天融信在本项目中采用了三层纵深安全解决方案。首先,平台层安全从分区分域的安全设计理念出发,将政务外网和互联网区划分了边界安全区、安全接入区、安全管理区、云计算区,边界安全区通过下一代防火墙、入侵防御、WAF、APT监测、抗D等设备为进入云数据中心和访问云平台服务的流量提供了有效的攻击检测和防御能力,安全接入区通过部署双因子认证VPN系统为远程运维提供了加密隧道保障,安全管理区通过堡垒机、日志审计、数据库审计、态势感知等安全系统为云平台自身的运行维护提供了集中的审计和威胁呈现、安全运营分析能力,云计算区通过天融信EDR产品保障了云平台宿主机安全,基于先进的轻量级虚拟沙盒技术防御病毒和漏洞攻击。
其次,在云租户层南北向安全方面,通过部署天融信云安全资源池,采用VMP技术将多种安全能力虚拟化,利用流表技术实现安全服务链的动态编排,有效解决了云内不同租户业务系统间的隔离、攻击检测和防御、等保合规等问题。在满足用户网络、主机、应用、数据多个层面的安全防护的同时,天融信云安全资源池还可以为云上各个业务系统提供差异化的专属安全防护、深度威胁检测和精准安全审计能力,全面满足各委办局租户单位的差异化安全需求。同时,其云安全能力支持按需开通,根据委办局单位的具体需求进行安全能力配置,极大提升云平台硬件资源的利用率,节约运营成本。
天融信云安全资源池和云平台的身份认证体系进行了集成对接,实现用户可从云平台直接单点登录到云安全管理平台,避免了在多个平台间的反复登录,提升了运维人员的运维操作体验。当前,四川省某州政务云仅使用了云安全资源池中一部分的安全能力,后续委办局或监管单位提出了新的安全需求,天融信云安全资源池还可通过扩容授权的方式快速上线新的安全能力,以快速响应电子政务领域的新需求,提升用户对云安全服务的满意度。
最后,在云主机层东西向安全方面,通过部署天融信虚拟化分布式防火墙,基于严格的微分段控制虚机之间的安全通信,明确访问来源,同时依托高级威胁防护能力,针对虚机之间的入侵威胁以及恶意代码进行安全管控,实现了对云内各业务系统之间的访问控制和高级威胁防御,有效的降低了云内威胁横向扩散的风险。同时,天融信虚拟化分布式防火墙引入多维可视化模型,保证云内业务通信可视化以及威胁传播可视化,深度剖析业务通信关系,快速定位恶意威胁传播途径,以方便运维人员更有针对性的制定安全策略。
另外,天融信在四川设置的分公司、地市办事处和安全服务西南分中心配置了100多名专业的网络安全工程师,可为政务云上线运行提供有力的专业技术支持和安全服务保障。
