等保20下的云安全解決方案

等級(jí)保護(hù)發(fā)展歷程1994國(guó)務(wù)院令第147號(hào)1999GB1785920032004200720172019中辦發(fā)[2003]27號(hào)公通字[2007]43號(hào)公通字[2004]66號(hào)網(wǎng)絡(luò)安全法等保2.0核心標(biāo)準(zhǔn)強(qiáng)制性標(biāo)準(zhǔn)：本標(biāo)準(zhǔn)規(guī)定了我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)第二十一條“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，從法規(guī)上升到法律層面《基本要求》《安全設(shè)計(jì)技術(shù)要求》《測(cè)評(píng)要求》正式發(fā)布第九條“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”首次提出了等級(jí)保護(hù)的概念信息安全保障綱領(lǐng)性文件，明確指出“實(shí)行信息安全等級(jí)保護(hù)“主要任務(wù)進(jìn)一步明確了信息安全等級(jí)保護(hù)制度的職責(zé)分工和工作的要求等基本內(nèi)容明確了信息安全等級(jí)保護(hù)的五個(gè)動(dòng)作，為開(kāi)展等級(jí)保護(hù)工作提供了規(guī)范保障等級(jí)保護(hù)發(fā)展歷程1994國(guó)務(wù)院令第147號(hào)1999GB178《網(wǎng)絡(luò)安全法》之等級(jí)保護(hù)

第二十一條

國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

第三十一條

國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

第五十九條

網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。十二屆全國(guó)人大常委會(huì)第十五次會(huì)議公開(kāi)征求意見(jiàn)十二屆全國(guó)人大常委會(huì)第二十一次會(huì)議十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議2015.6.262016.8.42016.11.72016.10.312016.7.5公開(kāi)征求意見(jiàn)發(fā)布一審三審二審2015.7.62015.8.52016.6.28總則網(wǎng)絡(luò)安全支持與促進(jìn)網(wǎng)絡(luò)運(yùn)行安全網(wǎng)絡(luò)信息安全法律責(zé)任附則監(jiān)測(cè)預(yù)警與應(yīng)急處置第一章第二章第五章第四章第三章第六章第七章不做等保就是違法！《網(wǎng)絡(luò)安全法》之等級(jí)保護(hù)第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保等保2.0的典型變化兩個(gè)全覆蓋一是覆蓋各地區(qū)、各單位、各部門(mén)、各企業(yè)、各機(jī)構(gòu)，也就是覆蓋全社會(huì)。除個(gè)人及家庭自建網(wǎng)絡(luò)的全覆蓋。二是覆蓋所有保護(hù)對(duì)象，包括網(wǎng)絡(luò)、信息系統(tǒng)，以及新的保護(hù)對(duì)象，云平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動(dòng)互聯(lián)等各類新技術(shù)應(yīng)用。三個(gè)特點(diǎn)等級(jí)保護(hù)2.0基本要求、測(cè)評(píng)要求、安全設(shè)計(jì)技術(shù)要求框架統(tǒng)一，即：安全管理中心支持下的三重防護(hù)結(jié)構(gòu)框架。通用安全要求+新型應(yīng)用安全擴(kuò)展要求，將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)規(guī)范。把可信驗(yàn)證列入各級(jí)別和各環(huán)節(jié)的主要功能要求。等保2.0的典型變化兩個(gè)全覆蓋一是覆蓋各地區(qū)、各單位、各部門(mén)等級(jí)保護(hù)2.0主要變化信息系統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)等《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》安全要求安全通用要求+安全擴(kuò)展要求名稱變化名稱變安全要求變化定級(jí)對(duì)象變化等級(jí)保護(hù)2.0主要變化信息系統(tǒng)《信息安全技術(shù)信息系統(tǒng)安全等等級(jí)保護(hù)2.0主要變化（續(xù)）等保五個(gè)規(guī)定動(dòng)作五個(gè)規(guī)定動(dòng)作+新的安全要求技術(shù)（物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)）+管理技術(shù)（物理環(huán)境、一中心三防護(hù)）+管理技術(shù)要求等保2.0安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心管理要求安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理等保1.0技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理?定級(jí)備案

?安全建設(shè)?等級(jí)測(cè)評(píng)?安全整改?監(jiān)督檢查內(nèi)容變化等保1.0等保2.0控制措施分類結(jié)構(gòu)變化名稱變內(nèi)容變化?定級(jí)備案

?安全建設(shè)?等級(jí)測(cè)評(píng)?安全整改?監(jiān)督檢查?安全監(jiān)測(cè)

?通報(bào)預(yù)警

?事件調(diào)查?數(shù)據(jù)防護(hù)?災(zāi)難備份?應(yīng)急處理?風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)2.0主要變化（續(xù)）等保五個(gè)規(guī)定動(dòng)作技術(shù)（物理、網(wǎng)絡(luò)等保2.0安全建設(shè)總體目標(biāo)第一級(jí)安全保護(hù)能力第二級(jí)安全保護(hù)能力第三級(jí)安全保護(hù)能力第四級(jí)安全保護(hù)能力應(yīng)能夠防護(hù)免受來(lái)自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在自身遭到損害后，能夠恢復(fù)部分功能。應(yīng)能夠防護(hù)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)害，以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和處置安全事件，在自身遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)害，以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能。應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)害，以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復(fù)所有功能。等保2.0安全建設(shè)總體目標(biāo)第一級(jí)安全保護(hù)能力第二級(jí)安全保護(hù)能云平臺(tái)安全風(fēng)險(xiǎn)云平臺(tái)IASS層風(fēng)險(xiǎn)PAAS層風(fēng)險(xiǎn)安全管理風(fēng)險(xiǎn)技術(shù)風(fēng)險(xiǎn)人為風(fēng)險(xiǎn)內(nèi)部用戶不可信人技術(shù)能力不足安全意識(shí)薄弱風(fēng)險(xiǎn)評(píng)估不足賬號(hào)及服務(wù)劫持審計(jì)日志缺失，追蹤溯源難情報(bào)采集和利用率低，無(wú)法發(fā)現(xiàn)高級(jí)威脅缺乏監(jiān)測(cè)預(yù)警、自動(dòng)響應(yīng)能力安全事件發(fā)現(xiàn)慢、響應(yīng)慢管理風(fēng)險(xiǎn)權(quán)責(zé)不清工作流程不順暢工作目標(biāo)不清晰安全技術(shù)、安全管理、安全流程未能高效整合，整體運(yùn)營(yíng)效率低運(yùn)維管理人員對(duì)PASS層組件擁有的運(yùn)維管理賬號(hào)的違規(guī)使用風(fēng)險(xiǎn)虛擬化物理網(wǎng)絡(luò)非法訪問(wèn)、數(shù)據(jù)丟失等已知或未知的網(wǎng)絡(luò)攻擊鏡像模板的系統(tǒng)、配置、漏洞、敏感信息外泄虛擬機(jī)遷移過(guò)程中的剩余信息和策略未同步備份、快照被違規(guī)越權(quán)訪問(wèn)惡意代碼……違規(guī)網(wǎng)絡(luò)訪問(wèn)風(fēng)險(xiǎn)網(wǎng)絡(luò)威脅流量風(fēng)險(xiǎn)……操作系統(tǒng)操作系統(tǒng)安全配置、漏洞處理不當(dāng)?shù)娘L(fēng)險(xiǎn)……云存儲(chǔ)用戶數(shù)據(jù)備份、副本未完全刪除用戶磁盤(pán)存儲(chǔ)空間被釋放后未完全清除非授權(quán)掛卷所造成的用戶數(shù)據(jù)非法外協(xié)風(fēng)險(xiǎn)……云網(wǎng)絡(luò)云主機(jī)未授權(quán)設(shè)備連接云平臺(tái)內(nèi)部虛擬網(wǎng)絡(luò)的風(fēng)險(xiǎn)云主機(jī)違規(guī)外連風(fēng)險(xiǎn)用戶之間的非授權(quán)訪問(wèn)風(fēng)險(xiǎn)虛擬機(jī)之間的違規(guī)訪問(wèn)風(fēng)險(xiǎn)……備份、快照被違規(guī)越權(quán)訪問(wèn)的風(fēng)險(xiǎn)虛擬機(jī)遷移、刪除后的剩余信息造成敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)違規(guī)虛擬機(jī)遷移或動(dòng)態(tài)擴(kuò)展操作的風(fēng)險(xiǎn)安全策略未隨著虛擬機(jī)遷移所造成的風(fēng)險(xiǎn)……物理主機(jī)固件篡改風(fēng)險(xiǎn)違規(guī)開(kāi)放服務(wù)端口的風(fēng)險(xiǎn)……云數(shù)據(jù)庫(kù)容器數(shù)據(jù)庫(kù)平臺(tái)自身存在安全漏洞用戶弱口令及非授權(quán)訪問(wèn)數(shù)據(jù)庫(kù)超級(jí)權(quán)限問(wèn)題數(shù)據(jù)庫(kù)訪問(wèn)行為不能完整審計(jì)敏感數(shù)據(jù)泄漏問(wèn)題……容器逃逸攻擊容器鏡像安全篡改或植入威脅容器安全配置缺陷對(duì)容器內(nèi)微服務(wù)API進(jìn)?CC攻擊……密碼服務(wù)文件服務(wù)未授權(quán)用戶對(duì)文件對(duì)象的違規(guī)訪問(wèn)風(fēng)險(xiǎn)用戶對(duì)文件訪問(wèn)的違規(guī)操作風(fēng)險(xiǎn)文件盜鏈風(fēng)險(xiǎn)……計(jì)算服務(wù)組件在無(wú)授權(quán)模式下運(yùn)行的風(fēng)險(xiǎn)計(jì)算過(guò)程中的高敏感數(shù)據(jù)明文泄露風(fēng)險(xiǎn)開(kāi)源計(jì)算組件漏洞風(fēng)險(xiǎn)用戶角色的違規(guī)訪問(wèn)風(fēng)險(xiǎn)……特權(quán)賬號(hào)分布式組件密鑰重復(fù)使用被破解和泄露的風(fēng)險(xiǎn)……運(yùn)維管理賬號(hào)的違規(guī)使用風(fēng)險(xiǎn)……分布式各組件、進(jìn)程、接口、節(jié)點(diǎn)間的安全風(fēng)險(xiǎn)……云平臺(tái)安全風(fēng)險(xiǎn)云平臺(tái)IASS層風(fēng)險(xiǎn)PAAS層風(fēng)險(xiǎn)安全管理風(fēng)險(xiǎn)等保2.0安全建設(shè)思路安全管理中心通過(guò)邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)等控制措施構(gòu)建安全區(qū)域邊界；可基于可信根對(duì)邊界設(shè)備進(jìn)行可信驗(yàn)證；安全區(qū)域邊界基于身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)等控制措施構(gòu)建安全計(jì)算環(huán)境；可基于可信根對(duì)計(jì)算設(shè)備進(jìn)行可信驗(yàn)證；安全計(jì)算環(huán)境合理的設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，并基于安全的通信傳輸構(gòu)建安全通信網(wǎng)絡(luò)；可基于可信根對(duì)通信設(shè)備進(jìn)行可信驗(yàn)證；安全通信網(wǎng)絡(luò)基于三權(quán)分立（系統(tǒng)管理員、審計(jì)管理員和安全管理員）和集中管控等控制措施構(gòu)建安全管理中心基于安全管理中心，落實(shí)安全管理，形式安全事件快速響應(yīng)機(jī)制等保2.0安全建設(shè)思路安全管理中心通過(guò)邊界防護(hù)、訪問(wèn)控制、入等保2.0的技術(shù)要求安全管理中心安全通信網(wǎng)絡(luò)安全物理環(huán)境物理位置選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊防火防水和防潮防靜電安全區(qū)域邊界安全計(jì)算環(huán)境溫濕度控制電力供應(yīng)電磁防護(hù)系統(tǒng)管理審計(jì)管理安全管理集中管控網(wǎng)絡(luò)架構(gòu)通信傳輸可信驗(yàn)證邊界防護(hù)訪問(wèn)控制入侵防范安全審計(jì)可信驗(yàn)證惡意代碼和垃圾郵件防范身份鑒別訪問(wèn)控制安全審計(jì)入侵防范惡意代碼防范可信驗(yàn)證數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)個(gè)人信息保護(hù)基礎(chǔ)設(shè)施位置集中管控網(wǎng)絡(luò)架構(gòu)訪問(wèn)控制入侵防范安全審計(jì)身份鑒別訪問(wèn)控制入侵防范鏡像和快照保護(hù)數(shù)據(jù)完整性和保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)安全通用要求云計(jì)算安全擴(kuò)展要求等保2.0的技術(shù)要求安全管理中心安全通信網(wǎng)絡(luò)安全物理環(huán)境物理等保2.0安全體系設(shè)計(jì)流程1、確定云平臺(tái)與外部網(wǎng)絡(luò)的通信鏈路和網(wǎng)關(guān)設(shè)備2、確定云平臺(tái)內(nèi)部的區(qū)域劃分3、保障各區(qū)域之間通信傳輸?shù)谋Ｃ苄院屯暾詷?gòu)建安全通信網(wǎng)絡(luò)1、設(shè)計(jì)系統(tǒng)的身份鑒別機(jī)制2、設(shè)計(jì)系統(tǒng)的賬號(hào)授權(quán)機(jī)制3、設(shè)計(jì)系統(tǒng)的審計(jì)機(jī)制4、設(shè)計(jì)系統(tǒng)的入侵防范和惡意代碼防范機(jī)制5、設(shè)計(jì)系統(tǒng)的數(shù)據(jù)完整性和保密性機(jī)制6、設(shè)計(jì)系統(tǒng)的數(shù)據(jù)備份與恢復(fù)機(jī)制7、設(shè)計(jì)系統(tǒng)的剩余信息保護(hù)和個(gè)人信息保護(hù)機(jī)制構(gòu)建安全計(jì)算環(huán)境1、對(duì)區(qū)域進(jìn)行分類2、確定每類邊界的控制措施3、確實(shí)控制措施的實(shí)現(xiàn)方式構(gòu)建安全區(qū)域邊界1、在系統(tǒng)上創(chuàng)建系統(tǒng)管理員、審計(jì)管理員和安全管理員三個(gè)賬號(hào)，實(shí)現(xiàn)權(quán)責(zé)分離2、基于一個(gè)或多個(gè)集中監(jiān)測(cè)、集中管理系統(tǒng)實(shí)現(xiàn)集中管控構(gòu)建安全管理中心等保2.0安全體系設(shè)計(jì)流程1、確定云平臺(tái)與外部網(wǎng)絡(luò)的通信鏈路幾種常見(jiàn)的網(wǎng)絡(luò)區(qū)域劃分方式是互聯(lián)網(wǎng)區(qū)域，還是內(nèi)網(wǎng)區(qū)域根據(jù)業(yè)務(wù)敏感性是前臺(tái)，后臺(tái)還是數(shù)據(jù)庫(kù)根據(jù)系統(tǒng)的屬性是研發(fā)部，還是市場(chǎng)部根據(jù)部門(mén)屬性是有線網(wǎng)絡(luò)，還是無(wú)線網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)的屬性網(wǎng)絡(luò)區(qū)域劃分必須與實(shí)際的業(yè)務(wù)和網(wǎng)絡(luò)現(xiàn)狀相對(duì)應(yīng)幾種常見(jiàn)的網(wǎng)絡(luò)區(qū)域劃分方式是互聯(lián)網(wǎng)區(qū)域，還是內(nèi)網(wǎng)區(qū)域根據(jù)業(yè)務(wù)等保2.0對(duì)云計(jì)算環(huán)境的安全要求安全通用要求云計(jì)算安全擴(kuò)展要求等保2.0對(duì)云計(jì)算環(huán)境的安全要求等保2.0對(duì)云計(jì)算環(huán)境的安全要求安全通用要求云計(jì)算安全擴(kuò)展要云計(jì)算環(huán)境下的“一個(gè)中心，三重防護(hù)”云計(jì)算環(huán)境下的“一個(gè)中心，三重防護(hù)”云計(jì)算環(huán)境中的網(wǎng)絡(luò)區(qū)域劃分依據(jù)

區(qū)分不同等級(jí)的系統(tǒng)應(yīng)在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問(wèn)控制機(jī)制，設(shè)置訪問(wèn)控制規(guī)則區(qū)分管理與業(yè)務(wù)流量應(yīng)保證云計(jì)算平臺(tái)管理流量與云服務(wù)客戶業(yè)務(wù)流量分離區(qū)分云服務(wù)客戶應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離區(qū)分不同的虛擬機(jī)應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問(wèn)控制策略云計(jì)算環(huán)境中的網(wǎng)絡(luò)區(qū)域劃分依據(jù)

區(qū)分不同云計(jì)算環(huán)境安全體系設(shè)計(jì)的原則性要求云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)云計(jì)算平臺(tái)基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)云計(jì)算平臺(tái)運(yùn)維地點(diǎn)位于中國(guó)境內(nèi)云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲(chǔ)于中國(guó)境內(nèi)云計(jì)算環(huán)境安全體系設(shè)計(jì)的原則性要求云計(jì)算平臺(tái)不承載高于其安全云計(jì)算環(huán)境安全體系設(shè)計(jì)的特殊要求應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟應(yīng)保證云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計(jì)應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí)，訪問(wèn)控制策略隨其遷移應(yīng)能檢測(cè)虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警應(yīng)能檢測(cè)非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)，并進(jìn)行告警應(yīng)確保只有在云服務(wù)客戶授權(quán)下，云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限云計(jì)算環(huán)境安全體系設(shè)計(jì)的特殊要求應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛云計(jì)算環(huán)境安全體系設(shè)計(jì)的兩個(gè)層面云計(jì)算平臺(tái)自身安全防護(hù)云計(jì)算平臺(tái)提供安全服務(wù)云計(jì)算環(huán)境安全體系設(shè)計(jì)的兩個(gè)層面云計(jì)算平臺(tái)自身安全防護(hù)云計(jì)算云平臺(tái)如何提供安全服務(wù)基于云計(jì)算理念來(lái)提供安全服務(wù)集約共享按需使用彈性擴(kuò)展云計(jì)算理念安全鏡像庫(kù)安全SaaS云安全的現(xiàn)有實(shí)踐構(gòu)建安全NFV鏡像庫(kù)，用戶訂閱對(duì)應(yīng)的規(guī)格，獲得安全鏡像，如VPN、堡壘機(jī)。安全設(shè)備資源化，以SaaS形式對(duì)用戶提供安全服務(wù)，如云抗D、云WAF。交付形態(tài)限制安全功能安全鏡像配置復(fù)雜不同產(chǎn)品難以集中管理現(xiàn)有實(shí)踐的不足云平臺(tái)如何提供安全服務(wù)基于云計(jì)算理念來(lái)提供安全服務(wù)集約按需使軟件定義安全網(wǎng)絡(luò)智能部署集中管控策略智能編排云平臺(tái)如何提供安全服務(wù)讓云安全服務(wù)方式更優(yōu)雅策略模板化，根據(jù)業(yè)務(wù)特點(diǎn)匹配初始化模板策略智能化，根據(jù)業(yè)務(wù)變化和安全狀態(tài)變化動(dòng)態(tài)調(diào)整安全策略集中調(diào)度本地安全資源，自動(dòng)完成網(wǎng)絡(luò)部署，按需創(chuàng)建服務(wù)鏈，達(dá)到類似SaaS的效果，且不受安全功能限制通過(guò)自動(dòng)化編排將所有安全設(shè)備資源化云管理員能夠?qū)υ破脚_(tái)上所有安全資源進(jìn)行集中管控云租戶能夠?qū)λ杏嗛喌陌踩Y源統(tǒng)一自主管理軟件定義安全網(wǎng)絡(luò)智能部署集中管控策略智能編排云平臺(tái)如何提供安邊界安全虛擬化安全安全加固虛擬資源隔離入侵防御漏洞掃描基線核查邊界安全防護(hù)入侵防御訪問(wèn)控制安全域隔離安全域劃分訪問(wèn)控制流量清洗安全接入負(fù)載均衡網(wǎng)絡(luò)威脅檢測(cè)安全審計(jì)訪問(wèn)控制流量監(jiān)控云安全服務(wù)平臺(tái)通信安全通信線路冗余網(wǎng)關(guān)設(shè)備冗余通信傳輸加密完整性校驗(yàn)帶外管理通道API接口SDN網(wǎng)絡(luò)編排IaaS安全東西向安全虛擬機(jī)微隔離主機(jī)防病毒訪問(wèn)控制南北向安全入侵防范安全審計(jì)PaaS安全DaaS安全SaaS安全WEB應(yīng)用防護(hù)API接口安全容器安全云數(shù)據(jù)庫(kù)安全計(jì)算服務(wù)安全文件服務(wù)安全主機(jī)安全加固數(shù)據(jù)脫敏Web安全防護(hù)漏洞管理安全傳輸VPC隔離訪問(wèn)控制數(shù)據(jù)加密輸入數(shù)據(jù)驗(yàn)證剩余信息保護(hù)業(yè)務(wù)&租戶安全安全策略編排門(mén)戶服務(wù)集中管控職責(zé)劃分云操作監(jiān)控綜合審計(jì)管理安全集中管控態(tài)勢(shì)感知管理網(wǎng)絡(luò)隔離深信服等保2.0云安全體系集約共享開(kāi)放接口邊界虛擬化安全安全加固虛擬資源隔離入侵防御漏洞掃描基線核查邊深信服云安全解決方案邏輯架構(gòu)基于標(biāo)準(zhǔn)化X86服務(wù)器基于虛擬化技術(shù)的安全資源池安全能力服務(wù)化交付云計(jì)算環(huán)境與平臺(tái)網(wǎng)絡(luò)&策略智能編排API接口生態(tài)開(kāi)放平臺(tái)方界面租戶側(cè)界面集中管控滿足云上用戶合規(guī)、業(yè)務(wù)安全需求云安全服務(wù)平臺(tái)信服云眼信服云盾AD

LBaaS

插件AD

驅(qū)動(dòng)基于高性能安全硬件設(shè)備基于池化安全資源實(shí)現(xiàn)云上安全按需交付深信服云安全解決方案邏輯架構(gòu)基于標(biāo)準(zhǔn)化X86服務(wù)器基于虛擬化深信服“云安全服務(wù)平臺(tái)（等保2.0）”創(chuàng)新方案出口網(wǎng)絡(luò)/安全設(shè)備云安全服務(wù)平臺(tái)核心交換安全運(yùn)營(yíng)服務(wù)安全運(yùn)營(yíng)服務(wù)安全運(yùn)營(yíng)服務(wù)下一代防火墻下一代防火墻下一代防火墻上網(wǎng)行為管理日志審計(jì)系統(tǒng)上網(wǎng)行為管理數(shù)據(jù)庫(kù)審計(jì)殺毒軟件廣域網(wǎng)優(yōu)化日志審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)負(fù)載均衡殺毒軟件負(fù)載均衡堡壘機(jī)SSLVPN流量編排等保二級(jí)合規(guī)模板出口邊界安全模板等保三級(jí)合規(guī)模板VM數(shù)據(jù)庫(kù)

Web服務(wù)殺軟/EDRVM數(shù)據(jù)庫(kù)

Web服務(wù)殺軟/EDRVM數(shù)據(jù)庫(kù)

Web服務(wù)殺軟/EDRIT基礎(chǔ)設(shè)施（云環(huán)境、物理環(huán)境）二級(jí)區(qū)域三級(jí)區(qū)域其他區(qū)域用戶可根據(jù)實(shí)際業(yè)務(wù)需求情況，自定義模板或安全組件安全運(yùn)營(yíng)服務(wù)下一代防火墻入侵防御系統(tǒng)WEB防火墻漏洞掃描自定義安全模板深信服“云安全服務(wù)平臺(tái)（等保2.0）”創(chuàng)新方案出口網(wǎng)絡(luò)/安全安全服務(wù)自助申請(qǐng)&自動(dòng)開(kāi)通基于軟件定義安全技術(shù)，安全能力服務(wù)化交付安全組件申請(qǐng)安全組件交付安全組件運(yùn)營(yíng)租戶方運(yùn)營(yíng)方安全資源池內(nèi)置組件目錄云下一代防火墻云網(wǎng)絡(luò)行為管理云數(shù)據(jù)庫(kù)審計(jì)云運(yùn)維審計(jì)云負(fù)載均衡云VPN安全接入云日志審計(jì)云配置安全評(píng)估可提供FW、IPS、WAF、網(wǎng)頁(yè)防篡改等功能可提供應(yīng)用控制、流量控制、網(wǎng)絡(luò)審計(jì)等功能可提供多種數(shù)據(jù)庫(kù)類型的審計(jì)功能可提供針對(duì)租戶系統(tǒng)的運(yùn)維審計(jì)服務(wù)可提供租戶系統(tǒng)的豐富的負(fù)載均衡功能可提供SSLVPN或IPSECVPN接入服務(wù)可提供針對(duì)租戶設(shè)備和系統(tǒng)的日志采集和統(tǒng)一記錄可提供針對(duì)租戶應(yīng)用系統(tǒng)的漏洞掃描和配置基線核查虛擬主機(jī)防護(hù)可提供虛擬機(jī)網(wǎng)絡(luò)邊界的隔離和主機(jī)防病毒功能安全服務(wù)自助申請(qǐng)&自動(dòng)開(kāi)通基于軟件定義安全技術(shù)，安全能力服務(wù)基于智能編排創(chuàng)建安全服務(wù)鏈IPSWAF數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)私網(wǎng)VXLAN業(yè)務(wù)系統(tǒng)流量控制殺毒負(fù)載均衡日志審計(jì)服務(wù)鏈編排基于深信服自研網(wǎng)絡(luò)虛擬化功能外部威脅業(yè)務(wù)需要自動(dòng)組網(wǎng)可視化排障基于智能編排創(chuàng)建安全服務(wù)鏈IPSWAF數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)私網(wǎng)南北向安全-基于VPC重構(gòu)安全區(qū)域邊界業(yè)務(wù)系統(tǒng)區(qū)EDREDREDREDRVPC1VPC2業(yè)務(wù)系統(tǒng)區(qū)EDREDREDREDRInternetvSwitchInternetvAFvAF訪問(wèn)控制入侵檢測(cè)WAF基于云平臺(tái)劃分VPC實(shí)現(xiàn)不同租戶系統(tǒng)的安全隔離，在各個(gè)VPC虛擬網(wǎng)絡(luò)出口部署虛擬下一代防火墻，構(gòu)建安全區(qū)域邊界。南北向安全-基于VPC重構(gòu)安全區(qū)域邊界業(yè)務(wù)系統(tǒng)區(qū)EDREDRVMVMVMVM同一VPC內(nèi)部虛擬網(wǎng)絡(luò)和虛擬計(jì)算環(huán)境門(mén)戶網(wǎng)站業(yè)務(wù)域VMVMVMVM電子郵箱業(yè)務(wù)域郵件應(yīng)用角色DB應(yīng)用角色WEB應(yīng)用角色DB應(yīng)用角色EDREDREDREDR異常樣本EDR總控中心安全隔離虛擬機(jī)微隔離主機(jī)入侵防御主機(jī)非法外聯(lián)病毒橫向擴(kuò)散病毒查殺EDR基于人工智能技術(shù)的SAVE引擎，能夠識(shí)別未知病毒和已知病毒的新變種基于輕代理模式終端安全軟件實(shí)現(xiàn)虛擬主機(jī)安全隔離東西向安全-基于微隔離重構(gòu)安全區(qū)域邊界VMVMVMVM同一VPC內(nèi)部虛擬網(wǎng)絡(luò)和虛擬計(jì)算環(huán)境門(mén)戶網(wǎng)站安全資源池等保三級(jí)建設(shè)標(biāo)準(zhǔn)等保二級(jí)建設(shè)標(biāo)準(zhǔn)行業(yè)建設(shè)標(biāo)準(zhǔn)用戶1用戶2用戶3vNGAFvNGAFvNGAFvNGAFvNGAFvNGAFvNGAFvSSLvSSLvSSLvSSL漏洞掃描漏洞掃描數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)審計(jì)堡壘機(jī)堡壘機(jī)堡壘機(jī)靈活配置滿足不同安全等級(jí)要求安全資源池等保三級(jí)等保二級(jí)行業(yè)用戶1用戶2用戶3vNGAFv等保2.0與云安全方案對(duì)應(yīng)關(guān)系等保三級(jí)涉及到的產(chǎn)品清單必選云安全服務(wù)平臺(tái)防火墻組件IPS組件上網(wǎng)行為管理組件數(shù)據(jù)庫(kù)審計(jì)組件日志審計(jì)組件主機(jī)安全防護(hù)EDRWAF組件云管平臺(tái)（實(shí)現(xiàn)三權(quán)分立、定期備份、云存儲(chǔ)保護(hù)、鏡像與快照加固、加密等）可選負(fù)載均衡組件VPN組件安全感知系統(tǒng)郵件網(wǎng)關(guān)組件堡壘機(jī)組件基線核查組件漏洞掃描組件數(shù)據(jù)安全保護(hù)系統(tǒng)數(shù)據(jù)本地備份系統(tǒng)CA認(rèn)證系統(tǒng)應(yīng)用系統(tǒng)（應(yīng)用協(xié)議采用https和SSH）密鑰管理系統(tǒng)可信根/可信度量等保2.0要求與安全產(chǎn)品對(duì)應(yīng)表等保2.0與云安全方案對(duì)應(yīng)關(guān)系等保三級(jí)涉及到的產(chǎn)品清單必選云等級(jí)保護(hù)發(fā)展歷程1994國(guó)務(wù)院令第147號(hào)1999GB1785920032004200720172019中辦發(fā)[2003]27號(hào)公通字[2007]43號(hào)公通字[2004]66號(hào)網(wǎng)絡(luò)安全法等保2.0核心標(biāo)準(zhǔn)強(qiáng)制性標(biāo)準(zhǔn)：本標(biāo)準(zhǔn)規(guī)定了我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)第二十一條“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，從法規(guī)上升到法律層面《基本要求》《安全設(shè)計(jì)技術(shù)要求》《測(cè)評(píng)要求》正式發(fā)布第九條“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”首次提出了等級(jí)保護(hù)的概念信息安全保障綱領(lǐng)性文件，明確指出“實(shí)行信息安全等級(jí)保護(hù)“主要任務(wù)進(jìn)一步明確了信息安全等級(jí)保護(hù)制度的職責(zé)分工和工作的要求等基本內(nèi)容明確了信息安全等級(jí)保護(hù)的五個(gè)動(dòng)作，為開(kāi)展等級(jí)保護(hù)工作提供了規(guī)范保障等級(jí)保護(hù)發(fā)展歷程1994國(guó)務(wù)院令第147號(hào)1999GB178《網(wǎng)絡(luò)安全法》之等級(jí)保護(hù)

第二十一條

國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

第三十一條

國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

第五十九條

網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。十二屆全國(guó)人大常委會(huì)第十五次會(huì)議公開(kāi)征求意見(jiàn)十二屆全國(guó)人大常委會(huì)第二十一次會(huì)議十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議2015.6.262016.8.42016.11.72016.10.312016.7.5公開(kāi)征求意見(jiàn)發(fā)布一審三審二審2015.7.62015.8.52016.6.28總則網(wǎng)絡(luò)安全支持與促進(jìn)網(wǎng)絡(luò)運(yùn)行安全網(wǎng)絡(luò)信息安全法律責(zé)任附則監(jiān)測(cè)預(yù)警與應(yīng)急處置第一章第二章第五章第四章第三章第六章第七章不做等保就是違法！《網(wǎng)絡(luò)安全法》之等級(jí)保護(hù)第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保等保2.0的典型變化兩個(gè)全覆蓋一是覆蓋各地區(qū)、各單位、各部門(mén)、各企業(yè)、各機(jī)構(gòu)，也就是覆蓋全社會(huì)。除個(gè)人及家庭自建網(wǎng)絡(luò)的全覆蓋。二是覆蓋所有保護(hù)對(duì)象，包括網(wǎng)絡(luò)、信息系統(tǒng)，以及新的保護(hù)對(duì)象，云平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動(dòng)互聯(lián)等各類新技術(shù)應(yīng)用。三個(gè)特點(diǎn)等級(jí)保護(hù)2.0基本要求、測(cè)評(píng)要求、安全設(shè)計(jì)技術(shù)要求框架統(tǒng)一，即：安全管理中心支持下的三重防護(hù)結(jié)構(gòu)框架。通用安全要求+新型應(yīng)用安全擴(kuò)展要求，將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)規(guī)范。把可信驗(yàn)證列入各級(jí)別和各環(huán)節(jié)的主要功能要求。等保2.0的典型變化兩個(gè)全覆蓋一是覆蓋各地區(qū)、各單位、各部門(mén)等級(jí)保護(hù)2.0主要變化信息系統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)等《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》安全要求安全通用要求+安全擴(kuò)展要求名稱變化名稱變安全要求變化定級(jí)對(duì)象變化等級(jí)保護(hù)2.0主要變化信息系統(tǒng)《信息安全技術(shù)信息系統(tǒng)安全等等級(jí)保護(hù)2.0主要變化（續(xù)）等保五個(gè)規(guī)定動(dòng)作五個(gè)規(guī)定動(dòng)作+新的安全要求技術(shù)（物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)）+管理技術(shù)（物理環(huán)境、一中心三防護(hù)）+管理技術(shù)要求等保2.0安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心管理要求安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理等保1.0技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理?定級(jí)備案

?安全建設(shè)?等級(jí)測(cè)評(píng)?安全整改?監(jiān)督檢查內(nèi)容變化等保1.0等保2.0控制措施分類結(jié)構(gòu)變化名稱變內(nèi)容變化?定級(jí)備案

?安全建設(shè)?等級(jí)測(cè)評(píng)?安全整改?監(jiān)督檢查?安全監(jiān)測(cè)

?通報(bào)預(yù)警

?事件調(diào)查?數(shù)據(jù)防護(hù)?災(zāi)難備份?應(yīng)急處理?風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)2.0主要變化（續(xù)）等保五個(gè)規(guī)定動(dòng)作技術(shù)（物理、網(wǎng)絡(luò)等保2.0安全建設(shè)總體目標(biāo)第一級(jí)安全保護(hù)能力第二級(jí)安全保護(hù)能力第三級(jí)安全保護(hù)能力第四級(jí)安全保護(hù)能力應(yīng)能夠防護(hù)免受來(lái)自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在自身遭到損害后，能夠恢復(fù)部分功能。應(yīng)能夠防護(hù)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)害，以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和處置安全事件，在自身遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)害，以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能。應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)害，以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復(fù)所有功能。等保2.0安全建設(shè)總體目標(biāo)第一級(jí)安全保護(hù)能力第二級(jí)安全保護(hù)能云平臺(tái)安全風(fēng)險(xiǎn)云平臺(tái)IASS層風(fēng)險(xiǎn)PAAS層風(fēng)險(xiǎn)安全管理風(fēng)險(xiǎn)技術(shù)風(fēng)險(xiǎn)人為風(fēng)險(xiǎn)內(nèi)部用戶不可信人技術(shù)能力不足安全意識(shí)薄弱風(fēng)險(xiǎn)評(píng)估不足賬號(hào)及服務(wù)劫持審計(jì)日志缺失，追蹤溯源難情報(bào)采集和利用率低，無(wú)法發(fā)現(xiàn)高級(jí)威脅缺乏監(jiān)測(cè)預(yù)警、自動(dòng)響應(yīng)能力安全事件發(fā)現(xiàn)慢、響應(yīng)慢管理風(fēng)險(xiǎn)權(quán)責(zé)不清工作流程不順暢工作目標(biāo)不清晰安全技術(shù)、安全管理、安全流程未能高效整合，整體運(yùn)營(yíng)效率低運(yùn)維管理人員對(duì)PASS層組件擁有的運(yùn)維管理賬號(hào)的違規(guī)使用風(fēng)險(xiǎn)虛擬化物理網(wǎng)絡(luò)非法訪問(wèn)、數(shù)據(jù)丟失等已知或未知的網(wǎng)絡(luò)攻擊鏡像模板的系統(tǒng)、配置、漏洞、敏感信息外泄虛擬機(jī)遷移過(guò)程中的剩余信息和策略未同步備份、快照被違規(guī)越權(quán)訪問(wèn)惡意代碼……違規(guī)網(wǎng)絡(luò)訪問(wèn)風(fēng)險(xiǎn)網(wǎng)絡(luò)威脅流量風(fēng)險(xiǎn)……操作系統(tǒng)操作系統(tǒng)安全配置、漏洞處理不當(dāng)?shù)娘L(fēng)險(xiǎn)……云存儲(chǔ)用戶數(shù)據(jù)備份、副本未完全刪除用戶磁盤(pán)存儲(chǔ)空間被釋放后未完全清除非授權(quán)掛卷所造成的用戶數(shù)據(jù)非法外協(xié)風(fēng)險(xiǎn)……云網(wǎng)絡(luò)云主機(jī)未授權(quán)設(shè)備連接云平臺(tái)內(nèi)部虛擬網(wǎng)絡(luò)的風(fēng)險(xiǎn)云主機(jī)違規(guī)外連風(fēng)險(xiǎn)用戶之間的非授權(quán)訪問(wèn)風(fēng)險(xiǎn)虛擬機(jī)之間的違規(guī)訪問(wèn)風(fēng)險(xiǎn)……備份、快照被違規(guī)越權(quán)訪問(wèn)的風(fēng)險(xiǎn)虛擬機(jī)遷移、刪除后的剩余信息造成敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)違規(guī)虛擬機(jī)遷移或動(dòng)態(tài)擴(kuò)展操作的風(fēng)險(xiǎn)安全策略未隨著虛擬機(jī)遷移所造成的風(fēng)險(xiǎn)……物理主機(jī)固件篡改風(fēng)險(xiǎn)違規(guī)開(kāi)放服務(wù)端口的風(fēng)險(xiǎn)……云數(shù)據(jù)庫(kù)容器數(shù)據(jù)庫(kù)平臺(tái)自身存在安全漏洞用戶弱口令及非授權(quán)訪問(wèn)數(shù)據(jù)庫(kù)超級(jí)權(quán)限問(wèn)題數(shù)據(jù)庫(kù)訪問(wèn)行為不能完整審計(jì)敏感數(shù)據(jù)泄漏問(wèn)題……容器逃逸攻擊容器鏡像安全篡改或植入威脅容器安全配置缺陷對(duì)容器內(nèi)微服務(wù)API進(jìn)?CC攻擊……密碼服務(wù)文件服務(wù)未授權(quán)用戶對(duì)文件對(duì)象的違規(guī)訪問(wèn)風(fēng)險(xiǎn)用戶對(duì)文件訪問(wèn)的違規(guī)操作風(fēng)險(xiǎn)文件盜鏈風(fēng)險(xiǎn)……計(jì)算服務(wù)組件在無(wú)授權(quán)模式下運(yùn)行的風(fēng)險(xiǎn)計(jì)算過(guò)程中的高敏感數(shù)據(jù)明文泄露風(fēng)險(xiǎn)開(kāi)源計(jì)算組件漏洞風(fēng)險(xiǎn)用戶角色的違規(guī)訪問(wèn)風(fēng)險(xiǎn)……特權(quán)賬號(hào)分布式組件密鑰重復(fù)使用被破解和泄露的風(fēng)險(xiǎn)……運(yùn)維管理賬號(hào)的違規(guī)使用風(fēng)險(xiǎn)……分布式各組件、進(jìn)程、接口、節(jié)點(diǎn)間的安全風(fēng)險(xiǎn)……云平臺(tái)安全風(fēng)險(xiǎn)云平臺(tái)IASS層風(fēng)險(xiǎn)PAAS層風(fēng)險(xiǎn)安全管理風(fēng)險(xiǎn)等保2.0安全建設(shè)思路安全管理中心通過(guò)邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)等控制措施構(gòu)建安全區(qū)域邊界；可基于可信根對(duì)邊界設(shè)備進(jìn)行可信驗(yàn)證；安全區(qū)域邊界基于身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)等控制措施構(gòu)建安全計(jì)算環(huán)境；可基于可信根對(duì)計(jì)算設(shè)備進(jìn)行可信驗(yàn)證；安全計(jì)算環(huán)境合理的設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，并基于安全的通信傳輸構(gòu)建安全通信網(wǎng)絡(luò)；可基于可信根對(duì)通信設(shè)備進(jìn)行可信驗(yàn)證；安全通信網(wǎng)絡(luò)基于三權(quán)分立（系統(tǒng)管理員、審計(jì)管理員和安全管理員）和集中管控等控制措施構(gòu)建安全管理中心基于安全管理中心，落實(shí)安全管理，形式安全事件快速響應(yīng)機(jī)制等保2.0安全建設(shè)思路安全管理中心通過(guò)邊界防護(hù)、訪問(wèn)控制、入等保2.0的技術(shù)要求安全管理中心安全通信網(wǎng)絡(luò)安全物理環(huán)境物理位置選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊防火防水和防潮防靜電安全區(qū)域邊界安全計(jì)算環(huán)境溫濕度控制電力供應(yīng)電磁防護(hù)系統(tǒng)管理審計(jì)管理安全管理集中管控網(wǎng)絡(luò)架構(gòu)通信傳輸可信驗(yàn)證邊界防護(hù)訪問(wèn)控制入侵防范安全審計(jì)可信驗(yàn)證惡意代碼和垃圾郵件防范身份鑒別訪問(wèn)控制安全審計(jì)入侵防范惡意代碼防范可信驗(yàn)證數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)個(gè)人信息保護(hù)基礎(chǔ)設(shè)施位置集中管控網(wǎng)絡(luò)架構(gòu)訪問(wèn)控制入侵防范安全審計(jì)身份鑒別訪問(wèn)控制入侵防范鏡像和快照保護(hù)數(shù)據(jù)完整性和保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)安全通用要求云計(jì)算安全擴(kuò)展要求等保2.0的技術(shù)要求安全管理中心安全通信網(wǎng)絡(luò)安全物理環(huán)境物理等保2.0安全體系設(shè)計(jì)流程1、確定云平臺(tái)與外部網(wǎng)絡(luò)的通信鏈路和網(wǎng)關(guān)設(shè)備2、確定云平臺(tái)內(nèi)部的區(qū)域劃分3、保障各區(qū)域之間通信傳輸?shù)谋Ｃ苄院屯暾詷?gòu)建安全通信網(wǎng)絡(luò)1、設(shè)計(jì)系統(tǒng)的身份鑒別機(jī)制2、設(shè)計(jì)系統(tǒng)的賬號(hào)授權(quán)機(jī)制3、設(shè)計(jì)系統(tǒng)的審計(jì)機(jī)制4、設(shè)計(jì)系統(tǒng)的入侵防范和惡意代碼防范機(jī)制5、設(shè)計(jì)系統(tǒng)的數(shù)據(jù)完整性和保密性機(jī)制6、設(shè)計(jì)系統(tǒng)的數(shù)據(jù)備份與恢復(fù)機(jī)制7、設(shè)計(jì)系統(tǒng)的剩余信息保護(hù)和個(gè)人信息保護(hù)機(jī)制構(gòu)建安全計(jì)算環(huán)境1、對(duì)區(qū)域進(jìn)行分類2、確定每類邊界的控制措施3、確實(shí)控制措施的實(shí)現(xiàn)方式構(gòu)建安全區(qū)域邊界1、在系統(tǒng)上創(chuàng)建系統(tǒng)管理員、審計(jì)管理員和安全管理員三個(gè)賬號(hào)，實(shí)現(xiàn)權(quán)責(zé)分離2、基于一個(gè)或多個(gè)集中監(jiān)測(cè)、集中管理系統(tǒng)實(shí)現(xiàn)集中管控構(gòu)建安全管理中心等保2.0安全體系設(shè)計(jì)流程1、確定云平臺(tái)與外部網(wǎng)絡(luò)的通信鏈路幾種常見(jiàn)的網(wǎng)絡(luò)區(qū)域劃分方式是互聯(lián)網(wǎng)區(qū)域，還是內(nèi)網(wǎng)區(qū)域根據(jù)業(yè)務(wù)敏感性是前臺(tái)，后臺(tái)還是數(shù)據(jù)庫(kù)根據(jù)系統(tǒng)的屬性是研發(fā)部，還是市場(chǎng)部根據(jù)部門(mén)屬性是有線網(wǎng)絡(luò)，還是無(wú)線網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)的屬性網(wǎng)絡(luò)區(qū)域劃分必須與實(shí)際的業(yè)務(wù)和網(wǎng)絡(luò)現(xiàn)狀相對(duì)應(yīng)幾種常見(jiàn)的網(wǎng)絡(luò)區(qū)域劃分方式是互聯(lián)網(wǎng)區(qū)域，還是內(nèi)網(wǎng)區(qū)域根據(jù)業(yè)務(wù)等保2.0對(duì)云計(jì)算環(huán)境的安全要求安全通用要求云計(jì)算安全擴(kuò)展要求等保2.0對(duì)云計(jì)算環(huán)境的安全要求等保2.0對(duì)云計(jì)算環(huán)境的安全要求安全通用要求云計(jì)算安全擴(kuò)展要云計(jì)算環(huán)境下的“一個(gè)中心，三重防護(hù)”云計(jì)算環(huán)境下的“一個(gè)中心，三重防護(hù)”云計(jì)算環(huán)境中的網(wǎng)絡(luò)區(qū)域劃分依據(jù)

區(qū)分不同等級(jí)的系統(tǒng)應(yīng)在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問(wèn)控制機(jī)制，設(shè)置訪問(wèn)控制規(guī)則區(qū)分管理與業(yè)務(wù)流量應(yīng)保證云計(jì)算平臺(tái)管理流量與云服務(wù)客戶業(yè)務(wù)流量分離區(qū)分云服務(wù)客戶應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離區(qū)分不同的虛擬機(jī)應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問(wèn)控制策略云計(jì)算環(huán)境中的網(wǎng)絡(luò)區(qū)域劃分依據(jù)

區(qū)分不同云計(jì)算環(huán)境安全體系設(shè)計(jì)的原則性要求云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)云計(jì)算平臺(tái)基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)云計(jì)算平臺(tái)運(yùn)維地點(diǎn)位于中國(guó)境內(nèi)云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲(chǔ)于中國(guó)境內(nèi)云計(jì)算環(huán)境安全體系設(shè)計(jì)的原則性要求云計(jì)算平臺(tái)不承載高于其安全云計(jì)算環(huán)境安全體系設(shè)計(jì)的特殊要求應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟應(yīng)保證云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計(jì)應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí)，訪問(wèn)控制策略隨其遷移應(yīng)能檢測(cè)虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警應(yīng)能檢測(cè)非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)，并進(jìn)行告警應(yīng)確保只有在云服務(wù)客戶授權(quán)下，云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限云計(jì)算環(huán)境安全體系設(shè)計(jì)的特殊要求應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛云計(jì)算環(huán)境安全體系設(shè)計(jì)的兩個(gè)層面云計(jì)算平臺(tái)自身安全防護(hù)云計(jì)算平臺(tái)提供安全服務(wù)云計(jì)算環(huán)境安全體系設(shè)計(jì)的兩個(gè)層面云計(jì)算平臺(tái)自身安全防護(hù)云計(jì)算云平臺(tái)如何提供安全服務(wù)基于云計(jì)算理念來(lái)提供安全服務(wù)集約共享按需使用彈性擴(kuò)展云計(jì)算理念安全鏡像庫(kù)安全SaaS云安全的現(xiàn)有實(shí)踐構(gòu)建安全NFV鏡像庫(kù)，用戶訂閱對(duì)應(yīng)的規(guī)格，獲得安全鏡像，如VPN、堡壘機(jī)。安全設(shè)備資源化，以SaaS形式對(duì)用戶提供安全服務(wù)，如云抗D、云WAF。交付形態(tài)限制安全功能安全鏡像配置復(fù)雜不同產(chǎn)品難以集中管理現(xiàn)有實(shí)踐的不足云平臺(tái)如何提供安全服務(wù)基于云計(jì)算理念來(lái)提供安全服務(wù)集約按需使軟件定義安全網(wǎng)絡(luò)智能部署集中管控策略智能編排云平臺(tái)如何提供安全服務(wù)讓云安全服務(wù)方式更優(yōu)雅策略模板化，根據(jù)業(yè)務(wù)特點(diǎn)匹配初始化模板策略智能化，根據(jù)業(yè)務(wù)變化和安全狀態(tài)變化動(dòng)態(tài)調(diào)整安全策略集中調(diào)度本地安全資源，自動(dòng)完成網(wǎng)絡(luò)部署，按需創(chuàng)建服務(wù)鏈，達(dá)到類似SaaS的效果，且不受安全功能限制通過(guò)自動(dòng)化編排將所有安全設(shè)備資源化云管理員能夠?qū)υ破脚_(tái)上所有安全資源進(jìn)行集中管控云租戶能夠?qū)λ杏嗛喌陌踩Y源統(tǒng)一自主管理軟件定義安全網(wǎng)絡(luò)智能部署集中管控策略智能編排云平臺(tái)如何提供安邊界安全虛擬化安全安全加固虛擬資源隔離入侵防御漏洞掃描基線核查邊界安全防護(hù)入侵防御訪問(wèn)控制安全域隔離安全域劃分訪問(wèn)控制流量清洗安全接入負(fù)載均衡網(wǎng)絡(luò)威脅檢測(cè)安全審計(jì)訪問(wèn)控制流量監(jiān)控云安全服務(wù)平臺(tái)通信安全通信線路冗余網(wǎng)關(guān)設(shè)備冗余通信傳輸加密完整性校驗(yàn)帶外管理通道API接口SDN網(wǎng)絡(luò)編排IaaS安全東西向安全虛擬機(jī)微隔離主機(jī)防病毒訪問(wèn)控制南北向安全入侵防范安全審計(jì)PaaS安全DaaS安全SaaS安全WEB應(yīng)用防護(hù)API接口安全容器安全云數(shù)據(jù)庫(kù)安全計(jì)算服務(wù)安全文件服務(wù)安全主機(jī)安全加固數(shù)據(jù)脫敏Web安全防護(hù)漏洞管理安全傳輸VPC隔離訪問(wèn)控制數(shù)據(jù)加密輸入數(shù)據(jù)驗(yàn)證剩余信息保護(hù)業(yè)務(wù)&租戶安全安全策略編排門(mén)戶服務(wù)集中管控職責(zé)劃分云操作監(jiān)控綜合審計(jì)管理安全集中管控態(tài)勢(shì)感知管理網(wǎng)絡(luò)隔離深信服等保2.0云安全體系集約共享開(kāi)放接口邊界虛擬化安全安全加固虛擬資源隔離入侵防御漏洞掃描基線核查邊深信服云安全解決方案邏輯架構(gòu)基于標(biāo)準(zhǔn)化X86服務(wù)器基于虛擬化技術(shù)的安全資源池安全能力服務(wù)化交付云計(jì)算環(huán)境與平臺(tái)網(wǎng)絡(luò)&策略智能編排API接口生態(tài)開(kāi)放平臺(tái)方界面租戶側(cè)界面集中管控滿足云上用戶合規(guī)、業(yè)務(wù)安全需求云安全服務(wù)平臺(tái)信服云眼信服云盾AD

LBaaS

插件AD

驅(qū)動(dòng)基于高性能安全硬件設(shè)備基于池化安全資源實(shí)現(xiàn)云上安全按需交付深信服云安全解決方案邏輯架構(gòu)基于標(biāo)準(zhǔn)化X86服務(wù)器基于虛擬化深信服“云安全服務(wù)平臺(tái)（等保2.0）”創(chuàng)新方案出口網(wǎng)絡(luò)/安全設(shè)備云安全服務(wù)平臺(tái)核心交換安全運(yùn)營(yíng)服務(wù)安全運(yùn)營(yíng)服務(wù)安全運(yùn)營(yíng)服務(wù)下一代防火墻下一代防火墻下一代防火墻上網(wǎng)行為管理日志審計(jì)系統(tǒng)上網(wǎng)行為管理數(shù)據(jù)庫(kù)審計(jì)殺毒軟件廣域網(wǎng)優(yōu)化日志審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)負(fù)載均衡殺毒軟件負(fù)載均衡堡壘機(jī)SSLVPN流量編排等保二級(jí)合