租赁服务式 （PPP式）
主管部门像运营商（3大运营商、太极等大型集成商）租赁云服务， 主管方关心技术实现，运营方在选择产品方案端有较强的话语权。
2019/12/15
预算式涉及的几种角色
主管方 租户 集成商
目标对象：信息中心、电子政务办、经信委、发改委。 初次建设，会采购大量的硬件安全设备，更关注自身平台合规。 监管机构，负责租户上云政策的发布，上云节奏的掌控，把握预算 口子。
历史版本路径
CSSP 1.0版本： 1. 基于超融合，以NFV
方式实现。 2. 市场验证、需求验证
为主
CSSP 2.0版本： 1. 手动部署，工作量巨
大 2. 缺少运营方（主管方
）、租户自管理界面 3. 属于方案、市场验证
阶段 4. 收割样板点
CSSP 3.0版本： 1. 自动化部署 2. 新增租户与平台运营
目标对象：上云的局委办单位。 政务云的直接使用对象。
目标对象：当地强势，关系型集成商。 负责本地政务云的项目集成。
2019/12/15
预算式各方关注点
主管方视角
• 安全责任怎么划分。 • 怎么促进租户安全上云。 • 其他地方经验，及怎么合规。 • 是否有案例，效果怎样。
2019/12/15
沟通要点
• 汇报政务云中安全建设经验和安全资源池方案。 • 帮助用户理清安全权责。 • 通过安全资源池方案加速租户安全上云进度。
主管方沟通思路
关键词：权责、合规、有案例、能上云
痛点：
1、痛过：如果当地曾经出过安全事故，可以适当引用（慎用） 2、抓住关注点，引起兴趣： a. 租户上云数量、上云业务类型（核心系统还是网站），背后对应的是租户对云平台安
方界面 3. 组件高可用性调整及
优化 4. 统一配置入口 5. 服务商界面 6. …
2019/12/15
安全资源池（CSSP） 3.0版本改进
Cssp 2.0版本： 1. 手动部署，工作量巨大 2. 缺少运营方（主管方）、租户自管理界面 3. 属于方案、市场验证阶段
Cssp 3.0版本： 1. 自动化部署，工作量减少 2. 补齐运营方（主管方）、租户自管理界面 3. 新增云端监测服务包，可提供针对租户Web业务的安全监测服务 4. 平台高可用机制支持租户安全服务组件自动资源平衡和跨主机资源自调整
钱从哪里来
预算式场景，钱肯定从去年的预算里来。 “没预算咋办？” “新增预算”、“抢预算”
抢预算 顾名思义，从其他安全设备预算中抢 过来。
2019/12/15
新增预算 要有一个新的、刚性的理由能够新增 预算。如与主管方引导租户侧安全需 求与租户侧合规需求。
1、详细介绍：为租户提供个性化安全服务，并满足合规， 功能、优势 、价值 2、定心丸：北京、温州案例
1、达成测试或主动介绍政务云的背后运维方具体沟通 2、测试后争取看今年是否有安全预算或剩余预算可以采购部分安全资源池服务器、软件， 小范围使用。或测试后引导明年的预算。 安全资源池属于一旦流量引过来，产生具体效果，主管方就不想切换回去的产品。
IDC 出口
引流口
引流口
引流交换机VM EΒιβλιοθήκη R VM EDR安全资源池
移动接入包 网站安全基础 网站安全高级包 分支接入包 失陷主机发现 Web增强包
南北向安全能力
东西向隔离 密码暴力破解 Webshell检测
东西向安全能力
安全审计
数据安全
应用安全
安全生态能力
云环境
安全资源池私网交换机（存 储私网、vxlan）
深信服云安全资源池培训
培训大纲
2019/12/15
1 安全资源池历史版本介绍 2 项目操作方法及商务模式 3 竞争分析 4 报价与销售工具 5 标准化测试流程 6 FAQ
一、安全资源池历史版本介绍
整体拓扑架构示意图
云安全方案：安全资源池+EDR+生态
出口设备 平台层安全设备
核心 接入
VM EDR
2019/12/15
云内安全界面
首页
2019/12/15
打造可视可控的内部安全
二、应用场景及项目操作方法
主要场景
政务云
IDC、政企云
专有云、私有云
2019/12/15
政务云2种建设模式
预算式
电子政务办、经信委、发改委统一建设，租户“免费”使用，财 政统一结算。 主管单位非常强势，局委办单位会选择部分业务系统上云。
2019/12/15
6
安全资源池（CSSP） 3.0版本
强迫症患者的福音
2019/12/15
云安全资源池交付流程
租户侧界面
2019/12/15
界面重点
1. 业务列表 2. 服务追踪 3. 统一运维入口 4. 专属服务商
云安全资源池组件（自有）
安全 接入
安全 审计
分支接入包 移动接入包 数据库审计包
分支IPCEC组网 SSL VPN、安卓/IOS/windows安全接入SDK等多种安全接入组
件
针对SQL、MySQL、DB2、Oracle数据库审计
运维审计包
运维人员操作网络设备、数据库、服务器监控与审计
基础防护包
提供应用控制、防病毒网关、IPS功能
网站安全基础包
提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控 制、防病毒网关、IPS功能
南京聚铭网络日志审计
建恒日志审计 杭州美创数据库加密产品
思福迪堡垒机
原则：整合、补强
合规要求 丰富功能
听云私有云版本 ……
2019/12/15
云内安全能力-云内安全检测平台
云内安全检测平台（EDR的同门师兄）本次培训不过多讲解，后续单独为云内安全解决方案重点培训。
目前实现的功能： • 入侵检测响应-暴力破解检测 • WEB安全检测-WebShell的持续检测 • 僵尸网络检测-实时活跃恶意行为检测 • 微隔离-东西向流量访问控制
安全 防御
网站安全高级包
提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控 制、防病毒网关、IPS、僵尸网络、实时漏洞分析
失陷主机包
主机僵尸网络、实时漏洞分析
云端检测包 应用交付包
提供业务可用性检测、资产暴露面、云端漏洞监测安全组件 4-7层应用负载、SSL卸载
2019/12/15
已经引入的第三方组件
全能力的担忧 b. 业内对安全责任划分的案例，引出公有云aws、阿里云责任共担模型
如何解决：
1、合规背书：等保2.0，更强调了租户和平台方的安全责任。 2、抛方案：引出我司安全资源池方案，面向租户的产品 3、明确与硬件安全的关系：资源池和平台硬件安全不冲突并且云平台解耦
我司方案和案 例
保证效果
2019/12/15