信息化觀察網(wǎng)

天融信在本項(xiàng)目中采用了三層縱深安全解決方案。首先，平臺(tái)層安全從分區(qū)分域的安全設(shè)計(jì)理念出發(fā)，將政務(wù)外網(wǎng)和互聯(lián)網(wǎng)區(qū)劃分了邊界安全區(qū)、安全接入?yún)^(qū)、安全管理區(qū)、云計(jì)算區(qū)，邊界安全區(qū)通過(guò)下一代防火墻、入侵防御、WAF、APT監(jiān)測(cè)、抗D等設(shè)備為進(jìn)入云數(shù)據(jù)中心和訪問(wèn)云平臺(tái)服務(wù)的流量提供了有效的攻擊檢測(cè)和防御能力，安全接入?yún)^(qū)通過(guò)部署雙因子認(rèn)證VPN系統(tǒng)為遠(yuǎn)程運(yùn)維提供了加密隧道保障，安全管理區(qū)通過(guò)堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、態(tài)勢(shì)感知等安全系統(tǒng)為云平臺(tái)自身的運(yùn)行維護(hù)提供了集中的審計(jì)和威脅呈現(xiàn)、安全運(yùn)營(yíng)分析能力，云計(jì)算區(qū)通過(guò)天融信EDR產(chǎn)品保障了云平臺(tái)宿主機(jī)安全，基于先進(jìn)的輕量級(jí)虛擬沙盒技術(shù)防御病毒和漏洞攻擊。

其次，在云租戶層南北向安全方面，通過(guò)部署天融信云安全資源池，采用VMP技術(shù)將多種安全能力虛擬化，利用流表技術(shù)實(shí)現(xiàn)安全服務(wù)鏈的動(dòng)態(tài)編排，有效解決了云內(nèi)不同租戶業(yè)務(wù)系統(tǒng)間的隔離、攻擊檢測(cè)和防御、等保合規(guī)等問(wèn)題。在滿足用戶網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)多個(gè)層面的安全防護(hù)的同時(shí)，天融信云安全資源池還可以為云上各個(gè)業(yè)務(wù)系統(tǒng)提供差異化的專屬安全防護(hù)、深度威脅檢測(cè)和精準(zhǔn)安全審計(jì)能力，全面滿足各委辦局租戶單位的差異化安全需求。同時(shí)，其云安全能力支持按需開(kāi)通，根據(jù)委辦局單位的具體需求進(jìn)行安全能力配置，極大提升云平臺(tái)硬件資源的利用率，節(jié)約運(yùn)營(yíng)成本。

天融信云安全資源池和云平臺(tái)的身份認(rèn)證體系進(jìn)行了集成對(duì)接，實(shí)現(xiàn)用戶可從云平臺(tái)直接單點(diǎn)登錄到云安全管理平臺(tái)，避免了在多個(gè)平臺(tái)間的反復(fù)登錄，提升了運(yùn)維人員的運(yùn)維操作體驗(yàn)。當(dāng)前，四川省某州政務(wù)云僅使用了云安全資源池中一部分的安全能力，后續(xù)委辦局或監(jiān)管單位提出了新的安全需求，天融信云安全資源池還可通過(guò)擴(kuò)容授權(quán)的方式快速上線新的安全能力，以快速響應(yīng)電子政務(wù)領(lǐng)域的新需求，提升用戶對(duì)云安全服務(wù)的滿意度。

最后，在云主機(jī)層?xùn)|西向安全方面，通過(guò)部署天融信虛擬化分布式防火墻，基于嚴(yán)格的微分段控制虛機(jī)之間的安全通信，明確訪問(wèn)來(lái)源，同時(shí)依托高級(jí)威脅防護(hù)能力，針對(duì)虛機(jī)之間的入侵威脅以及惡意代碼進(jìn)行安全管控，實(shí)現(xiàn)了對(duì)云內(nèi)各業(yè)務(wù)系統(tǒng)之間的訪問(wèn)控制和高級(jí)威脅防御，有效的降低了云內(nèi)威脅橫向擴(kuò)散的風(fēng)險(xiǎn)。同時(shí)，天融信虛擬化分布式防火墻引入多維可視化模型，保證云內(nèi)業(yè)務(wù)通信可視化以及威脅傳播可視化，深度剖析業(yè)務(wù)通信關(guān)系，快速定位惡意威脅傳播途徑，以方便運(yùn)維人員更有針對(duì)性的制定安全策略。

另外，天融信在四川設(shè)置的分公司、地市辦事處和安全服務(wù)西南分中心配置了100多名專業(yè)的網(wǎng)絡(luò)安全工程師，可為政務(wù)云上線運(yùn)行提供有力的專業(yè)技術(shù)支持和安全服務(wù)保障。