数据中心

【发布时间：2016-01-07】

1 方案介绍

随着数据中心传输能力以及虚拟化技术的成熟，新一代云数据中心也在随着技术的发展而逐步成为了市场的主题，但随着40G传输能力和无界网络的出现，传统的基于链路防护的手段也受到了巨大的挑战，面对提供外部服务的南北向大流量和东西向虚拟主机的无边界访问，H3C创新的提出了新一代云数据中心安全解决方案。

新一代云数据中心安全解决方案是一种综合防护理念的呈现。在现有无边界网络的情况下，再造安全边界，实现数据中心分层分区的防护，同时将安全业务由复杂变得简单，安全策略调整可以更加灵活，各种安全业务或服务都可以由软件进行灵活的自定义和编排，安全资源可以更加多样，不再单纯依赖物理硬件设备，能够更加充分的利用现有的计算资源快速扩张业务能力，从而实现软件定义安全。

2 方案优势

2.1 分层分区

网络的合理设计是安全控制的基础。在建设阶段更多的考虑安全问题是控制安全风险的必要前提。第一个也是最根本的要求是建立一个多层次的网络架构。同时，将类似的价值和功能的资产被分段成安全域。通过在南北向链路的分层防护以及东西向的分区域防护，重构云数据中心的安全防护边界。

2.2 安全即服务

南北向流量主要通过在对内访问的主干链路部署高性能的防火墙、负载均衡和IPS产品实现大流量分层安全防护；安全域间防护通过在核心交换机旁挂一台高性能综合安全网关实现NFV功能，针对每个安全域的安全等级分配安全功能和安全策略；重要的安全域内虚拟主机间的东西向互访通过Vxlan+服务链+NFV的方式，实现云环境的流量安全合规。

2.3 统一安全管理

通过部署SOC和SDN控制器，可以实现数据中心统一部署、监控和管理。SOC对数据中心所有设备和服务器的海量安全事件进行采集、分析、关联、汇聚和统一处理，实时输出安全报告，协助管理员及时掌握数据中心的安全状态。

3 典型组网

4 核心产品

云平台：Cloud OS

管理平台：天机

SDN控制器：H3C VCF Controller

安全产品：
H3C安全管理中心产品、H3C SecPath M9000综合多业务网关、H3C SecPath F50X0超万兆下一代防火墙产品系列、H3C SecPath L5000应用交付产品系列、H3C SecPath W2000 WEB应用防火墙产品系列、H3C SecPath D2000数据库审计产品系列、H3C A2000 运维审计产品产品系列、H3C云安全检测中心产品、H3C X-Scan漏洞扫描产品系列、H3C网页防篡改产品系列

vSwitch：H3C S1020V

NFV产品：H3C SecPath VMSG VFW1000、H3C SecPath VMSG VLB1000

5 客户价值

1、 采用经典的分区分域防护理论，重构数据中心的安全架构，除了在南北向实现了大流量的纵深防御外，还实现了区域间和云环境的安全防护。

2、 采用高性能、高冗余的安全防护设备，消除了网络中的环路，同时实现了网络功能虚拟化，将内部安全访问节点数量降至最低，极大减小了数据中心当中的故障节点。

3、 采用overlay+NFV的东西向安全防护手段，实现了云环境中东西向流量的安全防护。

4、 使用SDN控制器和SOC产品，极大简化了网络设备的统一部署和策略调整，同时做到了对全网安全事件的统一监控和风险挖掘。

广域网

【发布时间：2016-01-07】

1 方案介绍

需求背景

• 广域网主要用于大型连锁企业或者跨地域的分支与总部互联互通，通常以专线或VPN连接，随着网络技术的不断发展，网络支撑平台从单一业务逐渐转换为多业务，网络数据传输从传统的简单数据，到现在的语音通话、即时通话、视频会议以及其他应用，企业对网络传输的实时性要求越来越高。专线因为隔离和独享特点，安全性和稳定性方面有天然的优势，但是建设成本始终居高不下，而且随着VPN技术的日趋成熟，其明显的价格优势和兼顾安全的特性，逐渐成为主流或者专线的备份方案。
• 但是，现有的VPN广域网方案还是存在以下难题，一直困扰着用户：
• ■ 流量控制：接入的分支越来越多，流量越来越大，增大了总部出口VPN网关的压力；
• ■ 带宽保证：不断增加的互联网应用与VPN业务出现带宽争用的问题；
• ■ 安全风险：由于接入了互联网，总部与分支局域网面临安全风险；
• ■ 配置复杂： VPN网关、流控网关、安全网关等多种产品的串形部署，使总部与分支的网络出口结构变得越来越复杂；
• ■ 难于运维管理： IT维护人员有限，众多分支机构接入网关设备难于管理。

　 H3C新一代广域网安全解决方案全面地考虑了广域网的安全问题和性能问题，通过部署防火墙、IPS、ACG、负载均衡、管理中心等安全产品组成了立体的安全防御和性能优化体系，确保了广域网的高安全和高性能。

总部安全设计

• 总部包含了广域网业务的核心数据，安全级别最高，所以在总部的广域网出口采用高性能、高可靠性的安全设备实现安全防护和性能保护。另外，对于大型广域网的总部，H3C可以提供高端超万兆的多业务安全网关M9000，以满足大型广域网总部对安全业务的高性能需求。

分支安全设计

• 　　相对总部而言，分支机构的流量相对较小，但地域分布广、网点多，要求安全易部署、易管理，所以在广域网的分支网点，采用H3C高端下一代防火墙F50X0、F10X0等功能综合的安全产品，在确保获得专业安全业务的同时，又能满足分支业务对性能的需求。

安全管理设计

• 在总部部署H3C的安全管理平台SSM（安全业务管理中心），实现广域网全网安全威胁统一监控和安全策略统一管理，降低运维管理难度，实时了解整网安全态势。

2 方案优势

2.1高可靠性

• 网络可靠：专线接入，并进行VPN备份。
• 设备可靠：网络及安全设备提供电信级可靠性，支持主要硬件模块冗余备份和热插拔；另外设备支持H3C自有的IRF技术，支持N:1虚拟化，多台设备虚拟化成一个节点，简化配置便于管理，虚拟设备互为备份，出现故障自动切换，保证高可靠性。

2.2高安全性

• 网络安全：专线接入，保证数据安全，VPN链路备份
• 设备安全：H3C M9000系列多业务安全网关、下一代防火墙系列产品，支持丰富的安全特性，包括防火墙、入侵检测防御、负载均衡、应用控制等，有效防护来自网络的DDOS攻击、木马病毒拦截、限制P2P、视频带宽滥用等问题，实现2-7层的安全防护。

2.3统一简化管理

• H3C网络和安全设备，支持管理中心统一管理，策略统一、整网事件综合分析联动，安全事件、安全态势在同一平台集中展示，并通过虚拟化技术进一步降低管理和配置复杂度；另外针对广域网设备种类繁多、配置复杂、难于管理的现状，H3C提出安全运营中心解决方案，将网络设备、安全设备、服务器/终端、应用等IT资源集中在同一个平台进行监控，平台负责从分散的网络节点收集日志、事件统一分析，持续分析网络安全趋势、攻击预警及溯源，结合安全大数据分析，有效识别、预防APT攻击，实现未知风险防御。

3 客户价值

• 
  实现高可靠、高安全性的广域网互联
• 
  原有设备全部保留，无须替换, 采用业界通用成熟协议，充分保证与多方厂商设备对接、互通
• 
  支持插卡和虚拟化，性能弹性扩展
• 
  统一管理，大幅降低网络、设备运维难度的同时有效掌握安全趋势降低安全风险

4 典型组网



广域网解决方案

5 核心产品

• 管理平台：天机/iMC/安全业务管理中心SSM
• 安全产品：H3C SecPath M9000多业务安全网关、H3C SecPath F50X0/F10X0系列下一代防火墙、H3C SecPath SecBlade系列安全插卡

6 典型客户

7 未来展望

随着SDN技术的日趋成熟，该技术使控制平面与转发平面分离，并基于全局路由算法，全局路径统一计算，通过链路自动调整实现资源合理调度，有效提升带宽利用率，并加快业务部署速度。结合虚拟化技术，未来广域网安全将以安全能力中心的形式提供安全服务，SDN构建的overlay网络可以根据不同的业务安全需求，按需将特定流量引入安全能力中心进行清洗，实现软件定义安全和基于业务的个性化安全服务。

园区网

【发布时间：2016-01-07】

1 方案介绍

随着IT基础架构、移动互联网等技术的发展和变化，传统园区网络的安全防护手段和思路面临着诸多挑战。首先，传统园区网往往会为每个业务建设一张独立的物理网络，但是在新一代园区网中业务种类越来越多，传统的建设模式会使得网络运维管理非常复杂，也不利于网络资源的有效利用。然后，传统园区网中的安全设备都是零散分布在区域边界，性能瓶颈、单点故障、信息孤岛等问题也困扰着网络运维人员。最后，新一代园区网络中移动终端种类和数量越来越多，任何一个终端设备都有可能成为入侵整个园区网络的跳板。

传统园区网的诸多挑战对新的安全解决方案提出了迫切需求。H3C新一代园区网安全解决方案应运而生，为用户带来立体化、智能化的安全解决方案。

2 方案优势

2.1 虚拟化园区网络架构

通过H3C独创的IRF2技术将园区网络的接入层，汇聚层与核心层设备各自进行横向虚拟化，将多台冗余设备虚拟化为单台逻辑设备，形成一个网络管理与转发节点。横向虚拟化完成以后通过链路捆绑技术完成上下行链路的连接，无需再运行复杂的生成树协议。所以新一代园区网络的网络结构是简单的、路由表是简单的、管理是简单的。

另外新一代园区网络往往会为多个不同单位或业务提供网络需求，所以在整个园区网络中存在彼此完全隔离的网络、部分需要互访的网络以及能够公共访问的网络。华三通信使用MPLS VPN的多通道特性来满足这一需求，核心层设备作为P节点完成MPLS VPN数据转发，汇聚层设备作为PE节点完成对接入用户的网络隔离，接入层设备作为CE节点使用EAD技术对用户进行认证，将用户下发到相应的VLAN并对应到汇聚层设备的VRF中，通过MPLS VPN的路由控制满足各类访问需求。

2.2 终端安全准入和管控

针对新一代园区网络中终端设备呈现出的类型多样化和接入无界化的发展趋势，华三通信提出了“BYOD终端移动化解决方案”。该方案支持802.1X、Web Portal、MAC和VPN等多种认证方式；支持完善的身份生命周期管理能力、独特的访客接入模式和基于角色的资源访问控制能力；支持对终端设备进行外设控制、黑白软件管理、防病毒管理、客户端ACL等安全控制策略；支持细致的网络访问行为审计能力，通过详细的报表可以轻松掌握智用户网络访问轨迹。

2.3 关键路径的纵深防御

新一代园区网络要以“流量路径”为核心构筑层层递进的纵深安全防御体系。首先通过合理划分安全区域确定安全防御边界，包括互联网接入区、广域网接入区、用户接入区、服务器接入区等安全区域，然后根据流量路径上的每一道区域边界进行安全防护部署。依据“纵深防御“原则，流量路径的边界防护应具备网络层、应用层等多层次的防御能力，在流量路径上通过防火墙、入侵防御、Web应用防火墙等产品的策略组合形成有力的防御体系。

在园区网中，互联网接入区作为连接园区内网和外部互联网的桥梁，一方面为园区网用户提供了访问互联网资源的能力，另一方面互联网带来的蠕虫、木马、钓鱼网站等各种攻击方式对园区网络的安全产生了严重威胁。因此互联网接入区是整个园区网络中最为重要的安全防护部分。在互联网接入区，不仅要部署防火墙、入侵防御、Web应用防火墙等安全防护设备，同时也需要部署应用控制网关提供互联网应用访问分析和流量分析，部署负载均衡设备提供多出口链路的高可靠性。

2.4 安全态势监测与分析

在传统园区网络中，由于安全业务设备的种类不同、厂商不同和地理位置分散等问题导致安全业务运维非常复杂。另外由于各类安全业务设备的日志信息难以做到集中统一关联和分析，导致了园区网络“安全孤岛”的产生，很难从杂乱无章的安全日志中分析安全态势和追溯安全事件。H3C 新一代园区网安全解决方案针对这个问题，提出了“统一智能运维管理方案”。该方案将网络中的终端、网络安全设备、应用服务器等IT资源全部纳入安全监测范畴内，在统一的平台上进行日志信息、安全事件的统一收集、归类处理、智能关联和分析，可以实时动态分析园区网安全态势、回溯安全事件和安全预警，便于安全运维人员掌握安全状态。

3 客户价值

• （1） 实现了多租户环境下的网络隔离和灵活访问需求
• （2） 实现了对各类移动终端、物联网终端的安全接入和管控
• （3） 实现了全网安全事件分析、态势监测、安全预警和及时响应
• （4） 实现了简化网络结构、简化转发路径以及简化运维管理
• （5） 实现了高可靠性的基础网络架构

4 典型组网



5 核心安全产品

管理平台：天机/SSM

安全产品：
H3C SecPath M9000综合多业务网关、H3C SecPath F50X0超万兆下一代防火墙产品系列、H3C SecPath T1000系列入侵防御系统产品系列、H3C SecPath L5000/L1000应用交付产品系列、H3C SecPath ACG1000应用控制网关产品系列、H3C SecPath W1000/W2000 WEB应用防火墙产品系列、H3C A2000 运维审计产品产品系列、H3C云安全监测中心产品、H3C X-Scan漏洞扫描产品系列、H3C网页防篡改产品系列。

6 典型客户

7 未来展望

在SDN、Overlay等新技术的推动下，未来的园区网络将会发生巨大的改变。利用Overlay技术的虚拟网络特性能够天然地实现业务网络的隔离，满足园区网多租户的业务建设要求。Overlay技术的另一个作为就是构建“大二层网络”，使得移动终端可以在园区网中任意迁移而访问策略不变。再结合上SDN转发与控制相分离的技术可以将整个Overlay网络的控制层面进行集中和统一，可以实现对Overlay网络流量转发的灵活管理。在这些新技术背景下的未来园区网安全问题将会是一个崭新的命题：未来园区网的安全能力要和网络转发能力一样融入Overlay网络，并且能够被SDN控制器集中管理和控制，实现安全防护能力的同时做到按需灵活调度。

等级保护

【发布时间：2017-12-22】

《网络安全法》于2017年6月1日正式施行，这是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。该法的发布也标志着国家网络安全等级保护工作正式进入2.0时代，现在不做等保就是违法了。

下文将网络安全法中与等级保护有关的条款进行解读分析，从网络安全法角度梳理出我们等级保护工作的重点和核心。同时介绍下在2.0时代等级保护的标准体系和工作流程。

一、网络安全法明确了等级保护工作重点

第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

解读：本条规定的是网络运营者的义务。条款提到的网络安全等级保护制度与公安部运营多年的信息系统安全等级保护制度（即等级保护1.0）有非常大的关联，也说明国家会修订和出台相关“网络安全等级保护”的相关配套制度（即等级保护2.0），目前等级保护2.0标准体系的修订工作已基本完成，近期即将出台。

（一） 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

解读：一般第一主要责任人是单位一把手，厅长、局长、院长、校长等领导，第二主要责任人是单位具体分管信息化、分管网络安全的领导，副厅长、副局长、副院长、副校长或总工等。

（二） 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

解读：一般来说防火墙、IDS、IPS、防病毒网关、杀毒软件和防DDOS攻击系统等属于这类技术措施。

（三） 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

解读：网络审计、行为审计、运维审计、日志管理分析、安全管理平台和态势感知平台等都属于这类技术措施。

（四） 采取数据分类、重要数据备份和加密等措施；

解读：数据安全越来越重要，等保方案需要充分考虑数据备份、数据传输和数据存储安全等内容。

（五）法律、行政法规规定的其他义务。

第五十九条 网络运营者违反规定拒不改正或情节严重的，罚款1-10万元，直接责任人罚款0.5-5万元

二、网络安全法明确了等级保护的核心

1、关键信息基础设施的定义

第三十一条国家公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要行业和领域，以及一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

解读：等级保护工作的核心是关键信息基础设施，本条首先定义了什么是关键信息基础设施。国家互联网信息办公室已于2017年7月发布《关键信息基础设施安全保护条例（征求意见稿）》，参照网络安全法和关键信息基础设施安全保护条例等法律法规要求，关键信息基础设施的认定可参照下表：




关键信息基础设施种类	认定标准	网络安全事件的潜在影响
网站类	1）县级(含)以上党政机关网站。 2）重点新闻网站。 3）日均访问量超过100万人次的网站。 4）一旦发生网络安全事故，可能造成右边列影 响之一的。 5）其他应该认定为关键信息基础设施。	1) 影响超过100万人工作、生活;2) 影响单个地市级行政区30%以上人口的工作、生活;3) 造成超过100万人个人信息泄露;4) 造成大量机构、企业敏感信息泄露;5) 造成大量地理、人口、资源等国家基础数据泄露;6) 严重损害政府形象、社会秩序，或危害国家安全。
平台类	1）注册用户数超过1000万，或活跃用户(每 日至少登陆一次)数超过100万。 2）日均成交订单额或交易额超过1000万元。 3）一旦发生网络安全事故，可能造成右边列 影响之一的。 4）其他应该认定为关键信息基础设施	1) 造成1000万元以上的直接经济损失;2) 直接影响超过1000万人工作、生活;3) 造成超过100万人个人信息泄露;4) 造成大量机构、企业敏感信息泄露;5) 造成大量地理、人口、资源等国家基础数据泄露;6) 严重损害社会和经济秩序，或危害国家安全。
生产业务类	1）地市级以上政府机关面向公众服务的业务 系统，或与医疗、安防、消防、应急指挥、 生产调度、交通指挥等相关的城市管理系统。 2）规模超过1500个标准机架的数据中心。 3）一旦发生网络安全事故，可能造成右边列影响之一的。 4）其他应该认定为关键信息基础设施。	1) 影响单个地市级行政区30%以上人口的工作、生活;2) 影响10万人用水、用电、用气、用油、取暖或交通出行等;3) 导致5人以上死亡或50人以上重伤;4) 直接造成5000万元以上经济损失;5) 造成超过100万人个人信息泄露;6) 造成大量机构、企业敏感信息泄露;7) 造成大量地理、人口、资源等国家基础数据泄露;8) 严重损害社会和经济秩序，或危害国家安全。







2、关键信息基础设施的安全保护义务

第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。

解读：本条款说明关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求，从制度、培训、灾备、应急等方面提出了进一步要求。

第五十九条 运营者拒不改正或导致危害网络安全的，罚款10-100万元，直接责任人罚款1-10万元。

3、敏感信息保存

第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的，应进行安全评估。

解读：本条是外企和有海外业务的国内企业很关注的一条。主要是关于数据境内存储和境外数据流动的问题。核心是数据安全。这里有两个关键词，一个是“重要数据”，什么是重要数据，相关的常见提法还有“业务数据”、“运营数据”、“服务数据”、“个人数据”、“企业数据”、“国家数据”，专家认为，重要数据是从影响因子的权重来区分数据，是一种新的数据分类方式，而不是从用途和归属的角度去分类。另一个关键词是“安全评估”，这个安全评估的方式是将来要出台的配置制度。相关问题也并不清晰，例如评估对象的问题，是对要流向境外的数据进行评估?还是对业务的模式进行评估?还有谁来评估的问题，是主管单位来评估，还是运营者自己进行评估? 本条说明了将来会出台“向境外提供关键信息基础设施重要数据的安全评估办法”。

第六十六条 运营者违反规定的，没收违法所得，罚款5-50万元，吊销执照，直接责任人罚款1-10万元。

4、风险检测评估

第三十八条 运营者每年至少组织一次安全风险检测评估，并评估情况和改进措施报相关部门。

解读：本条主要是关于对关键信息基础设施年度检测评估的问题。这里提到了网络安全服务机构，就是我们常说的提供风险评估等各类安全服务的机构，这些机构以后又多了一项业务了。

第五十九条 运营者拒不改正或导致危害网络安全的，罚款10-100万元，直接责任人罚款1-10万元。

三、等级保护2.0标准体系

等级保护2.0系列标准已形成标准送审稿，近期将颁布出台。等级保护2.0为1+N模式，1为通用要求，适用各个行业和各个领域，N指具体的一个领域内的扩展要求，目前N为5，分别是云计算、移动互联、物联网、工业控制、大数据。未来随着技术的发展，N会不断扩展。





等级保护2.0工作流程



与等保1.0相比，等保2.0将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综合考核等与网络安全密切相关的措施纳入等级保护制度并加以实施。

总结

作为全国唯一具备等级保护建设能力资质的综合网络安全厂商，新华三是国家信息安全标准委员会标准牵头单位，参与了公安部的云计算安全等级保护标准与测评要求以及国家信息中心的政务云等级保护基本要求及实施指南等相关标准制定，并拥有系列齐全的安全产品和服务，具备等级保护一体化交付能力，可帮助客户完成定级备案、差距分析、方案设计、整改加固、等保测评和等保运维的全部流程。新华三等级保护整体解决方案完全满足网络安全法和等级保护2.0标准体系要求，全面覆盖政府、教育、医疗、交通等多个行业的等级保护需求。另外新华三拥有信息安全风险评估服务资质，可为客户提供风险检测评估服务。

互联网出口

【发布时间：2017-12-22】

互联网出口典型模型及需求

• 

传统解决方案的挑战与问题

• 

互联网出口安全解决方案

• 

H3C互联网出口防火墙特点

• 

H3C互联网出口方案价值总结

• 

华三互联网出口行业应用案例

• 
• 
• 

云安全

【发布时间：2017-12-22】

随着云计算的蓬勃发展，云应用在贴近和融入我们日常生活的同时，也给相关的安全管理工作带来了巨大挑战。因此，如何帮助用户打造一个更为安全的云计算应用环境，始终是各云计算和安全厂商研发和创新的重点。

在云安全1.0时代，新华三云计算安全解决方案基于云安全等保要求，融合云计算、SDN、安全等一系列成熟的技术和产品，实现了安全服务可定义、可编排、可快速交付、可自动化部署、弹性可扩展的云安全防护能力，为云计算安全奠定了坚实的基础。



目前，云安全已经迈入2.0时代。面对新的安全态势，新华三云安全2.0解决方案的安全服务能力进一步丰富和提升，增加了大数据分析、云安全态势感知、可视化运维管理等功能，提升了开放性，并在云网端安全协同联动等方面进行了创新。



丰富全面的安全服务能力

随着云应用的不断丰富，各种应用系统漏洞层出不穷。为此，用户需要采用更全面、专业的安全服务产品，构建纵深、立体的云安全防护体系。云安全2.0可以为用户交付更加丰富和专业的安全服务，涵盖网络层、应用层、WEB应用、安全审计等多个层面，不仅包括传统安全产品防火墙、IPS、堡垒机等，还增加了VPN安全接入、服务器负载均衡、DDOS防护等，以及WAF应用防火墙、网页防篡改、网站安全监测等WEB应用安全服务能力。

安全服务链是云安全不可或缺的重要功能，可以为用户提供灵活的安全服务编排和自动化部署能力。云安全2.0对安全服务链功能做了进一步完善，新增了“东西向”安全防护，解决了虚机间的流量无法管控的问题，实现了云用户业务流量全面管控，这在虚拟化的云计算应用场景中尤为重要。



清晰准确的风险可视化呈现

云安全2.0基于安全大数据和安全态势感知技术，以安全威胁情报为驱动，通过强大的安全数据分析引擎和丰富的报表，实现了对整个云计算系统安全态势的持续监控，让用户更深入、全面、主动地对云安全风险进行管控。

云安全2.0可以通过多种方式从安全设备、网络设备、服务器、终端、应用系统等数据源中，采集到丰富的源数据，并借助云内流量分析探针、异常行为检测引擎、未知威胁分析引擎（沙箱）等方式，以及和第三方安全情报平台的合作，获取高价值的安全威胁事件和实时可靠的第三方安全威胁情报。

同时，云安全2.0依托强大的安全大数据分析平台，对各类安全数据进行资产威胁、行为异常、安全风险、等保合规、事件关联等深度挖掘分析，通过资产管理图、攻击趋势图、攻击地图等各类图表，帮助用户全方位展示云内深藏的安全风险，全面呈现整个云计算网络的安全态势，并及时作出预警和响应。



全局化的云网端协同联动

云安全2.0的另一个创新就是云网端安全协同联动。它以安全情报为驱动，充分利用云端和安全终端设备的检测以及协同联动能力，实现对云安全风险的有效管控。

云网端安全协同联动由云端和网络安全终端设备组成，而云端又包含了风险检测中心和全局策略管控中心等构件。云端风险检测中心拥有强大的特征库以及可以实时更新的第三方安全威胁情报。在风险检测过程中，防火墙、IPS等安全终端设备可以将无法判断的可疑流量上传到云端风险检测中心，依据云端强大的特征库和第三方安全威胁情报，对可疑流量进行分析和处理。

当发现新的恶意攻击后，云端全局策略管控中心一方面会将恶意IP地址防护策略下发给关键的安全终端设备，让其及时产生“抗体”并进行防护。另一方面，云端管控中心会更新云端安全特征库，并自动同步给网络中的所有安全设备，保证整个云安全防线的一致性和完整性。

良好的开放性和普适性

“合作共赢、生态共建”是当今云计算发展的主流。云安全2.0将带来前所未有的开放性，通过对第三方设备的兼容与集成，方便用户将更多安全设备和网络设备纳入统一管理的范畴，对云计算安全服务能力提升提供强有力的支撑。同时，云安全2.0具有良好的普适性，云平台内各种安全能力不仅可以与自主系统有机融合，同样也能适配OpenStack以及第三方云管理平台和KVM、VMWARE等主流虚拟化平台，为用户带来更多选择。



结束语

在“应用驱动，云领未来”的战略背景下，云是各厂商未来发展的重点方向。而新华三云安全2.0解决方案通过卓越的安全服务能力、可视化呈现、协同联动以及开放性等优势，已成为新IT解决方案体系中的重要组成部分。在未来的云计算应用大潮中，云安全2.0将会体现出更多优势，为用户带来更高的价值！