首页 安全服务 安全产品与解决方案 典型案例 关于长城网际 企业文化 招贤纳士 联系我们
 
 
 
云安全套件 首页 > 安全产品与解决方案 > 云安全套件

云计算的安全问题


   云计算是继并行计算、网格计算、效用计算等之后的又一个新的计算概念,能够通过资源共享极大地降低运营成本、提高计算效率和系统稳定性,被视为计算机领域的又一场革命。

 

  随着传统环境向云计算环境的大规模迁移,云计算环境下的安全问题变得越来越重要。相对于传统安全,云计算的资源虚拟化、动态分配以及多租户、特权用户、服务外包等特性造成信任关系的建立、管理和维护更加困难,服务授权和访问控制变得更加复杂,网络边界变得模糊等问题使其面临更大的挑战。特别是电子政务云的实践表明,云的安全成为最为关注的问题。

 

云安全套件
   长城网际云安全套件依据信息系统等级化保护等国家标准,针对资源虚拟化、动态分配、多租户、特权用户、服务外包等云计算新的特性引起的安全新问题而设计开发的安全产品。


   云安全套件遵照GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》中提出的“一个管理中心支撑下的三重防御”设计思路,通过计算节点的服务器深度防护和终端安全防护,同时将运维服务融入到云平台的安全管理、安全监控和合规审计之中,形成云安全防护体系。着重解决了因云计算而衍生的新的安全问题。

  “网际云安全套件”以安全策略管理为核心,以密码技术为基础,以可信机制为保障,能够实现云计算环境下的计算节点深度防护、终端安全接入、业务应用安全隔离、资源授权共享和计算环境的可信度量,从而提升云计算数据中心的安全保障,使之达到GB/T 22239-2008《信息安全技术 信息系统等级保护安全基本要求》三级或三级以上要求。


云安全套件以产品形式集成到云平台中,同时以持续的安全服务方式提供给用户,保障用户业务系统安全。广泛适用于电子政务云和电子商务云平台。


功能说明


   网际云安全套件从计算节点防护、虚拟化安全保护、业务与应用隔离等六个方面对云中心提供安全保护。从网络边界到虚拟节点逐层安全保护,按照一个中心、三重防护设计思路,对整个云中心及其各个模块实行安全防护。

计算节点深度防护


双因子身份认证机制,确保对服务器的特权操作必须经过强身份认证;
程序白名单控制,所有进程只有在度量结果和预期值一致的前提下,才允许运行,防止恶意代码在被保护的节点环境中运行;
文件强制访问控制,杜绝重要数据被非法篡改、删除、插入等情况的发生,全方位确保重要数据完整性不被破坏;
服务完整性检测,记录和对比系统中所有服务的基本属性及内容校验,进行完整性检测;
全息记录重要服务器上的所有特权操作,以供取证;


虚拟化安全保护


虚拟机边界防护,对KVM、VMware等虚拟机实施安全增强;
信任链传递,对服务器节点实现基于物理可信根的可信认证、可信存储、可信度量功能;
对虚拟设备CPU使用、内存占用、I/O通信提供安全控制;
虚拟机镜像动态加密,确保镜像文件任何情况下全程加密保护;
虚拟机迁移保护,保障虚拟机动态迁移时数据机密性、完整性、可用性及安全规则同步迁移;
虚拟机数据销毁,虚拟机删除时可有效同步销毁其所承载的数据;

 业务与应用隔离
 

依据安全等级、业务身份等不同划分不同的 “可信安全域”进行管理;
不同安全域之间设立防护边界,实施计算节点、网络、存储等多维度安全隔离;
设立数据交换中心,提供不同业务系统安全、可控的数据交换平台;
将管理网络与数据网络进行隔离,提供高可靠性管理平台
应用运行状态监测响应,确保单个应用出错不会扩散到其它应用


云安全管理平台


安全策略管理系统,对整个云平台的安全策略进行统一管理,完成安全策略的统一制定、下发、更新等操作
运行监控管理系统,融合了网络监测、系统监测、应用性能监测、安全事件与日志监测、虚拟化监测及集中事件处理等管理功能
多租户管理系统,统一访问控制,统一认证授权
合规审计管理系统,对客户网络设备、安全设备、主机和应用系统的各类日志进行集中采集、存储、审计处理
虚拟节点迁移管理系统,配置、管理虚拟节点动态迁移,实现虚拟节点安全规则的同步迁移

大数据保护

数据存储加密,使用透明加解密技术,在保障数据安全的同时不影响用户使用
数据防泄漏,综合利用数据库及文件行为监测、强制访问控制、数据加密等多种技术,有效防止敏感数据泄漏
数据传输保护,建立安全传输通道,保障数据传输过程中的机密性、完整性、可用性
对数字内容进行加密和附加使用规则对数字版权进行保护
 

云终端可信接入


使用终端内置安全插件对终端安全状况进行检查及可信接入控制,实施终端的安全审计
通过私有协议和加密技术提供终端到云服务器的数据传输安全保障
通过硬件令牌对终端用户进行身份认证和数据访问控制,实现强准入控制和数据保护

产品三大优势

安全可信  国内首个符合GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》标准的安全产品。
自主可控  以我国自主密码技术为基础,利用可信计算机制,实现完整性检查,平台身份认证,构建完整的安全保障技术体系。
面向运维  以运维服务为中心,安全态势可视化管理,提供丰富且无需代理的多厂商IT设备探测和监控,实时事件分析和长期事件管理的通用解决方案。


产品部署示意图


云安全套件包含了云安全管理平台、合规审计系统和多个安全组件,其中云安全管理平台和合规审计系统为软硬件一体化产品,部署于网络中路由可达位置,安全组件以软件形式部署于云中一台虚拟设备中,使用集中式管理,能够将服务、用户、网络、安全、服务器、中间件等进行监控、管理,大幅度提升工作效率,同时关联分析网络中个系统的日志,提供全维度、跨设备、细粒度的合规分析报表。



Copyright 2012 中电长城网际系统应用有限公司 版权所有 All Rights Reserved 京ICP备12045174号-1
网站地图 | 法律声明 | 联系我们