山石云·格帮助汽车金融公司符合行业监管要求

价值

• 充分利用软件定义安全，在云内动态调整安全域及访问控制隔离策略。
• 不改变三层拓扑情况下实现业务系统和虚机微隔离与访问控制。
• 满足行业信息安全监管要求。
• 长期监测虚机间通信、应用、威胁可视情况，为虚拟化系统运维提供支撑。

概要：山石云·格协助多个汽车金融公司实现云内应用系统之间隔离、访问控制和安全防护，让汽车金融机构能够在云计算环境中符合行业信息安全监管的要求。

需求分析               

中国汽车消费市场持续升温，自2009年至今连续多年蝉联世界汽车产销量榜首，同时2016汽车金融市场近万亿人民币规模，增速25%左右，成为快速发展的细分金融市场。自主品牌汽车和旗下汽车金融公司，是整个市场中快速崛起的力量。

中国政府对汽车金融企业的管理非常严格，汽车金融行业由中国银行监督管理委员会进行管理，制定有《汽车金融公司管理办法》，整体管理标准接近银行业的监管水平。

高标准、高要求，同样体现在信息化建设和监管上。对于汽车金融公司，信息系统是业务开展的核心，业务人员遍及各地，审核、评估、贷款绝大部份工作都依托于信息系统。汽车金融公司的整体信息化水平，整体网络安全防护水平要求与银行业看齐。

对于成立时间不长、业务高速发展的自主汽车金融公司来说，难以像银行那样投入巨资建设高水平的数据中心，通常选择租用城商行数据中心，划定专有区域，托管自己的信息系统，满足行业监管部门对信息系统安全从物理、网络到数据的全面要求。随着业务快速发展，不断增加的新业务系统，让有限的托管空间成为业务发展的“天花板”。

服务器虚拟化、云计算技术近年来得到快速发展逐渐成熟，经过严格测试，国内汽车金融公司开始在数据中心中部署VMware的服务器虚拟化系统，并将一些新兴的对性能要求不高的系统、软件运行在虚拟机上。这样既节省了宝贵的机房空间，同时也满足了业务快速发展的需求。但新的问题再次摆到面前，使用服务器虚拟化之后，如何按照银监会的要求，做到安全域的有效划分和隔离，满足行业监管要求，加强信息安全防护？

解决方案

多个国内自主品牌汽车金融用户采用了山石云·格微隔离和可视化产品，配合硬件防火墙以及网络结构的调整，在服务器虚拟化环境，实现了符合行业监管要求的安全防护。同时借助山石云·格实现虚拟化环境中的业务深度可视、微隔离，保护信息系统安全。

在基础网络防护隔离上，通常汽车金融的IT团队，会首先利用利用交换机、硬件防火墙、虚拟交换机做部分安全域划分、隔离和访问控制，主要涉及部分未采用或部分采用虚拟化技术的业务系统以及这些系统内部安全域的划分隔离。在这一基础上，山石云·格主要承担在虚拟化计算资源池内部更深度的安全域划分、隔离和访问控制。另外，由于汽车金融新业务不断涌现，一些新业务初期上线时，尚不具备独立分配IP地址段，并用硬件防火墙、VLAN进行有效隔离条件。真对这些可能前期混在其他系统网段中的业务，用户使用山石云·格进行微安全域的划分、隔离和访问控制。山石云·格充分发挥软件定义安全的优势，可以在在同一广播域（网段）内，对虚机间进行更细致的隔离和访问控制，实现更深度的安全防护，同时不需要对三层网络做过多调整，降低配置维护工作量。

山石云·格的可视化功能是用户使用最多的功能。用户表示，除了安全防护以外，山石云格的可视化功能对日常运维和排障也非常有帮助。用户使用山石云·格的可视化功能，长期监控不同业务之间通信情况，业务系统内虚机之间通信情况，观察虚机间交互关系、流量、流向，使用哪些应用，并将长期监测数据作为运营维护的重要参考依据。

运行效果

山石云·格上线前，在这些用户的测试环境中进行了长时间的严格测试，迄今山石云·格产品稳定运行。