深信服网络安全等级保护2.0案例集

案 例 集 CASE STUDY COLLECTION CONTENTS 目录 教育行业用户案例43 浙江大学中国海洋大学华北电力大学西安外国语大学昆明理工大学南昌理工学院常州机电职业技术学院上海工艺美术职业学院更多用户案例444749515355576062 政府行业用户案例01 辽宁省政务云内蒙古自治区政务云四川省人民代表大会常务委员会吉林省人力资源和社会保障厅青海省司法厅江苏省监狱管理局恩施州政务服务和大数据管理局廊坊市审计局更多用户案例020407091214161921 企业用户案例63 中国葛洲坝集团有限公司东风柳州汽车有限公司中国烟草总公司新疆维吾尔自治区公司内蒙古日报社传媒集团华能招标有限公司重庆能源投资集团中冶建工集团有限公司中国联通有限公司江苏分公司巨石集团有限公司名创优品股份有限公司上海纳客宝信息技术有限公司更多用户案例646668717477808385879092 医疗行业用户案例22 应急总医院四川大学华西医院中南大学湘雅医院山东大学齐鲁医院广西医科大学第一附属医院南方医科大学深圳医院中山大学孙逸仙纪念医院厦门大学附属心血管病医院浙江大学医学院附属口腔医院更多用户案例23262830323436384042 辽宁省政务云 用户简介 辽宁省政务云是由辽宁省信息中心主管，由辽宁省联通运营单位承建的、面向全省各厅局级委办局单位提供IaaS资源服务的平台，能够根据委办局租户的需求提供相应的计算资源、存储资源和网络资源，实现IT基础资源的集中管理，有助于实现辽宁省政务系统和数据的集中共享，最终实现向“互联网+政务服务”的过渡。 政府行业用户案例 痛点和需求 存在云平台安全合规风险 根据等保 2.0 相关标准、《云计算服务安全指南》、《政务云安全要求》等云安全政策的要求，提供政务云服务的云服务商需具有保障用户数据和业务系统安全的相关能力，并且相关计算基础设施需按照网络安全等级保护中第三级的要求建设和维护。 云租户安全需求难以满足 传统云平台安全架构仅能够为租户提供通用的安全策略，无法适用于所有租户。租户无法根据自身业务需求选择和管理安全组件，这将放大租户的业务系统“上云”后安全责任难以界定等风险，从而对“上云”产生顾虑。另外，不适用的安全策略也会影响租户的业务系统通过网络安全等级保护测评。 云租户安全运维能力不足 政务云的云租户，主要是委办局等政府单位，部分单位未配备专业的安全管理和运维人员，很难根据自身业务需求独立完成相应的安全策略配置。如果云服务商不能给此类云租户提供充分的安全运维管理服务，租户的业务“上云”后安全将难以保障，还可能导致租户向其他云平台转移。 云监管方缺乏全局监测和协同管控能力 网络安全的闭环仅靠分散在各个网络节点的防御设备是不够的。由于缺乏全局的安全监测能力，当安全事件发生时，云监管方无法第一时间获知事件进展信息，更谈不上对事件处置进行应急调度。云监管方应当从自身安全监督的职责出发，实现对安全事件的实时发现、精准定位和及时处置，能够对发现的安全事件进行快速通报，并指派责任人对安全事件进行响应。 解决之道 传统安全方案无法实现针对云租户的安全建设，更加无法满足云租户对业务系统进行等级保护建设以及通过等级保护测评的需求，深信服基于“持续保护、不止合规”的等级保护价值主张，为辽宁省政务云提供了不仅满足等级保护合规要求，同时具备部署灵活、运维管理简单且可实现安全资源增值特点的资源池化网络安全等级保护方案。 内蒙古自治区政务云 方案规划拓扑如下： 用户简介 内蒙古自治区政务云目前已完成政务信息资源共享平台（一期）的建设工作，随着《网络安全法》、等级保护2.0等政策及标准的出台，内蒙古自治区政务云在安全方面、监管方面面临的压力不断增长。亟需以《网络安全等级保护基本要求》中第三级系统的要求为基础，进行系统化的等级保护安全建设，建立一套完善的安全保障体系，有效保障内蒙古自治区政务云系统业务的正常开展，保障信息和数据的安全。 痛点和需求 通过访谈、对实际环境调研，内蒙古自治区电子政务外网系统目前主要由核心区、互联网出口区、移动接入区、运维管理区、对外云资源区、对内云资源区、对内托管区、纵向互联区等多个网络区域组成，目前关注的主要安全需求如下： 合规需求：基于《政务云安全要求》，政务云需通过等级保护三级测评。 应对新型安全问题：政务云在面临传统安全威胁的基础上，云环境特有的安全问题也不容忽视，如云环境中边界模糊引起的运维难度提高及责任划分不清晰、横向威胁防御能力缺乏、云环境中防护割裂导致威胁感知能力缺乏、云上安全能力交付困难等问题。 云安全资源池采用物理旁路、逻辑串联的方式部署在核心交换机上，通过在核心交换机上配置策略路由的方式将云平台的业务流量引流到云安全资源池。云安全资源池的云Web防护系统、云防火墙、云IPS等对数据流量进行安全检测，检测完成后再返回给核心交换机。同时云数据库审计会对访问数据库的数据流进行记录；云堡垒机对运维人员的相关操作进行审计。完成整个数据流的安全防护，实现了南北向和东西向纵深防护体系。 体系化安全建设：单位需要一套体系化的网络安全建设方案，方案应具备全面性、前瞻性和专业性，能够真正为用户解决系统建设及运维中遇到的问题。 方案价值 解决之道 软件定义、快速交付 结合内蒙古自治区电子政务外网建设现状，深信服通过对安全威胁和实际需求的分析，充分理解用户痛点需求，深入研究用户关心的技术问题，基于“持续保护、不止合规”的等级保护建设理念为用户设计政务云整体安全解决方案。该解决方案基于电子政务外网系列标准和云安全专项安全标准，在满足网络安全等级保护第三级要求的基础上，贯彻落实积极防御、综合防范的方针，根据着眼全局、突出重点的思路，为用户建设完善政务外网网络安全防护与管理体系。 云安全资源池的应用，通过软件定义、快速交付，相比于传统硬件堆叠方式的等级保护建设变得更简单；安全功能统一管理，减少硬件运维工作；组件化安全功能交付，弹性扩展，随需而变。 安全合规、责任界面清晰 云安全资源池为政务云的运营者以及将业务系统部署于政务云的各个委办局分别提供各自的安全界面，云服务商及云租户通过自己的授权账号登录至专门的页面中对系统进行运维管理，安全责任变得更清晰明确。 业务增值 云平台运营者通过为用户提供池化的安全资源服务，在推动各级委办局上云、打造可信云业务的同时也避免了安全建设成为固定投入，而是将安全转化为了一种经济、可经营的产品，并获得持续产出。 结合安全感知平台，形成一套符合自治区电子政务外网防御、检测、响应为一体的安全体系，并从技术、管理、运营多个角度，平衡防御、检测、响应的投资，形成整体的安全框架思路。 方案价值 解决方案以相关法律法规及标准为基准，以“持续保护、不止合规”为思路，以安全感知平台SIP的“安全可视、动态感知、闭环联动”和云安全资源池的“服务化交付、平台解耦、灵活易用”为方案亮点，从多个维度为用户提供全面完善的政务云安全建设服务。 完整的安全防御体系 参考等级保护建设规范，通过边界、纵向、横向、端到端的多个层面安全建设，满足多维度安全要求，并且通过态势感知平台将割裂的安全进行连接，形成一套完整的安全防御体系。主要包括云平台边界进行域划分和安全隔离，对于外部用户借助成熟的SSL加密技术，满足数据完整性、保密性及访问控制中对外部用户访问的控制，实现端到端的全程防护；通过负载均衡设备实现网络及应用层面的高可用性；云平台内部的东西向流量通过轻量级的Agent实现微隔离，防止安全风险的横向移动，重塑云平台内部的应用安全边界；对于租户，将安全业务化，按需交付，提供丰富灵活的租户安全解决方案。 基于AI、大数据安全检测、发现新型网络攻击 通过部署安全感知平台，强化数据中心安全运营的闭环管理和安全态势的可视化。通过对数据中心的相关安全设备日志、网络流量、资产漏洞和云端威胁情报进行自动化关联分析，综合利用沙箱分析、威胁情报、机器学习算法等新技术提升未知威胁和APT攻击的发现能力，并以威胁情报形式打通定位攻击、溯源与阻断多个工作环节，通过联动机制，实现平台与安全设备间的智能协同防御。 服务化的安全能力交付 通过部署云安全资源池将安全资源的部署与物理网络位置解耦，云平台将安全资源根据业务情况按需分配，实现业务流量调度、安全策略部署的集中管控，轻松实现安全业务的自动化部署。同时，每个租户可根据自身的安全需求通过云安全资源池自主选择不同的安全组件，并进行自主运维，在满足等级保护的相关要求的基础上最终实现安全能力的服务化方式交付。 解决方案架构由基础安全防护、数据中心核心安全和全局可视安全治理三个层面组成，全方位为用户提供可靠防御、持续监测、快速响应的能力，提供事前预防、事中控制和事后审计的全流程防护措施，给用户带来“持续保护，不止合规”的安全体验。具体包括： 全局风险可视与简化运维 通过安全感知平台与各安全设备间的信息交换，为用户提供了攻击行为感知、应用风险感知、内外部威胁感知、漏洞感知、业务风险感知等全方位的安全感知能力。通过安全感知平台内置的大屏功能，让运维和管理人员直观地感受到数据中心内部的安全问题，真正做到安全可视。另外，通过在网络中部署堡垒机设备，提升运维管理自动化程度，减少人为参与带来的安全问题，简化安全运维人员工作，提高运维工作效率。 解决方案从用户政务信息资源共享平台建设为出发点，通过规划互联网出口、云安全防护、安全接入平台、电子政务骨干网络及业务系统安全态势感知，为用户梳理出权责清晰的责任边界。 面向合规和业务需求，提供功能全面的安全产品，包括安全接入SSL VPN、下一代防火墙AF、上网行为管理AC，应用交付AD、终端检测响应平台EDR等，满足各类业务不同阶段的安全需求。 着重解决云环境下特有安全问题，通过在用户网络中部署云安全资源池的方式，实现安全资源以服务化交付，即提供开放、资源弹性、按需分配、自动化的安全服务。 四川省人民代表大会常务委员会 方案价值 构建有效的纵深防御体系 通过在各边界部署下一代防火墙，为用户提供融合了L2-L7的一站式安全防护，为网络中各边界提供完整的南北向安全保障。 用户简介 四川省人民代表大会常务委员会，作为省人民代表大会的常设机关，随着政府部门信息化程度的提高，对信息系统的依赖程度越来越高，同时由于网络安全形势日益严峻、新型攻击层出不穷，单位信息化所面临的各种风险也日益严重。在此情况下，如何更好地为单位信息化业务系统提供安全保障，确保信息化的健康发展和系统安全稳定运营，是用户关注的重点问题。 持续检测，提升风险管理能力 在纵深防御体系的基础上为安全建设补全检测、响应的能力，借助安全探针和安全感知平台，持续不断检测和分析内网的潜伏威胁，迅速补齐东西向流量检测能力，从业务维度协助运维人员提高风险管理的条件和能力，感知全网安全风险。 痛点和需求 安全防护薄弱，缺少对新型攻击的检测和防护 单位安全建设相对薄弱，面对以勒索病毒为代表的新型攻击，检测和防护手段不足。 多级联动、统一分析和管理，实现轻量级运维 深信服为用户量身定制的网络安全等级保护2.0解决方案，协助用户构建多级联动安全防御体系，形成预测、检测、防御和响应的安全闭环。同时，各个设备以智能集成联动的方式工作，应对新型网络攻击。 需满足《网络安全法》和等级保护2.0安全合规要求 《网络安全法》将安全建设上升到法律层面，要求各行业落实网络安全等级保护制度。作为政府单位，在信息化建设层面需要跟随政策法规的步伐，根据《网络安全法》及等级保护2.0相关要求，落实网络安全等级保护制度，满足等级保护三级安全防护要求。 在网络中部署安全感知平台，为用户构建本地安全大脑，同时与下一代防火墙联动实现一键阻断木马与黑客的通信；与数据库审计联动，实现数据的防泄密分析和追踪；与终端杀毒联动，实现风险终端的一键隔离和查杀等。最终实现仅需一套平台即可完成全网安全风险的分析