展过程中的一件大事。在 “等保2.0”测评中,紫光云平台高分通过四级复测,综合得分88.02分,成为首批等保四级的云平台之一。

“等保”全称网络安全等级保护,“等保2.0”指的是2019年颁布实施的等级保护新标准体系,这是今天各行业广泛遵循的安全标准,共分为五级,等级越高,代表其安全防护能力越强大。目前市场上的公有云平台等级保护,一般被定为三级,四级是目前云服务提供商所能获得的最高级别,只有极少数云服务提供商能够达到这个水平。

根据《信息安全技术 网络安全等级保护定级指南》有关规定,对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。简单理解,就是安全防护能力足够高,才能提供给保护对象更为坚固的盾牌。通过等保四级测评,意味着紫光云可以承载保护等级为四级的信息系统,并且具备满足等级保护第四级的安全防护能力。

落实等保,提供安全云服务

正所谓“聪者听于无声,明者见于未形”,在未知风险来临之前,提前做好预判和准备,见微知著,防微杜渐,唯有如此,才能有效化解风险。在网络空间更是如此,网络安全越来越被人们所重视。要保障网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险以及如何防范。

2008年“等保1.0”发布,通过标准来落实网络安全,我国网络安全保障能力得到整体提升。从“等保1.0”以来,出现了很多新的技术,特别是云计算、物联网、移动互联、工业控制、大数据等技术的应用,新一代应用系统逐渐兴起,而这些系统在安全防护上缺乏可遵循的安全或基础标准,此时,等级保护制度理应更新换代。

2019年5月13日,“等保2.0”发布,12月1日开始正式实施,从宏观角度对企业网络安全提出了更高要求,例如主动防御、全流程安全可信、动态感知和全面审计等等。鉴于云计算的普及,特别是公有云服务涉及面广,“等保2.0”还对云计算做出专门的规定。其中,云计算安全扩展要求章节新增了对云计算环境的特殊要求,包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

实际上,落实等级保护既是企业责任更是企业义务。因为网络安全不仅仅是企业自己的事,它的安全问题也影响到国家的安全。《中华人民共和国网络安全法》中规定,国家对公共通信和信息服务、金融、电子政务等重要行业和领域,在网络安全等级保护制度的基础上,需实行重点保护,防止网络数据泄露或者被窃取、篡改,以保护国家安全、保障国计民生、维护公共利益。因此,等保建设、测评或整改,成为各企业的重要工作之一,紫光云也是其中一员。

与新华三携手,构建安全云平台

作为紫光集团“芯云战略”的重要组成部分,紫光云主要面向政企行业客户,涉及工业智能制造、政务大数据、智慧教育、精准扶贫、BIM、环保、交通、水务、军民融合等行业。基于自主研发的紫光云平台系统,紫光云为行业用户提供云服务,打造南京、苏州、连云港等全国数十个智慧城市的建设和运营项目,承载百万级甚至千万级使用的计算服务。

也正是基于这样的布局,紫光云在安全方面更加需要全面建设完整的信息安全防护体系,落实等保,刻不容缓。为此,紫光云携手新华三共同构建云平台的信息安全防护体系。

值得一提的是,在“等保2.0”标准的起草阶段,新华三就全程参与,因此新华三对等级保护整体要求、测评过程和方法以及等级保护安全设计理念有着深刻理解。新华三依据网络安全等级保护基本要求和安全设计技术要求的建设理念,严格依据“等保2.0”的四级要求对紫光云的信息安全防护体系进行设计,方案以云安全服务为目标,基于“一个中心三重防护”的技术理念形成模型框架(如图1所示)。

总体来看新华三做了如下几方面的工作:

1. 针对基础设施层的访问控制、身份鉴别及资产管理等,按照四级等级保护方案进行规划,增强访问控制、严格控制身份鉴别、合理管理资产。

2. 根据对网络架构分析明确各个网络节点安全控制;安全、网络设备权限、资源划分管理;安全设备的防护规划;审计及监控的全方位审计。

3. 应用层管理权限分离,身份鉴别,应用的高可用措施;增强业务性能、容错性及安全审计。

4. 对操作系统、数据库系统按照四级等级保护要求制定安全加固方案。

5. 按照四级等级保护方案融合紫光云平台需求,制定并贯彻落实安全管理制度。

图1 紫光云安全防护方案模型框架

应该说,这是一个非常全面的安全防护方案,为紫光云提供了全方位的防护能力,从云防火墙、云入侵防护、云负载、云WAF、云数据库审计,到云堡垒机、云漏扫、云日志审计、云态势感知等,在灵活部署的同时满足等保合规要求。

在方案中,新华三分别通过硬件安全资源池和软件安全资源池构建紫光云平台级和租户级的安全防护能力构建。如图2所示,包括南北向硬件安全资源池、东西向NFV安全资源池、安全云服务目录、安全态势感知、PaaS安全以及数据安全集成服务、安全服务全程支持、一站式等保交付、等保复测复评运维保障等。

正是有新华三的技术加持,紫光云很快就具备了为云上用户提供等级保护相应安全等级的安全防护能力,围绕着租户资产和业务,融合对安全、网络、应用的管理,最终能实现设备管理、策略部署管理、运转监控、风险预警、安全联动响应的完整安全闭环管理,实现安全风险的可视、可管、可预防。

步步为营,新华三的安全硬实力

其实,新华三的安全硬实力业内确实为数不多,这次能够“出圈”,也绝非偶然。既懂云,也懂网,还懂安全,新华三凭借多年技术耕耘和实践,融合形成“云网安”一体化能力。

新华三的云安全解决方案,以等保2.0合规体系为建设标准,同时还提出“安全即服务”理念,构建“云安全商店”,提供不同的安全能力模块,以满足不同的场景需要,如图3所示。

1. 针对IaaS层,提供边界隔离、入侵防御、通信加密、服务器防护等服务。

2. 针对PaaS层,提供数据库审计、运维审计、漏洞管理等服务。

3. 针对SaaS层,提供应用监控、Web防护、应用加速等服务。

4. 针对运维管理,提供可实现云内安全的可视化和云安全资源的分配管理。

整体上说,新华三云安全解决方案具备以下5大特点(如图2所示):

图2 新华三安全云解决方案的五大优势

1. 合规性:可满足各类等保需求的安全服务,并支持等保套餐“一键开通”。

2. 高性能:通过支持纳管硬件形式的安全资源池,为平台和租户提供高性能的保障。

3. 高效性:安全业务流量支持自动编排、自动部署、统一管理。

4. 兼容性:支持纳管对接各类安全资源池设备,涵盖软件、硬件与NFV。

5. 开放性:方案基于OpenStack架构并对外提供标准化接口。

新华三的安全实力不是对各个安全模块的简单拼凑,而是从物理设备、网络、应用、主机、数据等层面,打造一套内生的安全防护体系,来保障系统安全。如今,新华三已经先后承担并参与了多地的政务云、高校云、融媒云等各行业云的建设。未来作为 “AI in ALL”智能战略和“数字大脑计划2020”的实践,新华三还将持续不断输出更多有价值的安全案例,与行业客户激荡出更多共鸣。

观点

在快速发展的数字化潮流中,安全是企业可持续发展的“刚需”。新华三正内外兼修,不断延伸自己的技术、行业与生态领导力,实现向安全领域多样化、高可靠性赋能,为用户带来更高的价值。

分享到
关闭