服务化、一体化、实战化——雄安超算云安全三化之路

智慧工地、智能接驳、数字道路……在雄安，这些智能化应用场景的实现，都离不开雄安城市计算（超算云）中心这个“城市大脑”，其承载的边缘计算、超级计算、云计算设施将为整个数字孪生城市的大数据、区块链、物联网、AI、VR/AR提供网络、计算、存储服务，为建设数字城市、打造“云上雄安”提供重要支撑。

图源见水印

“

“历经数年的建设与运营，雄安超算云中心与块数据平台、雄安城市信息模型CIM平台、物联网平台和视频一张网平台‘一中心四平台’基本成型。”雄安超算云中心相关技术负责人表示，雄安坚持数字城市与现实城市同步规划、同步建设，推动全域智能化应用服务实时可控，建立健全大数据资产管理体系，打造具有深度学习能力、全球领先的数字城市。

”

与此同时，作为雄安数字城市基础设施的重要组成部分，网络安全也秉承同步规划、同步建设、同步运营的原则，在数字城市建设之初，雄安云网科技有限公司便与奇安信达成合作，共同打造了超算云上的安全屏障。

合规也要合需

超算云中心安全建设的四大核心需求

雄安新区作为我国第一个全域实现数字孪生城市与现实城市同步规划、同步建设的数字智能城市，雄安超算云中心的安全建设，既要满足数字城市的共性安全需求，也要满足新区的特定安全需求。

总体而言，雄安超算云中心安全建设，需要满足以下四个方面的核心需求。

首先是满足安全合规要求。

随着我国相关法律法规制度的不断完善，满足合规需求已经成为网络安全建设不可逾越的红线和首要需求。对于这样一个由“地下一座城、地上一座城、云上一座城”共同组建的数字城市，雄安超算云中心接入的应用系统涉及到各种不同业态。

譬如整体网络安全建设需要满足等保2.0《信息安全技术网络安全等级保护基本要求》第三级计算安全拓展要求；政务云需要满足《国家电子政务外网政务云安全要求》；云平台安全建设需要满足《信息安全技术云计算服务安全能力要求》……这就要求在建设之初要充分考虑信息化和业务的实际需求，以工程设计思想，实现网络安全与业务的全面覆盖与内生融合。

其次是搭建安全可信的信创软硬件环境。

作为全国范围内首屈一指的超级计算中心，雄安超算云中心具备庞大的软硬件生态体系，使用了多种不同品牌、型号、性能、版本的信创芯片、操作系统、服务器、数据库、应用软件等，想要在如此复杂的IT环境中，提供强大的安全防护能力同时又能够确保业务的连续性不受影响并非易事。这就要求网络安全提供商在提供信创产品和解决方案的同时，可以完美适配多种不同的软硬件环境，打破不同系统之间的“孤岛”效应，并提供一致的、高性能安全体验。

第三是建设统一的安全防护和运营能力。

在雄安数字城市的规划中，所有信息系统、数据都要汇集到超算云中心上进行统一计算、处理，这会导致安全边界的无限扩大，攻击者可以任意选择一个边缘设备入手，对核心系统以及其他设备进行横向渗透。比如在“地上一座城”中，各类物联网设备的数据，都通过物联网平台接入到超算云中心，一旦某一个设备被黑客控制，攻击者便能够以该设备为跳板，一步步攻破更多设备。

因此，传统被动的、静态的、各自为战的边界防御模式已经不再适用，需要构建纵深防御的内生安全体系，从网络边界、终端、云平台内部、数据等，形成多层次、大纵深的防御结构，并且依靠全天候态势感知、实战化安全运营实现不同设备之间的协同联动。

第四是同时支持IPv4与IPv6双协议。

随着IPv4地址的耗尽，IPv6作为新一代互联网通信协议，已经成为互联网基础设施的核心底座。早在2018年，河北省印发《加快发展IPv6网络设备研制和应用的实施方案》提出，着力推进IPv6网络设备在互联网、网络基础设施、应用基础设施、经济社会领域推广应用。雄安新区为建设IPv6技术创新和融合应用试点，需要同时满足现行的IPv4协议和IPv6协议，这对于网络安全检测能力尤其是网络流量侧安全能力而言，是一个考验。

标准+定制

实现云上安全“三化”

“这是一个全新的大项目，包含专线、网络设备交换机路由器、服务器、操作系统、数据库、云平台软件、管理运维软件、安全硬件、安全软件、测评和认证服务、驻场运营服务等。”据奇安信雄安超算云中心安全项目负责人回忆，在接到具体需求后，涉及到的租户数量多、安全组件多、服务器数量多、配置高，且需要在180天内完成初验，交付时间紧、工作量大、项目实施复杂，对所有人而言都是一个不小的压力。

为此，项目组进行了详细的项目深化设计，与客户及其他信息化建设单位进行了反复地沟通，确定具体的网络需求、服务器配置、计算机存储资源需求等，明确主要功能需求。最终历时一个月确定环境资源、部署方案、数据流量模型和需求实现方式，编写完成实施方案。

在安全建设方面，奇安信基于云安全管理平台、云安全运营中心以及多设备和服务的联动，为客户建设了具备“三化”能力的云上安全能力。具体包括：

第一，安全产品服务化，云化安全合规。

雄安超算云中心改变了传统意义上产品简单堆叠的粗放型发展方式，而是将其作为防护体系的一部分，与云安全运营中心实现联动，通过云端资源池和安全服务在线租用的方式，快速满足云上租户侧的等保合规、数据安全防护等不同方面合规需求。

第二，安全能力一体化，软件定义安全易管理。

奇安信云安全管理平台可将多种池化后的安全能力进行整合与联动，并以软件定义的方式，由统一平台提供资源编排、授权管理、策略下发等能力，通过一站式的云安全解决方案，满足云上各项安全需求。而且随着接入云平台的应用系统越来越多，云安全管理平台还支持弹性扩容，确保了IT设备升级期间的业务连续性和稳定性。

在能力资源层面，奇安信可提供涵盖主机、网络、应用、数据、密码、容器等各层面丰富的安全能力，快速构建云安全纵深防御体系、云安全积极防御体系和云安全管理体系。同时，基于人工智能、大数据分析的协同防御体系，可以帮助客户实现精准的云内（高级）威胁发现与响应处置，以及以资产、应用为核心的安全运营水平提升。

第三，安全运营实战化，快速检测及处置云内威胁。

在此基础上，奇安信现场安全运营服务团队通过云安全管理平台，可帮助客户展开7x24小时的安全监测，完成安全告警分析、策略调优、安全事件溯源、安全事件处置、应急响应、重保支撑等，客户可便捷地基于奇安信云安全管理平台扩充威胁分析和事件响应能力，形成识别、预防、防护、检测、响应的整体方案。

“因为智慧城市和政务业务应用多，这其中涉及到了大量不同版本的软硬件，包括信创操作系统、数据库、业务应用等，因此除提供标准化产品和解决方案之外，我们还做了部分定制化工作，从而保证奇安信各类安全组件，能够在各类复杂的IT环境中保持高性能稳定运行。”奇安信项目负责人表示，如完成奇安信云安全管理平台和第三方云管理平台对接，实现云平台管理和云安全管理的一体化，客户登录云管理平台后直接可以单点登录云安全管理平台，登录后可按需一键创建相关安全组件。

合规、合需，可控、可防

筑牢云上安全屏障

“

“专业、靠谱。”在项目验收阶段，雄安超算云中心网络安全负责人用这样四个字评价道，通过管理平台+云安全资源池的产品架构，信创适配、功能定制与统一调度平台对接等，该项目在180天之内顺利通过初验并上线试运行，实现了面向云计算安全的可持续运营的安全服务，保障了云上智慧城市、智慧政务的业务、数据安全。

”

在合规层面，奇安信通过顶层规划设计、产品服务化等，帮助雄安超算云中心满足等保2.0三级云计算安全拓展要求、国家电子政务外网政务云安全要求、信息安全技术云计算服务安全能力要求以及相关合规要求。

在实战化需求方面，基于奇安信云安全管理平台，雄安超算云中心实现了云上安全风险的全天候态势感知，并以可视化大屏的方式清晰呈现，从而第一时间发现入侵事件；结合奇安信安全运营服务团队，超算云中心梳理了完整的安全运营标准化流程，形成了漏洞发现、威胁监测、分析研判、应急响应、预警的实战化安全运营闭环。

在安全管控层面，奇安信云安全管理平台提供两类门户入口，支持租户通过自服务门户进行安全组件的创建和业务管理，也支持管理员通过平台管理门户进行统一管理；还具有运营管理、运维管理、监管管理及其它管理功能。“只需要在云管理平台进行单点登录，就可以完成对包括安全组件在内的云上组件进行统一运维管理，这显著提高了我们安全管理和运营的效率。”雄安超算云中心某一线工作人员表示。

在安全防护方面，奇安信云安全管理平台提供了丰富的安全资源池，并且所有安全组件均支持IPv6协议地址配置，以及对IPv6协议地址、流量、内容的防护、审计。安全运营人员可在管理平台快速创建所需要的智慧防火墙、VPN、Web应用防火墙（WAF）、云工作负载保护平台CWPP、数据库审计、日志审计、堡垒机、漏洞管理等全栈安全组件，构建云上安全纵深防护体系。当云上租户、应用不断增加时，还可对现有安全组件和底层计算、存储资源进行弹性扩容，不用以牺牲业务连续性为代价，改变现有网络拓扑结构。

结束语

随着数字城市的发展，雄安新区将成为一座“聪明城市”，城市管理具有智能化特征。有专家表示，利用“数字孪生城市”系统，将来一些决策付诸实施前，可先在虚拟城市模拟运行，根据模拟结果付诸实施或者修正，发挥辅助决策作用。这也就意味着云上数字城市正变得和现实城市一样重要。

现阶段，雄安超算云中心通过产品服务化、能力一体化和运营实战化，为信创云平台的云上安全创造了一道牢固的屏障，也为将来城市级安全运营中心的建设打下了坚实的基础。