金瀚云安全解決方案

行業(yè)背景

2016年3月，全國人大通過《中華人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要》指出積極推進(jìn)云計(jì)算和物聯(lián)網(wǎng)發(fā)展。鼓勵(lì)互聯(lián)網(wǎng)骨干企業(yè)開放平臺(tái)資源，加強(qiáng)行業(yè)云服務(wù)平臺(tái)建設(shè)，支持行業(yè)信息系統(tǒng)向云平臺(tái)遷移。未來的五年是我國云計(jì)算快步發(fā)展的新時(shí)代。國內(nèi)各行業(yè)在大力發(fā)展云計(jì)算、實(shí)現(xiàn)業(yè)務(wù)遷移的同時(shí)，也面臨新的網(wǎng)絡(luò)安全挑戰(zhàn)------云安全合規(guī)挑戰(zhàn)

2016年11月7日人大通過的《中華人民共和國網(wǎng)絡(luò)安全法》(下稱：《網(wǎng)絡(luò)安全法》)共有七章七十九條。將《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)安全能力，移植到云計(jì)算環(huán)境中，如何實(shí)現(xiàn)云內(nèi)安全能力，至少涉及如下六個(gè)方面：

●云內(nèi)防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入；

●云內(nèi)數(shù)據(jù)隔離與保護(hù)；

●監(jiān)測(cè)、記錄云內(nèi)安全狀況及事件；

●云管理及遠(yuǎn)程訪問身份認(rèn)證；

●云內(nèi)安全事件應(yīng)急處置；

●云內(nèi)網(wǎng)絡(luò)隔離等。

此外，《網(wǎng)絡(luò)安全法》中也明確提出了，國家實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。等級(jí)保護(hù)正式進(jìn)入了2.0時(shí)代。新的《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》涵蓋了6個(gè)部分的內(nèi)容，其中云計(jì)算安全能力應(yīng)符合：安全通用要求、云計(jì)算安全擴(kuò)展要求。

云環(huán)境安全挑戰(zhàn)

● Hypervisor自身安全

Hypervisor是一種運(yùn)行在物理服務(wù)器和操作系統(tǒng)之間的中間軟件層。是軟件，通常就會(huì)面臨漏洞風(fēng)險(xiǎn)。2015年名為毒液的安全漏洞，攻擊者可以從客戶系統(tǒng)發(fā)送命令和精心編制的參數(shù)數(shù)據(jù)到軟盤控制器，以此導(dǎo)致數(shù)據(jù)緩沖區(qū)溢出，并在主機(jī)管理程序進(jìn)程環(huán)境中執(zhí)行任意代碼。該漏洞存在于QEMU的虛擬軟盤控制器(FDC)中，而FDC代碼應(yīng)用于眾多虛擬化平臺(tái)和設(shè)備中。

● 云內(nèi)“東西”向流量安全監(jiān)控需求

云環(huán)境內(nèi)“東西”向網(wǎng)絡(luò)流量，在云內(nèi)虛擬交換機(jī)環(huán)境下即可完成，無需通過物理主機(jī)的物理網(wǎng)卡流經(jīng)傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)設(shè)備，因此，傳統(tǒng)的防火墻、IPS等防護(hù)設(shè)備對(duì)“東西”向流量的監(jiān)控，變的看不見、摸不著、無處發(fā)力。

● 云建設(shè)方、云維護(hù)方、云租戶及外包服務(wù)商，多方安全職責(zé)如何定義劃分

傳統(tǒng)的IDC機(jī)房，通常建設(shè)、運(yùn)維、使用的單位主體相對(duì)比較單一、明確。但是，在云計(jì)算多種服務(wù)模式的場(chǎng)景下，云建設(shè)方、云維護(hù)方、云租戶方存在責(zé)任主體分離的情況，這使云安全日常管理面臨諸多挑戰(zhàn)。

解決方案

● 基于“互聯(lián)網(wǎng)+”的云安全規(guī)劃與建設(shè)實(shí)施方法論，將整個(gè)云計(jì)算等保合規(guī)實(shí)施過程劃分為“三大階段”，核心實(shí)施過程劃分“五大步驟”，幫助客戶設(shè)計(jì)、部署從云內(nèi)網(wǎng)絡(luò)層、虛擬機(jī)層、應(yīng)用層直至數(shù)據(jù)層的多方面安全防護(hù)方案。　

●基于“互聯(lián)網(wǎng)+”的云安全解決方案，結(jié)合多年互聯(lián)網(wǎng)安全技術(shù)經(jīng)驗(yàn)及相關(guān)國內(nèi)外法律法規(guī)和實(shí)踐要求，將云計(jì)算安全防護(hù)分為“安全管理”和“技術(shù)管理”兩大部分，并將威脅情報(bào)態(tài)勢(shì)感知技術(shù)相融合，增強(qiáng)云計(jì)算防護(hù)的預(yù)先感知及防護(hù)能力。

通過咨詢服務(wù)形式，運(yùn)用“多方安全職責(zé)矩陣模型”幫助客戶識(shí)別、界定云安全日常管理中的組織結(jié)構(gòu)與責(zé)任劃分。

方案優(yōu)勢(shì)

基于“互聯(lián)網(wǎng)+”的云安全解決方案，依托云端安全大數(shù)據(jù)，生產(chǎn)出高質(zhì)量的威脅情報(bào)，同時(shí)對(duì)互聯(lián)網(wǎng)上的安全事件與客戶特殊場(chǎng)景下的事件進(jìn)行關(guān)聯(lián)；采用聯(lián)動(dòng)防御機(jī)制，智能化的安全管理中心，形成特色的P2DR安全模型，有力保障客戶云安全。

運(yùn)用“多方安全職責(zé)矩陣模型”幫助客戶識(shí)別、界定云安全日常管理中的組織結(jié)構(gòu)與責(zé)任劃分。

應(yīng)用場(chǎng)景

適合政務(wù)云、金融云、教育云、能源云、工業(yè)云等多種行業(yè)云安全場(chǎng)景。