1、多态云安全治理方案目录现有安全方案的整理与反思多态云安全治理方案云安全治理带来的新思路目录云安全现状0%20%40%60%80%100%被DDoS攻击次数被植入后门数量被篡改网页数量2019年上半年云上业务安全事件统计云平台其他0%20%40%60%80%100%DDoS攻击次数DDoS攻击源IP数量承载的恶意程序种类数量恶意程序控制端IP数量2019年上半年云平台被利用安全事件统计云平台其他数据来源于CNCERT2019年上半年我国互联网网络安全态势 云服务商应提供基础性的网络安全防护措施并保障云平台安全运行 云用户对部署在云平台上的系统承担主体责任等保2.0云计算扩展要求责任划分 SaaS

2、：硬件、虚拟机监视器、操作系统、中间件和应用等 PaaS：硬件、虚拟机监视器、操作系统和中间件等 IaaS：虚拟机监视器和硬件等云服务方 SaaS：部分应用职责及用户使用职责 PaaS：应用等 IaaS：操作系统、中间件和应用等云租户传统安全方案短板明显单一解决方案难以覆盖全部场景传统解决方案容易造成资源浪费安全建设与管理思路通常有偏差终端安全工控安全内容安全应用安全边界安全鄙视链AVADSIPSFWVS云硬件堆叠换个姿势继续堆叠立体防护资产不清合规安全责权不清杠精传统安全方案短板明显安全边界模糊资产宿主和运营分离安全审查乏力SaaSPaaSIaaS线上线下？按边界划分安全域思路不再适用宿主和

3、运营分离隐藏的管理风险云上资产形式多变且属性不明确云安全面临的挑战与需求 资产清晰。租户与运营方都应明确知晓被托管资产的属性及安全状态 全面覆盖。既要满足南北向安全，又要保证东西向安全 生态性。内部数据需要共享，外部数据也需要联动业务需求 用户管理。需要满足最终用户自助管理安全服务的需求 运维管理。需要具备统一集中的管理运维方式 责权清晰。管理边界需要清晰，保护资产需要多重备案管理需求 半即插即用部署，按需动态扩容 丰富的兼容特性，具备冗余可靠性部署需求 满足网络安全法要求 符合等保2.0基本要求及云计算安全扩展要求，符合云计算服务网络安全审查要求合规需求 场景化。需满足不同场景的个性化需求

4、行业性。需适应不同行业的定制化需求个性需求云环境下的资产多变、属性繁杂，宿主与运营分离，安全面临新挑战目录现有安全方案的整理与反思多态云安全治理方案云安全治理带来的新思路目录资产全生命周期治理方案 内部、对外系统梳理 核心资源、云资产梳理 僵尸/双非系统清理资产摸底 数据中心内部备案体系 漏洞评估体系 上线审核体系备案审核 合规性防护体系 立体化防御体系立体化防御 定期篡改监控/漏洞监控 异常流量监测 日志审计自动化运营 一键断网/一键下线 应急预案和管理制度紧急响应“五步法”资产治理方案应急处置合规安全资产梳理针对云环境的安全治理方案资产审查备案管理立体化防御自动化运营应急响应云治理自助服务

5、管理/管理APIs云防护云监控云联动安全能力云模式运营安全能力模块虚拟化安全能力形成云生态场景化组合方案符合多形态云环境安全需求的治理方案多态云安全治理方案核心工作流云上新增资产云上现有资产线下关键资产合规性审查安全性审查云监控备案管理学习资产属性划分资产安全域云防护应急处置问题整改资产梳理上线运营安全能力云模式运营安全云云监控云防护云治理用户业务托管敏感词监控DNS牵引路由牵引内容监测漏洞探测资产学习准入管理AgentAgent服务输出篡改监控漏洞监控后门监控通报预警注入/XSS清洗DDoS清洗资产学习备案管理服务套餐监控服务套餐立体防护套餐综合治理套餐安全能力云模式运营 云平台提供了分层级

6、的管理员配置，可满足垂直机构安全监管需求垂直监管 云平台输出的服务可根据不同安全需求自由组合搭配，适应各种场景场景化分配 云平台可利用策略路由、BGP路由以及DNS牵引等技术方式，接受细粒度的业务托管，提供靶向服务靶向服务用户将业务托管至云监控、云防御以及云治理平台，按照需求选择搭配安全服务组合套餐安全能力模块虚拟化私有云安全平台安全组件池vWAFvWAFvWAFvADSvADSvADSvIDPvIDPvIDP自助服务管理平台LockLockLock租户管理网络管理配置管理资源管理公有云平台安全镜像包开放接口VmwareKVMXenOpenAPIsSyslogJson租户上云业务本地业务云自身

7、管理中心安全防护安全防护服务管理事件管理租户租户A租户B租户C租户D运维安全能力模块虚拟化运维人员可进行复杂的系统管理、网络管理、组件管理；租户可自助进行服务搭配、策略选择及事件审计安全能力模块虚拟化运维人员可进行复杂的系统管理、网络管理、组件管理；租户可自助进行服务搭配、策略选择及事件审计安全能力模块虚拟化 镜像+API的交付方式，兼容性开发工作量小 系统资源可动态扩展，满足弹性配置需求部署方便 松耦合的管理方式，租户进行简单的自助管理，运维负责复杂的专业管理，边界清晰管理便捷 既拥有关键数据的本地私有云安全方案，也满足公有云业务的东西向安全方案覆盖面广安全能力形成云生态本地防护BCA云情报

8、联动安全情报云攻击采集情报同步僵尸网络恶意代理TOR节点云防护联动安全防护云自动牵引流量回注二次清洗安全能力形成云生态 通过开放的生态，传统安全厂商与云安全厂商可以形成深度合作，为用户提供组合方案生态合作 通过开放的API，传统产品与云产品可以实现能力互补，将南北向安全与东西向安全合理结合，同时扩展各自的能力范围协同防护 通过信息共享，实现产品与产品间不同类型数据的同步，构建在态势分析、攻击取证等环节的完整链条信息共享独立产品与云产品互通API，通过本地集成管理接口，实现统一管理，形成协同联动生态体系目录现有安全方案的整理与反思多态云安全治理方案云安全治理带来的新思路目录结合行业的交付能力公安

9、部等级保护标准行业信息安全规范规范基于以资产为核心的“五步法”资产治理体系网络设备发现云上资产感知业务系统发现资产梳理网络性能评估网络安全评估主机漏洞设备漏洞网络日志分析风险评估可持风险续监控对拓扑的自动发现全流量监控自动化运营建立纵深防御体系立体化防御对关键性资产出现威胁的关停/下线处置通报与应急处置资产感知能力态势感知能力追踪溯源能力情报感知能力自动化运营能力在等级保护与行业安全规范的大框架下，运用云计算的思想集约调度资源，以资产为最小安全域构建有针对性的解决方案，基于“五步法”安全保障体系建设，整合多种形态的云安全能力，形成全生命周期治理方案结合生态的交付能力AIRouterSwitch

10、SecoManagerCIS 沙箱控制器基于意图的安全控制器，智能策略编排；自动化安全策略生命周期，节约人力；万条策略分钟级部署分析器安全态势实时感知，基于全供给链检测；基于Hypervisor的第三代沙箱；秒级联动响应云治理体系资产发现+风险监控+威胁防御+通报预警+应急处置=新一代资产综合治理体系执行器下一代防火墙、入侵检测防御；Web应用防护、终端安全查杀；全维度联动协防体系SDNNGFW IPSWAF ADSAntiVirus结合生态的交付能力AIRouterSwitchSecoManagerCIS 沙箱SDNNGFW IPSWAF ADSAntiVirus云治理体系资产发现+风险监控+威胁防御+通报预警+应急处置=新一代资产综合治理体系将盛邦现有的信息资产安全治理体系与SDSec方案充分耦合，通过标准化的规范和接口，做到信息共享，横向扩展资产发现范围，纵向拓展资产治理深度协同、联动网络控制器，实现风险预警和处置时策略自动调整及适应；改变传统的信息翻译和传递过程，将处理流程规范、闭环和简化基于主被动结合探测的方式进行场景化建模；基于信息共享做完整画像通报预警资产发现风险监控应急处置威胁防御资产治理THANKS