专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


走进金华政务云 | 独立防护到云端防护的变迁

2017-11-22 09:56 推荐: 浏览: 119 views 字号:

摘要: 2016年5月金华政务云由金华市电信承建,数梦工厂提供云平台支持、依据国家、浙江省政务云规范建设,采用阿里云平台技术,独立部署的专有云,按照网络安全等级保护三级标准建设,面向金华市市本级和下属县市区的党政业务系统。2016年9月全市电子政务云进一步落地,推进会...

2016年5月金华政务云由金华市电信承建,数梦工厂提供云平台支持、依据国家、浙江省政务云规范建设,采用阿里云平台技术,独立部署的专有云,按照网络安全等级保护三级标准建设,面向金华市市本级和下属县市区的党政业务系统。2016年9月全市电子政务云进一步落地,推进会发布了金华市政务云平台、安全平台架构;上云流程指南、指导手册等,并建立了业务上云迁移服务团队。

上云之后一些业务部门提出针对业务数据安全的诸多担忧,金华政务云业务系统多,部门混淆在一起,每个部门无法了解自身业务的部署,业务系统的数据有被云技术提供商或被黑客通过后门窃取数据的可能;政务云是专有云,所有数据是在金华本地机房,所有数据散列存储在每台服务器,无法在任何一台机器恢复数据,任何一块磁盘带出电信机房会自动消磁,对于政务云机房按等保三级要求建设,有明确合理的安全管理制定。

政务云目前已经划分了安全域,针对不同安全级别的应用,同一安全域的不同部门的不同业务系统通过安全组(类似防火墙设备)隔离,同部门的不同业务也完全隔离(通过调整策略可以局部互通),不同部门的业务系统使用完全独立的安全设备,部门有完全的控制权。

通过完全独立的安全设备部署,保证了部门有完全的控制权:

1、引入了第三方的安全设备,弥补云平台安全设施的不完善,主要采用了安恒信息的Web应用防火墙(WAF)、网页防篡改、运维审计(堡垒机)、数据库审计系统、日志审计系统等;

2、对于如何做到每个部门有独立的安全设备问题,采取了盒式设备、出口部署模式达不到要求,性能不足、不能区分权限,所以采取了云主机+相应安全软件模式,采取引流手段实现的模式。

但是,从整体角度来看,还面临一些问题:多少业务上云,多少未上云?有多少漏洞存在?发生了什么安全事件?面临什么样的攻防态势?

1、安全运维压力巨大

云安全产品分散、管理困难

云安全产品安装部署效率低

占用虚拟机资源比较多

2、对于如何做到每个部门有独立的安全设备问题,采取了盒式设备、出口部署模式达不到要求,性能不足、不能区分权限,所以采取了云主机+相应安全软件模式,采取引流手段实现的模式。

3、缺乏政务云平台整体审计:解决部门担心业务系统数据被云技术提供商通过后门窃取问题

通过安恒信息天池平台租户云安全资源池,对虚拟防火墙、虚拟WAF、虚拟堡垒机,虚拟Db审计、漏洞扫描器进行集中化管理。先知平台对全市政务网站监控,摸清楚全市网站、域名、IP、开放端口状态等信息,玄武盾对云租户的业务系统安全防护,300G的抗DDOS、CC防御,形成传统安全+云防护的双重防护体系。服务团队提供安全运营服务+安全专家驻场+7*24远程监控;Ailpha大数据平台提供全局安全态势感知云平台整体流量、日志的大数据分析能力、发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,预测即将发生的安全事件。

联系站长租广告位!

中国首席信息安全官


关闭


关闭