一、实施背景
按照某省政府出台的《政务信息系统整合共享实施方案》要求,政务信息化建设需要从根本上解决“各自为政、信息孤岛、烟囱架构、资源浪费”等问题,最大程度上整合政务信息系统,能统一从集中的数据中心获取的资源,不再重复采购硬件设备建设。
某市政府积极响应政策要求,为提升政府单位服务效率和服务能力,充分利用云计算以及大数据等先进的技术理念建设政务云平台,统筹各委办局统一接入。
其大数据局作为市政府政务云平台的主管部门,基于政务云平台用户业务的安全考虑,迫切需要一套既能保障业务系统安全稳定,快速满足等保合规,又能提高安全运营效率的云安全解决方案。
二、实施目标
主要实施目标如下:
●保障系统安全合规:保障云平台和用户业务的安全建设满足《政务云网络安全合规性指引》和等保2.0的相关合规要求。
●满足云环境下安全需求:传统的安全产品与政务云环境的契合度不高,而政务云上的业务多是涉及民生的敏感信息,这部分用户需要完全适配云环境的安全产品来保证其安全。
●提升安全运营管理水平:三分搭建七分运营,要想让政务云安全平台真正发作作用,在建成之后,需要由专业的安全人员负责云平台的运营,实现安全和效率兼顾。
三、建设内容
1.解决方案
青藤在深入了解客户实际建设需求之后,参照《政务云网络安全合规性指引》和等保2.0的相关合规要求,为该市大数据局政务云平台提出一套符合建设需求的云安全解决方案。
如图1所示,青藤政务云安全建设整体架构,围绕管理、技术、合规三个方面展开,将政务云平台的安全风险降低到用户可接受的程度,并同时满足相应法律法规的合规性要求,保障云计算服务和资源的安全。
图1:政务云安全建设整体架构
●首先,在管理方面,可分为安全运维管理、安全建设管理、安全管理流程、制度策略管理、组织架构管理,在明确各方责任的前提下,保证政务安全运营有序、流畅、高效运转;
●其次,在合规方面,青藤政务云安全方案从各方面保证云的合规安全,具体可分为云安全审查评估、等保测评、安全合规检查、政策标准落地等角度;
●最后,在技术方面,基于laaS、PaaS、SaaS三个层级,青藤政务云安全方案在主机安全、容器安全、数据安全等多种个技术领域坚持创新研发,掌握了设计政务云安全的多种核心技术。
该方案结合青藤“先进云安全方案CNAPP”的整体解决方案,以CWPP为中心提供预测、防御、检测和响应等云安全能力,向左覆盖开发安全,向右提升应用运行安全,向下强化云环境安全,向上提升智能安全运营能力。重要的是,它是原生化的、融合化的、服务化的和智能化的。
原生化:体现在从开发阶段扩展到运行时阶段,提供完整生命周期的安全保障能力;
融合化:体现在青藤提出的“业安融合”理念,实现能力、体系和流程的融合,把安全和业务融为一体,例如将安全融合到DevSecOps的流程中,拉齐安全、开发和运营实践等;
服务化:体现在先进云安全方案的落地实施不能仅依靠工具,同时需要专业的安全服务人员、标准的服务流程以及云原生架构底层服务平台结合到一起发挥最大价值;
智能化:体现在安全上移提升云端大数据分析及智能安全运营能力。例如利用可扩展分布式图计算技术降低海量大数据告警噪音、实现基于上下文的增强检测、提升安全事件响应效率。
无论是数据链的打通、安全能力的协同联动,还是可视化工作负载,青藤“先进云安全方案CNAPP”提供了政务云完整的生命周期安全保障能力。
四、实施效果
青藤政务云安全的整体交付方案既帮助客户全面满足合规需求,打破了“各自为政”的信息孤岛现象,同时搭建了政务云的安全防护壁垒,提升了安全运营的工作效率。