1、H3C教育云安全解决方案安全产品部 王宁目录/Contents行业需求sector demand技术框架technical framework基础设施base installation云租户cloud tenant成功案例Case Study0203040501教育云安全需求01教育云建设运营模式下级部门资源使用流程用户登记表网站及信息系统登记表用户责任书上网信息审查表信息中心安全管理制度使用者申请直接主管审批信息中心确认教育厅局中职校园公众服务门户校园论坛OA协调办公系统邮件系统邮件系统统一身份认证在线教育系统门禁系统数字化校园业务托管业务财务系统数据中心有线网络无线网络区县教育局中小学教育
2、城域网自动创建使用者通过云平台电子流提交申请,经过审批后,由信息中心云平台自动动创建。教育云安全需求分析云平台要提供满足招生、考试等核心业务安全防护要求的能力云平台基础设施要能够提供满足等保三级要求的防护能力云平台要能够提供云内全流量分析及安全威胁分析关键业务原有业务上云之后,云平台要匹配原有安全防护标准云平台要能基于业务安全防护要求,提供灵活的安全防护能力云租户要能够提供基于业务重要性的安全隔离能力普通业务云平台要能够提供各下属单位业务安全防护等级平移及安全优化云平台要能够提供随资源迁移,安全策略跟随的能力托管业务云安全建设两个维度12云平台云平台自身必须满足国家安全等保防护要求租户云平台上
3、的租户满足等保要求完善云基础设施保护建立云基础设施的管理制度云主要业务要求等保三级,平台应满足三级要求业务系统原有等级要求业务系统按级别防护云租户的安全防护等级需能按需调整网络安全法解析及合规要求网络安全法网络空间主权网络空间主权国家纵向至个人国家纵向至个人等保定级参照等保定级参照服务提供者义务服务提供者义务能力及合法性能力及合法性等保控制点满足等保控制点满足能力能力运营者义务运营者义务建立安全体系建立安全体系国家相关标准国家相关标准个人信息保护个人信息保护主动保护主动保护个人行为的合法个人行为的合法审计审计个人信息的安全个人信息的安全承载承载关键基础设施保关键基础设施保护护安全资源投入安全资
4、源投入行业差异化满足行业差异化满足持续性和能力积持续性和能力积累累现阶段1000台以上的服务器规模的云计算平台也算作关键基础设施中央网信办对外提供服务的专有云平台n关于加强党政部门云计算服务网络安全管理的意见n信息安全技术云计算服务安全指南(GB/T 31167-2014)n信息安全技术云计算服务安全能力要求(GB/T 31168-2014)公安部承载等保业务的云平台n网络安全等级保护基本要求 第1部分:安全通用要求n网络安全等级保护基本要求 第2部分:云计算安全扩展要求云安全建设合规要求安全组织与人员风险评估与监控应急与灾备物理与环境保护物理安全边界安全网络安全主机安全租户隔离资源独立分卷存
5、储安全目录应用安全数据安全开发安全管理安全抽象安全物理平台安全,监控系统、门禁、电源等入侵防御、防火墙、DDoS、身份认证、VPNHA、集群、冗余、备份安全管理中心、身份认证、资源监控、堡垒机同步互联网安全防护租户隔离分域分级(vFW)虚拟化防病毒、系统漏洞管理授权、CA、应用漏洞管理、监控数据备份、镜像保护、数据清除开发工具安全、API安全保护安全组织、安全运营、安全监管内网安全防护安全审计开发与供应链安全系统与通信保护访问控制配置管理与维护中央网信办要求等级保护要求合规必备的安全能力租户安全平台安全云安全技术框架02隔离区域(涉密)教育云安全防护区域划分全流量镜像云平台管理流量VXLANV
6、XLAN核心交换区云平台安全边界职校(三级)云管理区安全评估服务云租户边界安全可视化采集分析SOP虚服务SOP中小学(二级)VMVM区县教育局(二级)云租户资源池vFWvFWSANWEBVMSAN虚拟化杀毒vLBvWAF日志审计虚拟堡垒机vFWWEBVMSAN虚拟化杀毒vLBvWAF日志审计虚拟堡垒机漏洞扫描日志审计安全管理监测中心DB数据库审计认证加密复制分流接入平台DPIAPTDLP审计网闸流量清洗WAF负载均衡云管理平台SDN控制器租户管理流量漏扫堡垒机认证日志采集器网页防篡改网站监测网页防篡改网站监测安全日志流量安全可视化威胁态势感知LB虚服务NGFW认证加密安全分析日志教育云安全防护
7、逻辑框架安全管理区计算资源池接入交换机接入交换机安全资源池云核心云核心Vxlan二层网关虚拟交换机管理虚拟化控制器,创建VM和虚拟交换机云管理平台编排/资源/工单SDN控制器虚拟防火墙虚拟负载均衡安全评估服务虚拟化控制器安全运营中心事件分析/可视化/告警syslog+SNMPMsg+工单运营管理/大数据复制分流器网闸接入交换机存储资源池DBVxlan二层网关DB 边界防火墙流量清洗WAF漏扫堡垒机认证 大二层网络负载均衡网络行为审计未知威胁防护入侵检测系统数据库审计隔离区域日志采集器Vxlan二层网关安全监测区VM1VM2认证加密虚拟化杀毒虚拟堡垒虚拟WAF漏洞扫描日志审计云边界防护区租户边界
8、区云管理区DC核心DC核心下一代防火墙租户计算区操作系统及软件网络设备安全设备DB基于业务的流量采集(安全可视化基础-可选)流量复制分发平台流量复制流量筛选报文修改入侵检测WAF数据库审计未知威胁检测流分析网络行为分析数据防泄密镜像流量日志流量天机事件分析/可视化/告警计算资源池接入交换机接入交换机安全资源池云核心云核心二层网关虚拟交换机虚拟防火墙虚拟负载均衡接入交换机存储资源池数据库二层网关数据库 大二层网络二层网关VM1VM2认证加密虚拟化杀毒虚拟堡垒机虚拟WAF漏洞扫描日志审计下一代防火墙东西向流量采集南北向流量采集数据库安全可视化及态势感知Web应用防火墙数据库审计入侵检测APT检测上
9、网行为管理数据防泄漏DDoS网络流量分析入侵行为分析数据库管理操作审计网站攻击监控社会工程攻击敏感数据监控网络行为审计异常流量监控访问关系发现边界流量镜像1433端口过滤80端口过滤全流量镜像全流量负载分担全流量负载分担全流量镜像报文截断(IP头保留)流量分析引擎安全威胁呈现安全风险可视化呈现可视化呈现终端设备层格式标准化DPI/NetStream/Netflow/SNMP/WMI/CLI/Trap/代理程序数据归并文件索引文件存储内存装载/高速检索网络服务器应用ACG防火墙IPSLB漏扫终端其他设备技术支撑层部署和编排事件分析行为分析风险分析运维及工作流攻击趋势图业务风险视图事件分析视图行为
10、分析视图资产管理图等保合规分析安全事件配置数据安全服务管理安全事件分析安全运维安全风险分析行为异常分析云基础设施安全防护云平台自身基础设施的安全加固方案云平台互联网出口边界安全加固方案满足等级保护要求的产品选择03云平台基础设施边界防护网闸边界防火墙流量清洗WAF隔离区域云边界防护区DC核心DC核心NGFW产品配置VPN、IPS等功能授权提供出口负载均衡功能针对高校可能存在国防、军工、航空科研类涉密业务,可采用网闸进行区域隔离异常流量清洗设备针对互联网DDos攻击进行防御,避免网站因攻击瘫痪Web应用防火墙现有针对教育行业的网站攻击威胁进行安全防护云基础设施安全防护典型产品选择01边界防护下一
11、代防火墙:2台Web应用防火墙:2台出口负载均衡:2台异常流量清洗:1台网闸:1台02安全服务运维堡垒机:1台漏洞扫描系统:1台身份认证平台:1套03流量检测日志采集器复制分流器数据库审计入侵防御检测网络行为审计未知威胁检测云基础设施系统安全评估服务权威的评估检测工具(自主、开源、第三方)交叉验证基线核查渗透测试网络架构评估新业务上线评估漏洞扫描操作系统中间件安全设备网络设备数据库虚拟机Web漏洞操作系统漏洞数据库漏洞安全协议漏洞逻辑缺陷弱口令信息泄露远程渗透本地渗透信息收集漏洞挖掘漏洞验证网络结构分析网络安全域分析网络流向分析上线流程管理制度新系统检测整改建议专家咨询云平台租户安全平移租户安
12、全防护整体构架租户各类流量全流程分析租户针对网站类业务的安全防护手段满足等级保护要求的产品选择04云租户业务安全防护构架数据库应用虚拟NGFW负载均衡虚拟数据中心虚拟子网Web防御类安全资源池监控类安全资源池虚拟堡垒机漏洞扫描虚拟Web防火墙VLBVFW日志审计虚拟化杀毒业务访问流量租户内部访问流量日志及审计流量用户访问租户内网站业务防护方案旁路部署抗拒绝服务系统旁路分析在线清洗网页防篡改服务器安装监控端租户边界防火墙Internet云平台边界防火墙数据库区DB Server网站服务器区杀毒管理交换机APP VMWEB VMURL请求SQL请求虚拟交换机SQL请求专业安全服务安全加固修复14镜
13、像审计网站安全监测中心虚拟运维审计系统3应用交付系统虚拟Web应用防火墙2查现状:网站安全状态评估服务防入侵:部署设备进行安全防护后审计:软件系统监测审计分析补不足:全业务安全加固服务安全防护步骤服务交付租户安全服务目录基于服务链技术的软件定义安全,策略随需而动边界安全NGFW(IPS/AV)负载均衡Web应用防火墙(NFV)东西安全防火墙(NFV)负载均衡(NFV)网页防篡改/主机防病毒应用安全身份认证/数据加密CA基础环境Web漏扫运维安全网站监测中心日志审计/运维审计系统/数据库漏扫云租户安全防护典型产品选择01租户边界防护下一代防火墙:2台应用负载均衡:2台02安全运维虚拟化堡垒机:按租户漏洞扫描系统:按租户日志采集:按租户认证加密:按租户网站监控中心:按租户03应用防护虚拟防火墙:按租户虚拟负载均衡:按租户服务链:高级功能虚拟化杀毒:按主机虚拟化WAF:按租户网页防篡改:按租户案例分享05XX教育云总体结构u 市电教馆面向电教馆内部、直属中小学,同时作为下属各区电教中心资源的备份与扩展。u XX区电教中心也逐步建设教育云平台,实现市、区两级地资源互通,实现教学资源的共建共享。u 华三云安全解决方案为XX市各级云平台提供从出口安全硬件,到租户NFV安全等全面解决方案,同时实现通过云平台对租户安全资源的灵活配置及部署,大大降低了运营、运维压力。
