重磅！保护政务上云的安全“盾牌”来了

一、政务难安的背后

政务服务信息化不但关系到普通民众生活而且关系到国家政务行政效率的提升，对打通政务数据建立大数据中心也起到决定性的作用，“智慧城市”、“数字+政务”等这些名词我相信就连普通的民众也不会感到陌生，相信大家已经体会到了这些名词带来的便利性。“数据多跑路群众少跑腿”，各地推行的政务一站式服务正是政务信息化发展的成果。随着云计算时代的来临，政务信息化面临这又一次飞跃，“政务上云，云上政务”，云计算不仅带来了运行维护成本的降低，更加带来的数据、计算等能力的提升。带来这些便利的同时，云计算也带来了新的安全风险。

云计算的应用带来了新的安全风险，同时由于政务上云打破了原有政务系统的清晰可见的物理边界，政务云上多租户不同的安全需求如何满足？基础设施安全如何应对等等都是政务云服务商需要面对和解决的，政务上云的背后是云服务商的对于安全管理的不安。

二、绿盟政务云安全体系

“云安全集中管理系统”NCSS协同绿盟科技及合作伙伴的安全能力共同打造政务云计算安全解决方案。采用"软件定义安全"架构，将虚拟化安全设备和传统硬件安全设备进行整合，打造成"广义安全资源池"；通过安全控制器，将池内安全能力"按需"投放到云边界和云内，并通过"云安全集中管理系统"，实现安全设备服务化和管理集中化，以及安全能力的"按需分配、弹性扩展"部署。另外，平台提供开放的API与云平台和第三方安全设备进行联动，充分利用丰富的安全能力，帮助客户构建完整、有效的云上业务系统安全防护技术体系。

以业务为中心，以风险为导向，基于安全域的纵深主动防护思想，综合考虑云平台安全威胁、需求特点和相关要求，绿盟云安全集中管理系统对体系架构、内容、实现机制及相关产品组件进行了优化设计，通过“一平台两门户”提供安全服务和安全运维功能可以保护政务云环境中的云平台及其用户的安全。

图 1绿盟科技云计算安全解决方案

“云安全集中管理系统”为政务云安全建立了一套由边界到VM主机，由预警监测到主动防御，由数据分析到溯源追击，由云端威胁情报源到本地联动，由平台日常运维到安全服务运营的完善体系；那么究竟是怎样的技术体系和积累才能支撑如此的解决方案呢？

三、体系背后的技术支撑

云计算解决安全方案离不开绿盟科技在安全领域的数十年积累，客户对于云计算安全的需求我们同样也铭记在心，那么我们尝试着给这些需求分分类，第一类：对于安全风险的不确定性，需要安全措施的不断补充和完善；第二类：安全能力的集中管理和调度；第三类：打破数据孤岛效应，数据分析与安全治理；第四类：专业的事需要专业的人来做；也正是这四类大的需求引导着我们的技术体系；

图 2技术支撑体系

广义安全资源池：基于NFV网络功能虚拟化打造的虚拟化安全资源池及基于开放API架构设计支持第三方硬件、软件、虚拟化接入，上述这些组成了NCSS云安全集中管理系统定义的广义安全资源池，既能满足安全种类的横向扩展也可以提供给客户不同的安全厂商选择。同时，虚拟化安全资源池可以实现安全能力的服务链编排，按照不同云租户选择的安全服务依次通过安全虚拟化设备，虚拟化设备不但可以多租户复用以提升设备利用率，更可以实现服务链中设备宕机时仅bypass过宕机的安全虚拟机；配合安全资源池的高可用设计还可以针对不同租户实现主备服务链，不但保证业务不中断，更保护安全不中断。广义安全资源池满足客户第一类需求，随客户业务按需选择安全能力并且通过服务化快速交付。

安全控制器：云安全集中管理系统的大脑，控制与转发分离承载上层业务逻辑及控制广义资源池；控制中台根据业务层的需求基于广义资源池的北向接口对资源池能力进行管理调度，安全服务的编排、防护流量的牵引、客户云网络的管理适配、安全能力策略管理等是安全控制中台的主要功能，这样正满足了客户第二类需求，对安全能力的集中管理和调度。

智慧安全：广义安全资源池只解决了设备的集中管理和数据的集中采集，那么隐藏在数据背后的风险又怎么解决呢？智慧安全携带威胁分析引擎、数据安全治理、全流量数据分析、漏洞管理、云地威胁情报等打破数据的枷锁，对数据进行深度挖掘；不必为数据的集中导致越权访问而感到担心，智慧安全在采集数据时会依据租户标识对数据进行标记，租户数据分别进行计算且上层业务通过逻辑隔离结合访问控制设计仅呈现给租户自己相关的数据风险展示，另外智慧安全还支持严格的操作行为审计，对租户的日常管理和操作进行留痕。智慧安全不但满足了第三类客户需求，同时也可以作为未来安全治理的一个方向。

服务运营：基于智慧安全提供安全运营服务，以平台为依托更好的服务于客户；安全运营服务主要分为两个部分，一个是传统的安全服务，包含安全巡检、基线核查、代码审计、渗透测试、合规检查、安全职守、应急响应等等，另一个就是基于平台的功能体系提供运营服务；正所谓“闻道有先后，术业有专攻”将安全交由专业的安全团队在国外已经成为主流；当然也可以由甲方建立自己的安全团队，但对于人员的培养、维护都不及专业的安全公司，其实完全可以采用更加轻松的管理方式，即甲方主导的安全团队负责日常的合规监管和审计，而专业的安全服务及运营以服务的方式交由第三方安全厂商去做并签订SLA，这种做法越来越多的受到了市场的欢迎，也解决了第四类需求专业的人做专业的事。

四、带给客户的价值回报

1. 快捷的安全服务交付体验

改变传统硬件设备及虚拟化设备部署的交付方式，无需改造现有网络，以安全服务的方式快速交付客户，随客户业务需求的动态变化，订购安全服务的种类及规格；提供安全服务的统一监控及管理，提升运维管理效率。

2. 专业的全生命周期安全运行维护

依托云安全集中管理系统的功能模块辅助专业的安全运营团队，为客户带来安心的上云体验；打通云地数据一体，借助强大的云端数据及分析能力为本地客户提供智慧安全服务；同时专业的安全运营团队解决了客户安全人才培养的问题，在服务过程中不断深化改革提升服务质量，同时完善服务流程及体系，为客户带来专业、完善的安全运营服务。

3. 让安全合规更容易实现

通过广义安全资源池覆盖安全合规所需要的技术措施，以安全服务的方式快速交付客户，满足客户系统的定级要求；提供可视化的策略、日志、报表、审计管理，协助客户业务系统测评及日常运维。

五、写到最后

根据中国信息通信研究院《信通院2019云计算报告》中关于政务云的市场趋势报告，2018年,我国政务云市场规模达370.8亿；在我国31个省级行政区（不含港澳台）中，已实现100%已经建有或正在建设（完成招标）政务云； 334个地级行政区中，超七成已经建有或正在建设（完成招标）政务云；政务上云势不可挡，绿盟科技云安全集中管理系统NCSS让政务上云不再难安，客户安心上云，将安全交给我们。