当前位置:文档之家 › 深信服云安全资源池培训-0621

深信服云安全资源池培训-0621

  • 格式:pptx
  • 大小:9.22 MB
  • 文档页数:50

下载文档原格式

  / 50

合集下载

深信服云安全解决方案培训资料

深信服云安全解决方案培训资料

遇到安全问题时的 应对措施
深信服云安全解决 方案培训课程安排
培训目标与内容
培训目标:提高学员 的云安全意识和技能 水平,掌握深信服云 安全解决方案的核心 技术
培训内容:深信服云 安全解决方案的原理、 架构、功能和应用场 景,以及实际操作和 案例分析
培训形式:线上或线 下培训,包括理论讲 解、实践操作和互动 讨论等环节
市场前景展望
深信服云安全解决方案在市 场上的竞争优势和市场份额
云计算市场的快速增长和云 安全需求的增加
未来云计算技术的不断创新 和深信服云安全解决方案的
升级与拓展
行业标准和法规对云安全市 场的规范和推动
THANK YOU
汇报人:
升级与扩展:根据业务发展和需求变化,及 时对深信服云安全解决方案进行升级和扩展, 提高系统性能和安全性
注意事项:在实施过程中,需要注意数据备 份、系统安全性、网络稳定性等方面的问题, 确保实施过程顺利进行
常见问题与解决方案
部署过程中遇到的 问题及解决方法
实施过程中遇到的 问题及解决方法
常见故障排查及处 理方法
确定部署目标:明确云安全解决方案的总体目标和具体需求
选择部署方式:根据实际情况选择合适的部署方式,如公有云、私有云或混合云
设计部署架构:根据目标需求和部署方式,设计合理的部署架构,包括网络架构、安全架构、 数据架构等
制定实施计划:根据部署架构,制定详细的实施计划,包括时间表、人员分工、资源需求等
实施步骤与注意事项
深添加信副服标云题 安全解决 方案培训资料
汇报人:
目录
PART One
添加目录标题
PART Three
深信服云安全解决 方案技术详解
PART Five

深信服云安全资源池培训_0621

深信服云安全资源池培训_0621

租赁服务式 (PPP式)
主管部门像运营商(3大运营商、太极等大型集成商)租赁云服务, 主管方关心技术实现,运营方在选择产品方案端有较强的话语权。
2019/12/15
预算式涉及的几种角色
主管方 租户 集成商
目标对象:信息中心、电子政务办、经信委、发改委。 初次建设,会采购大量的硬件安全设备,更关注自身平台合规。 监管机构,负责租户上云政策的发布,上云节奏的掌控,把握预算 口子。
历史版本路径
CSSP 1.0版本: 1. 基于超融合,以NFV
方式实现。 2. 市场验证、需求验证
为主
CSSP 2.0版本: 1. 手动部署,工作量巨
大 2. 缺少运营方(主管方
)、租户自管理界面 3. 属于方案、市场验证
阶段 4. 收割样板点
CSSP 3.0版本: 1. 自动化部署 2. 新增租户与平台运营
目标对象:上云的局委办单位。 政务云的直接使用对象。
目标对象:当地强势,关系型集成商。 负责本地政务云的项目集成。
2019/12/15
预算式各方关注点
主管方视角
• 安全责任怎么划分。 • 怎么促进租户安全上云。 • 其他地方经验,及怎么合规。 • 是否有案例,效果怎样。
2019/12/15
沟通要点
• 汇报政务云中安全建设经验和安全资源池方案。 • 帮助用户理清安全权责。 • 通过安全资源池方案加速租户安全上云进度。
主管方沟通思路
关键词:权责、合规、有案例、能上云
痛点:
1、痛过:如果当地曾经出过安全事故,可以适当引用(慎用) 2、抓住关注点,引起兴趣: a. 租户上云数量、上云业务类型(核心系统还是网站),背后对应的是租户对云平台安
方界面 3. 组件高可用性调整及

深信服培训讲义

深信服培训讲义

配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一(IP/MAC认证的用户)
2、配置认证策略 新增一个认证策略,选择认证方式,。需求是同时绋定IP/MAC,因 此选择IP/MAC绋定,且绋定方式为用户和地址双向绋定。 开启新用户选项,自劢添加新用户到办公区用户组。
典型部署模式不配置
路由器(FW)
IP:192.168.1.1/24
路由器(FW)
路由器(FW)
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
AC
三层交换机
三层交换机
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
上网策略典型应用场景及配置某公司网络中充斥着各种流量上班时间p2p下载导致致使办公应用很慢员工上班时间炒股qqmsn聊天玩游戏使得办公效率丌公司决策层希望实现上班时间能封堵所有员工的p2p和迅雷等多线程下载玩游戏和炒股其余部门的人员丌准上班时间使用qq和msn只有技术支持和销售部门才能使用qq和msn聊天但是要审计聊天内容下班时间所有的应用都能允许使用另外所有人的上网行为需要被审计
高。
公司决策层希望实现上班时间能封堵所有员工
的P2P和迅雷等多线程下载,玩游戏和炒股,
其余部门的人员丌准上班时间使用QQ和MSN ,只有技术支持和销售部门才能使用QQ和 MSN聊天,但是要审计聊天内容,下班时间 所有的应用都能允许使用,另外所有人的上网 行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求: 1. 技术支持和销售部门上班时间丌允许P2P和迅雷等多线程下载工具 下载,玩游戏和炒股,所有上网行为需要被审计,包拪QQ和MSN 的聊天内容。 其他公司人员上班时间丌允许P2P和迅雷等多线程下载工具下载, 玩游戏和炒股,QQ/MSN聊天,所有上网行为需要被审计

SANGFOR_NGAF_安全防护功能培训

SANGFOR_NGAF_安全防护功能培训

SG代理
安全防护策略
2.IPS
(1)IPS是什么? IPS(Intrusion Prevention System,入侵防御系统)依靠对数据包的检测来
发现对内网系统的潜在威胁。不管是操作系统本身,还是运行之上的应用软件 程序,都可能存在一些安全漏洞,攻击者可以利用这些漏洞发起带攻击性的数 据包。
AF内置了针对这些漏洞的防护规则,并且通过对进入网络的数据包与内 置的漏洞规则列表进行比较,确定这种数据包的真正用途,然后根据用户配置 决定是否允许这种数据包进入目标区域网络,以达到保护目标区域网络主机不 受漏洞攻击的目的。
保护客户端软件(如OA、IE等)
防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击。
SG代理
安全防护策略
2.IPS
选择防护的源区域
选择防护的目标区 域及目标IP组
选择对服务器或 者是客户端的哪 些漏洞进行防护
SG代理
攻击检测出来的 结果会记录日志
到数据中心
安全防护策略
SG代理
安全防护功能介绍
2.AF对内网用户上网的安全防护
未授权的访问,非法用户流量 内网存在DDOS攻击、ARP欺骗等 不必要的访问(P2P、视频语音) 不合法的访问(色情、赌博等网站) 不可靠的访问(不明来历的脚本、插件) 不安全的访问(网页、邮件携带病毒) 利用客户端电脑的漏洞、后门等发起攻击
找相应的漏洞 口令防护,用于防止攻击者暴力破解用户口令,获取用户权限 权限过滤,用于防止上传恶意文件到服务器和对正在维护的URL目录进行
保护
SG代理
安全防护策略
3.服务器保护
SG代理
选择防护的源区域
选择防护的目标区 域及目标IP组

深信服云安全解决方案培训资料

深信服云安全解决方案培训资料

深信服云安全解决方案深信服电子科技有限公司2015年11月7日目录第一章建设背景 (4)1.1 云平台背景 (4)1.2 云平台建设意义 (4)第二章需求分析 (5)2.1 需求概述 (5)2.2 平台侧需求 (7)2.2.1 平台安全需求 (7)2.1.2 接入安全需求 (8)2.1.3 业务可靠需求 (9)2.3 租户侧需求 (10)2.3.1 租户间隔离需求分析 (10)2.3.2 租户虚拟机需求分析 (11)2.3.3 租户互联网业务需求分析 (11)2.3.4 租户外网业务需求分析 (12)2.5 管理运维需求 (13)第三章设计原则 (14)第四章解决方案 (15)4.1 解决方案综述 (15)4.2 平台侧设计方案 (17)4.2.1 平台安全方案 (17)4.2.1.1. 平台分区分域 (18)4.2.1.2. 防网络病毒 (18)4.2.1.3. 应用安全防护 (18)4.2.1.4. 防止漏洞攻击 (19)4.2.1.5. 多业务数据隔离和交换 (19)4.2.2 接入安全方案 (20)4.2.2.1 云间安全互联 (21)4.2.2.2 租户安全接入 (22)4.2.3 业务可靠需求 (23)4.2.3.1. 防拒绝服务攻击 (23)4.2.3.2. 链路/全局负载均衡 (23)4.3 租户侧设计方案 (24)4.3.1 租户安全设计 (24)4.3.2 业务系统安全 (25)4.3.3 业务稳定可靠 (26)4.3.4 业务安全接入 (27)4.3.5 租户应用场景 (28)436 NFV安全组件部署方式 (30)4.4 管理运维设计方案 (31)4.4.1 平台运维 (31)4.4.1 租户运维 (33)4.4.1 平台服务商合作运维 (34)第五章解决方案价值 (35)5.1 高安全:提供专业、可靠的服务 (35)5.2高性价比:降低IT建设成本 (36)5.3 高效率:业务系统部署速度快 (36)5.4 高协同:降低信息共享和业务协同难度 (36)第一章建设背景1.1 云平台背景云计算的兴起,给人们的工作方式以及商业模式带来根本性变化,甚至可能掀起信息技术的第三次“浪潮”。

安全资源池PPT

安全资源池PPT

安全资源池
在云数据中心部署、网络打通
策略路由
租户A 安全服务 Web安全 增强包
基础防御包
安全接入包
租户B 安全服务
云端监测包
租户C 安全服务
安全运营包
失陷主机 发现包
云端监测包
基础防御包
Web安全 增强包
计算资源 存储资源
租户A
计算资源 存储资源
租户B
云平台
计算资源 存储资源
租户C
基于超融合技术,提供安全服务。
基础防御 包
高级防御 包
云端监测 包
租户B的业务是面向公众的,系统架构为B/S架构,公众通过域名访问。为了避免系统被恶意扫描、入 侵、篡改,系统出现问题,可以及时发现,所以建议用户使用使用“基础防御包”“高级防御包”“ 云端检测包”。 另外,为了保证系统的可用性,提升服务器、业务系统的使用效率,可以建议用户选择增值服务包中 2020/3/22 的“负载均衡”
安全资源服务交付流程——发起请求
租户安全服 务需求发起
基础防御 包
高级防御 包
按组件、按需分配 安全服务
平台运营方
安全组件基 本信息配置
个性化安全 策略配置
日常安全事 件运营
租户
2020/3/22
安全运营服务
安全资源服务交付流程——定义安全服务
安全服务定义
场景定义
交付功能定义
2020/3/22
安全资源服务交付流程——分配安全服务

03
可运营
① 安全需求随租户迁移线性增长。 ② 运营方要求前期投入低,零库存。 ③ 支持合作运营,保障持续业务增值。
服务化交付
02
功能丰富
01

深信服数据库管理平台DMP培训-数据库容灾


保护模式
最大保护 最高可用性 最高性能
数据丢失的风险 重做传输机制
零数据丢失 可能丢失 有数据丢失
LGWRSYNC
LGWRSYNC LGWR ASYNC 或 ARCH
是否须要standby redo YES YES 可选
磁盘写入
AFFIRM AFFIRM AFFIRM或 NOAFFIRM
Oracle容灾需求收集和规划
最高可用性模式(maximum availability):仅次于“最大保护模式”,接近零数据丢失的灾难恢复。 重做数据由 LGWR 从主数据库同步地传输到备用数据库,直到确认事务数据在备库服务器落盘,事务才在主数据库上完毕,潜在地影响主数据库事务处理性能。当 备用数据库变为不可用导致同步超时后,同步模式降级为“最大性能模式”,备库再次可用时恢复为“最大保护模式”。因此需要配置一个低延迟网络,并为它分配 足够应付业务高峰期的带宽来将这样的影响减到最小。
最大性能模式(maximum performance):是默认的保护模式,此模式允许数据丢失。 重做记录由日志写入进程 (LGWR) 或归档进程 (ARCH)异步传输到备用数据库上,完成主数据库上的写操作即可提交成功,不等待备用数据库确认接收。在主数据库 出现问题的情况下,尚未被发送到备库的数据会丢失,对性能仅有非常小的影响或没有影响。若网络吞吐量和延迟较低,使用日志写入进程 (LGWR)同步数据,丢失 的事务将很少或者为零。
Oracle高可用技术-DataGuard的同步进程
日志传输服务Log Transport Service
LGWR:LGWR写联机重做日志,在同步模式下,直接将redo信息直接传送到备库中的RFS进程,主库在继续进行处理 前需要等待备库的确认在非同步情况下, 直接将日志信息传递到备库的RFS进程,但是不等待备库的确认信息主库进程 可以继续进行处理。 ARCH:ARCH进程可以在归档的同时,传递日志流到备库的RFS进程,该进程还用于检测和解决备库的日志不连续问 题(GAP)。 FAL(Fetch Archive Log):fetch archive log只有物理备库才有该进程,FAL进程提供了一个client/server的机制, 用来解决检测在生产库产生的连续的归档日志,而在备库接受的归档日志不连续的问题,该进程只有在需要的时候才会 启动,而工作完成后就关闭,因此在正常情况下,该进程无法看到,可以设置通过LGWR,ARCH进程去传递日志到备 库,但是不能两个进程同时传送。 LNSn(LGWR Network Server process):把日志通过网络发送给远程的目的地,每个远程目的地对应一个LNS进 程,多个LNS进程能够并行工作。

信服云_等级保护方案培训V1


所需设备 防病毒网关(或UTM、防火 墙集成模块)
日志审计系统 数据库审计系统 日志服务器
第9页
等保测评三级解决方案
《等级保护基本要求》
所需设备
恶意代码防范(G3) a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库; c) 应支持防恶意代码的统一管理。
第12页
等保测评中的常见问题
Q4:如何确定业务系统属于等保几级? 答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影 响程度,取两个方面较高的等级。 Q5:业务系统在云上,安全是云平台负责的吧? 答:根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的 IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分 担矩阵共同承担相应的安全责任。也就是说云平台承担的是云平台的安全责任,部署在云平台上的系统或数据 所有者,应对该系统或数据承担网络安全保护责任。
电力供应(A2) b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
灭火设备 火灾自动报警系统
UPS
访问控制(G2)
a) 应在网络边界部署访问控制设备,启用访问控制功能;
防火墙(网站系统,需部
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。署web应用防火墙、防篡
边界完整性检查(S3) a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻 断; b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效 阻断

深信服云安全资源池解决方案PPT课件

01
紧耦合方案: • 平台自带安全组件 • 安全镜像方案
部分解耦合: • 硬件一虚多
02
完全解耦合: • DNS引流方案 • 虚拟机引流方

03
2020/5/15
.
9
硬件一虚多方案
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能,保证处理能力 的10%
租户B购买的套餐需要提供防火墙 、LB功能,保证处理能力5%
安SS全L接VP入N包
IP基S础EC防V御PN包
安全接安入全包接入 包
租户
深信服超融合平台
2020/5/15
.
16
云安全资源池底层架构—软件定义的超融合平台
高级防 御包
基础防 御包
失陷主机发 现包
高级防 御包
安全接 入包
失陷主机发 现包
网络虚拟化
安全接 入包
基础防 御包
超融合平台
.
高级防
御包
安全实力
提供web防护、网页防篡改、敏感信息防泄密安全组 件、堡垒机、数据库审计
基础防 御包
提供应用控制、防病毒网关、IPS功能
2020/5/15
安全接 提供IPSEC VPN、SSL VPN、安卓/IOS/windows安全
入包
接入SDK等多种安. 全接入组件
18
深信服云安全服务
依托于深信服企业级公有云平台(xyclouds)提供安全增值服 务,服务交付方式为轻量级交付,具体为: 1. 修改DNS CNAME记录,使用户流量经过云平台清洗后返
省安全组
省级管理平台 ECS
XX RDS
负 载 均 衡 镜 像
政务外网
2020/5/15

云安全内训PPT

内NG部AF业(务FW的、L2I-PLS7)防护 检服测务+器响负应载、AV
方案
无论有没租户,只要整个云中 心的安全都是由一个部门来负 责运维/管理,主推私有云安全
方案
云安全场景分类测试:
哪个是保姆式安全,哪个是责任共担式安全?
XXX政务云
平台(太极、运营商):负责云 平台安全,并提供IT基础资源服 务,未来计划提供安全技术手段 给租户
租户:VPC搭建业务应用系统,并 自己负责网络、应用等安全运维
所谓的“云”这么多,我们方案也不少,到底推什么方案?怎么区分?
政务云 行业云
私有云 园区云
。。。 专有云
到底推什么方案?
云计算安全场景区分原则:安全责任
云的运营、使用、安全责任分担模式,决定了安全方案的不同: 1、有没有租户 2、租户业务系统的安全责任、运维谁来管?
安全责任共担
保姆式安全
对于有租户的云,并且需要租 户自行负责VPC中业务系统的安 全运维/管理,主推政务云安全
基础的平台合规需求 新建项目都有机会,刚需!填空题! 省、市、区县都需要
云安全解决方案全景图(责任共担式)
安全责任共担:云平台安全由平台方负责,租户安全由租户负责


租户方
清 洗
网站流量清洗服务
安 全 资 运营方 源 池
满足租户合规、业务安全需求
云 平 建设方 台 安 全
互联网出口区
移动安全接入区
深信服云计算市场 云安全方案培训
安全BU
内容提纲
1 安全BU核心工作梳理 2 云计算市场 安全场景划分&方案全景图 3 政务云安全解决方案 销售策略解析 4 专有云/私有云安全解决方案 销售策略解析
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

运维审计包
基础防护包
运维人员操作网络设备、数据库、服务器监控与审计
提供应用控制、防病毒网关、IPS功能 提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控 制、防病毒网关、IPS功能 提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控 制、防病毒网关、IPS、僵尸网络、实时漏洞分析 主机僵尸网络、实时漏洞分析 提供业务可用性检测、资产暴露面、云端漏洞监测安全组件
3. 与我司形态相似类
启明、绿盟、安恒
2019/1/19
1. SDN类
重点关注
租户1 租户2 租户n
数据层面 控制层面 东西流量 南北流量
ISP
SDN Controller
ISP
LB FW IPS
vCenter
LB FW IPS
ADC FW WAF
SDN方案在沟通中重点关注
1. 2. 3. 4. SDN controller 云管平台 硬件安全池 东西、南北向流量组成
过去
开一家安防超市(建一个政务云)
现在
2019/1/19
举例说明安全资源池的合作运营模式(合伙开超市的故事)
店员
1成机动奖励
商品
List价*0.9 假设1成损耗
股东
如:8成盈利 股东对半分成
我们和建筑商合伙开个安防超市,建筑商出房子(硬件),我们管装修(运营平台)+出货架(虚拟化平台) ; 超市装修好后,两方合伙出钱进货;进货成本共担,我们以货抵钱,建筑商出一半进货钱。 超市投入运营,大家一起卖货,谁卖的谁得奖(以谁做了市场工作,谁先报备为判定依据)。 其中涉及到分成比例,可根据当地运营方的能量灵活调整。但,底线是不能低于list价的3.5折。 最终报价前,需发我、马程、殷浩审核。
云内安全检测平台(EDR的同门师兄)本次培训不过多讲解,后续单独为云内安全解决方案重点培训。
目前实现的功能:
• 入侵检测响应-暴力破解检测 • WEB安全检测-WebShell的持续检测
• 僵尸网络检测-实时活跃恶意行为检测
• 微隔离-东西向流量访问控制
2019/1/19
云内安全界面
首页
打造可视可控的内部安全
伙同运营方共同做主管方工作,让政府每年多 付200w服务费,如果这200w服务费再跟浪潮
分一下,那浪潮的积极性是不是提高了。
2019/1/19
原有渠道合作定位
• 渠道负责盖起来安全超市(中标硬 件平台) • 安防超市卖什么商品,与渠道无关 ,看别人挣钱(政务云建设后,租 户上云,集成项目明显减少) • 深信服:提供资源池 • 渠道:提供客户覆盖和服务能力 • 运营方:提供平台 • 大家都是股东,挣了钱,按照投入的 比例分配,渠道还可以接手后续售后
深信服云安全安全资源池历史版本介绍
项目操作方法及商务模式 竞争分析 报价与销售工具 标准化测试流程
6
FAQ
2019/1/19
一、安全资源池历史版本介绍
整体拓扑架构示意图
云安全方案:安全资源池+EDR+生态
IDC 出口
安全资源池
移动接入包 分支接入包 网站安全基础 失陷主机发现 网站安全高级包 Web增强包
出口设备
平台层安全设备 引流口
核心 引流交换机 接入 引流口
南北向安全能力
东西向隔离 密码暴力破解 Webshell检测
东西向安全能力
安全审计 数据安全 应用安全
安全生态能力 VM EDR VM EDR VM EDR
云环境
安全资源池私网交换机(存 储私网、vxlan)
历史版本路径
CSSP 1.0版本: 1. 基于超融合,以NFV 方式实现。 2. 市场验证、需求验证 为主
保证效果
2019/1/19
钱从哪里来
预算式场景,钱肯定从去年的预算里来。 “没预算咋办?”
“新增预算”、“抢预算”
抢预算 顾名思义,从其他安全设备预算中抢
新增预算 要有一个新的、刚性的理由能够新增
过来。
预算。如与主管方引导租户侧安全需
求与租户侧合规需求。
2019/1/19
租赁服务式涉及的几种角色
1. 主管方意愿较差,需要突破 2. 被浪潮之类的包干,没有预算
1. 主管方关系差,决策链比较长
保持沟通
2019/1/19
暂时搁置
三、竞争分析
竞争对手
2019/1/19
竞争对手
1. SDN类 云平台厂商(h3c、华为)、启明、绿盟 2. 软件+硬件+服务 360,七七八八的软件安全厂商如安全狗,青藤云
安全资源池(CSSP) 3.0版本改进
Cssp 2.0版本: 1. 手动部署,工作量巨大 2. 缺少运营方(主管方)、租户自管理界面 3. 属于方案、市场验证阶段 Cssp 3.0版本: 1. 自动化部署,工作量减少 2. 补齐运营方(主管方)、租户自管理界面 3. 新增云端监测服务包,可提供针对租户Web业务的安全监测服务 4. 平台高可用机制支持租户安全服务组件自动资源平衡和跨主机资源自调整
2019/1/19
预算式各方关注点
主管方视角
• 安全责任怎么划分。 • 怎么促进租户安全上云。 • 其他地方经验,及怎么合规。 • 是否有案例,效果怎样。
沟通要点
• 汇报政务云中安全建设经验和安全资源池方案。 • 帮助用户理清安全权责。 • 通过安全资源池方案加速租户安全上云进度。
2019/1/19
2019/1/19
二、应用场景及项目操作方法
主要场景
政务云
IDC、政企云
专有云、私有云
2019/1/19
政务云2种建设模式
预算式
租赁服务式 (PPP式)
电子政务办、经信委、发改委统一建设,租户“免费”使用,财 政统一结算。 主管单位非常强势,局委办单位会选择部分业务系统上云。
主管部门像运营商(3大运营商、太极等大型集成商)租赁云服务, 主管方关心技术实现,运营方在选择产品方案端有较强的话语权。
痛点:
1. 渴望盈利:结合当前政务云服务租赁的模式,初次投入巨大,回收周期长, 见不到盈利的时间,安全可以作为重要的增值服务进行提供 2. 上云慢:原有方案缺少租户侧安全考虑,上云进度慢,回收周期长 3. 竞争大:服务合同每几年一签,其余运营商虎视眈眈 1. 弥补硬件安全短板:安全能力丰富 2. 解耦:在原有网络基础上部署便捷 3. 优势:权责分离、管理、运维分离、部署简单、标准架构、线性扩容 1. 运营方高层沟通 2. 运营方与我们达成一致并共同去主管方汇报 3. 测试,共同去主管方汇报,争取今年项目落单,先一锤子买卖,最后 尝试合作运营。
如何解决:
我司方案和案 例
1、详细介绍:为租户提供个性化安全服务,并满足合规, 功能、优势 、价值 2、定心丸:北京、温州案例 1、达成测试或主动介绍政务云的背后运维方具体沟通 2、测试后争取看今年是否有安全预算或剩余预算可以采购部分安全资源池服务器、软件, 小范围使用。或测试后引导明年的预算。 安全资源池属于一旦流量引过来,产生具体效果,主管方就不想切换回去的产品。
网站安全基础包
安全 防御 网站安全高级包 失陷主机包 云端检测包
应用交付包
2019/1/19
4-7层应用负载、SSL卸载
已经引入的第三方组件
原则:整合、补强
南京聚铭网络日志审计 建恒日志审计 杭州美创数据库加密产品 思福迪堡垒机 听云私有云版本
合规要求
丰富功能
……
2019/1/19
云内安全能力-云内安全检测平台
主管方沟通思路
痛点:
关键词:权责、合规、有案例、能上云
1、痛过:如果当地曾经出过安全事故,可以适当引用(慎用) 2、抓住关注点,引起兴趣: a. 租户上云数量、上云业务类型(核心系统还是网站),背后对应的是租户对云平台安 全能力的担忧 b. 业内对安全责任划分的案例,引出公有云aws、阿里云责任共担模型 1、合规背书:等保2.0,更强调了租户和平台方的安全责任。 2、抛方案:引出我司安全资源池方案,面向租户的产品 3、明确与硬件安全的关系:资源池和平台硬件安全不冲突并且云平台解耦
主管方
运营方
租户
政务云的直接使用对象
2019/1/19
租赁服务式专用各方关注点
主管方视角
• 其他地方经验,及怎么合规
• 安全责任怎么划分。 • 怎么促进租户安全上云。 • 是否有案例,效果怎样。
运营方视角
• 为什么要搞租户安全
• 上了安全资源池有什么好 • 怎么落实,落实效果。 • 其他地方的情况和经验。
2019/1/19
预算式涉及的几种角色
目标对象:信息中心、电子政务办、经信委、发改委。 初次建设,会采购大量的硬件安全设备,更关注自身平台合规。 监管机构,负责租户上云政策的发布,上云节奏的掌控,把握预算 口子。
目标对象:上云的局委办单位。 政务云的直接使用对象。
主管方
租户
集成商
目标对象:当地强势,关系型集成商。 负责本地政务云的项目集成。
解决思路:
争取效果
2019/1/19
钱从哪里来
每年政府固定向云服务商支付一定金 额的服务费(如某地市发改委每年向 浪潮支付2kw服务费)
固定服务费
合作运营商务模式切入,引导主管方 将安全写入服务目录,变成租户上云 可选项。
浪潮躺着也能挣到2kw ,如果引入深信服,则意味着要从 2kw中分一部分钱给深信服
1. 本身IDC盈利模式越来越不清晰,不可能是一下子投入巨大的安全设备,强调我们初次投入和合作方式
2019/1/19
销售场景总结
第二主推 1. 正在规划、设计阶段的政务云 2. 私有云:租户属性不明显,需要通过 安全资源池产品特色提升方案整体竞 争力 优先主推 1. 已建政务云、租户数量较多、曾经发 生过安全事件—痛过 2. 私有云:租户属性明显,有预算的一 锤子买卖,回收快