客户案例｜政务云安全怎么做？山石云·池有方案

---

客户背景

按照某省政府出台的《政务信息系统整合共享实施方案》要求，政务信息化建设需要从根本上解决“各自为政、信息孤岛、烟囱架构、资源浪费”等问题，最大程度上整合政务信息系统，能统一从集中的数据中心获取的资源，不再重复采购硬件设备建设。某市政府积极响应政策要求，为提升政府单位服务效率和服务能力，充分利用云计算以及大数据等先进的技术理念建设政务云平台，统筹各委办局统一接入。

建设需求

随着云平台上租户上云数量的逐渐增加，资源的集中使云平台也更容易成为被攻击的目标，云上安全问题成为租户业务上云重点要考虑的问题。某市大数据局作为市政府政务云平台的主管部门，基于政务云平台租户业务的安全考虑，迫切需要一套既能保障租户业务系统安全稳定快速满足等保合规，又能提高安全运维工作效率的云安全解决方案，其主要安全建设需求如下：

保障安全合规

保障云平台和租户业务的安全建设满足《政务云网络安全合规性指引》和等保2.0的相关合规要求。

满足租户安全需求

不同租户业务安全能力要求不同，具有多样化的安全需求，需要提供满足不同租户对安全的差异化和个性化需求的安全能力。

实现权责分离

业务上云后，云平台与租户间的运维管理界限不清晰，客户期望按照云等保的要求，实现平台侧与租户侧的权责分离。

安全运维管理

既需要云平台统一的安全管理，又需要具备租户安全策略自管理和自主运维能力，提升云平台与租户的安全运维管理效率。

解决方案

山石网科通过深入了解客户实际建设需求，参照《政务云网络安全合规性指引》和等保2.0的相关合规要求，为该市大数据局政务云平台提出一套符合建设需求的云安全资源池解决方案。通过在政务云数据中心旁路部署山石云·池一体机，与云平台解耦合，采用策略引流的对接方式与云平台进行网络打通。基于山石网科云·池一体机提供丰富的安全防护能力包括防火墙、WAF、数据库审计、日志审计、漏洞扫描、堡垒机等安全资源，具备安全检测、防御、运维管理和审计等功能，满足身份鉴别、访问控制和日常合规安全管理等相关要求，构建云内安全的全面的防御体系。

图注：某市大数据局政务云安全一期项目拓扑图

本方案支持基于租户业务的安全需求，按照实际情况可自定义选择安全能力，更好地满足不同租户间差异化和个性化的安全需求。方案提供云平台的统一管理门户和租户管理门户，云平台管理员、云安全管理员以及租户根据职责、权限被赋予了不同的管理能力，实现云平台和租户的权责分离。

图注：山石云·池构建政务云安全运维监控中心

图注：山石云·池构建政务云安全威胁监控中心

云平台统一管理门户实现安全资源在云端可见，可对安全资源池中的租户、安全资源、安全网元镜像、许可授权等做统一的管理与监控。租户管理门户可实现对拥有的安全资源进行管理、下发、运维等操作，实现与云平台一样的自主化管理服务。同时，云·池一体机的整体交付方案既降低了硬件的建设成本，又节约了机房空间，降低硬件维护难度的同时，实现了快速交付，提升了安全运维的工作效率。

方案价值

全面满足合规要求

山石云·池的应用不仅补齐了云平台安全体系的不足，而且帮助用户构建了面向云安全业务合规的租户安全服务平台，完成云上业务的等保合规建设。

安全资源按需配置

山石云·池不仅可以满足租户等保合规的建设，而且可以根据不同租户业务的差异按实际安全建设需求自定义选择安全能力；支持租户可根据安全环境对现有的安全网元规格进行调整以满足不断变化的安全需求，同时支持安全网元许可的动态分发与回收，充分保障用户利益。

统一管理简化运维

山石云·池可以分别为云平台与租户提供安全管理门户，实现安全资源的统一运维管理、安全服务状态统一监控、安全服务链自动编排、运维信息与威胁信息大屏展示等功能，可对平台中的安全网元、安全套餐、许可授权等做统一的管理与监控，简化运维工作，提高安全运维管理效率。