江苏省统计局用云格实现业务隔离

价值

• 利用软件定义安全实现云内微安全域动态调整
• 为虚机提供2-7层全面安全防护
• 云内应用、威胁可视
• 遵从行业云计算安全标准，符合行业技术规定

概要

江苏省统计局利用山石云·格实现云计算环境中多个安全域之间的隔离，解决了在云计算环境中缺乏有效安全防护手段的难题。

需求分析

江苏省统计局一直坚持以广泛应用现代信息技术作为改革创新的强大支撑。但是，随着经济新常态下，越来越多的统计信息系统，以及大数据、云计算等技术的逐步应用，如何做好安全防护也成为考虑的难题。

经济新常态下，统计工作要深入到社会生产生活的方方面面，更全面、及时、精准的反应各个方面的数据，从而让国民经济发展踏上合理结构下、可持续、稳增长的新道路。充分使用现代化信息化技术正在有效的改变统计工作的生产方式。随着运行的信息系统越来越多，统计局的用户也将目光放在了云计算和服务器虚拟化技术，从而充分利用有限的物理机房空间，充分发挥计算资源的能力，提升信息应用系统的业务持续性，以及业务部署的效率。

统计系统对信息安全管理防护的要求高，在过去的系统建设中，都会按照国家标准和行业主管部门要求，每个业务系统都要求根据不同的核心数据资产划分多个安全域，各个安全域之间进行严格的隔离或访问控制策略，并按照标准要求采用防火墙、IPS等安全防护手段，进行全面防护。但是在使用云计算服务技术之后，传统的物理边界消失，采用何种安全技术手段进行防护？

解决方案

江苏省统计局采用山石云·格微隔离和可视化产品，结合硬件网络设备、网络安全设备对云计算环境的业务系统进行防护。

客户遵照系统内部要求，对不同应用和业务系统进行了安全域划分。在物理组网上，仍旧利用硬件防火墙、网闸、IPS等安全设备，配合网络的物理拓扑和VLAN设计，实现不同安全域间的隔离和防护。

在云计算环境侧，客户一方面按照已有国家标准、行业主管部门要求进行规划，同时还参考了正在制定的云计算相关技术标准，以期做到向后兼容。首先，用户按照行业主管部门和国家已有及制定中标准，选择了可以在云计算环境运行的应用虚机和业务系统。参照正在制定的云计算安全标准技术要求，进行了虚拟计算资源池的规划。而后在物理网络完成基本安全域隔离防护后，通过在云计算资源池中部署山石云·格进行深度防护。用户充分利用山石云·格微隔离的技术特性，在云计算环境中进行了不同业务系统，业务系统内不同安全域之间的隔离，以及安全域之间的应用访问控制。

山石云·格单一vSSM模块集成了2-7层的全面防护，可以实现下一代防火墙、IPS等多种安全功能。采用专利引流技术（发明专利ZL201410300904.6）的山石云·格，以及全面集成的安全功能，分布式处理架构，在对虚机和应用系统防护时还减少了网络配置的麻烦，不需要将防护目标的流量引入到外部设备上。VNF（虚拟化网络功能）的山石云·格可以充分利用物理服务器的通用计算资源，可以按需进行扩容调整。同时用户使用山石云·格的可视化功能，对云内应用情况进行监控，实时观察云内虚机间网络通信情况。

运行效果

山石云·格在统计局内部正常运行。山石云·格解决了在云计算资源池中，更细致的安全域划分，实现了对主管部门安全建设要求规范、国家已有标准的遵从，同时充分考虑了云计算环境中安全防护的特殊性，比如在虚机迁移时，依旧为虚机提供全面的安全防护。同时，用户使用山石云·格的透视镜功能，实现了云内部应用、威胁的可视，较好的了解了云内部存在的问题。