方案描述
Scheme description
本次云计算等保解决方案按照等保三级标准来组织,主要以“基本要求”和“设计要求”两个层面来进行阐述。基本要求中参照“通用+云拓展” 两部分,设计要求根据“一中心三防护” 经典建构来设计。
方案业务架构
Scheme business architecture
为满足云安全等保三级的要求,终端用户通过浪潮提供的VPN服务、高防服务InADS、企业应用防火墙InEWAF、入侵检测InHIDS、SSL证书服务保证“区域边界安全”;
安全管理中心包括运维管理和安全管理。运维管理中需要满足维审计、数据库审计、云监控等功能;安全管理需要服务商满足账号检测、态势感知、主机入侵检测、大数据分析、web漏洞扫描等功能。
安全管理中心包括运维管理和安全管理。运维管理中需要满足维审计、数据库审计、云监控等功能;安全管理需要服务商满足账号检测、态势感知、主机入侵检测、大数据分析、web漏洞扫描等功能。
方案技术架构
Scheme Technology Architecture
为满足等保安全合规的要求,建议客户按照最新的 “一中心三防护”的安全架构,以主动免疫的云计算,并结合产品特性,进行设计。“一中心”指的是安全管理中心,“三防护”指的是用户层安全、区域边界安全、计算环境安全。
用户通过安全的通信网络以网络直接访问、API接口访问和WEB服务访问等方式安全地访问云服务商提供的安全计算环境,其中用户终端自身的安全保障不在本部分范畴内。区域边界安全,用到的产品有VPN服务、高防服务InADS、企业应用防火墙InEWAF、入侵检测InHIDS、SSL证书服务。
计算环境安全主要分为服务层安全和资源层安全两部分。物理层安全,支持单租户和多租户方式,可以达到虚拟隔离,按照使用的服务不同,可分为iaas、saas、paas三种服务模式。同时每一种服务模式包含网络和主机安全、软件平台安全、应用安全、数据安全。资源层安全,包括虚拟资源安全和物理资源安全。浪潮云的资源层安全的物理设备采用的是浪潮的计算、存储、网络设备及传输线路的物理资源的安全,同时可保证基于地域、可用区、节点的物理资源安全。资源管理软件采用的是浪潮分布式操作系统、浪潮虚拟机监视器等软件。
安全管理中心包括安全监控、系统管理、安全审计三部分。安全监控包括大数据分析、态势感知、web漏洞扫描;系统管理包括账号检测、云监控、SSL证书、账号检测;安全审计包括数据库审计和运维审计两部分。
用户通过安全的通信网络以网络直接访问、API接口访问和WEB服务访问等方式安全地访问云服务商提供的安全计算环境,其中用户终端自身的安全保障不在本部分范畴内。区域边界安全,用到的产品有VPN服务、高防服务InADS、企业应用防火墙InEWAF、入侵检测InHIDS、SSL证书服务。
计算环境安全主要分为服务层安全和资源层安全两部分。物理层安全,支持单租户和多租户方式,可以达到虚拟隔离,按照使用的服务不同,可分为iaas、saas、paas三种服务模式。同时每一种服务模式包含网络和主机安全、软件平台安全、应用安全、数据安全。资源层安全,包括虚拟资源安全和物理资源安全。浪潮云的资源层安全的物理设备采用的是浪潮的计算、存储、网络设备及传输线路的物理资源的安全,同时可保证基于地域、可用区、节点的物理资源安全。资源管理软件采用的是浪潮分布式操作系统、浪潮虚拟机监视器等软件。
安全管理中心包括安全监控、系统管理、安全审计三部分。安全监控包括大数据分析、态势感知、web漏洞扫描;系统管理包括账号检测、云监控、SSL证书、账号检测;安全审计包括数据库审计和运维审计两部分。
责任共担模型
Responsibility sharing model
责任共担模型主要包含:各方控制范围、各方责任界面、云服务商开放性责任。
如图所示:
如图所示:
云计算平台可提供开放接口或开放性安全服务,允许接入第三方安全产品或在云平台选择第三方安全服务,支持异构方式对政务服务平台的网络、主机、应用、数据层的安全措施进行实施。
等级保护实施流程
Level protection implementation process
- 1.系统定级
- 2.系统备案
- 3.建设整改
- 4.等级评测
- 5. 监督检查
- 客户的信息系统按《网络安全定级指南》的要求组织材料及撰写。
- 责任分工:
- 浪潮云:负责联系咨询机构
- 客户:主导定级材料的撰写
- 咨询机构:辅助定级材料的撰写
快速选配套餐
Quick selection package
| 初级版套餐 | |||||
|---|---|---|---|---|---|
| 名称 | 功能 | 型号 | 数量 | 单位 | 备注 |
| VPC | 实现了虚拟网络安全,满足了网络隔离要求,含子网、路由器、NAT网关功能。 | / | 1 | 套 | 免费 |
| 主机入侵检测 | 实现了虚拟主机安全,主要功能有:(1)SSH异地登录;(2)SSH暴力破解;(3)后门木马;(4)异常进程;(5)检测周期;(6)漏洞扫描;(7)基线检查。 | / | 1 | 套 | 免费 |
| 高防服务 | 实现了应用防护功能,主要功能有:(1)基本防护。畸形数据包拦截、syn flood、ack flood、udp flood、icmp flood等防护、连接耗尽攻击、http get/post flood等防护、dns request/response flood等防护; (2)DNS检防。根据DNS查询/应答报文的NAME、TYPE、CLASS特征进行检测防护; (3)自动检防;(4)深度防护。根据源/目的IP、协议、端口、包长、标记为、包内容等条件进行深度匹配防护 ;(5)访问控制;(6)监控功能;(7)攻击取证。根据源/目的IP、协议、端口等条件实时抓包取证。 | / | 1 | 套 | 根据不同的防御峰值带宽来计费。 |
| 数据库审计 | 实现了数据安全,主要功能有:(1)日志功能;(2)自动运营监控;(3)数据库审计功能;(4)管理范围。支持自建数据库、支持InDB数据库、提供openstack接口方案,支持对大数据平台的安全审计。 | 企业版 | 1 | 套 | 按照主机和license收费。 |
| 中级版套餐 | |||||
|---|---|---|---|---|---|
| 名称 | 功能 | 型号 | 数量 | 单位 | 备注 |
| VPC | 实现了虚拟网络安全,满足了网络隔离要求,含子网、路由器、NAT网关功能。 | / | 1 | 套 | 免费 |
| VPN | 实现了虚拟网络安全,主要功能有:(1)IKE认证支持。支持md5、sha1和sha2-256三种算法;(2)IKE加密支持。支持3de、aes128、aes192和aes256四种加密算法;(3)PFS。一个秘钥被破解,不会影响其他的秘钥;(4)IPsec支持AH和ESP两种安全协议; | 标准型 | 1 | 套 | |
| 主机入侵检测 | 实现了虚拟主机安全,主要功能有:(1)SSH异地登录;(2)SSH暴力破解;(3)后门木马;(4)异常进程;(5)检测周期;(6)漏洞扫描;(7)基线检查。 | / | 1 | 套 | 免费 |
| 高防服务 | 实现了应用安全,主要功能有:(1)基本防护。畸形数据包拦截、syn flood、ack flood、udp flood、icmp flood等防护、连接耗尽攻击、http get/post flood等防护、dns request/response flood等防护; (2)DNS检防。(3)自动检防;(4)深度防护。根据源/目的IP、协议、端口、包长、标记为、包内容等条件进行深度匹配防护 ;(5)访问控制;(6)监控功能;(7)攻击取证。根据源/目的IP、协议、端口等条件实时抓包取证。 | / | 1 | 套 | 根据不同的防御峰值带宽来计费。 |
| 企业应用防火墙 | 实现了应用安全,主要功能有:(1)web应用防护;(2)恶意CC攻击防护;(3)精准访问控制;(4)报表分析;(5)黑白名单。(6)告警管理。定时发送waf的告警汇总信息,提醒发生的风险;(7)机器行为检测。识别机器行为,比如正常爬虫、恶意爬虫、cc攻击等、客户可参考机器行为检测的结果对恶意爬虫或cc攻击的来源进行拦截。 | 企业版 | 1 | 套 | 根据精准防护规则条数、可防护的域名个数、每秒的正常请求数阀值、每秒带宽阀值、同一个域名最多同时回源的IP个数来计费。 |
| Web漏洞扫描 | 实现了应用安全,主要功能是:扫描多种系统漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞,全面覆盖OWASP Top 10 Web应用风险。 | / | 1 | 套 | 按照次数收费 |
| 数据库审计 | 实现了数据安全,主要功能有:(1)日志功能;(2)自动运营监控;(3)数据库审计功能;(4)管理范围。支持自建数据库、支持InDB数据库、提供openstack接口方案,支持对大数据平台的安全审计。 | 企业版 | 1 | 套 | 按照主机和license收费。 |
| 运维审计 | 实现了运维安全管理,主要功能有:(1)多协议支持;(2)权限管理;(3)全流程访问控制;(4)单点登录(5)运维控制操作行为;(6)双因素身份认证。 | 旗舰版 | 1 | 套 | 根据管理资产数、并发数、用户数三项指标进行收费 |
| 高级版套餐 | |||||
|---|---|---|---|---|---|
| 名称 | 功能 | 型号 | 数量 | 单位 | 备注 |
| VPC | 实现了虚拟网络安全,满足了网络隔离要求,含子网、路由器、NAT网关功能。 | / | 1 | 套 | 免费 |
| VPN | 实现了虚拟网络安全,主要功能有:(1)IKE认证支持。支持md5、sha1和sha2-256三种算法;(2)IKE加密支持。支持3de、aes128、aes192和aes256四种加密算法;(3)PFS。一个秘钥被破解,不会影响其他的秘钥;(4)IPsec支持AH和ESP两种安全协议; | 增强型 | 1 | 套 | 适用于双向峰值50Mbps~100Mbps的业务。 |
| 主机入侵检测 | 实现了虚拟主机安全,主要功能有:(1)SSH异地登录;(2)SSH暴力破解;(3)后门木马;(4)异常进程;(5)检测周期;(6)漏洞扫描;(7)基线检查。 | / | 1 | 套 | 免费 |
| 高防服务 | 实现了应用安全,主要功能有:(1)基本防护。畸形数据包拦截、syn flood、ack flood、udp flood、icmp flood等防护、连接耗尽攻击、http get/post flood等防护、dns request/response flood等防护; (2)DNS检防。(3)自动检防;(4)深度防护。根据源/目的IP、协议、端口、包长、标记为、包内容等条件进行深度匹配防护 ;(5)访问控制;(6)监控功能;(7)攻击取证。根据源/目的IP、协议、端口等条件实时抓包取证。 | / | 1 | 套 | 根据不同的防御峰值带宽来计费。 |
| 企业应用防火墙 | 实现了应用安全,主要功能有:(1)web应用防护;(2)恶意CC攻击防护;(3)精准访问控制;(4)报表分析;(5)黑白名单。(6)告警管理。定时发送waf的告警汇总信息,提醒发生的风险;(7)机器行为检测。识别机器行为,比如正常爬虫、恶意爬虫、cc攻击等、客户可参考机器行为检测的结果对恶意爬虫或cc攻击的来源进行拦截。 | 旗舰版 | 1 | 套 | 根据精准防护规则条数、可防护的域名个数、每秒的正常请求数阀值、每秒带宽阀值、同一个域名最多同时回源的IP个数来计费。 |
| Web漏洞扫描 | 实现了应用安全,主要功能是:扫描多种系统漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞,全面覆盖OWASP Top 10 Web应用风险。 | / | 1 | 套 | 按照次数收费 |
| 数据库审计 | 实现了数据安全,主要功能有:(1)日志功能;(2)自动运营监控;(3)数据库审计功能;(4)管理范围。支持自建数据库、支持InDB数据库、提供openstack接口方案,支持对大数据平台的安全审计。 | 旗舰版 | 1 | 套 | 按照主机和license收费。 |
| 态势感知 | 实现了虚拟主机安全、应用安全、虚拟网络安全、数据安全,主要功能有:(1)查看所有安全重要信息,如IP封堵、主机的异地登录、暴力破解成功,发现木马等;(2)“发现后门(木马)”、“暴力破解成功”和“异地登录。会通过邮件、短信通知客户;(3)查看外网IP的封堵状态和ddos攻击历史;(4)查看每个主机的安全风险有哪些;(5)查看网站的安全风险信息;(6)汇总各种告警信息 | / | 1 | 套 | 免费 |
| 运维审计 | 实现了运维安全管理,主要功能有:(1)多协议支持;(2)权限管理;(3)全流程访问控制;(4)单点登录(5)运维控制操作行为;(6)双因素身份认证。 | 旗舰版 | 1 | 套 | 根据管理资产数、并发数、用户数三项指标进行收费 |
方案优势
Scheme advantage
一站式全方位的等保服务
- 多年云防护和云等保经验和实践
- 推荐和筛选等保评测机构和咨询机构,减少沟通成本和测评周期
纵深联动的产品推荐
- 涵盖IaaS、PaaS、 SaaS平台下的自上而下的安全产品和服务目录,通过浪潮的安全产品和服务打造更合规的云平台。
自主可控的云平台
- 公共云已过等保三级
- 政务云在东营、呼市、昆明、龙奥、四平、济南、重庆、阜阳、绵阳、长治等多地过等保三级。
自主可控的云基础资源
- 硬件设备采用浪潮相关的计算、网络、存储设备,保障底层物理资源的国产化建设;
- 平台软件具备可信云系列认证和多项软著版权,使用更放心
专业化的咨询团队
- 咨询团队具备多年的等保行业经验,并亲自参与多项政府标准化建设、等保实施、等保测评工作,等保政策理解更到位。
客户案例
Customer case
国家铁路总公司
通过使用浪潮云等保三级解决方案,更有计划的将现有的系统进行升级改造,并顺利的通过了公安部的安全等保认证,保证了各单位能够根据安全威胁及时调整安全策略,从而提高信息系统的整体防御能力,实现对重要信息系统的重点保护。
国家电网山东公司
通过使用浪潮云的等保解决方案,保证了信息系统等级保护建设定级备案、规划设计、整改测评、测评和运行管理各阶段工作的顺利进行。
合作伙伴
Recommended products
FQA
1. 浪潮在等保方面有哪些经验,参加过哪些公安部的等保活动?
答:两会、十九大、九三阅兵安全重保等国家重大活动。
2. 针对不同行业的等保要求,浪潮有没有相关的微信公众号或者社区之类的?
答:加浪潮企业云微信公众号,
,公众号名称:inspur浪潮云
3. 作为有等保测评和安全硬件的厂商,如何加入浪潮生态合作伙伴?
答:发邮件到指定邮箱yuanhongjian01@inspur.com,有专门的人员负责对接,联系人:苑鸿剑。
4. 如果碰见浪潮没有的等保要求的安全产品,如何满足?
答:浪潮有强大的生态合作市场,并推荐靠谱的合作伙伴来满足客户的等保整改要求。
咨询
电话
电话
售前咨询电话:400-607-6657
售后咨询电话:400-619-2176(政务云)
售后咨询电话:400-603-1123(企业云)
在线
客服
客服
扫码
关注
关注
-
微信公众号