政务云安全合规与建设实践 邓世友 华三通信技术有限公司 云计算安全合规 已成为政务云的基本要求 中央网信办 ●《关于加强党政部门云计算服务网络安全管理的意见》 ●《信息安全技术云计算服务安全指南GB/T 31167-2014》 公安部 ●《信息系统安全等级保护基本要求 云计算安全技术要求》 ●《信息系统安全等级保护测评要求 云计算要求》 国家信息中心 ●《政务云安全技术要求与实施指南》 ●《政务云平台安全等级保护测评方法与规范》 中央网信办 《关于加强党政部门云计算服务网络安全管理的意见》解读 安全管理标准不变 安全管理责任不变 党政机关云服务 基本要求 数据归属关系不变 业务 分类 敏感信息不出境  对于涉及国家秘密、工作秘密的业务，不得采用社会化云计算服务。  对于保护等级四级以上的信息系统，不宜采用社会化云计算服务。 公安部 云计算安全等级保护解读 宏观 信 息 系 统 信 息 系 统 信 息 系 统 微观 信 息 系 统 多租户 虚拟化 云服务 技术要求 云计算平台 物 理 安 全 网 络 安 全 主 机 安 全 应 用 安 全 管理要求 数 据 安 全 安 全 管 理 安 全 管 理 人 员 安 全 系 统 建 设 系 统 运 维 构 度 理 理 理 机 制 管 管 管 云平台定级原则： 云平台的安全保护等级由云平台所承载信息系统的安全保护等级决定。 云平台服务原则： 先定级，后服务即云平台提供服务前，应先进行云平台安全等级保护定级。 国家信息中心 《政务云安全技术要求与实施指南》解读 政务外网 城域网 2G/3G/4G VPDN 安全 接入 平台 城域 核心 … 认证、授权、 网关管理、MDM等 I n t e r n et 安全 防护 … VPN网关集群 SSL/IPSec … 防火墙 IDS IPS 抗DDOS 流控 政务云框架示意 互联网业务 二级 等保 门户网站 二级等保 业务区 三级等保 业务区 门户网站 … 城域汇聚 访问控制网关 业务系统 （安邮等） 跨网 交换系统 防火墙 … 城域接入 … 网管平台 云管平台 公共区业务 门户 网站 CA/RA 基础库 （法人库等） 企事业单位 云资源 管理区 … 存 储 资 源 池 业务系统 三级 等保 … 部门业务 政务部门 网际监测 统一 互联网出口 访问控制网关 数据交换 共享平台 DNS、 视频会议等 … 互联网业务与政务业务物理隔离，数据交换 各业务分区中均需要按等级划分不同资源池 … 政务云建设需求与关注点 公众业务(G2C) 政府业务(G2G) 新业务 新业务 存量业务 ●性能 ●个人用户体验 ●安全合规 ●兼容性 ●业务迁云 ●数据交换与统筹 政务云平台架构选择 安全 兼容性 个性化 性能 专有云 政务云 弹性 公有云 共性 政务云安全核心要求 租户安全 云安全服务 运维管理安全 云平台基础安 全 在任何情况下，对网络、信息系统和数据 均应该做到可控制、可管理、可追溯！ 云平台基础安全 云接入 流量清洗 SSL VPN/ IPSecVPN/MPLS 物理防火墙 业务应用 云防护 云扫描 FW/IPS/WAF/ 网页防篡改/LB 系统安全/WEB安全/ 数据库安全 VM VM VM CloudOS Hypervisor 云监控 安全报告 云审计 运维审计/事件审计/ 数据库审计/会话审计 WAF 身份认证系统 VM 主机监控审计 杀毒 远程管控审计 三权分立 虚拟化入侵防御 虚拟化防火墙 Hypervisor系统加固 华三云平台基础安全 接入安全 资源抽象及控制层安全 业务网络安全 承载网络安全 主机虚拟化安全 网络虚拟化安全 物理主机设备安全 物理网络设备安全 物理存储设备安全 基础设施安全 电力安全 温湿控制系统安全 存储虚拟化安全 物理通信线路安全 消防安全 虚拟化 安全 物理层 安全 容灾备份 云平台系统及管理安全 多租户 安全 访问控制安全 数据交换安全 安全审计 安全保障体系 租户安全 多租户隔离安全 数据安全 间安全 VM 镜像安全 VM 接口安全 虚拟主机安全 单租户内业务系统间安全 数据库平台、开发平台、测试平台等平台安全 业务系统内 应用安全 华三云租户安全 物理数据中心 政务云平台 虚拟数据中心VDC 广域网 发 改 委 vDC1 物 理 设 备 广域网络 云数据 中心 广域网 教 育 厅 vDC2 物 理 设 备 物 理 设 备 vDC3 广域网 工 商 局 物 理 设 备 FW 租户vDC内部安全策略的灵活部署(租户自主) 业务系统 操作系统 操作系统 业务系统 业务系统 操作系统 操作系统 业务系统 业务系统 操作系统 操作系统 业务系统 业务系统 操作系统 操作系统 FW FW 华三云VDC安全自定义编排 租户vDC之间的隔离(基础设施层) 业务系统 业务系统 业务系统 操作系统 操作系统 业务系统 业务系统 操作系统 操作系统 租 户 A 租 户 B 租 户 C 华三云软件定义安全 安全资源池化 安全服务链 服务链标识 数据报文 FW资源池 数据流 SLB资源池 融合安全网关 IPS资源池 NFV VM NFV VM NFV VM X86服务器 源 目 的 华三云安全服务 安全即服务 安全即服务 云安全合规咨询服务 防火墙 安全合规咨询服务 负载均衡 Web安全防护 Web安全监控 安全 合规 评估 服务 安全 加固 服务 安全 合规 测评 支撑 服务 数据库审记 防病毒 安全运维服务 安全 管理 咨询 服务 华三云大安全与项目实践 华三大安全体系架构 华三云安全合规项目实践 安全云服务 大数据分析中心 统一安全策略管理 安全控制中心 安全云中心 Service Chain NFV SDN 嵌入式 安全 华三政务云实践 国家 政务云 省级 政务云 地市 政务云 区县 政务云 •国家信息中心 •国家地震台网中心 •公安部 •国家气象局 •国家档案局 •上海市政务云 •广西省政务云 •江苏省政务云 •安徽电信政务专区云 •浙江省政务云 •天津市政务云 •贵州省信息服务中心 •浙江省发改委云计算 •河北省经济信息中心 •衢州市政务云 •镇江市政府云平台 •温州市政务云 •盐城智慧城市 •咸阳智慧城市 •佳木斯行政服务中心 •鸡西市政服务中心 •常熟智慧城市 •云南省文山州政务云 •河源网上办事大厅 •拉萨市政府云平台 • 丽水政务云 • 舟山政务云 •九江市政务云 •张掖市政务云 •蚌埠智慧城市 •青岛市市南区政务云 武汉市江岸区政务云 •天津市滨海新区管委 会云平台 •长春市兴隆保税区哈 尔滨香坊智慧城区 •黑龙江抚远县政务云 •台州市三门县政务云 •湖南岳阳县政务云 •温州市瓯海区政务云 •山东新泰智慧城市 •南通市崇川区政务云 •湘潭市九华工业园