隨著《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等系列標(biāo)準(zhǔn)的發(fā)布，標(biāo)志著國(guó)家網(wǎng)絡(luò)安全要求進(jìn)入了2.0的時(shí)代。2.0要求和1.0相比，最大的變化莫過(guò)于涵蓋了云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新的技術(shù)領(lǐng)域。尤其是在云計(jì)算安全方面，業(yè)務(wù)、數(shù)據(jù)等上云后，安全問(wèn)題不再由用戶方獨(dú)立負(fù)責(zé)，更多的依賴云平臺(tái)的安全防護(hù)等級(jí)以及能夠提供的安全能力。云計(jì)算安全擴(kuò)展要求即“云等保”的出臺(tái)，無(wú)疑為云安全建設(shè)思路指明了方向。

和通用安全要求一致，云計(jì)算安全也將圍繞“一個(gè)中心，三重防護(hù)”的思路進(jìn)行建設(shè)。一個(gè)中心指安全管理中心，三重防護(hù)包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全技術(shù)環(huán)境。“云等保”中也重點(diǎn)對(duì)這四個(gè)方面進(jìn)行了詳細(xì)的要求闡述。但又與傳統(tǒng)網(wǎng)絡(luò)不同，云計(jì)算環(huán)境中存在云平臺(tái)和租戶多重視角，從而使得云網(wǎng)絡(luò)更加立體，防護(hù)手段也需多維立體。

圖1 一個(gè)中心三重防護(hù)思路框架

1.云等保對(duì)云網(wǎng)絡(luò)安全建設(shè)方案提出的新挑戰(zhàn) 

1、云網(wǎng)絡(luò)如何分區(qū)分域？

分區(qū)分域一直以來(lái)都是等保要求的核心保障，做好區(qū)域劃分是網(wǎng)絡(luò)安全等級(jí)保護(hù)的第一步。而云計(jì)算網(wǎng)絡(luò)的優(yōu)勢(shì)則是動(dòng)態(tài)的、彈性的、可擴(kuò)展、可遷移的，難以將邊界固定下來(lái)。業(yè)務(wù)上云后，如何進(jìn)行安全域的劃分和隔離，一直是困擾用戶的問(wèn)題。

2、云租戶如何配置安全策略？

傳統(tǒng)網(wǎng)絡(luò)中，安全的建設(shè)和運(yùn)維僅由用戶獨(dú)立負(fù)責(zé)，用戶方管理員可直接維護(hù)安全策略；而云網(wǎng)絡(luò)中，安全產(chǎn)品主要部署在云中，用戶接觸不到實(shí)際環(huán)境，對(duì)用戶來(lái)說(shuō)可能形成一個(gè)管理盲區(qū)，用戶方作為其中一個(gè)租戶，無(wú)法完全自主掌控策略。而云等保則要求“應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力”，對(duì)租戶維度的策略管理能力提出了明確的要求。

3、如何通過(guò)云平臺(tái)實(shí)現(xiàn)安全資源的統(tǒng)一管理？

等保2.0和1.0相比，著重強(qiáng)調(diào)了集中管控，要求“應(yīng)能對(duì)物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配”。云計(jì)算環(huán)境中，存在資源分配、調(diào)度等操作，管理、維護(hù)成本更高。另外，云網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)相比又增加了運(yùn)營(yíng)屬性，如果能在云平臺(tái)上實(shí)現(xiàn)安全資源的統(tǒng)一管理，更有利于完善計(jì)費(fèi)體系，形成一體化的運(yùn)營(yíng)。

2.新華三云等保解決方案

紫光旗下新華三集團(tuán)（以下簡(jiǎn)稱新華三）通過(guò)多年網(wǎng)絡(luò)安全領(lǐng)域技術(shù)的積累并結(jié)合豐富的云計(jì)算項(xiàng)目建設(shè)經(jīng)驗(yàn)，提出了“云網(wǎng)安一體化”建設(shè)方案。通過(guò)將安全資源池與云平臺(tái)的深度融合，形成“一個(gè)云平臺(tái)三種資源池”的云安全等級(jí)保護(hù)解決方案。

圖2 云安全等級(jí)保護(hù)方案

三種資源池包括了防護(hù)資源池、檢測(cè)資源池、運(yùn)維審計(jì)資源池，一個(gè)云平臺(tái)指的是僅需通過(guò)一套云管理平臺(tái)即可實(shí)現(xiàn)安全資源、網(wǎng)絡(luò)資源、計(jì)算資源的統(tǒng)一管理。安全能力覆蓋區(qū)域隔離、通信加密、邊界防護(hù)、訪問(wèn)控制、身份鑒別、安全審計(jì)、病毒防范、入侵防范、運(yùn)維審計(jì)、集中管控、漏洞管理、系統(tǒng)加固等。

新華三云安全等級(jí)保護(hù)方案，將安全和網(wǎng)絡(luò)打通形成有效的邊界防護(hù)，利用VPC技術(shù)以及安全服務(wù)鏈技術(shù)實(shí)現(xiàn)云網(wǎng)絡(luò)的分區(qū)分域，通過(guò)東西防護(hù)資源池與SDN控制器的配合完成VPC內(nèi)部的區(qū)域劃分，進(jìn)而形成虛擬數(shù)據(jù)中心的三級(jí)網(wǎng)絡(luò)劃分。

新華三多年來(lái)一直致力于打造安全即服務(wù)的云計(jì)算平臺(tái)，將安全能力資源化，并作為一種云端服務(wù)提供給租戶。租戶登錄云平臺(tái)后即可同時(shí)申請(qǐng)網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、安全等多種資源，并可以在云平臺(tái)上直接配置和管理，即可滿足等保要求的安全策略管理和集中管控要求，又能按需購(gòu)買、靈活部署，進(jìn)而實(shí)現(xiàn)成本投入的合理規(guī)劃。

圖3 安全即服務(wù)

3.新華三云等保解決方案的價(jià)值

新華三云等保解決方案的設(shè)計(jì)充分考慮了網(wǎng)絡(luò)安全等級(jí)保護(hù)的基本要求和安全設(shè)計(jì)要求，為用戶打造即合規(guī)，又實(shí)用的安全云環(huán)境。新華三能為用戶帶來(lái)的價(jià)值包括：

1、整體交付

新華三是為數(shù)不多的具備云、網(wǎng)絡(luò)、安全整體交付能力的綜合廠商。云、網(wǎng)絡(luò)、安全深度融合，形成安全與網(wǎng)絡(luò)協(xié)調(diào)聯(lián)動(dòng)、安全和云的高度集成?？商峁┩暾慕桓斗桨?。

2、安全合規(guī)

新華三云等保解決方案充分適配等保要求，除安全技術(shù)能力外，還具備強(qiáng)大的安全服務(wù)能力，能更好的應(yīng)對(duì)等保要求中安全技術(shù)和安全管理兩大部分。同時(shí)，安全服務(wù)能力也與云平臺(tái)形成聯(lián)動(dòng)，用戶可在云端申請(qǐng)安全專家服務(wù)，即可體驗(yàn)風(fēng)險(xiǎn)評(píng)估、安全協(xié)維、滲透測(cè)試、應(yīng)急響應(yīng)等服務(wù)。

3、成本節(jié)約

新華三云等保解決方案以軟件定義安全為核心，將安全服務(wù)化。用戶可以根據(jù)自身業(yè)務(wù)安全等級(jí)的需求，按需使用，而不需要按傳統(tǒng)方式前期購(gòu)置大量的軟硬件設(shè)備，大大地節(jié)約了成本。