金瀚云安全解決方案

行業背景

2016年3月，全國人大通過《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》指出積極推進云計算和物聯網發展。鼓勵互聯網骨干企業開放平臺資源，加強行業云服務平臺建設，支持行業信息系統向云平臺遷移。未來的五年是我國云計算快步發展的新時代。國內各行業在大力發展云計算、實現業務遷移的同時，也面臨新的網絡安全挑戰------云安全合規挑戰

2016年11月7日人大通過的《中華人民共和國網絡安全法》(下稱：《網絡安全法》)共有七章七十九條。將《網絡安全法》中的網絡安全能力，移植到云計算環境中，如何實現云內安全能力，至少涉及如下六個方面：

●云內防范計算機病毒、網絡攻擊、網絡侵入；

●云內數據隔離與保護；

●監測、記錄云內安全狀況及事件；

●云管理及遠程訪問身份認證；

●云內安全事件應急處置；

●云內網絡隔離等。

此外，《網絡安全法》中也明確提出了，國家實施網絡安全等級保護制度。等級保護正式進入了2.0時代。新的《網絡安全等級保護基本要求》涵蓋了6個部分的內容，其中云計算安全能力應符合：安全通用要求、云計算安全擴展要求。

云環境安全挑戰

● Hypervisor自身安全

Hypervisor是一種運行在物理服務器和操作系統之間的中間軟件層。是軟件，通常就會面臨漏洞風險。2015年名為毒液的安全漏洞，攻擊者可以從客戶系統發送命令和精心編制的參數數據到軟盤控制器，以此導致數據緩沖區溢出，并在主機管理程序進程環境中執行任意代碼。該漏洞存在于QEMU的虛擬軟盤控制器(FDC)中，而FDC代碼應用于眾多虛擬化平臺和設備中。

● 云內“東西”向流量安全監控需求

云環境內“東西”向網絡流量，在云內虛擬交換機環境下即可完成，無需通過物理主機的物理網卡流經傳統的網絡邊界防護設備，因此，傳統的防火墻、IPS等防護設備對“東西”向流量的監控，變的看不見、摸不著、無處發力。

● 云建設方、云維護方、云租戶及外包服務商，多方安全職責如何定義劃分

傳統的IDC機房，通常建設、運維、使用的單位主體相對比較單一、明確。但是，在云計算多種服務模式的場景下，云建設方、云維護方、云租戶方存在責任主體分離的情況，這使云安全日常管理面臨諸多挑戰。

解決方案

● 基于“互聯網+”的云安全規劃與建設實施方法論，將整個云計算等保合規實施過程劃分為“三大階段”，核心實施過程劃分“五大步驟”，幫助客戶設計、部署從云內網絡層、虛擬機層、應用層直至數據層的多方面安全防護方案。　

●基于“互聯網+”的云安全解決方案，結合多年互聯網安全技術經驗及相關國內外法律法規和實踐要求，將云計算安全防護分為“安全管理”和“技術管理”兩大部分，并將威脅情報態勢感知技術相融合，增強云計算防護的預先感知及防護能力。

通過咨詢服務形式，運用“多方安全職責矩陣模型”幫助客戶識別、界定云安全日常管理中的組織結構與責任劃分。

方案優勢

基于“互聯網+”的云安全解決方案，依托云端安全大數據，生產出高質量的威脅情報，同時對互聯網上的安全事件與客戶特殊場景下的事件進行關聯；采用聯動防御機制，智能化的安全管理中心，形成特色的P2DR安全模型，有力保障客戶云安全。

運用“多方安全職責矩陣模型”幫助客戶識別、界定云安全日常管理中的組織結構與責任劃分。

應用場景

適合政務云、金融云、教育云、能源云、工業云等多種行業云安全場景。