深信服网络安全等级保护2.0案例集

案例集 深信服网络安全等级保护2.0 CASESTUDYCOLLECTION CONTENTS目录 教育行业用户案例43 浙江大学44 政府行业用户案例01 中国海洋大学47 辽宁省政务云02 内蒙古自治区政务云04 四川省人民代表大会常务委员会07 华北电力大学49 西安外国语大学51 昆明理工大学53 吉林省人力资源和社会保障厅09 南昌理工学院55 青海省司法厅12 常州机电职业技术学院57 江苏省监狱管理局14 上海工艺美术职业学院60 恩施州政务服务和大数据管理局16 廊坊市审计局19 更多用户案例62 企业用户案例63 更多用户案例21 中国葛洲坝集团有限公司64 医疗行业用户案例22 东风柳州汽车有限公司66 应急总医院23 中国烟草总公司新疆维吾尔自治区公司68 四川大学华西医院26 中南大学湘雅医院28 山东大学齐鲁医院30 内蒙古日报社传媒集团71 华能招标有限公司74 重庆能源投资集团77 广西医科大学第一附属医院32 中冶建工集团有限公司80 南方医科大学深圳医院34 中山大学孙逸仙纪念医院36 中国联通有限公司江苏分公司83 巨石集团有限公司85 厦门大学附属心血管病医院38 名创优品股份有限公司87 浙江大学医学院附属口腔医院40 上海纳客宝信息技术有限公司90 更多用户案例42 更多用户案例92 政府行业用户案例 01 政府行业用户案例 辽宁省政务云 用户简介 辽宁省政务云是由辽宁省信息中心主管，由辽宁省联通运营单位承建的、面向全省各厅局级委办局单位提供IaaS资源服务的平台，能够根据委办局租户的需求提供相应的计算资源、存储资源和网络资源，实现IT基础资源的集中管理，有助于实现辽宁省政务系统和数据的集中共享，最终实现向“互联网+政务服务”的过渡。 痛点和需求 存在云平台安全合规风险 根据等保2.0相关标准、《云计算服务安全指南》、《政务云安全要求》等云安全政策的要求，提供政务云服务的 云服务商需具有保障用户数据和业务系统安全的相关能力，并且相关计算基础设施需按照网络安全等级保护中第三级的要求建设和维护。 云租户安全需求难以满足 传统云平台安全架构仅能够为租户提供通用的安全策略，无法适用于所有租户。租户无法根据自身业务需求选 择和管理安全组件，这将放大租户的业务系统“上云”后安全责任难以界定等风险，从而对“上云”产生顾虑。另外，不适用的安全策略也会影响租户的业务系统通过网络安全等级保护测评。 云租户安全运维能力不足 政务云的云租户，主要是委办局等政府单位，部分单位未配备专业的安全管理和运维人员，很难根据自身业务 需求独立完成相应的安全策略配置。如果云服务商不能给此类云租户提供充分的安全运维管理服务，租户的业务“上云”后安全将难以保障，还可能导致租户向其他云平台转移。 云监管方缺乏全局监测和协同管控能力 网络安全的闭环仅靠分散在各个网络节点的防御设备是不够的。由于缺乏全局的安全监测能力，当安全事件发 生时，云监管方无法第一时间获知事件进展信息，更谈不上对事件处置进行应急调度。云监管方应当从自身安全监督的职责出发，实现对安全事件的实时发现、精准定位和及时处置，能够对发现的安全事件进行快速通报，并指派责任人对安全事件进行响应。 解决之道 传统安全方案无法实现针对云租户的安全建设，更加无法满足云租户对业务系统进行等级保护建设以及通过等级保护测评的需求，深信服基于“持续保护、不止合规”的等级保护价值主张，为辽宁省政务云提供了不仅满足等级保护合规要求，同时具备部署灵活、运维管理简单且可实现安全资源增值特点的资源池化网络安全等级保护方案。 02 政府行业用户案例 方案规划拓扑如下： 内蒙古自治区政务云 用户简介 内蒙古自治区政务云目前已完成政务信息资源共享平台（一期）的建设工作，随着《网络安全法》、等级保护2.0等政策及标准的出台，内蒙古自治区政务云在安全方面、监管方面面临的压力不断增长。亟需以《网络安全等级保护基本要求》中第三级系统的要求为基础，进行系统化的等级保护安全建设，建立一套完善的安全保障体系，有效保障内蒙古自治区政务云系统业务的正常开展，保障信息和数据的安全。 痛点和需求 通过访谈、对实际环境调研，内蒙古自治区电子政务外网系统目前主要由核心区、互联网出口区、移动接入区、运维管理区、对外云资源区、对内云资源区、对内托管区、纵向互联区等多个网络区域组成，目前关注的主要安全需求如下： 合规需求：基于《政务云安全要求》，政务云需通过等级保护三级测评。 X路X由机器房 辽宁省电子 政务外网 ROUTER ROUTER X路X由机器房 厅局1 网一关体设化备 网一关体设化备 专线 核心交换机 核心交换机 接安入全 厅局1厅局2厅局3 vSSLvWOCvSSL 云安全资源池 核心交换机 堆叠 核心交换机 堆叠 流量牵引 业安务全AF 漏洞 扫描 AFAF 数安据全数审据计库堡垒机数审据计库 CSSP管理平台 堡垒机 厅局2 厅局3 云安全资源池采用物理旁路、逻辑串联的方式部署在核心交换机上，通过在核心交换机上配置策略路由的方式将云平台的业务流量引流到云安全资源池。云安全资源池的云Web防护系统、云防火墙、云IPS等对数据流量进行安全检测，检测完成后再返回给核心交换机。同时云数据库审计会对访问数据库的数据流进行记录；云堡垒机对运维人员的相关操作进行审计。完成整个数据流的安全防护，实现了南北向和东西向纵深防护体系。 方案价值 解决之道 应对新型安全问题：政务云在面临传统安全威胁的基础上，云环境特有的安全问题也不容忽视，如云环境中边界模糊引起的运维难度提高及责任划分不清晰、横向威胁防御能力缺乏、云环境中防护割裂导致威胁感知能力缺乏、云上安全能力交付困难等问题。 体系化安全建设：单位需要一套体系化的网络安全建设方案，方案应具备全面性、前瞻性和专业性，能够真正为用户解决系统建设及运维中遇到的问题。 软件定义、快速交付 云安全资源池的应用，通过软件定义、快速交付，相比于传统硬件堆叠方式的等级保护建设变得更简单；安全功能统一管理，减少硬件运维工作；组件化安全功能交付，弹性扩展，随需而变。 安全合规、责任界面清晰 云安全资源池为政务云的运营者以及将业务系统部署于政务云的各个委办局分别提供各自的安全界面，云服务商及云租户通过自己的授权账号登录至专门的页面中对系统进行运维管理，安全责任变得更清晰明确。 业务增值 云平台运营者通过为用户提供池化的安全资源服务，在推动各级委办局上云、打造可信云业务的同时也避免 结合内蒙古自治区电子政务外网建设现状，深信服通过对安全威胁和实际需求的分析，充分理解用户痛点需求，深入研究用户关心的技术问题，基于“持续保护、不止合规”的等级保护建设理念为用户设计政务云整体安全解决方案。该解决方案基于电子政务外网系列标准和云安全专项安全标准，在满足网络安全等级保护第三级要求的基础上，贯彻落实积极防御、综合防范的方针，根据着眼全局、突出重点的思路，为用户建设完善政务外网网络安全防护与管理体系。 了安全建设成为固定投入，而是将安全转化为了一种经济、可经营的产品，并获得持续产出。 03 04 政府行业用户案例政府行业用户案例 运维管终端安全管理系统 理区堡垒主机 骨感干知网平安台全 新增防火墙 集群 互联网区 移动电信联通 SSLVPN集群 对外 应用交付 利旧防火墙流控/审计 应用交付 利旧防火墙流控/审计 云资源高御级服防务 云安全资源池平滑扩展、服务化交付、安全生态 安全合规手段服务化交付运维审计 核心区 区 基御础服防务 基于超融合的底层安全运营平台 X86服务器 失发控现主服机务威胁服情务报 入服务审数计据服库务服务 ...... 感知探针 感知探针 STA STA 新核增心 新核增心 感知探针 感知探针 STA STA 对内对内 云安全资源池平滑扩展、服务化交付、安全生态 托云高级防 管资资源御服务 安全合规手段服务化交付运维审计 源区区和 基御础服防务 失发控现主服机务威胁服情务报 入服务审数计据服库务服务 ...... 基于超融合的底层安全运营平台 X86服务器 国家 政务外网 ROUTER ROUTER ROUTER ROUTER ROUTER ROUTER 纵向盟市接入区 SSLVPN 方案价值 结合安全感知平台，形成一套符合自治区电子政务外网防御、检测、响应为一体的安全体系，并从技术、管理、运营多个角度，平衡防御、检测、响应的投资，形成整体的安全框架思路。 服务。 解决方案以相关法律法规及标准为基准，以“持续保护、不止合规”为思路，以安全感知平台SIP的“安全可视、动态感知、闭环联动”和云安全资源池的“服务化交付、平台解耦、灵活易用”为方案亮点，从多个维度为用户提供全面完善的政务云安全建设 解决方案架构由基础安全防护、数据中心核心安全和全局可视安全治理三个层面组成，全方位为用户提供可靠防御、持续监测、快速响应的能力，提供事前预防、事中控制和事后审计的全流程防护措施，给用户带来“持续保护，不止合规”的安全体验。具体包括： 解决方案从用户政务信息资源共享平台建设为出发点，通过规划互联网出口、云安全防护、安全接入平台、电子政务骨干网络及业务系统安全态势感知，为用户梳理出权责清晰的责任边界。 面向合规和业务需求，提供功能全面的安全产品，包括安全接入SSLVPN、下一代防火墙AF、上网行为管理AC，应用交付AD、终端检测响应平台EDR等，满足各类业务不同阶段的安全需求。 着重解决云环境下特有安全问题，通过在用户网络中部署云安全资源池的方式，实现安全资源以服务化交付，即提供开放、资源弹性、按需分配、自动化的安全服务。 完整的安全防御体系 参考等级保护建设规范，通过边界、纵向、横向、端到端的多个层面安全建设，满足多维度安全要求，并且通过态 势感知平台将割裂的安全进行连接，形成一套完整的安全防御体系。主要包括云平台边界进行域划分和安全隔离，对于外部用户借助成熟的SSL加密技术，满足数据完整性、保密性及访问控制中对外部用户访问的控制，实现端到端的全程防护；通过负载均衡设备实现网络及应用层面的高可用性；云平台内部的东西向流量通过轻量级的Agent实现微隔离，防止安全风险的横向移动，重塑云平台内部的应用安全边界；对于租户，将安全业务化，按需交付，提供丰富灵活的租户安全解决方案。 基于AI、大数据安全检测、发现新型网络攻击 通过部署安全感知平台，强化数据中心安全运营的闭环管理和安全态势的可视化。通过对数据中心的相关安全 设备日志、网络流量、资产漏洞和云端威胁情报进行自动化关联分析，综合利用沙箱分析、威胁情报、机器学习算法等新技术提升未知威胁和APT攻击的发现能力，并以威胁情报形式打通定位攻击、溯源与阻断多个工作环节，通过联动机制，实现平台与安全设备间的智能协同防御。 服务化的安全能力交付 通过部署云安全资源池将安全资源的部署与物理网络位置解耦，云平台将安全资源根据业务情况按需分配，实 现业务流量调度、安全策略部署的集中管控，轻松实现安全业务的自动化部署。同时，每个租户可根据自身的安全需求通过云安全资源池自主选择不同的安全组件，并进行自主运维，在满足等级保护的相关要求的基础上最终实现安全能力的服务化方式交付。 全局风险可视与简化运维 通过安全感知平台与各安全设备间的信息交换，为用户提供了攻击行为感知、应用风险感知、内外部威胁感知、 漏洞感知、业务风险感知等全方位的安全感知能力。通过安全感知平台内置的大屏功能，让运维和管理人员直观地感受到数据中心内部的安全问题，真正做到安全可视。另外，通过在网络中部署堡垒机设备，提升运维管理自动化程度，减少人为参与带来的安全问题，简化安全运维人员工作，提高运维工作效率。 05 06 政府行业用户案例政府行业用户案例 四川省人民代表大会常务委员会 用户简介 四川省人民代表大会常务委员会，作为省人民代表大会的常设机关，随着政府部门信息化程度的提高，