H3C教育云安全解決方案

1、H3C教育云安全解決方案安全產(chǎn)品部 王寧目錄/Contents行業(yè)需求sector demand技術(shù)框架technical framework基礎(chǔ)設(shè)施base installation云租戶(hù)cloud tenant成功案例Case Study0203040501教育云安全需求01教育云建設(shè)運(yùn)營(yíng)模式下級(jí)部門(mén)資源使用流程用戶(hù)登記表網(wǎng)站及信息系統(tǒng)登記表用戶(hù)責(zé)任書(shū)上網(wǎng)信息審查表信息中心安全管理制度使用者申請(qǐng)直接主管審批信息中心確認(rèn)教育廳局中職校園公眾服務(wù)門(mén)戶(hù)校園論壇OA協(xié)調(diào)辦公系統(tǒng)郵件系統(tǒng)郵件系統(tǒng)統(tǒng)一身份認(rèn)證在線(xiàn)教育系統(tǒng)門(mén)禁系統(tǒng)數(shù)字化校園業(yè)務(wù)托管業(yè)務(wù)財(cái)務(wù)系統(tǒng)數(shù)據(jù)中心有線(xiàn)網(wǎng)絡(luò)無(wú)線(xiàn)網(wǎng)絡(luò)區(qū)縣教育局中小學(xué)教育

2、城域網(wǎng)自動(dòng)創(chuàng)建使用者通過(guò)云平臺(tái)電子流提交申請(qǐng)，經(jīng)過(guò)審批后，由信息中心云平臺(tái)自動(dòng)動(dòng)創(chuàng)建。教育云安全需求分析云平臺(tái)要提供滿(mǎn)足招生、考試等核心業(yè)務(wù)安全防護(hù)要求的能力云平臺(tái)基礎(chǔ)設(shè)施要能夠提供滿(mǎn)足等保三級(jí)要求的防護(hù)能力云平臺(tái)要能夠提供云內(nèi)全流量分析及安全威脅分析關(guān)鍵業(yè)務(wù)原有業(yè)務(wù)上云之后，云平臺(tái)要匹配原有安全防護(hù)標(biāo)準(zhǔn)云平臺(tái)要能基于業(yè)務(wù)安全防護(hù)要求，提供靈活的安全防護(hù)能力云租戶(hù)要能夠提供基于業(yè)務(wù)重要性的安全隔離能力普通業(yè)務(wù)云平臺(tái)要能夠提供各下屬單位業(yè)務(wù)安全防護(hù)等級(jí)平移及安全優(yōu)化云平臺(tái)要能夠提供隨資源遷移，安全策略跟隨的能力托管業(yè)務(wù)云安全建設(shè)兩個(gè)維度12云平臺(tái)云平臺(tái)自身必須滿(mǎn)足國(guó)家安全等保防護(hù)要求租戶(hù)云平臺(tái)上

3、的租戶(hù)滿(mǎn)足等保要求完善云基礎(chǔ)設(shè)施保護(hù)建立云基礎(chǔ)設(shè)施的管理制度云主要業(yè)務(wù)要求等保三級(jí)，平臺(tái)應(yīng)滿(mǎn)足三級(jí)要求業(yè)務(wù)系統(tǒng)原有等級(jí)要求業(yè)務(wù)系統(tǒng)按級(jí)別防護(hù)云租戶(hù)的安全防護(hù)等級(jí)需能按需調(diào)整網(wǎng)絡(luò)安全法解析及合規(guī)要求網(wǎng)絡(luò)安全法網(wǎng)絡(luò)空間主權(quán)國(guó)家縱向至個(gè)人等保定級(jí)參照服務(wù)提供者義務(wù)能力及合法性等?？刂泣c(diǎn)滿(mǎn)足能力運(yùn)營(yíng)者義務(wù)建立安全體系國(guó)家相關(guān)標(biāo)準(zhǔn)個(gè)人信息保護(hù)主動(dòng)保護(hù)個(gè)人行為的合法審計(jì)個(gè)人信息的安全承載關(guān)鍵基礎(chǔ)設(shè)施保護(hù)安全資源投入行業(yè)差異化滿(mǎn)足持續(xù)性和能力積累現(xiàn)階段1000臺(tái)以上的服務(wù)器規(guī)模的云計(jì)算平臺(tái)也算作關(guān)鍵基礎(chǔ)設(shè)施中央網(wǎng)信辦對(duì)外提供服務(wù)的專(zhuān)有云平臺(tái)關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)信息安全技術(shù)云計(jì)算服務(wù)安

4、全指南（GB/T 31167-2014）信息安全技術(shù)云計(jì)算服務(wù)安全能力要求（GB/T 31168-2014）公安部承載等保業(yè)務(wù)的云平臺(tái)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分：安全通用要求網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第2部分：云計(jì)算安全擴(kuò)展要求云安全建設(shè)合規(guī)要求安全組織與人員風(fēng)險(xiǎn)評(píng)估與監(jiān)控應(yīng)急與災(zāi)備物理與環(huán)境保護(hù)物理安全邊界安全網(wǎng)絡(luò)安全主機(jī)安全租戶(hù)隔離資源獨(dú)立分卷存儲(chǔ)安全目錄應(yīng)用安全數(shù)據(jù)安全開(kāi)發(fā)安全管理安全抽象安全物理平臺(tái)安全，監(jiān)控系統(tǒng)、門(mén)禁、電源等入侵防御、防火墻、DDoS、身份認(rèn)證、VPNHA、集群、冗余、備份安全管理中心、身份認(rèn)證、資源監(jiān)控、堡壘機(jī)同步互聯(lián)網(wǎng)安全防護(hù)租戶(hù)隔離分域分級(jí)（vFW）虛擬

5、化防病毒、系統(tǒng)漏洞管理授權(quán)、CA、應(yīng)用漏洞管理、監(jiān)控?cái)?shù)據(jù)備份、鏡像保護(hù)、數(shù)據(jù)清除開(kāi)發(fā)工具安全、API安全保護(hù)安全組織、安全運(yùn)營(yíng)、安全監(jiān)管內(nèi)網(wǎng)安全防護(hù)安全審計(jì)開(kāi)發(fā)與供應(yīng)鏈安全系統(tǒng)與通信保護(hù)訪問(wèn)控制配置管理與維護(hù)中央網(wǎng)信辦要求等級(jí)保護(hù)要求合規(guī)必備的安全能力租戶(hù)安全平臺(tái)安全云安全技術(shù)框架02隔離區(qū)域（涉密）教育云安全防護(hù)區(qū)域劃分全流量鏡像云平臺(tái)管理流量VXLANVXLAN核心交換區(qū)云平臺(tái)安全邊界職校（三級(jí)）云管理區(qū)安全評(píng)估服務(wù)云租戶(hù)邊界安全可視化采集分析SOP虛服務(wù)SOP中小學(xué)（二級(jí)）VMVM區(qū)縣教育局（二級(jí)）云租戶(hù)資源池vFWvFWSANWEBVMSAN虛擬化殺毒vLBvWAF日志審計(jì)虛擬堡壘機(jī)v

6、FWWEBVMSAN虛擬化殺毒vLBvWAF日志審計(jì)虛擬堡壘機(jī)漏洞掃描日志審計(jì)安全管理監(jiān)測(cè)中心DB數(shù)據(jù)庫(kù)審計(jì)認(rèn)證加密復(fù)制分流接入平臺(tái)DPIAPTDLP審計(jì)網(wǎng)閘流量清洗WAF負(fù)載均衡云管理平臺(tái)SDN控制器租戶(hù)管理流量漏掃堡壘機(jī)認(rèn)證日志采集器網(wǎng)頁(yè)防篡改網(wǎng)站監(jiān)測(cè)網(wǎng)頁(yè)防篡改網(wǎng)站監(jiān)測(cè)安全日志流量安全可視化威脅態(tài)勢(shì)感知LB虛服務(wù)NGFW認(rèn)證加密安全分析日志教育云安全防護(hù)邏輯框架安全管理區(qū)計(jì)算資源池接入交換機(jī)接入交換機(jī)安全資源池云核心云核心Vxlan二層網(wǎng)關(guān)虛擬交換機(jī)管理虛擬化控制器，創(chuàng)建VM和虛擬交換機(jī)云管理平臺(tái)編排/資源/工單SDN控制器虛擬防火墻虛擬負(fù)載均衡安全評(píng)估服務(wù)虛擬化控制器安全運(yùn)營(yíng)中心事件分析

7、/可視化/告警syslog + SNMPMsg+工單運(yùn)營(yíng)管理/大數(shù)據(jù)復(fù)制分流器網(wǎng)閘接入交換機(jī)存儲(chǔ)資源池DBVxlan二層網(wǎng)關(guān)DB 邊界防火墻流量清洗WAF漏掃堡壘機(jī)認(rèn)證 大二層網(wǎng)絡(luò)負(fù)載均衡網(wǎng)絡(luò)行為審計(jì)未知威脅防護(hù)入侵檢測(cè)系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)隔離區(qū)域日志采集器Vxlan二層網(wǎng)關(guān)安全監(jiān)測(cè)區(qū)VM1VM2認(rèn)證加密虛擬化殺毒虛擬堡壘虛擬WAF漏洞掃描日志審計(jì)云邊界防護(hù)區(qū)租戶(hù)邊界區(qū)云管理區(qū)DC核心DC核心下一代防火墻租戶(hù)計(jì)算區(qū)操作系統(tǒng)及軟件網(wǎng)絡(luò)設(shè)備安全設(shè)備DB基于業(yè)務(wù)的流量采集（安全可視化基礎(chǔ)-可選）流量復(fù)制分發(fā)平臺(tái)流量復(fù)制流量篩選報(bào)文修改入侵檢測(cè)WAF數(shù)據(jù)庫(kù)審計(jì)未知威脅檢測(cè)流分析網(wǎng)絡(luò)行為分析數(shù)據(jù)防泄密鏡像流量

8、日志流量天機(jī)事件分析/可視化/告警計(jì)算資源池接入交換機(jī)接入交換機(jī)安全資源池云核心云核心二層網(wǎng)關(guān)虛擬交換機(jī)虛擬防火墻虛擬負(fù)載均衡接入交換機(jī)存儲(chǔ)資源池?cái)?shù)據(jù)庫(kù)二層網(wǎng)關(guān)數(shù)據(jù)庫(kù) 大二層網(wǎng)絡(luò)二層網(wǎng)關(guān)VM1VM2認(rèn)證加密虛擬化殺毒虛擬堡壘機(jī)虛擬WAF漏洞掃描日志審計(jì)下一代防火墻東西向流量采集南北向流量采集數(shù)據(jù)庫(kù)安全可視化及態(tài)勢(shì)感知Web應(yīng)用防火墻數(shù)據(jù)庫(kù)審計(jì)入侵檢測(cè)APT檢測(cè)上網(wǎng)行為管理數(shù)據(jù)防泄漏DDoS網(wǎng)絡(luò)流量分析入侵行為分析數(shù)據(jù)庫(kù)管理操作審計(jì)網(wǎng)站攻擊監(jiān)控社會(huì)工程攻擊敏感數(shù)據(jù)監(jiān)控網(wǎng)絡(luò)行為審計(jì)異常流量監(jiān)控訪問(wèn)關(guān)系發(fā)現(xiàn)邊界流量鏡像1433端口過(guò)濾80端口過(guò)濾全流量鏡像全流量負(fù)載分擔(dān)全流量負(fù)載分擔(dān)全流量鏡像報(bào)文截

9、斷（IP頭保留）流量分析引擎安全威脅呈現(xiàn)安全風(fēng)險(xiǎn)可視化呈現(xiàn)可視化呈現(xiàn)終端設(shè)備層格式標(biāo)準(zhǔn)化DPI/NetStream/Netflow/SNMP/WMI/CLI/Trap/代理程序數(shù)據(jù)歸并文件索引文件存儲(chǔ)內(nèi)存裝載/高速檢索網(wǎng)絡(luò)服務(wù)器應(yīng)用ACG防火墻IPSLB漏掃終端其他設(shè)備技術(shù)支撐層部署和編排事件分析行為分析風(fēng)險(xiǎn)分析運(yùn)維及工作流攻擊趨勢(shì)圖業(yè)務(wù)風(fēng)險(xiǎn)視圖事件分析視圖行為分析視圖資產(chǎn)管理圖等保合規(guī)分析安全事件配置數(shù)據(jù)安全服務(wù)管理安全事件分析安全運(yùn)維安全風(fēng)險(xiǎn)分析行為異常分析云基礎(chǔ)設(shè)施安全防護(hù)云平臺(tái)自身基礎(chǔ)設(shè)施的安全加固方案云平臺(tái)互聯(lián)網(wǎng)出口邊界安全加固方案滿(mǎn)足等級(jí)保護(hù)要求的產(chǎn)品選擇03云平臺(tái)基礎(chǔ)設(shè)施邊界防護(hù)

10、網(wǎng)閘邊界防火墻流量清洗WAF隔離區(qū)域云邊界防護(hù)區(qū)DC核心DC核心NGFW產(chǎn)品配置VPN、IPS等功能授權(quán)提供出口負(fù)載均衡功能針對(duì)高?？赡艽嬖趪?guó)防、軍工、航空科研類(lèi)涉密業(yè)務(wù)，可采用網(wǎng)閘進(jìn)行區(qū)域隔離異常流量清洗設(shè)備針對(duì)互聯(lián)網(wǎng)DDos攻擊進(jìn)行防御，避免網(wǎng)站因攻擊癱瘓Web應(yīng)用防火墻現(xiàn)有針對(duì)教育行業(yè)的網(wǎng)站攻擊威脅進(jìn)行安全防護(hù)云基礎(chǔ)設(shè)施安全防護(hù)典型產(chǎn)品選擇01邊界防護(hù)下一代防火墻：2臺(tái)Web應(yīng)用防火墻：2臺(tái)出口負(fù)載均衡：2臺(tái)異常流量清洗：1臺(tái)網(wǎng)閘：1臺(tái)02安全服務(wù)運(yùn)維堡壘機(jī)：1臺(tái)漏洞掃描系統(tǒng)：1臺(tái)身份認(rèn)證平臺(tái)：1套03流量檢測(cè)日志采集器復(fù)制分流器數(shù)據(jù)庫(kù)審計(jì)入侵防御檢測(cè)網(wǎng)絡(luò)行為審計(jì)未知威脅檢測(cè)云基礎(chǔ)設(shè)施系

11、統(tǒng)安全評(píng)估服務(wù)權(quán)威的評(píng)估檢測(cè)工具（自主、開(kāi)源、第三方）交叉驗(yàn)證基線(xiàn)核查滲透測(cè)試網(wǎng)絡(luò)架構(gòu)評(píng)估新業(yè)務(wù)上線(xiàn)評(píng)估漏洞掃描操作系統(tǒng)中間件安全設(shè)備網(wǎng)絡(luò)設(shè)備數(shù)據(jù)庫(kù)虛擬機(jī)Web漏洞操作系統(tǒng)漏洞數(shù)據(jù)庫(kù)漏洞安全協(xié)議漏洞邏輯缺陷弱口令信息泄露遠(yuǎn)程滲透本地滲透信息收集漏洞挖掘漏洞驗(yàn)證網(wǎng)絡(luò)結(jié)構(gòu)分析網(wǎng)絡(luò)安全域分析網(wǎng)絡(luò)流向分析上線(xiàn)流程管理制度新系統(tǒng)檢測(cè)整改建議專(zhuān)家咨詢(xún)?cè)破脚_(tái)租戶(hù)安全平移租戶(hù)安全防護(hù)整體構(gòu)架租戶(hù)各類(lèi)流量全流程分析租戶(hù)針對(duì)網(wǎng)站類(lèi)業(yè)務(wù)的安全防護(hù)手段滿(mǎn)足等級(jí)保護(hù)要求的產(chǎn)品選擇04云租戶(hù)業(yè)務(wù)安全防護(hù)構(gòu)架數(shù)據(jù)庫(kù)應(yīng)用虛擬NGFW負(fù)載均衡虛擬數(shù)據(jù)中心虛擬子網(wǎng)Web防御類(lèi)安全資源池監(jiān)控類(lèi)安全資源池虛擬堡壘機(jī)漏洞掃描虛擬Web

12、防火墻VLBVFW日志審計(jì)虛擬化殺毒業(yè)務(wù)訪問(wèn)流量租戶(hù)內(nèi)部訪問(wèn)流量日志及審計(jì)流量用戶(hù)訪問(wèn)租戶(hù)內(nèi)網(wǎng)站業(yè)務(wù)防護(hù)方案旁路部署抗拒絕服務(wù)系統(tǒng)旁路分析在線(xiàn)清洗網(wǎng)頁(yè)防篡改服務(wù)器安裝監(jiān)控端租戶(hù)邊界防火墻Internet云平臺(tái)邊界防火墻數(shù)據(jù)庫(kù)區(qū)DB Server網(wǎng)站服務(wù)器區(qū)殺毒管理交換機(jī)APP VMWEB VMURL請(qǐng)求SQL請(qǐng)求虛擬交換機(jī)SQL請(qǐng)求專(zhuān)業(yè)安全服務(wù)安全加固修復(fù)14鏡像審計(jì)網(wǎng)站安全監(jiān)測(cè)中心虛擬運(yùn)維審計(jì)系統(tǒng)3應(yīng)用交付系統(tǒng)虛擬Web應(yīng)用防火墻2查現(xiàn)狀：網(wǎng)站安全狀態(tài)評(píng)估服務(wù)防入侵：部署設(shè)備進(jìn)行安全防護(hù)后審計(jì)：軟件系統(tǒng)監(jiān)測(cè)審計(jì)分析補(bǔ)不足：全業(yè)務(wù)安全加固服務(wù)安全防護(hù)步驟服務(wù)交付租戶(hù)安全服務(wù)目錄基于服務(wù)鏈技術(shù)的軟件定義安全，策略隨需而動(dòng)邊界安全NGFW（IPS/AV）負(fù)載均衡Web應(yīng)用防火墻（NFV）東西安全防火墻（NFV）負(fù)載均衡（NFV）網(wǎng)頁(yè)防篡改/主機(jī)防病毒應(yīng)用安全身份認(rèn)證/數(shù)據(jù)加密CA基礎(chǔ)環(huán)境Web漏掃運(yùn)維安全網(wǎng)站監(jiān)測(cè)中心日志審計(jì)/運(yùn)維審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)漏掃云租戶(hù)安全防護(hù)典型產(chǎn)品選擇01租戶(hù)邊界防護(hù)下一代防火墻：2臺(tái)應(yīng)用負(fù)載均衡：2臺(tái)02安全運(yùn)維虛擬化堡壘機(jī)：按租戶(hù)漏洞掃描系統(tǒng)：按租戶(hù)日志采集：按租戶(hù)認(rèn)證加密：按租戶(hù)網(wǎng)站監(jiān)控中心：按租戶(hù)03應(yīng)用防護(hù)虛擬防火墻：按租戶(hù)虛擬負(fù)載均衡：按租戶(hù)服務(wù)鏈：高級(jí)功能虛擬化殺