首批！紫光云凭啥成为“等保2.0”四级云平台之一

落实网络安全等级保护（即等保）既是企业责任更是企业义务。网络安全不仅仅是企业自己的事，它的安全问题也影响到国家的安全。因此，等保建设、测评或整改，已经成为各企业的重要工作之一。

在此前的 “等保2.0”测评中，紫光云平台高分通过四级复测，成为首批等保四级的云平台之一。

紫光云主要面向政企行业客户，涉及工业智能制造、政务大数据、智慧教育、精准扶贫、BIM、环保、交通、水务等行业。基于自主研发的紫光云平台系统，为行业用户提供云服务，打造南京、苏州、连云港等全国数十个智慧城市的建设和运营项目，承载百万级甚至千万级使用的计算服务。

基于这种客户布局，紫光云携手紫光股份旗下新华三集团共同构建更全面、完整地信息安全防护体系。

作为“等保2.0”标准起草单位，新华三集团对等级保护整体要求、测评过程和方法以及等级保护安全设计理念有着深刻理解。依据网络安全等级保护基本要求和安全设计技术要求的建设理念，新华三严格依据“等保2.0”的四级要求对紫光云的信息安全防护体系进行设计，方案以云安全服务为目标，基于“一个中心三重防护”的技术理念形成模型框架。

图1 紫光云安全防护方案模型框架

总体来看，新华三集团：

1. 针对基础设施层的访问控制、身份鉴别及资产管理等，按照四级等级保护方案进行规划，增强访问控制、严格控制身份鉴别、合理管理资产。
2. 根据对网络架构分析明确各个网络节点安全控制；安全、网络设备权限、资源划分管理；安全设备的防护规划；审计及监控的全方位审计。
3. 应用层管理权限分离，身份鉴别，应用的高可用措施；增强业务性能、容错性及安全审计。
4. 对操作系统、数据库系统按照四级等级保护要求制定安全加固方案。
5. 按照四级等级保护方案融合紫光云平台需求，制定并贯彻落实安全管理制度。

应该说，这是一个非常全面的安全防护方案，为紫光云提供了全方位的防护能力，从云防火墙、云入侵防护、云负载、云WAF、云数据库审计，到云堡垒机、云漏扫、云日志审计、云态势感知等，在灵活部署的同时满足等保合规要求。

在方案中，新华三集团分别通过硬件安全资源池和软件安全资源池构建紫光云平台级和租户级的安全防护能力构建，包括南北向硬件安全资源池、东西向NFV安全资源池、安全云服务目录、安全态势感知、PaaS安全以及数据安全集成服务、安全服务全程支持、一站式等保交付、等保复测复评运维保障等。

正是有新华三集团的技术加持，紫光云很快就具备了为云上用户提供等级保护相应安全等级的安全防护能力，围绕着租户资产和业务，融合对安全、网络、应用的管理，最终能实现设备管理、策略部署管理、运转监控、风险预警、安全联动响应的完整安全闭环管理，实现安全风险的可视、可管、可预防。

其实，新华三集团这次能够“出圈”，也绝非偶然。既懂云，也懂网，还懂安全，新华三凭借多年技术耕耘和实践，融合形成“云网安”一体化能力。

新华三集团的云安全解决方案，以等保2.0合规体系为建设标准，同时还提出“安全即服务”理念，构建“云安全商店”，提供不同的安全能力模块，以满足不同的场景需要，如图3所示。

1. 针对IaaS层，提供边界隔离、入侵防御、通信加密、服务器防护等服务。
2. 针对PaaS层，提供数据库审计、运维审计、漏洞管理等服务。
3. 针对SaaS层，提供应用监控、Web防护、应用加速等服务。
4. 针对运维管理，提供可实现云内安全的可视化和云安全资源的分配管理。

整体上说，新华三集团云安全解决方案具备以下5大特点：

图2 新华三安全云解决方案的五大优势

1. 合规性：可满足各类等保需求的安全服务，并支持等保套餐“一键开通”。
2. 高性能：通过支持纳管硬件形式的安全资源池，为平台和租户提供高性能的保障。
3. 高效性：安全业务流量支持自动编排、自动部署、统一管理。
4. 兼容性：支持纳管对接各类安全资源池设备，涵盖软件、硬件与NFV。
5. 开放性：方案基于OpenStack架构并对外提供标准化接口。

新华三集团的安全实力是从物理设备、网络、应用、主机、数据等层面打造的一套内生安全防护体系，来保障系统安全。

目前，新华三集团已先后承担并参与了多地的政务云、高校云、融媒云的建设。未来基于“AI in ALL”智能战略和“数字大脑计划2020”的实践，新华三还将持续不断输出更多有价值的安全案例，与行业客户激荡出更多共鸣。