JX政务云项目案例

项目背景： 嘉兴市政务专有云以“一云、两重、惠民生”为建设目标，即所有局委办统一迁移到一朵云上；保证市场监管局、社保局、审计局等关键重载业务的迁移；把老百姓关注的民生问题作为服务的重中之重，将服务民生、简化流程，支持大众创业、万众创新真正落到了实处。 项目需求： 嘉兴政务专有云已完成云平台基础架构建设，为了提升政务云安全服务能力，拟在现有安全基础上，依据相关标准和规定，从技术和管理等方面进行安全加固，建立云平台、云主机、云网络、云数据一体化的安全防护体系；明确安全策略目标、工作流程和责任界面，建立安全管理体系；建立集中监控和运维管理措施，实现主动、可视、可防、可知、可管、云化的安全管理机制，提升安全监控、防护和管理能力。 一、事前有评估、检测、加固、演练和培训 （1）安全管理体系建立。事前评估与检测、事中监测与防护、事后响应与分析的安全服务体系；安全工作责任界面及安全管理制度；安全流程规范与标准的安全基线。 （2）针对专有云进行综合安全评估，识别安全威胁和脆弱性，制定风险整改优化建议方案，协助云平台服务提供商进行云平台安全风险整改、加固等工作，通过政务专有云平台的安全等保测评，协助应用单位做好等保测评等工作。 （3）业务上云前合规性检查。操作系统、应用中间件、数据库等的安全漏洞进行安全检查、安全评估；按照安全基线标准进行安全配置基线检查，要求对未达到安全基线的业务系统进行整改加固，确保上云前符合业务上云合规性要求。 （4）安全预警，最新的业界重大安全事件、安全动态、信息安全漏洞等安全预警信息，自查自检，规避安全风险。 （5）安全应急预案，应急演练，优化安全应急预案和流程。 （6）安全培训，提高运维人员的技能水平及安全防范意识。 二、事中有监控、防护、运维和分析 （1）统一集中的安全管理平台，对各类安全设备、网络、云平台、云主机的安全事件、告警、日志和访问等情况进行统一监控、呈现，及时识别和报警异常状态。 （2）提供云平台以及云主机进行有效安全防护，有效控制各类恶意攻击、扫描、暴力破解、异常访问、漏洞、木马、病毒等安全问题。 （3）建立统一运维体系。使用统一身份认证、双因子认证、运维审计及风险控制等技术，实现对云平台内重要资源的访问控制和管理，做到运维行为全程记录、运维过程事后可溯。提供安全防护机制，实现安全运维平台自身的访问控制和网络安全接入。 （4）定期安全巡检，对云平台、安全设备、应用系统进行安全漏洞、基线检查，提交安全检查报告和安全加固优化建议，协助云服务提供商完成云平台网络的安全加固，以及协助业务应用单位完成云主机的安全加固。 （5）定期对政务云的安全运行状况进行分析，包括云平台安全状态、用户操作行为统计分析，提出当前不足和问题，梳理后续工作计划。 （6）重大保障期间预案及保障机制。 三、事后有响应、处置 （1）原厂工程师至少 1 名驻场，工作时限为 5×8 小时，进行现场安全服务。重要节日和活动（政府发文明确需保障的各类会议、活动）期间，增加驻场工程师，增强服务能力，提供 7×24 小时安全监控值班服务。 （2）提供安全应急响应服务，建立安全事件应急响应机制，对出现的安全事件快速响应处置，以最大限度保障业务数据安全，减少或挽回业务损失。 （3）协助调查取证：包括对文件、痕迹、日志等信息进行协助调查取证。 （4）根据用户需求做好云平台相关的其他安全服务。

政务云网络架构示意图

安全狗解决方案 为政务专有云建设长效的具备平滑演进能力的安全防护体系，安全狗采用云垒私有云安全管理平台方案来解决云环境下的持续检测和快速响应防护能力。 1、实现对专有云全网的云主机安全事件统一监控与感知，建立安全运维管控平台机制。 2、可以对云主机上的漏洞、弱口令、病毒、安全配置等风险点进行实时监测和预警。 3、提供全面的安全防护技术支撑，实现主动、可视、可防、可知、可管、云化的安全管理机制，提升安全监控、防护和管理能力。 部署时间与数量 部署时间：2017 年 4 月 部署数量：1600 台云主机   运行效果 安全效果： 1、实现跨三个网络的城市级政务云平台主机的统一安全监测和安全管理。 2、运行期间发现并阻止多起勒索病毒事件、WEB 入侵事件。 稳定性效果： 1、运行稳定未发生过影响稳定性事故。