随着云计算技术的成熟和稳定，众多企业、政府等客户上云速度的加快，金融企业出于自身成本、运维效率和资源弹性伸缩的考虑，也在积极启动金融云建设。金融行业的业务数据都是真实公民的账务数据，因此相比于其他行业，金融行业对数据的机密性、完整性、真实性有着更高的要求，要严格防范泄露和篡改，对不同安全等级的网络也需要实行严格的分区及隔离。

金融行业重要的信息系统，是国家信息安全重点保护对象，因此金融行业是落实和实施信息安全等级保护的重点行业之一。《网络安全等级保护基本要求》等系列标准的发布，标志着国家网络安全要求进入了2.0的时代。2.0要求和1.0相比，最大的变化莫过于涵盖了云计算、物联网、工业控制和大数据等新的技术领域。尤其是在云计算安全方面，业务、数据等上云后，安全问题不再由用户方独立负责，更多的依赖云平台的安全防护等级以及能够提供的安全能力。云计算安全扩展要求即“云等保”的出台，无疑为云安全建设思路指明了方向。

和通用安全要求一致，云计算安全也将围绕“一个中心，三重防护”的思路进行建设。一个中心指安全管理中心，三重防护包括安全通信网络、安全区域边界、安全技术环境。“云等保”中也重点对这四个方面进行了详细的要求阐述。但又与传统网络不同，云计算环境中存在云平台和租户多重视角，从而使得云网络更加立体，防护手段也需多维立体。

云等保的出台，对云网络安全建设方案提出新的挑战：

金融云网络如何分区分域？

分区分域一直以来都是等保要求的核心保障，做好区域划分是网络安全等级保护的第一步。而云计算网络的优势则是动态的、弹性的、可扩展、可迁移的，难以将边界固定下来。业务上云后，如何恢复安全域的划分和隔离，一直是困扰用户的问题。当前金融数据中心的组网安全架构，主要依据《人民银行信息系统信息安全等级保护测评指南》所提出的安全域模型，其中提出“通过划分安全域的方法，将金融行业信息系统划分为不同的安全域，并针对每个安全域给出相应的保护措施，从而建立纵深防御体系，实现深度防护的目标。同时，《人民银行信息系统信息安全等级保护测评指南》中还要求“原则上禁止从外联区直接访问内部网络”，因此内网业务区域与外联区域无法合并。上述几项要求成为金融数据中心分区分域的基本原则。

云租户如何配置安全策略？

传统网络中，安全的建设和运维仅由用户独立负责，金融用户可直接维护安全策略；而云网络中，安全产品主要部署在云中，用户接触不到实际环境，对用户来说可能形成一个管理盲区，用户方作为其中一个租户，无法完全自主掌控策略。而在云等保中，提出了“应具有根据云服务客户业务需求自主设置安全策略的能力”，对租户维度的策略管理能力提出了明确的要求，使得金融用户可以根据自身需求从服务目录中选择安全能力。

如何通过云平台实现安全资源的统一管理？

等保2.0和1.0相比，着重强调了集中管控，要求“应能对物理资源和虚拟资源按照策略做统一管理调度与分配”。云计算环境中，存在资源分配、调度等操作，管理、维护成本更高。另外，云网络与传统网络相比又增加了运营属性，金融云平台应能够实现安全资源的统一管理，则会有利于形成一体化的运营。

新华三集团，通过多年网络安全领域技术的积累并结合丰富的金融云项目建设经验，提出了“云网安一体化”建设方案。通过将安全资源池与云平台的深度融合形成“一个云平台三种资源池”的云安全等级保护解决方案。

三种资源池包括了防护资源池、检测资源池、运维审计资源池，一个云平台指的是仅需通过一套云管理平台即可实现安全资源、网络资源、计算资源的统一管理。安全能力覆盖区域隔离、通信加密、边界防护、访问控制、身份鉴别、安全审计、病毒防范、入侵防范、运维审计、集中管控、漏洞管理、系统加固等。

新华三集团多年来一直致力于打造安全即服务的云计算平台，将安全能力资源化，并作为一种云端服务提供给租户。租户登录云平台后既可同时申请网络、计算、存储、安全等多种资源，又可以在云平台上直接配置和管理，既可满足等保要求的安全策略管理和集中管控要求，又能按需购买、灵活部署，进而实现成本投入的合理规划。在云安全等级保护方案中，通过将安全和网络打通形成有效的边界防护，利用VPC技术以及安全服务链技术实现云网络的分区分域，通过东西防护资源池与SDN控制器的配合完成VPC内部的区域划分，进而形成虚拟数据中心的三级网络划分。

新华三成功为某大型保险公司云等保建设提供咨询服务，解决方案的设计充分考虑了网络安全等级保护的基本要求和安全设计要求，面向云化安全技术框架，实现弹性扩展，自适应安全防御，模块化、独立生存和服务的能力，同时符合网络安全法、等保等监管合规要求；满足数据保护、关键信息基础设施合规要求，为用户打造既合规，又实用的安全云环境。