企业动态

    近年来，在云计算技术蓬勃发展的浪潮之下，各地纷纷建设了政务云平台，积极推动政务信息系统上云，促进政务数据开放和信息共享，提升政府服务能力和效率，真正实现“让百姓少跑腿、信息多跑路”。然而，作为数字政府的关键基础设施，政务云也面临着诸多安全挑战：包括勒索攻击、数据泄露、挖矿木马甚至APT攻击等事件频发，都对政务云构成了严峻的安全威胁。

    Q市为我国东南沿海城市，其GDP总量在全国排名中位居前列。作为Q市“数字城市”战略的重要组成部分，该市政务云承载着数十家应用单位的几百套业务系统，对于专业数据、网络安全等级都具有很高的要求。根据市大数据管理局及相关主管部门要求，所有上云业务，都需要满足网络安全合规要求，确保为“数字城市”提供安全稳定的政务办公环境。

    为此，Q市选择与国内领先的网络安全公司奇安信合作，由后者为Q市政务云完成多云安全统一管理、多云安全防护的云安全的全面建设，截止目前，奇安信云安全防护方案已得到Q市政务云客户的一致认可。

    租户数量多、架构复杂，Q市政务云面临多重挑战

    据悉，Q市政务云的建设采取多云方案，整个云池分为两部分：一部分由电信承建；一部分由数字云谷承建，分别为地市和区县委办局提供云资源租赁服务。在安全方面，Q市政务云共部署5套安全资源池，电信与数字云谷侧各一套云安全管理平台进行安全管理，平台可实现各个安全资源池的授权分发、租户管理、组件管理、日志采集等管理，项目组件授权点数近千点。

    Q市政务云作为电子政务基础支撑平台，面向市、县两级政府提供统一的政务云服务，由于租户数量多、建设架构复杂，导致存在以下挑战：

    第一是租户数量多且需求千差万别。Q市政务云不仅云内租户数量多，且各租户的安全需求各不相同，既要提供租户安全防护能力，也需要为租户构建安全自管理的能力。

    第二是缺乏统一的安全管理。租户上云后没有统一的方案可以给他们使用，导致各委办局自己找安全公司建设，五花八门，缺失安全统一管理的能力；

    第三是安全计费存在困难。传统的安全合规方案不适用于多租户、云化场景，不方便给每个租户去售卖和计费。

    第四是云上资产安全管理难。云环境对比传统环境而言，资产数量多、类型复杂，云上资产的安全管理尤为困难；

    第五是云安全推广存在困难。由于云运营方安全项目经验少，客户经理缺乏安全经验，不清楚云安全合规要求，不知道怎么向租户推广云安全组件。

    通过与客户的充分交流、经历了多家安全厂商的角逐后，Q市政务云最终选择与奇安信共同构建一套适用于多云环境的云安全统一安全防护方案。

    据介绍，Q市政务云之所以选择与奇安信合作，主要基于后者具备的几方面优势：

    首先是奇安信在云安全领域的专业实力。根据第三方权威报告显示，奇安信连续四年稳居中国云安全市场第一，是国内当之无愧的云安全领导厂商。而在Q市政务云的项目沟通中，奇安信在安全领域的专业能力积累，尤其是在实战攻防演习、重保等安全服务的优异表现，让客户印象深刻。

    其次是第三方安全厂商所具备的核心角色。尽管云厂商能提供部分基础的安全能力，但安全如果由云厂商完全提供，弊端也显而易见，例如权责不分离、容易导致技术腐败、人员不专业等。第三方专业安全厂商的制衡、监督、责任共担，就变得不可或缺。

    最后是奇安信的长期规划能力。是在网络安全战略规划方面，奇安信成为主流行业机构咨询服务的提供者。自2020年以来，奇安信安全咨询服务已经连续三年市场份额排名第一。该项目中，奇安信从安全保障和业务发展两个层面综合考虑，为客户制定了5年长远规划，包含云租户合规、云租户安全运营、云原生安全改造等等，让项目在建设之处，就能将安全内生于业务系统之中，建立起自适应、自主、自生长的云安全能力。

    多云统一、套餐化、聚焦资产 多举措构筑云安全防线

    奇安信结合Q市政务云的现状，从多云安全统一管理、全方位云安全防护组件、围绕资产的云安全防护管理等三个层面，为该市构筑安全可靠、易管理、易扩展、云安全防线。

    首先是基于客户业务环境构建云安全解决方案，多云安全统一管理。

    Q市政务云的云平台采用双Region（区域））物理架构，奇安信根据客户实际业务环境，在各region中部署安全资源池，通过云安全管理平台的多云安全统一管理能力实现多套安全资源池在同一个平台中进行管理。该方案既能实现多云、多region的云安全防护，又可以通过统一管理降低运维管理员的工作量，提高云安全一致性保障。

    其次是全方位云安全防护组件，套餐化销售运营。

    奇安信云安全管理平台内置边界安全、应用安全、安全审计、主机安全、安全管理等多项云安全防护组件，可为租户提供全面的安全防护、检测能力，满足安全建设要求。安全组件以虚拟化实例的方式部署在安全资源池中，继承云化“弹性伸缩”的特性，组件性能规格可随业务的增减而灵活扩容。

    同时，根据Q市政务云的项目调研，奇安信与运营方合作定义两类安全套餐，日常推广过程中以固定的套餐模式销售。该模式一方面可降低租户的选购难度，令租户可选择任意套餐快速开通组件；另一方面，可简化政务云运营方的销售教育成本和营销管理过程，使得台账清晰。

    第三是围绕资产的云安全防护管理，安全防护概况一目了然。

    云安全管理平台支持自动同步云资产、租户等信息，自动化采集细粒度的资产指纹信息构建资产库，可根据资产属性分类为网站、数据库、云主机，并面向不同的资产类型提供针对性的安全防护。政务云运营方围绕资产开展安全防护管理，从不同的安全防护角度统计已纳管防护的资产数量，发现遗漏防护的资产，安全情况一目了然。

    项目实施以来，奇安信云安全防护方案带来的价值显而易见，体现在四个方面。

    在多云统一管理方面，面向Q市政务云的实际网络环境和业务情况设计满足需求的云安全解决方案，提供有效、全面的云安全组件，多云安全统一管理能力有效帮助电信和数字云谷实现云安全防护管理。

    在套餐化运营方面，定义套餐制得到了客户青睐，奇安信与Q市政务云调研定义套餐化运营模式，极大的减轻了数字云谷和电信销售的营销学习压力，提升运营效率的同时大幅降低租户的选配难度。

    在扩展性方面，相比传统硬件方案，奇安信云安全管理平台方案弹性、方便、易用，在多次平台业务激增的情况下，均能做到迅速扩容。

    在资产管理方面，奇安信“围绕资产的云安全防护管理”的理念为业内同类产品独有，帮助用户构建资产信息库，快速发现云内未做防护的遗漏资产，并迅速将资产关联至组件中，安全情况一目了然。

    总体来看，随着数字政府建设的不断深入，网络安全面临的形势也愈发严峻，尤其是有组织、有针对性目标的网络攻击越来越多，政府迫切需要构筑更加严密的网络安全防线。Q市政务云基于租户数量多、建设架构复杂等现状，以及面临的各种挑战，通过与奇安信合作，解决了多云环境下的安全统一管理、统一防护难题，为同行提供了可被广泛借鉴的标杆示范。