XX云数据中心安全等级保护建设方案

《XX云数据中心安全等级保护建设方案》由会员分享，可在线阅读，更多相关《XX云数据中心安全等级保护建设方案（65页珍藏版）》请在装配图网上搜索。

1、精品文档，仅供学习与交流，如有侵权请联系网站删除1 项目综述1.1 项目背景为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部关于开展信息系统等级保护安全建设整改工作的指导意见公信安20091389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。1

2、.2 安全目标XX的信息安全等级保护建设工作的总体目标是：“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。”具体目标包括（1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技术体系、安全管理体系和安全运维体系建设，实现按需防御。（2）安全运维，确保持续安全。通过安全监控、安全加固等运维手段，从事前、事中、事后三个方

3、面进行安全运行维护，实现持续性按需防御的安全需求。（3）通过合规性建设，提升XX云平台安全防护能力，保障系统信息安全，同时满足国家等级保护的合规性要求，为信息化工作的推进保驾护航。1.3 建设范围本方案的设计范围覆盖XX的新建云平台基础设施服务系统。安全对象包括：l 云内安全：虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机的安全防护；l 云外安全：虚拟化环境以外的网络接入，核心交换，存储备份环境。1.4 建设依据1.4.1 国家相关政策要求（1）中华人民共和国计算机信息系统安全保护条例（国务院147号令）；（2）国家信息化领导小组关于加强信息安全保障工作的意见（中办发2003 27号）

4、；（3）关于信息安全等级保护工作的实施意见（公通字200466号）；（4）信息安全等级保护管理办法（公通字 200743号）；（5）信息安全等级保护备案实施细则（公信安20071360号）；（6）关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）；（7）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429号）。1.4.2 等级保护及信息安全相关国家标准（1）计算机信息系统安全保护等级划分准则（GB17859-1999）；（2）信息安全技术 信息系统安全等级保护实施指南（GBT 25058-2010）；（3）信息安全技术 信息系统安全保

5、护等级定级指南（GB/T22240-2008）；（4）信息安全技术 信息系统安全等级保护基本要求（GB/T22239-2008）；（5）信息安全技术 信息系统等级保护安全设计技术要求（GB/T 25070-2010）；（6）信息安全技术 信息系统安全等级保护测评要求；（7）信息安全技术 信息系统安全等级保护测评过程指南；（8）信息安全技术 信息安全风险评估规范（GB/T 20984-2007）；（9）信息安全技术 信息系统安全管理要求（GB/T 20269-2006）；（10）信息技术 安全技术 信息安全管理体系要求（GB/T 22080-2008（idt ISO/IEC 27001:2005

6、）；（11）信息技术 安全技术 信息安全管理实用准则（GB/T 22081-2008（idt ISO/IEC 27002:2005）；（12）信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006）及相关的一系列具体技术标准。2 云安全等保风险分析由于本系统是新建设系统，并且尚未部署应用。机房环境目前已经非常完备，具备很好的物理安全措施。因此当前最主要的工作是依据等级保护基本要求，着重进行网络层、主机层、数据层等方面的等级保护安全技术建设工作。此外，天融信具有等级保护的专家团队，深入了解国家等级保护相关政策，熟悉信息系统规划和整改工作的关键点和流程，将通过等级保护差距分析、文档

7、审核、现场访谈、现场测试等方式，发掘目前云平台系统与等保技术和管理要求的不符合项。并针对不符合项，进行逐条分析，确认建设方案。在云架构下传统的保护模式如何建立层次型的防护策略，如何保护共享虚拟化环境下的云平台建设中需重点考虑的环节；健康云和智慧云将实现基于云的数据存储和集中管理，必须采用有效措施防止外部入侵和内部用户滥用权限；在信息安全保障体系实现时仍需满足国家信息安全等级保护政策要求，同时需要解决信息安全等级保护政策在云计算技术体系下如何落地的重要课题。健康云和智慧云计算平台引入了虚拟化技术，实现数据资源、服务资源、平台资源的云共享，计算、网络、存储等三类资源是云计算平台依赖重要的系统资源，

8、平台的可用性（Availability）、可靠性（Reliability）、数据安全性、运维管理能力是安全建设的重要指标，传统的密码技术、边界防护技术、入侵检测技术、审计技术等在云计算环境下仍然需要，并需要针对云计算给信息安全带来的新问题，重点解决，虚拟化安全漏洞，以及基于云环境下的安全监控、用户隔离、行为审计、不同角色的访问控制、安全策略、安全管理和日志审计等技术难点，这就更加需要借助内外网等级保护的建设构建满足健康云、智慧云平台业务需要的安全支撑体系，提高信息化环境的安全性，并通过运维、安全保障等基础资源的统一建设，有效消除安全保障中的“短板效应”，增强整个信息化环境的安全性。2.1 合规

9、性风险XX云平台的安全建设需满足等级保护三级基本要求的标准，即需要建设安全技术、管理、运维体系，达到可信、可控、可管的目标。但是目前在云计算环境下的等级保护标准尚未出台，可能会面临信息系统可信、可控、可管的巨大挑战，如下图：此外，在今后大量XX自有应用以及通过SaaS方式，纵向引入各下属单位应用。为了满足各类不同应用的合规性需求，需要在安全技术、运维、管理等方面进行更加灵活、高可用性的冗余建设。2.2 系统建设风险虚拟化平台架构，品牌的选择是一个很慎重的问题。其架构依据不同品牌，导致接口开放程度不同，运行机制不同。而与虚拟化平台相关的如：信息系统应用架构、安全架构、数据存储架构等，都与虚拟化平

10、台息息相关，也是后续应用迁入工作的基础。此外，在后期迁入应用，建设过程中的质量监控，建设计划是否合理可靠等问题，均有可能造成风险。以下为具体的风险：2.2.1 应用迁入阻力风险XX的云平台规划愿景包括：应用数据大集中，管理大集中，所以要求今后非云环境的各类应用逐步的迁移入虚拟化环境，各应用的计算环境也需要调整入虚拟化环境。由此可能会引发一些兼容性风险问题，带来迁入阻力的风险。2.2.2 虚拟化平台品牌选择风险因现有虚拟化平台已经采购完成，是VMware的vSphere虚拟化平台，因其对国内其他IT平台，尤其是对国内安全厂商的开放性严重不足，导致许多安全机制无法兼顾到云平台内部。因此造成了安全监

11、控、安全管理、安全防护机制在云平台内外出现断档的现象，使现有的自动化安全管理、网络管理、安全防护等措施无法有效覆盖虚拟化环境。2.2.3 建设质量计量、监督风险因为本次XX云平台的建设打算采用市场化建设的方式进行，但是现有云计算平台是否符合建设要求，是否符合安全需求，如何进行质量的计量，如何进行评审监督，都是亟待解决的问题。2.2.4 安全规划风险在云平台的规划过程中，应同时规划安全保障体系的；保证在建设过程中，同步实施计算环境和安全保障建设。如出现信息安全建设延后，可能带来保障体系的脆弱性，放大各其他基础设施的脆弱性，导致各类安全风险的滋生。2.2.5 建设计划风险云平台的建设因其复杂性，导

12、致系统投入使用前，需要进行完善详实的规划、设计和实施。需协调好各相关部门，以及第三方合作厂商，群策群力的建设云平台，而建设计划是需要先行一步制定好的，从而可以指导规范整个项目的生命周期。2.3 安全技术风险基于虚拟化技术的云平台带来了许多优势，如计算资源按需分配，计算资源利用效率最大化等等。但是，在引入优势的同时，也会带来许多新的安全风险。因此对于XX云平台的信息安全风险分析也应根据实际情况作出调整，考虑虚拟化平台、虚拟化网络、虚拟化主机的安全风险。同时，为了满足等级保护的合规性要求，需要结合等级保护三级的基本要求中关于安全技术体系的五个层面的安全需求，即：物理安全、网络安全、主机安全、应用安

13、全及数据安全。虽然目前阶段，云平台尚未引入有效应用和数据，但是在安全规划中需要为未来出现的情况进行先期预测，将其可能引入的安全风险进行考虑。因此，在经过总结后，可得出八个方面的安全风险。2.3.1 物理安全风险因目前物理机房的基础设施已完善，在实地考察后，发现XX现有机房已满足等级保护三级合规性要求，物理安全风险已经得到有效控制。2.3.2 网络安全风险本节主要讨论非虚拟化环境中的传统网络安全风险。l 网络可用性风险有多种因素会对网络可用性造成负面影响，主要集中于链路流量负载不当，流量分配不当，以及拒绝服务攻击、蠕虫类病毒等威胁。此外，对网络内部流量和协议的审计也非常关键，运维人员需要了解这些

14、信息以协调网络资源，充分保障网络的可用性，进一步保障应用业务的可用性。l 网络边界完整性风险网络边界包含云平台边界、内部各安全域的边界，租户边界（主机/虚拟主机/业务系统），互联网接入边界。在此讨论非虚拟化环境下的网络边界完整性风险。云平台网络边界、互联网接入边界、内部各安全域网络边界以及物理主机的网络边界可能会因缺乏边界访问控制管理，访问控制策略不当，身份鉴别失效，非法内联，非法外联等因素而被突破，导致网络边界完整性失去保护，进一步可能会影响信息系统的保密性和可用性。l 安全通信风险第三方运维人员，采用远程终端访问云中的各类应用。如果不对应用数据的远程通信数据进行加密，则通信信息就有被窃听、

15、篡改、泄露的风险，破坏通信信息的完整性和保密性。l 入侵防护风险网络入侵可能来自各边界的外部或内部。如果缺乏行之有效的审计手段和防护手段，则信息安全无从谈起。为避免信息安全保障体系成为了聋子、瞎子，需要审计手段发现入侵威胁，需要防护手段阻断威胁。l 恶意代码风险当网络边界被突破后，信息系统会暴露在危险的环境下，最为突出的风险就是恶意代码的风险，可能会造成系统保密性和可用性的损失。包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统随时会面临各类恶意代码攻击的风险，尤其是APT攻击，即使系统具备较为完善的防御体系，也很难防范此类攻击。2.3.3

16、主机安全风险在虚拟化环境下，主机安全也应对物理服务器主机和虚拟化主机进行区别对待，存在的安全风险问题有所不同。本节只讨论物理服务器和远程接入应用的操作终端的安全风险。l 应用操作终端风险云平台搭建后，系统资源统一放在云端，而用户是通过终端远程接入云中的应用。除了上述的身份鉴别和授权的风险外，终端使用的浏览器自身存在漏洞，甚至终端本身的健康状况不良，都可能会造成云端受到相应的威胁。l 服务器主机操作系统漏洞风险服务器主机操作系统因自身设计原因，存在固有的漏洞和脆弱性，具有被突破、被潜伏、被利用、被破坏的各类风险。l 服务器主机平台风险目前服务器的硬件架构中，采用的CPU、主板、内存等配件的核心技

17、术仍然受制于人，为了业务的性能需求，仍然需要采用国外的技术架构。可能会带来后门入侵的风险。2.3.4 应用安全风险l 身份鉴别、授权、审计风险应用放置在云端，在实现资源共享的同时，会带来信息泄漏的风险。由于网络的不确定性，首要问题就是要确认使用者的身份、确保身份的合法性。由于工作需要，不同部门、不同职责的工作人员应用需求不同，信息使用权限不同，必须要对使用者身份进行统一的认证，统一授权，统一审计。一旦攻击者获取使用者的身份验证信息，假冒合法用户，用户数据完全暴露在其面前，其他安全措施都将失效，攻击者将可以为所欲为，窃取或修改用户数据。因此，身份假冒是政务云面对的首要安全威胁。l 应用服务可用性

18、风险任何形式的应用都存在可用性风险，而一旦可用性风险被威胁利用，进一步引发了安全事件，则会带来应用的不可用，进而导致业务受阻。缺乏对应用服务的审计也会带来可用性风险，如果通过审计和分析策略在故障或入侵之前可以察觉到异常信息，可能就避免了事故的发生。而在云计算环境下，因为应用的高度集中和边界模糊，可能一次单台主机的不可用，都会带来多种业务的不可用。因此云计算环境下的应用可用性问题相比传统计算环境下，具备影响范围广，程度深的特点。l WEB攻击风险WEB攻击主要指针对WEB服务的各类应用恶意代码攻击，诸如SQL注入攻击、XSS攻击、网页篡改等，通常是由于对HTTP表单的输入信息未做严格审查，或WE

19、B应用在代码设计时存在的脆弱性导致的。如果不对这类攻击进行专门的防护，很容易造成安全保障体系被突破，以WEB服务作为跳板，进一步威胁内部的应用和数据。2.3.5 数据安全风险l 数据保密性和完整性风险XX云因其业务特点，所处理的数据关乎公众服务，以及为国家提供舆情服务。虽然会有部分应用会对互联网用户提供服务，但只是提供有限的接口，访问有限的，关乎个人的等非敏感数据。但大部分敏感的，不宜公开的政务云数据还会面临来自非法入侵后进行窃取或篡改，进而带来的数据保密性和完整性风险。l 数据可用性风险当数据的完整性遭受破坏时，数据可用性也会遭受影响，数据失真，尤其是应用的关键参数失真最为严重。尤其是虚拟化

20、环境下，数据碎片化存储，在整合时出现问题，导致应用服务中断，进而造成应用可用性的风险。所以如何进行容灾，备份，恢复也是一个严峻的问题。l 数据审计风险因为在云环境中，用户的数据不再保存在用户本地，因此目前在云计算环境中，多依靠完整性验证的方式使用户确信他们的数据被正确的存储和处理。为了保证数据可恢复性及冗余性，在云计算环境中，通常会采用冗余存储的手段。这就需要特定的审计方法保证多个版本数据的一致性和完整性。此外，针对数据的使用者信息，也需要通过审计措施来进行记录。l 数据安全检测风险在政务云环境下，数据往往是离散的分布在“云”中不同的位置，用户无法确定自己的数据究竟在哪里，具体是由哪个服务器进

21、行管理。也因此造成当数据出现不可用，破坏，甚至泄露时，很难确定具体的问题点。l 数据库安全风险数据库通常作为非结构化数据的索引，通过结构化表的表现形式，为前端应用和后方数据提供桥梁；同时，对于结构化的数据，数据库本身就进行了数据存储。恶意攻击通常会通过数据库漏洞或恶意代码的方式进行非法提权，从而通过数据库结构化语句窃取、篡改甚至破坏后台存储的数据，威胁到数据的保密性、完整性和可用性。2.3.6 虚拟化平台安全风险虚拟化是云计算最重要的技术支持之一，也是云计算的标志之一。然而，虚拟化的结果，却使许多传统的安全防护手段失效。从技术层面上讲，云计算与传统IT环境最大的区别在于其虚拟的计算环境，也正是

22、这一区别导致其安全问题变得异常“棘手”。l 虚拟化平台自身安全风险虚拟化平台自身也存在安全漏洞，虚拟主机可能会被作为跳板，通过虚拟化网络攻击虚拟化平台的管理接口；或者由虚拟机通过平台的漏洞直接攻击底层的虚拟化平台，导致基于虚拟化平台的各类业务均出现不可用或信息泄露。l 安全可信、可控风险虚拟化平台技术是从国外引进的，目前常见的主流商用虚拟化平台被几个大的国外厂商垄断，且不对外提供关键、核心接口，更不提供源码，导致在其上构建和部署安全措施困难，可控性差。再加上可能的利益驱使和网络战需要，无法判别是否留有控制“后门”，可信度有待商榷。l 虚拟资源池内恶意竞争风险处于虚拟资源池内的多虚拟主机会共享统

23、一硬件环境，经常会出现恶意的抢占资源，影响了平台资源的可用性，进而影响虚拟化平台的服务水平。2.3.7 虚拟化网络安全风险虚拟化的网络结构，使得传统的分域防护变得难以实现，虚拟化的服务提供模式，使得对使用者身份、权限和行为鉴别、控制与审计变得更加困难。造成虚拟化网络不可见风险、网络边界动态化风险、多租户混用安全风险等。l 虚拟化网络不可见风险在云环境中，虚拟化资源会放在同一的资源池中，供各应用调配资源来实现业务的运行。在这种情况下，传统安全防护设备无法深入虚拟化平台内部进行安全防护，难以达到恶意代码的防护，流量监控，协议审计等安全要求。l 网络边界动态化风险为了实现虚拟化环境下的动态负载，出现

24、了虚拟机动态漂移技术，导致虚拟化主机的真实位置也会随之改变，造成边界的安全策略也需要随之转移。若边界隔离、安全防护措施与策略不能跟随虚拟机漂移，会使得边界防护措施和防护策略难以起效，造成安全漏洞。l 多租户混用安全风险在XX云平台的规划愿景中，包含对下属机构提供SaaS类服务，必然会引入其他租户的应用。这么多的业务系统有着不同的安全等级和访问控制要求，业务系统自身的安全保障机制也参差不齐。所有业务系统的安全防护策略和需求也是不同的，而安全策略一刀切常常会使整体安全度降低，高安全等级要求的业务系统无法得到应有的安全保障，导致越权访问、数据泄露。l 网络地址冲突风险由于用户对虚拟机有完全控制权，所

25、以可以随意修改虚拟机的mac地址，可能造成与其他虚拟机的mac冲突，从而影响虚拟机通信。l 恶意虚拟机实施攻击风险虚拟机通信隔离机制不强，恶意虚拟机可能监听其他虚拟机的运行状态，实施Dos攻击，恶意占用资源（cpu,内存，网络带宽等），影响其他VM的运行。2.3.8 虚拟化主机安全风险l 虚拟机恶意抢占资源风险虚拟机完全由最终用户控制，恶意份子和被控制的虚拟机可能恶意抢占网络、存储和运算资源，导致整体云平台资源耗尽，从而影响其他关键业务系统的正常运行扰乱正常政务办公。l 虚拟机安全审计风险在云平台构建完成后，将同时运转数量众多的虚拟机。并且，对虚拟机的操作人员各异，安全意识和安全防范措施也参差

26、不齐。缺乏安全审计会导致某些虚拟机感染病毒后进行非法操作，甚至可能利用hypervisor的已有漏洞，获得更高权限，从而实施各种攻击。l 虚拟机镜像安全风险比起物理主机，虚拟机镜像是以文件形式存在，因此，容易被复制和修改，同时，不同安全级别的版本镜像可能被替换。虚拟机镜像文件如缺乏控制措施，可能存在完整性修改，镜像回滚失败等风险。2.3.1 安全管理风险当云平台系统进入上线运行阶段后，相关安全管理人员在管理过程中可能会遭遇多种问题，引发安全管理风险。在云计算环境下，应用系统和硬件服务器不再是一一绑定的关系，安全管理职责发生了变化，失去了对基础设施和应用的绝对管理权和控制权。另外，政务云系统的管

27、理层面发生了变化，XX的云环境运维部门负责管理基础设施，而应用系统因为租户众多，使得应用系统的维护者众多。也因此管理职责复杂化，需要明晰职权。在多租户迁入应用和数据的情况下，区别于传统的私有云，管理人员的队伍也发生了变化，需要多个部门进行人员的协调。因为人员是由多个部门组成，也因此要求安全管理制度，应急响应的策略和制度依据实际情况作出调整。2.3.2 云环境下的特有安全管理风险在云环境下，“资源池”管理技术主要实现对物理资源、虚拟资源的统一管理，并根据用户需求实现虚拟资源（虚拟机、虚拟存储空间等）的自动化生成、分配、回收和迁移，用以支持用户对资源的弹性需求。这突破了传统的安全区域，使得传统基于

28、物理安全边界的防护机制不能有效地发挥作用，削弱了云平台上各租户对重要信息的管理能力。另外，在传统网络环境中，网络中的各类资产通常由不同的管理员进行管理。但在虚拟化环境中，往往都由同一管理员负责，可能会出现管理员权限过于集中的风险。对管理员的操作审计和行为规范都提出了很高的要求。2.3.3 安全组织建设风险要应对云平台进入运行阶段的各类问题，首先对进行安全管理运维的组织保障能力提出了挑战。没有依据实际情况建设的安全组织，无法应对云平台复杂环境下的安全管理要求，无法顺利完成安全管理工作，无法保障各类云业务的顺利进行。而且鉴于本次云平台建设的实际情况：即迁入多租户的大量应用，所以在进行安全管理时，如

29、何划分管理权限，明晰职责，也成为了需要解决的问题。因此，需求合理的、务实的、专业的多类安全队伍来应对挑战，保障云平台业务顺利通畅的进行。2.3.4 人员风险再安全的网络设备和安全管理系统也离不开人的操作和管理，再好的安全策略也最终要靠人来实现，因此人员也是整个网络安全中的重要一环。需求具备完备的信息安全意识，专业的信息安全素养，职业化的信息安全态度人才，来管理和维护政务云系统，保障业务。2.3.5 安全策略风险在应对云平台未来可能遇到的信息安全事件时，除了具备组织、人员外，还需要制定适合云平台系统复杂环境的安全制度和安全策略，让组织和人员可以有效的，合规的完成信息安全事件相关的各类工作，以保证

30、信息安全管理可以高效，高质量的进行。2.3.6 安全审计风险在云平台投入使用后，因业务系统和底层架构较为复杂，需要进行全方位的监控审计，以便及时发现各类可能和信息安全相关、业务状态相关的信息，并及时作出管理策略的响应和调整。而具体由谁来监控审计，审计结果是否有效而客观，是否可以及时传达至相关责任人，这些问题都需要妥善解决，才能够实现全方位，及时，有效的审计。2.4 安全运维风险因为XX的采购方式是通过市场化建设，提供基础设施平台，平台建设完成后，将引入各下属机构的应用系统。所以在云平台投入使用后，运维人员、审计监控以及应急响应等都发生了职责、权限、流程的变化，引入了新型的，在云环境下特有的新型

31、风险。此外，还包括一些传统的安全运维风险，例如：环境与资产，操作与运维，业务连续性，监督和检查，第三方安全服务等风险。2.4.1 云环境下的特有运维风险l 运维职权不明风险在云平台投入使用后，基础设施由XX进行运维，而基于基础设施的各类应用由各租户的相关人员进行运维。但是当发生事故的时候，无法在第一时间确定事故的波及方；处理事故时，无法分配具体任务；事故追责时，无法确定到底由谁来负责。尤其是在云环境中，资源池内如果发生了安全事故，资源边界更加模糊。因此确定运维职责非常重要。l 运维流程不明风险因为运维参与者众多，属于不同的参与方，也导致在进行运维过程中，很多流程要涉及到不同参与方的多个部门。因

32、此确定一个统一的，合理的安全运维制度是保障运维工作顺利进行的必要条件。l 虚拟资源运维审计监控风险在安全技术上，传统的运维审计手段缺乏对虚拟机的运维审计能力。流量不可视也带来了协议无法审计，虚拟机动态迁移带来审计策略中断等问题。l 突发事件风险再完备的安全保障体系，也无法阻止突然性事件的发生，这种风险也是信息系统固有的属性，无法避免。尤其是在云环境下，应急响应变得更为复杂，涉及范围广，恢复难度大。也因此需求在云平台系统运行中，有可靠的应急响应队伍和机制，保障快速、妥善的应对各类突发性问题。2.4.2 环境与资产风险信息系统依托于机房与周边环境，而业务系统则直接依托于基础设施。在云平台系统投入使

33、用后，面临的最直接的风险就来自于环境和资产。因为云平台由XX的运维团队进行运行维护，为了保证政务云系统的正常运行，所以要求数据中心运维团队的运维管理能力能够具备较高的水平。2.4.3 操作与运维风险人员是很难进行控制的，而对业务和基础设施进行操作和运维的人员，无论是通过现场还是远程进行操作，都可能因为误操作，为信息系统带来损失。如何规范人员的操作、运维流程，如何减少误操作的可能性，如何提高操作者的职业素养，这些都是需要解决的问题。2.4.4 业务连续性风险信息系统的最终使命是运行业务，但是业务的连续性是否能够保证，关乎信息系统的多个层面，包括物理、网络、主机、应用以及数据等。在云平台环境下，还

34、包括虚拟化平台，以及运行在其上的虚拟主机、虚拟网络。其中任何一环如果出现问题，都有可能影响业务的连续性。所以如何保护业务的连续性也给运维团队提出了难题。2.4.5 监督和检查风险智慧云系统是多组织，多系统，多业务，多参与者的云计算平台，为了保障如此复杂的系统，需要许多安全技术、管理和运维的过程。这些过程是否符合法律、符合标准，在发生事故时，如何督促管理者有效跟踪事故，并快速解除故障。这些都需要进行监督和检查管理，否则容易使参与者承担法律风险。2.4.6 第三方服务风险为保障云平台的正常运行和不断完善，需要进行很多运行维护工作，诸如：业务迁入，差距分析，安全加固，渗透测试等。但是这些工作都过于专

35、业化，仍需要专业的第三方安全机构提供相应的服务，才可以有效的进行。因此，如何选择第三方服务机构，如何监督评价第三方的服务质量，就需要妥善的第三方服务管理。3 解决方案总体设计3.1 设计原则XX云平台安全等级保护的建设需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则：统一规划、分步实施原则在信息安全等级保护的建设过程中，将首先从一个完整的网络系统体系结构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用信息系统工程的观点和方法论进行统一的、整

36、体性的设计，将有限的资源集中解决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息网络系统的安全强化。从解决主要的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。故后文中的安全解决方案将进行着眼未来的安全设计，并强调分步走的安全战略思想，着重描述本期应部署的安全措施，并以发展的眼光阐述今后应部署的安全措施。标准性和规范化原则信息安全等级保护建设应当严格遵循国家和行业有关法律法规和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。重点保护原则根据信息系统的重要程度、业务特点，通过

37、划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。 适度安全原则任何信息系统都不能做到绝对的安全，在安全规划过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从物理、网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合考虑业务和成本的因素，针对信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本

38、。技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。先进形和成熟性原则所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。本方案设计采用国际先进实用的安全技术和国产优秀安全产品，选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。动态调整原则信息安全问题不是静态的。信息系统安全保障体系的设计和建

39、设，必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性，必须能够及时地、不断地改进和完善系统的安全保障措施。经济性原则项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。3.2 安全保障体系构成XX信息安全等级保护安全方案的设计思想是以等级保护的“一个中心、三重防护”为核心指导思想，构建集防护、检测、响应、恢复于一体的全面的安全保障体系。具体体现为：以全面贯彻落实等级保护制度为核心，打造科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，从安全技术、安全管理、安全运维三个角度构建安全防护体系，切

40、实保障信息安全。云环境下的信息安全保障体系模型如下图所示：l 一个指导思想： 等级保护思想等级保护是系统设计的核心指导思想，整个方案的技术及管理设计都是围绕符合等级保护的设计思想和要求展开实现的。l 三个防御维度：技术、管理、运维全方位的纵深防御（1）安全技术维度：安全技术是基础防御的具体实现（2）安全管理维度：安全管理是总体的策略方针指导（3）安全运行维度：安全运行体系是支撑和保障3.2.1 安全技术体系参考GB/T25070-2010信息安全技术 信息系统等级保护安全设计技术要求（以下简称设计技术要求），安全技术体系设计内容主要涵盖到 “一个中心、三重防护”。即安全管理中心、计算环境安全、

41、区域边界安全、通信网络安全。图 33 安全技术体系构成（1）安全管理中心：构建先进高效的安全管理中心，实现针对系统、产品、设备、信息安全事件、操作流程等的统一管理；（2）计算环境安全：为XX云平台打造一个可信、可靠、安全的计算环境。从系统应用级的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、客体安全重用、系统可执行程序保护等方面，全面提升XX在系统及应用层面的安全；（3）区域边界安全：从加强网络边界的访问控制粒度、网络边界行为审计以及保护网络边界完整等方面，提升网络边界的可控性和可审计性；（4）通信网络安全：从保护网络间的数据传输安全、网络行为的安全审计等方面保障网络通信安全。XX安全

42、技术体系建设的基本思路是：以保护信息系统为核心，严格参考等级保护的思路和标准，从多个层面进行建设，满足XX云平台在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体系将充分符合国家标准，能够为XX业务的开展提供有力保障。安全技术体系建设的要点包括：1、构建分域的控制体系XX信息安全保障体系，在总体架构上将按照分域保护思路进行，本方案参考IATF信息安全技术框架，将XX云平台从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；因此方案

43、将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计，并通过统一的基础支撑平台（这里我们将采用安全信息管理平台）来实现对基础安全设施的集中管理，构建分域的控制体系。2、构建纵深的防御体系XX信息安全保障体系包括技术和管理两个部分，本方案针对XX云平台的通信网络、区域边界、计算环境、虚拟化环境，综合采用身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施，实现XX业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力

44、。3、保证一致的安全强度XX云平台应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的防病毒系统、统一的审计系统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。4、实现集中的安全管理信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产

45、、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。3.2.2 安全管理体系仅有安全技术防护，无严格的安全管理相配合，是难以保障整个系统的稳定安全运行。应该在安全建设、运行、维护、管理都要重视安全管理，严格按制度进行办事，明确责任权力，规范操作，加强人员、设备的管理以及人员的培训，提高安全管理水平，同时加强对紧急事件的应对能力，通过预防措施和恢复控制相结合的方式，使由意外事故所引起的破坏减小至可接受程度。3.2.3 安全运维体系由于安全技术和管理的复杂性、专业性和动态性，XX云平台系统安全的规划、设计、建设、运行

46、维护均需要有较为专业的安全服务团队支持。安全运维服务包括系统日常维护、安全加固、应急响应、业务持续性管理、安全审计、安全培训等工作。3.3 安全技术方案详细设计天融信在本项目的整改方案设计中，针对XX的三级等级保护整改建设，依据一个中心三重防护的思路展开详细设计。具体设计面向以下的几个方面：3.3.1 信息安全拓扑设计3.3.1.1 互联网接入区安全设计互联网接入区作为云平台发布门户网站，用户接入，以及将来与各下属单位数据中心通过虚拟专网连接的重要接入区域，是XX的对外唯一通路。担负着重要的边界防护使命。 本期方案计划部署如下安全产品：l 抗DDoS系统：部署两台千兆级别的抗DDoS系统，以A

47、/S模式，透明方式部署；对入站方向的DDoS攻击流量进行清洗，保护内网直接对外服务的网站。l 防病毒过滤网关：部署两台千兆级别的防病毒过滤网关，以A/S模式，透明方式部署；对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗，主要保护内网中直接对外提供服务的网站，邮件系统，以及各办公终端。l 入侵防御系统：部署两台千兆级别的入侵防御系统，以A/S模式，透明方式部署；对入站方向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行阻断。l 接入防火墙：利用现有Cisco ASA5555防火墙，以A/S模式，路由方式部署；负责入站方向IP包的访问控制，对DMZ区的W

48、EB网站进行端口访问控制；另外开启VPN功能，对接下属机构数据中心，进行虚拟专网连接，同时第三方运维人员可借由VPN远程登入。此处接入防火墙作为纵深防御体系的第一道屏障，与内网各重要边界防火墙异构。3.3.1.2 DMZ区安全设计DMZ区承载XX的对外服务网站，担负着XX门户的重要使命。本区域中的安全设计主要针对WEB网站防护，网页防篡改等。 本期方案计划部署如下安全产品：l WEB应用防火墙：部署两台千兆级别的WEB应用防火墙，以A/S模式，反向代理方式部署；对WEB访问流量进行针对性防护。l 网页防篡改系统：部署一套网页防篡改软件系统（需安装在一台服务器中），通过文件驱动级监控+触发器的方

49、式，监控所有对WEB实体服务器中网页内容的修改行为，只有来自WEB发布服务器的修改行为会被放行，其他一切修改行为将被阻断。3.3.1.3 核心交换区安全设计核心交换区主要由两台高性能核心交换机组成，作为整个内网的核心，负责所有内网区域间流量的交换转发。在此区域主要部署审计类安全产品，对网络中的流量进行行为审计和入侵检测。 本期方案计划部署如下安全产品：l 网络审计系统：部署一台万兆级别的网络审计系统，以旁路方式，对接两台核心交换机的镜像端口；核心交换机需将其他安全域的流量镜像至网络审计系统，供网络审计系统审计记录；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全态势分析和展

50、示。l 入侵检测系统：部署一台万兆级别的入侵检测系统，以旁路方式，对接两台核心交换机的镜像端口；核心交换机需将其它安全域的流量镜像至入侵检测系统，供入侵检测系统进行入侵行为检测；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全态势分析和展示。3.3.1.4 测试开发区安全设计测试开发区是对自研应用系统和新上线设备进行测试的区域，其中还包含重要的开发文档，对该区域的安全设计主要体现在边界访问控制（需筛选可建立连接的条件）。 本期方案计划部署如下安全产品：l 测试开发区边界防火墙：部署两台千兆级别的防火墙系统，以A/S模式，透明方式部署；筛选可以建立的连接（规定内网中哪些IP地

51、址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制。3.3.1.5 安全管理运维区安全设计安全管理运维区是整个XX内网负责安全管理、安全运维和与之相关的用户管理、云平台管理、备份管理等各个组件的集合区域。是维系云平台正常运转，制定各类安全策略的核心区域。 本期方案计划部署如下安全产品：l 安全管理运维区边界防火墙：部署两台千兆级别的防火墙系统，以A/S模式，透明方式部署；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制。l 日志审计系统：需新购置一台服务器级存储，安装日志审计软件，收集数据中心内其他各类I

52、T组件的日志，并集中存储；另应提供备份存储空间，通过备份服务器将日志进行备份。l 安全管理平台：需提供一台服务器，安装安全管理平台软件系统（内置数据库），收集所有审计类安全设备的事件信息，并结合日志审计系统的日志信息，作统一事件关联分析，以及对内网各类资产进行风险评估。最终以图形化界面，展示全网安全态势。l 堡垒机：部署一台可管理300台设备/系统的堡垒主机，将所有IT组件的管理运维端口，通过策略路由的方式，交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理运维授权，并对运维操作进行审计记录（录屏和键盘操作记录）。l 防病毒系统：需提供两台服务器，分别安装虚拟机防病毒系统，和其他物理主

53、机的防病毒系统；对全网主机（虚拟主机和非虚拟主机）进行统一的防病毒任务部署，防病毒进程管理，防病毒软件升级管理，以及中毒主机隔离等工作。l 终端安全管理系统：需提供一台服务器，安装终端安全管理系统，对办公终端进行安全监控和管理，实现网络准入，应用发布，补丁管理，移动介质管理，敏感文档防泄漏审计等功能。l 漏洞扫描系统：部署一台可单次任务扫描一个B类网段的漏洞扫描系统，对全网IT组件（主机操作系统、网络设备、安全设备、数据库、中间件、应用服务等）进行脆弱性发掘，并生成检查报告。结果可通过报表展示给用户，并可发送至安全管理平台，从而进行综合安全态势分析和展示。l vShield组件：应在vCent

54、er服务器中安装vShiled安全组件，从而实现虚拟机防火墙的功能，可进行VM级别的访问控制和流量控制，其策略可随VM动态迁移。l vSphere Update Manager服务器：应单独提供一台服务器（非虚拟机），安装vSphere Update Manager组件，对vShpere环境进行补丁管理。l AD域控及LDAP服务器：应部署AD域控服务器，及LDAP服务器。除了进行全网设备和个人的域登录管理外，还可结合众多的安全管理设备（如终端安全管理系统，将来的CA数字证书中心），为认证设备提供统一的用户管理。 未来建议部署的安全产品包括：l CA数字证书认证中心：在未来多应用迁入后，对应用

55、参与者（包括个人终端、其他相关联主机）应进行强访问控制、身份鉴别以及抗抵赖等保护措施，尤其是符合等级保护的双因素认证需要基于PKI/CA的认证基础设施。需要注意：必须部署CA中心，并完成应用认证流程的梳理，使所有应用参与者均通过双因素认证后才能进入应用环境后，才可满足等级保护要求，在通过测评前，一定要将PKI/CA基础设施建立起来。l 文档安全管理系统：在应用数据迁入云平台后，会有专用的NAS类存储，为业务环境提供非结构化数据（主要为文档、文件）的存储和共享。需要使用文档安全管理系统对敏感文档下载后进行加密，并规定合法及非法文件传输出口，合法出口文档为明文，非法出口文档为密文。3.3.1.6

56、办公终端区安全设计办公终端区是所有办公终端的集合区域，是各类业务生产的起点。因其涉及众多终端使用者的不同安全素养，也因终端级操作系统的较多脆弱性，使个人终端成为了众多安全事件的起点。因此需要进行较为周全的安全防护。 本期方案计划部署如下安全产品：l 办公终端区边界防火墙：部署一台万兆级别的防火墙系统作为本区域的边界防火墙；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功能组件，使其可应对复杂的个人终端流量。l 办公终端需安装的安全组件：应统一安装防病毒客户端，终端安全系统客户端（批量

57、下载安装），使终端可接收相应安全防护系统的管理。3.3.1.7 云平台应用区安全设计云平台应用区承载着数据中心的核心业务，也是本次建设方案的核心保障区域。云平台应用区主要通过虚拟化技术实现应用的承载，使用VMware vSphere平台进行虚拟化环境的建立和管理。内置公共教育云、XX云及科研云，按其提供业务的不同进行区分。建议每个云组成一个Cluster，各自包含多台ESXi主机，这些ESXi主机上的虚拟机共享Cluster内部的计算资源。VM可在Cluster内部的多台ESXi主机上进行迁移，通过DRS进行计算资源负载均衡，通过vSphere HA进行高可用性管理。Cluster之间如需进行

58、通信，则应将同心流量牵引至云平台的边界防火墙，进而通过数据安全交换区进行通信信息安全过滤，并完成交换（后文将详述）。本区域内的安全设计，主要包括边界安全，安全审计，虚拟化安全，数据备份等四个部分。 本期方案计划部署如下安全产品：l 云平台应用区边界防火墙：部署两台万兆级别的防火墙系统作为本区域的边界防火墙；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功能组件，使其可应对复杂的应用流量。l 安全审计类产品：部署在核心交换区的网络审计系统和入侵检测系统，将同时分别提供两个千兆审计接口，

59、连接本区域的汇聚交换机镜像端口，着重审计云平台边界处的流量信息。当多租户系统迁入后，将把租户间流量牵引至本区域汇聚交换机，进而镜像至审计设备进行审计记录。l 虚拟化安全：vSphere虚拟化平台，及其相关网络、VM组件的安全主要靠vSphere提供的安全组件完成。包括vShield（提供VM防火墙、防病毒功能），DRS（计算资源负载均衡），vMotion（虚拟机动态迁移），vShpere HA（VM高可用性管理），Snapshot（VM快照备份管理）。l 备份服务器：接收安全管理运维区的备份管理服务器管理，并根据其策略执行具体的备份操作。3.3.1.8 数据安全交换区安全设计（加强型建议规划）

60、数据安全交换区主要负责多个云之间的数据安全隔离和数据交换，以及下属机构远程信息交互的工作。因云平台应用区中的公共教育云、XX云以及科研云中，只应允许有限的信息交互（一般为数据库同步，部分电子XX信息同步）。尤其对于科研云，其中的应用数据对于XX至关重要，不容轻易泄露或篡改；其中的数据应以数据库同步，电子XX同步等方式定期更新至XX云和公共教育云中；而且执行更新操作的起点应通过专有的应用进行，在本方案中，采用云平台应用区的数据同步管理服务器进行。因此，设立专有的数据安全交换区。此区域仅作为安全加强型的建议规划，可以考虑在应用及数据迁入后着手进行。l 安全隔离与信息交换系统：该系统由三部分构成：前

61、置服务器、双向网闸、后置服务器。 前置服务器：数据导入前，对数据的传输源进行身份鉴别，确认传输源发出的请求可信（可通过同步服务器IP/MAC进行确认）；认证成功后，对数据进行格式检查，内容安全过滤（IPS、防病毒等），为数据通过双向网闸做好准备。 双向网闸：网闸也是由三部分组成，一般为“2+1”结构。如下图：双向网闸的网络两端在无数据传输时保持网络断路，隔绝了一切网络传输协议。当数据需要传输时，则采用摆渡的方式，将数据通过内部私有传输协议逐步导入到对端，在过程中，网络仍然保持断路。极高的保护了内部重要网络的机密性。 后置服务器：接收网闸传输过来的数据，并进行完整性校验；若完整性受损，则回传重传

62、信号；数据校验合格后，进行日志记录，并发送至内网。3.3.1.9 数据存储区安全设计本区域承载所有应用系统的业务数据，是IT业务使命的根基所在。用户已经采购了IBM企业级存储及磁带库，具备极高的数据完整性，可用性保护。在此进行的安全设计主要针对数据机密性保护。 本期方案计划部署如下安全产品：l 数据库防火墙：部署在Oracle数据库之前，串联保护4台数据库服务器的多个数据库实例。提供数据库虚拟补丁库，针对应用侧和运维侧的不同数据库访问模式，进行具体的SQL语句控制策略；同时针对SQL注入攻击，进行SQL语句建模式威胁判别，并进行具体的防护；针对高危SQL语句，如：No Where的批量更新、批

63、量删除语句，可进行策略性阻断。l 数据库加密系统：需提供两台服务器，安装数据库加密与加固系统，形成主备模式。需在对应保护的4台Oracle服务器中安装加解密管理控件（部署配置后自动安装），然后配置加密策略，对重要数据库表中的机密数据列进行加密，支持一列一密。应重点保护存放个人信息的数据库表（如身份证号等），实现重点数据列的加密保护。即使出现拖库，盗库等行为，也无法获取明文数据，明文数据的获取仅限授权应用使用。3.3.2 安全计算环境设计系统安全保护环境是基于高等级安全操作系统，推行可信计算技术，实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，其目的是在计算和通信系统中广泛使用基

64、于硬件安全模块支持下的可信计算平台，以提高整体的安全性。高等级安全操作系统由终端操作系统入手，采用安全控制、密码保护和可信计算等安全技术构建操作系统安全内核，针对应用定制安全策略，实施集中式、面向应用的安全管理，达到在终端保证系统环境安全可信，防止病毒、黑客的入侵破坏，以及控制使用者非法操作的目的，并由此全面封堵病毒、黑客和内部恶意用户对系统的攻击，保障整个信息系统的安全。安全计算环境旨在为XX云平台中的应用服务及其参与者提供安全保障环境。鉴于目前的建设进度，安全计算环境的保障主要面向今后应用迁入后的安全环境保障，本期能够进行实施的安全措施较少。3.3.2.1 用户身份鉴别为了保证网络信息的保密性，完整性，可控性，可用性和抗抵赖性，信息系统需要采用多种安全技术，如身份鉴别、信息加密、信息完整性校验、抗抵赖等。而对于XX的云平台，用户种类又分为两种：业务用户，管理员用户。对于不同用户的访问行为，将通过不同的机制实现其身