云数据中心安全等级保护建设专项方案.docx

资源描述

1 项目综述 1.1 项目背景为了保障基于“健康云”、“智慧云”XX数据中心，天融信企业依据公安部《相关开展信息系统等级保护安全建设整改工作指导意见》公信安[]1389号)要求，落实“经过组织开展信息安全等级保护安全管理制度建设、技术方法建设和等级测评，落实等级保护制度各项要求，使信息系统安全管理水平显著提升，安全防范能力显著增强，安全隐患和安全事故显著降低，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”方针，为XX数据中心需要在计划、建设和使用相关信息系统同时对信息安全也要同时建设，全方面开展信息安全等级保护建设整改工作。 1.2 安全目标 XX信息安全等级保护建设工作总体目标是： “遵照国家信息安全等级保护相关法规要求和标准规范，经过全方面开展信息安全等级保护定级立案、建设整改和等级测评工作，深入实现对整个新建云平台信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障关键，落实信息安全责任，切实提升系统信息安全防护能力，为整个云平台顺利建设和信息化健康发展提供可靠保障。” 具体目标包含（1）体系建设，实现按需防御。经过体系设计制订等级方案，进行安全技术体系、安全管理体系和安全运维体系建设，实现按需防御。（2）安全运维，确保连续安全。经过安全监控、安全加固等运维手段，从事前、事中、事后三个方面进行安全运行维护，实现连续性按需防御安全需求。（3）经过合规性建设，提升XX云平台安全防护能力，保障系统信息安全，同时满足国家等级保护合规性要求，为信息化工作推进保驾护航。 1.3 建设范围本方案设计范围覆盖XX新建云平台基础设施服务系统。安全对象包含： l 云内安全：虚拟化环境中虚拟化平台及其相关虚拟化网络、虚拟化主机安全防护； l 云外安全：虚拟化环境以外网络接入，关键交换，存放备份环境。 1.4 建设依据 1.4.1 国家相关政策要求（1）《中国计算机信息系统安全保护条例》（国务院147号令）；（2）《国家信息化领导小组相关加强信息安全保障工作意见》（中办发[] 27号）；（3）《相关信息安全等级保护工作实施意见》（公通字[]66号）；（4）《信息安全等级保护管理措施》（公通字 []43号）；（5）《信息安全等级保护立案实施细则》（公信安[]1360号）；（6）《相关加强国家电子政务工程建设项目信息安全风险评定工作通知》（发改高技[]2071号）；（7）《相关开展信息安全等级保护安全建设整改工作指导意见》（公信安[]1429号）。 1.4.2 等级保护及信息安全相关国家标准（1）《计算机信息系统安全保护等级划分准则》（GB17859-1999）；（2）《信息安全技术信息系统安全等级保护实施指南》（GBT 25058-）；（3）《信息安全技术信息系统安全保护等级定级指南》（GB/T22240-）；（4）《信息安全技术信息系统安全等级保护基础要求》（GB/T22239-）；（5）《信息安全技术信息系统等级保护安全设计技术要求》（GB/T 25070-）；（6）《信息安全技术信息系统安全等级保护测评要求》；（7）《信息安全技术信息系统安全等级保护测评过程指南》；（8）《信息安全技术信息安全风险评定规范》（GB/T 20984-）；（9）《信息安全技术信息系统安全管理要求》（GB/T 20269-）；（10）《信息技术安全技术信息安全管理体系要求》（GB/T 22080-（idt ISO/IEC 27001:））；（11）《信息技术安全技术信息安全管理实用准则》（GB/T 22081-（idt ISO/IEC 27002:））；（12）《信息安全技术信息系统通用安全技术要求》（GB/T 20271-）及相关一系列具体技术标准。 2 云安全等保风险分析因为本系统是新建设系统，而且还未布署应用。机房环境现在已经很完备，含有很好物理安全方法。所以目前最关键工作是依据等级保护基础要求，着重进行网络层、主机层、数据层等方面等级保护安全技术建设工作。另外，天融信含有等级保护教授团体，深入了解国家等级保护相关政策，熟悉信息系统计划和整改工作关键点和步骤，将经过等级保护差距分析、文档审核、现场访谈、现场测试等方法，发掘现在云平台系统和等保技术和管理要求不符合项。并针对不符合项，进行逐条分析，确定建设方案。在云架构下传统保护模式怎样建立层次型防护策略，怎样保护共享虚拟化环境下云平台建设中需关键考虑步骤；健康云和智慧云将实现基于云数据存放和集中管理，必需采取有效方法预防外部入侵和内部用户滥用权限；在信息安全保障体系实现时仍需满足国家信息安全等级保护政策要求，同时需要处理信息安全等级保护政策在云计算技术体系下怎样落地关键课题。健康云和智慧云计算平台引入了虚拟化技术，实现数据资源、服务资源、平台资源云共享，计算、网络、存放等三类资源是云计算平台依靠关键系统资源，平台可用性（Availability）、可靠性（Reliability）、数据安全性、运维管理能力是安全建设关键指标，传统密码技术、边界防护技术、入侵检测技术、审计技术等在云计算环境下仍然需要，并需要针对云计算给信息安全带来新问题，关键处理，虚拟化安全漏洞，和基于云环境下安全监控、用户隔离、行为审计、不一样角色访问控制、安全策略、安全管理和日志审计等技术难点，这就愈加需要借助内外网等级保护建设构建满足健康云、智慧云平台业务需要安全支撑体系，提升信息化环境安全性，并经过运维、安全保障等基础资源统一建设，有效消除安全保障中“短板效应”，增强整个信息化环境安全性。 2.1 合规性风险 XX云平台安全建设需满足等级保护三级基础要求标准，即需要建设安全技术、管理、运维体系，达成可信、可控、可管目标。不过现在在云计算环境下等级保护标准还未出台，可能见面临信息系统可信、可控、可管巨大挑战，以下图：另外，在以后大量XX自有应用和经过SaaS方法，纵向引入各下属单位应用。为了满足各类不一样应用合规性需求，需要在安全技术、运维、管理等方面进行愈加灵活、高可用性冗余建设。 2.2 系统建设风险虚拟化平台架构，品牌选择是一个很慎重问题。其架构依据不一样品牌，造成接口开放程度不一样，运行机制不一样。而和虚拟化平台相关如：信息系统应用架构、安全架构、数据存放架构等，全部和虚拟化平台息息相关，也是后续应用迁入工作基础。另外，在后期迁入应用，建设过程中质量监控，建设计划是否合理可靠等问题，全部有可能造成风险。以下为具体风险： 2.2.1 应用迁入阻力风险 XX云平台计划愿景包含：应用数据大集中，管理大集中，所以要求以后非云环境各类应用逐步迁移入虚拟化环境，各应用计算环境也需要调整入虚拟化环境。由此可能会引发部分兼容性风险问题，带来迁入阻力风险。 2.2.2 虚拟化平台品牌选择风险因现有虚拟化平台已经采购完成，是VMwarevSphere虚拟化平台，因其对中国其它IT平台，尤其是对中国安全厂商开放性严重不足，造成很多安全机制无法兼顾到云平台内部。所以造成了安全监控、安全管理、安全防护机制在云平台内外出现断档现象，使现有自动化安全管理、网络管理、安全防护等方法无法有效覆盖虚拟化环境。 2.2.3 建设质量计量、监督风险因为此次XX云平台建设计划采取市场化建设方法进行，不过现有云计算平台是否符合建设要求，是否符合安全需求，怎样进行质量计量，怎样进行评审监督，全部是亟待处理问题。 2.2.4 安全计划风险在云平台计划过程中，应同时计划安全保障体系；确保在建设过程中，同时实施计算环境和安全保障建设。如出现信息安全建设延后，可能带来保障体系脆弱性，放大各其它基础设施脆弱性，造成各类安全风险滋生。 2.2.5 建设计划风险云平台建设因其复杂性，造成系统投入使用前，需要进行完善详实计划、设计和实施。需协调好各相关部门，和第三方合作厂商，群策群力建设云平台，而建设计划是需要先行一步制订好，从而能够指导规范整个项目标生命周期。 2.3 安全技术风险基于虚拟化技术云平台带来了很多优势，如计算资源按需分配，计算资源利用效率最大化等等。不过，在引入优势同时，也会带来很多新安全风险。所以对于XX云平台信息安全风险分析也应依据实际情况作出调整，考虑虚拟化平台、虚拟化网络、虚拟化主机安全风险。同时，为了满足等级保护合规性要求，需要结合等级保护三级基础要求中相关安全技术体系五个层面安全需求，即：物理安全、网络安全、主机安全、应用安全及数据安全。即使现在阶段，云平台还未引入有效应用和数据，不过在安全计划中需要为未来出现情况进行先期估计，将其可能引入安全风险进行考虑。所以，在经过总结后，可得出八个方面安全风险。 2.3.1 物理安全风险因现在物理机房基础设施已完善，在实地考察后，发觉XX现有机房已满足等级保护三级合规性要求，物理安全风险已经得到有效控制。 2.3.2 网络安全风险本节关键讨论非虚拟化环境中传统网络安全风险。 l 网络可用性风险有多个原因会对网络可用性造成负面影响，关键集中于链路流量负载不妥，流量分配不妥，和拒绝服务攻击、蠕虫类病毒等威胁。另外，对网络内部流量和协议审计也很关键，运维人员需要了解这些信息以协调网络资源，充足保障网络可用性，深入保障应用业务可用性。 l 网络边界完整性风险网络边界包含云平台边界、内部各安全域边界，租户边界（主机/虚拟主机/业务系统），互联网接入边界。在此讨论非虚拟化环境下网络边界完整性风险。云平台网络边界、互联网接入边界、内部各安全域网络边界和物理主机网络边界可能会因缺乏边界访问控制管理，访问控制策略不妥，身份判别失效，非法内联，非法外联等原因而被突破，造成网络边界完整性失去保护，深入可能会影响信息系统保密性和可用性。 l 安全通信风险第三方运维人员，采取远程终端访问云中各类应用。假如不对应用数据远程通信数据进行加密，则通信信息就有被窃听、篡改、泄露风险，破坏通信信息完整性和保密性。 l 入侵防护风险网络入侵可能来自各边界外部或内部。假如缺乏行之有效审计手段和防护手段，则信息安全无从谈起。为避免信息安全保障体系成为了聋子、瞎子，需要审计手段发觉入侵威胁，需要防护手段阻断威胁。 l 恶意代码风险当网络边界被突破后，信息系统会暴露在危险环境下，最为突出风险就是恶意代码风险，可能会造成系统保密性和可用性损失。包含端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统随时见面临各类恶意代码攻击风险，尤其是APT攻击，即使系统含有较为完善防御体系，也极难防范这类攻击。 2.3.3 主机安全风险在虚拟化环境下，主机安全也应对物理服务器主机和虚拟化主机进行区分对待，存在安全风险问题有所不一样。本节只讨论物理服务器和远程接入应用操作终端安全风险。 l 应用操作终端风险云平台搭建后，系统资源统一放在云端，而用户是经过终端远程接入云中应用。除了上述身份判别和授权风险外，终端使用浏览器本身存在漏洞，甚至终端本身健康情况不良，全部可能会造成云端受到对应威胁。 l 服务器主机操作系统漏洞风险服务器主机操作系统因本身设计原因，存在固有漏洞和脆弱性，含有被突破、被潜伏、被利用、被破坏各类风险。 l 服务器主机平台风险现在服务器硬件架构中，采取CPU、主板、内存等配件关键技术仍然受制于人，为了业务性能需求，仍然需要采取国外技术架构。可能会带来后门入侵风险。 2.3.4 应用安全风险 l 身份判别、授权、审计风险应用放置在云端，在实现资源共享同时，会带来信息泄漏风险。因为网络不确定性，首要问题就是要确定使用者身份、确保身份正当性。因为工作需要，不一样部门、不一样职责工作人员应用需求不一样，信息使用权限不一样，必需要对使用者身份进行统一认证，统一授权，统一审计。一旦攻击者获取使用者身份验证信息，假冒正当用户，用户数据完全暴露在其面前，其它安全方法全部将失效，攻击者将能够为所欲为，窃取或修改用户数据。所以，身份假冒是政务云面正确首要安全威胁。 l 应用服务可用性风险任何形式应用全部存在可用性风险，而一旦可用性风险被威胁利用，深入引发了安全事件，则会带来应用不可用，进而造成业务受阻。缺乏对应用服务审计也会带来可用性风险，假如经过审计和分析策略在故障或入侵之前能够觉察到异常信息，可能就避免了事故发生。而在云计算环境下，因为应用高度集中和边界模糊，可能一次单台主机不可用，全部会带来多个业务不可用。所以云计算环境下应用可用性问题相比传统计算环境下，含有影响范围广，程度深特点。 l WEB攻击风险 WEB攻击关键指针对WEB服务各类应用恶意代码攻击，诸如SQL注入攻击、XSS攻击、网页篡改等，通常是因为对HTTP表单输入信息未做严格审查，或WEB应用在代码设计时存在脆弱性造成。假如不对这类攻击进行专门防护，很轻易造成安全保障体系被突破，以WEB服务作为跳板，深入威胁内部应用和数据。 2.3.5 数据安全风险 l 数据保密性和完整性风险 XX云因其业务特点，所处理数据关乎公众服务，和为国家提供舆情服务。即使会有部分应用会对互联网用户提供服务，但只是提供有限接口，访问有限，关乎个人等非敏感数据。但大部分敏感，不宜公开政务云数据还见面临来自非法入侵后进行窃取或篡改，进而带来数据保密性和完整性风险。 l 数据可用性风险当数据完整性遭受破坏时，数据可用性也会遭受影响，数据失真，尤其是应用关键参数失真最为严重。尤其是虚拟化环境下，数据碎片化存放，在整合时出现问题，造成应用服务中止，进而造成应用可用性风险。所以怎样进行容灾，备份，恢复也是一个严峻问题。 l 数据审计风险因为在云环境中，用户数据不再保留在用户当地，所以现在在云计算环境中，多依靠完整性验证方法使用户确信她们数据被正确存放和处理。为了确保数据可恢复性及冗余性，在云计算环境中，通常会采取冗余存放手段。这就需要特定审计方法确保多个版本数据一致性和完整性。另外，针对数据使用者信息，也需要经过审计方法来进行统计。 l 数据安全检测风险在政务云环境下，数据往往是离散分布在“云”中不一样位置，用户无法确定自己数据到底在哪里，具体是由哪个服务器进行管理。也所以造成当数据出现不可用，破坏，甚至泄露时，极难确定具体问题点。 l 数据库安全风险数据库通常作为非结构化数据索引，经过结构化表表现形式，为前端应用和后方数据提供桥梁；同时，对于结构化数据，数据库本身就进行了数据存放。恶意攻击通常会经过数据库漏洞或恶意代码方法进行非法提权，从而经过数据库结构化语句窃取、篡改甚至破坏后台存放数据，威胁到数据保密性、完整性和可用性。 2.3.6 虚拟化平台安全风险虚拟化是云计算最关键技术支持之一，也是云计算标志之一。然而，虚拟化结果，却使很多传统安全防护手段失效。从技术层面上讲，云计算和传统IT环境最大区分在于其虚拟计算环境，也正是这一区分造成其安全问题变得异常“棘手”。 l 虚拟化平台本身安全风险虚拟化平台本身也存在安全漏洞，虚拟主机可能会被作为跳板，经过虚拟化网络攻击虚拟化平台管理接口；或由虚拟机经过平台漏洞直接攻击底层虚拟化平台，造成基于虚拟化平台各类业务均出现不可用或信息泄露。 l 安全可信、可控风险虚拟化平台技术是从国外引进，现在常见主流商用虚拟化平台被多个大国外厂商垄断，且不对外提供关键、关键接口，更不提供源码，造成在其上构建和布署安全方法困难，可控性差。再加上可能利益驱使和网络战需要，无法判别是否留有控制“后门”，可信度有待商榷。 l 虚拟资源池内恶意竞争风险处于虚拟资源池内多虚拟主机会共享统一硬件环境，常常会出现恶意抢占资源，影响了平台资源可用性，进而影响虚拟化平台服务水平。 2.3.7 虚拟化网络安全风险虚拟化网络结构，使得传统分域防护变得难以实现，虚拟化服务提供模式，使得对使用者身份、权限和行为判别、控制和审计变得愈加困难。造成虚拟化网络不可见风险、网络边界动态化风险、多租户混用安全风险等。 l 虚拟化网络不可见风险在云环境中，虚拟化资源会放在同一资源池中，供各应用调配资源来实现业务运行。在这种情况下，传统安全防护设备无法深入虚拟化平台内部进行安全防护，难以达成恶意代码防护，流量监控，协议审计等安全要求。 l 网络边界动态化风险为了实现虚拟化环境下动态负载，出现了虚拟机动态漂移技术，造成虚拟化主机真实位置也会随之改变，造成边界安全策略也需要随之转移。若边界隔离、安全防护方法和策略不能跟随虚拟机漂移，会使得边界防护方法和防护策略难以起效，造成安全漏洞。 l 多租户混用安全风险在XX云平台计划愿景中，包含对下属机构提供SaaS类服务，肯定会引入其它租户应用。这么多业务系统有着不一样安全等级和访问控制要求，业务系统本身安全保障机制也参差不齐。全部业务系统安全防护策略和需求也是不一样，而安全策略一刀切常常会使整体安全度降低，高安全等级要求业务系统无法得到应有安全保障，造成越权访问、数据泄露。 l 网络地址冲突风险因为用户对虚拟机有完全控制权，所以能够随意修改虚拟机mac地址，可能造成和其它虚拟机mac冲突，从而影响虚拟机通信。 l 恶意虚拟机实施攻击风险虚拟机通信隔离机制不强，恶意虚拟机可能监听其它虚拟机运行状态，实施Dos攻击，恶意占用资源（cpu,内存，网络带宽等），影响其它VM运行。 2.3.8 虚拟化主机安全风险 l 虚拟机恶意抢占资源风险虚拟机完全由最终用户控制，恶意份子和被控制虚拟机可能恶意抢占网络、存放和运算资源，造成整体云平台资源耗尽，从而影响其它关键业务系统正常运行扰乱正常政务办公。 l 虚拟机安全审计风险在云平台构建完成后，将同时运转数量众多虚拟机。而且，对虚拟机操作人员各异，安全意识和安全防范方法也参差不齐。缺乏安全审计会造成一些虚拟机感染病毒后进行非法操作，甚至可能利用hypervisor已经有漏洞，取得更高权限，从而实施多种攻击。 l 虚拟机镜像安全风险比起物理主机，虚拟机镜像是以文件形式存在，所以，轻易被复制和修改，同时，不一样安全等级版本镜像可能被替换。虚拟机镜像文件如缺乏控制方法，可能存在完整性修改，镜像回滚失败等风险。 2.3.1 安全管理风险当云平台系统进入上线运行阶段后，相关安全管理人员在管理过程中可能会遭遇多个问题，引发安全管理风险。在云计算环境下，应用系统和硬件服务器不再是一一绑定关系，安全管理职责发生了改变，失去了对基础设施和应用绝对管理权和控制权。另外，政务云系统管理层面发生了改变，XX云环境运维部门负责管理基础设施，而应用系统因为租户众多，使得应用系统维护者众多。也所以管理职责复杂化，需要明晰职权。在多租户迁入应用和数据情况下，区分于传统私有云，管理人员队伍也发生了改变，需要多个部门进行人员协调。因为人员是由多个部门组成，也所以要求安全管理制度，应急响应策略和制度依据实际情况作出调整。 2.3.2 云环境下特有安全管理风险在云环境下，“资源池”管理技术关键实现对物理资源、虚拟资源统一管理，并依据用户需求实现虚拟资源（虚拟机、虚拟存放空间等）自动化生成、分配、回收和迁移，用以支持用户对资源弹性需求。这突破了传统安全区域，使得传统基于物理安全边界防护机制不能有效地发挥作用，减弱了云平台上各租户对关键信息管理能力。另外，在传统网络环境中，网络中各类资产通常由不一样管理员进行管理。但在虚拟化环境中，往往全部由同一管理员负责，可能会出现管理员权限过于集中风险。对管理员操作审计和行为规范全部提出了很高要求。 2.3.3 安全组织建设风险要应对云平台进入运行阶段各类问题，首先对进行安全管理运维组织保障能力提出了挑战。没有依据实际情况建设安全组织，无法应对云平台复杂环境下安全管理要求，无法顺利完成安全管理工作，无法保障各类云业务顺利进行。而且鉴于此次云平台建设实际情况：即迁入多租户大量应用，所以在进行安全管理时，怎样划分管理权限，明晰职责，也成为了需要处理问题。所以，需求合理、务实、专业多类安全队伍来应对挑战，保障云平台业务顺利通畅进行。 2.3.4 人员风险再安全网络设备和安全管理系统也离不开人操作和管理，再好安全策略也最终要靠人来实现，所以人员也是整个网络安全中关键一环。需求含有完备信息安全意识，专业信息安全素养，职业化信息安全态度人才，来管理和维护政务云系统，保障业务。 2.3.5 安全策略风险在应对云平台未来可能碰到信息安全事件时，除了含有组织、人员外，还需要制订适合云平台系统复杂环境安全制度和安全策略，让组织和人员能够有效，合规完成信息安全事件相关各类工作，以确保信息安全管理能够高效，高质量进行。 2.3.6 安全审计风险在云平台投入使用后，因业务系统和底层架构较为复杂，需要进行全方位监控审计，方便立即发觉各类可能和信息安全相关、业务状态相关信息，并立即作出管理策略响应和调整。而具体由谁来监控审计，审计结果是否有效而客观，是否能够立即传达至相关责任人，这些问题全部需要妥善处理，才能够实现全方位，立即，有效审计。 2.4 安全运维风险因为XX采购方法是经过市场化建设，提供基础设施平台，平台建设完成后，将引入各下属机构应用系统。所以在云平台投入使用后，运维人员、审计监控和应急响应等全部发生了职责、权限、步骤改变，引入了新型，在云环境下特有新型风险。另外，还包含部分传统安全运维风险，比如：环境和资产，操作和运维，业务连续性，监督和检验，第三方安全服务等风险。 2.4.1 云环境下特有运维风险 l 运维职权不明风险在云平台投入使用后，基础设施由XX进行运维，而基于基础设施各类应用由各租户相关人员进行运维。不过当发生事故时候，无法在第一时间确定事故波及方；处理事故时，无法分配具体任务；事故追责时，无法确定到底由谁来负责。尤其是在云环境中，资源池内假如发生了安全事故，资源边界愈加模糊。所以确定运维职责很关键。 l 运维步骤不明风险因为运维参与者众多，属于不一样参与方，也造成在进行运维过程中，很多步骤要包含到不一样参与方多个部门。所以确定一个统一，合理安全运维制度是保障运维工作顺利进行必需条件。 l 虚拟资源运维审计监控风险在安全技术上，传统运维审计手段缺乏对虚拟机运维审计能力。流量不可视也带来了协议无法审计，虚拟机动态迁移带来审计策略中止等问题。 l 突发事件风险再完备安全保障体系，也无法阻止忽然性事件发生，这种风险也是信息系统固有属性，无法避免。尤其是在云环境下，应急响应变得更为复杂，包含范围广，恢复难度大。也所以需求在云平台系统运行中，有可靠应急响应队伍和机制，保障快速、妥善应对各类突发性问题。 2.4.2 环境和资产风险信息系统依靠于机房和周围环境，而业务系统则直接依靠于基础设施。在云平台系统投入使用后，面临最直接风险就来自于环境和资产。因为云平台由XX运维团体进行运行维护，为了确保政务云系统正常运行，所以要求数据中心运维团体运维管理能力能够含有较高水平。 2.4.3 操作和运维风险人员是极难进行控制，而对业务和基础设施进行操作和运维人员，不管是经过现场还是远程进行操作，全部可能因为误操作，为信息系统带来损失。怎样规范人员操作、运维步骤，怎样降低误操作可能性，怎样提升操作者职业素养，这些全部是需要处理问题。 2.4.4 业务连续性风险信息系统最终使命是运行业务，不过业务连续性是否能够确保，关乎信息系统多个层面，包含物理、网络、主机、应用和数据等。在云平台环境下，还包含虚拟化平台，和运行在其上虚拟主机、虚拟网络。其中任何一环假如出现问题，全部有可能影响业务连续性。所以怎样保护业务连续性也给运维团体提出了难题。 2.4.5 监督和检验风险智慧云系统是多组织，多系统，多业务，多参与者云计算平台，为了保障如此复杂系统，需要很多安全技术、管理和运维过程。这些过程是否符正当律、符合标准，在发生事故时，怎样督促管理者有效跟踪事故，并快速解除故障。这些全部需要进行监督和检验管理，不然轻易使参与者负担法律风险。 2.4.6 第三方服务风险为保障云平台正常运行和不停完善，需要进行很多运行维护工作，诸如：业务迁入，差距分析，安全加固，渗透测试等。不过这些工作全部过于专业化，仍需要专业第三方安全机构提供对应服务，才能够有效进行。所以，怎样选择第三方服务机构，怎样监督评价第三方服务质量，就需要妥善第三方服务管理。 3 处理方案总体设计 3.1 设计标准 XX云平台安全等级保护建设需要充足考虑长远发展需求，统一计划、统一布局、统一设计、规范标准，并依据实际需要及投资金额，突出关键、分步实施，确保系统建设完整性和投资有效性。在方案设计和项目建设中应该遵照以下标准：统一计划、分步实施标准在信息安全等级保护建设过程中，将首先从一个完整网络系统体系结构出发，全方位、多层次综合考虑信息网络多种实体和各个步骤，利用信息系统工程见解和方法论进行统一、整体性设计，将有限资源集中处理最紧迫问题，为后继安全实施提供基础保障，经过逐步实施，来达成信息网络系统安全强化。从处理关键问题入手，伴随信息系统应用开展，逐步提升和完善信息系统建设，充足利用现有资源进行合理整合标准。故后文中安全处理方案将进行着眼未来安全设计，并强调分步走安全战略思想，着重描述本期应布署安全方法，并以发展眼光叙述以后应布署安全方法。标准性和规范化标准信息安全等级保护建设应该严格遵照国家和行业相关法律法规和技术规范要求，从业务、技术、运行管理等方面对项目标整体建设和实施进行设计，充足表现标准化和规范化。关键保护标准依据信息系统关键程度、业务特点，经过划分不一样安全保护等级信息系统，实现不一样强度安全保护，集中资源优先保护包含关键业务或关键信息资产信息系统。适度安全标准任何信息系统全部不能做到绝正确安全，在安全计划过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多安全要求必将造成安全成本快速增加和运行复杂性。适度安全也是等级保护建设初衷，所以在进行等级保护设计过程中，首先要严格遵照基础要求，从物理、网络、主机、应用、数据等层面加强防护方法，保障信息系统机密性、完整性和可用性，另外也要综合考虑业务和成本原因，针对信息系统实际风险，提出对应保护强度，并根据保护强度进行安全防护系统设计和建设，从而有效控制成本。技术管理并重标准信息安全问题历来就不是单纯技术问题，把防范黑客入侵和病毒感染了解为信息安全问题全部是片面，仅仅经过布署安全产品极难完全覆盖全部信息安全问题，所以必需要把技术方法和管理方法结合起来，更有效保障信息系统整体安全性。优异形和成熟性标准所建设安全体系应该在设计理念、技术体系、产品选型等方面实现优异性和成熟性统一。本方案设计采取国际优异实用安全技术和国产优异安全产品，选择现在和未来一定时期内有代表性和优异性成熟安全技术，既确保目前系统高安全可靠，又满足系统在很长生命周期内有连续可维护和可扩展性。动态调整标准信息安全问题不是静态。信息系统安全保障体系设计和建设，必需遵照动态性标准。必需适应不停发展信息技术和不停改变脆弱性，必需能够立即地、不停地改善和完善系统安全保障方法。经济性标准项目设计和建设过程中，将充足利用现有资源，在可用性前提条件下充足确保系统建设经济性，提升投资效率，避免反复建设。 3.2 安全保障体系组成 XX信息安全等级保护安全方案设计思想是以等级保护“一个中心、三重防护”为关键指导思想，构建集防护、检测、响应、恢复于一体全方面安全保障体系。具体表现为：以全方面落实落实等级保护制度为关键，打造科学实用信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，从安全技术、安全管理、安全运维三个角度构建安全防护体系，切实保障信息安全。云环境下信息安全保障体系模型以下图所表示： l 一个指导思想：等级保护思想等级保护是系统设计关键指导思想，整个方案技术及管理设计全部是围绕符合等级保护设计思想和要求展开实现。 l 三个防御维度：技术、管理、运维全方位纵深防御（1）安全技术维度：安全技术是基础防御具体实现（2）安全管理维度：安全管理是总体策略方针指导（3）安全运行维度：安全运行体系是支撑和保障 3.2.1 安全技术体系参考GB/T25070-《信息安全技术信息系统等级保护安全设计技术要求》（以下简称《设计技术要求》），安全技术体系设计内容关键涵盖到 “一个中心、三重防护”。即安全管理中心、计算环境安全、区域边界安全、通信网络安全。图 33 安全技术体系组成（1）安全管理中心：构建优异高效安全管理中心，实现针对系统、产品、设备、信息安全事件、操作步骤等统一管理；（2）计算环境安全：为XX云平台打造一个可信、可靠、安全计算环境。从系统应用级身份判别、访问控制、安全审计、数据机密性及完整性保护、客体安全重用、系统可实施程序保护等方面，全方面提升XX在系统及应用层面安全；（3）区域边界安全：从加强网络边界访问控制粒度、网络边界行为审计和保护网络边界完整等方面，提升网络边界可控性和可审计性；（4）通信网络安全：从保护网络间数据传输安全、网络行为安全审计等方面保障网络通信安全。 XX安全技术体系建设基础思绪是：以保护信息系统为关键，严格参考等级保护思绪和标准，从多个层面进行建设，满足XX云平台在物理层面、网络层面、系统层面、应用层面和管理层面安全需求，建成后保障体系将充足符合国家标准，能够为XX业务开展提供有力保障。安全技术体系建设关键点包含： 1、构建分域控制体系 XX信息安全保障体系，在总体架构上将根据分域保护思绪进行，本方案参考IATF信息安全技术框架，将XX云平台从结构上划分为不一样安全区域，各个安全区域内部网络设备、服务器、终端、应用系统形成单独计算环境、各个安全区域之间访问关系形成边界、各个安全区域之间连接链路和网络设备组成了网络基础设施；所以方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计，并经过统一基础支撑平台（这里我们将采取安全信息管理平台）来实现对基础安全设施集中管理，构建分域控制体系。 2、构建纵深防御体系 XX信息安全保障体系包含技术和管理两个部分，本方案针对XX云平台通信网络、区域边界、计算环境、虚拟化环境，综合采取身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多个技术和方法，实现XX业务应用可用性、完整性和保密性保护，并在此基础上实现综合集中安全管理，并充足考虑多种技术组合和功效互补性，合理利用方法，从外到内形成一个纵深安全防御体系，保障信息系统整体安全保护能力。 3、确保一致安全强度 XX云平台应采取分级措施，采取强度一致安全方法，并采取统一防护策略，使各安全方法在作用和功效上相互补充，形成动态防护体系。所以在建设手段上，本方案采取“大平台”方法进行建设，在平台上实现各个等级信息系统基础保护，比如统一防病毒系统、统一审计系统，然后在基础保护基础上，再依据各个信息系统关键程度，采取高强度保护方法。 4、实现集中安全管理信息安全管理目标就是经过采取合适控制方法来保障信息保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成影响。经过建设集中安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等统一分析和监管，经过关联分析技术，使系统管理人员能够快速发觉问题，定位问题，有效应对安全事件发生。 3.2.2 安全管理体系仅有安全技术防护，无严格安全管理相配合，是难以保障整个系统稳定安全运行。应该在安全建设、运行、维护、管理全部要重视安全管理，严格按制度进行办事，明确责任权力，规范操作，加强人员、设备管理和人员培训，提升安全管理水平，同时加强对紧急事件应对能力，经过预防方法和恢复控制相结合方法，使由意外事故所引发破坏减小至可接收程度。 3.2.3 安全运维体系因为安全技术和管理复杂性、专业性和动态性，XX云平台系统安全计划、设计、建设、运行维护均需要有较为专业安全服务团体支持。安全运维服务包含系统日常维护、安全加固、应急响应、业务连续性管理、安全审计、安全培训等工作。 3.3 安全技术方案具体设计天融信在本项目标整改方案设计中，针对XX三级等级保护整改建设，依据一个中心三重防护思绪展开具体设计。具体设计面向以下多个方面： 3.3.1 信息安全拓扑设计 3.3.1.1 互联网接入区安全设计互联网接入区作为云平台公布门户网站，用户接入，和未来和各下属单位数据中心经过虚拟专网连接关键接入区域，是XX对外唯一通路。担负着关键边界防护使命。 Ø 本期方案计划布署以下安全产品： l 抗DDoS系统：布署两台千兆等级抗DDoS系统，以A/S模式，透明方法布署；对入站方向DDoS攻击流量进行清洗，保护内网直接对外服务网站。 l 防病毒过滤网关：布署两台千兆等级防病毒过滤网关，以A/S模式，透明方法布署；对入站方向HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗，关键保护内网中直接对外提供服务网站，邮件系统，和各办公终端。 l 入侵防御系统：布署两台千兆等级入侵防御系统，以A/S模式，透明方法布署；对入站方向数据包进行包还原，检测攻击行为，攻击特征，若发觉攻击行为则进行阻断。 l 接入防火墙：利用现有Cisco ASA5555防火墙，以A/S模式，路由方法布署；负责入站方向IP包访问控制，对DMZ区WEB网站进行端口访问控制；另外开启VPN功效，对接下属机构数据中心，进行虚拟专网连接，同时第三方运维人员可借由VPN远程登入。此处接入防火墙作为纵深防御体系第一道屏障，和内网各关键边界防火墙异构。 3.3.1.2 DMZ区安全设计 DMZ区承载XX对外服务网站，担负着XX门户关键使命。本区域中安全设计关键针对WEB网站防护，网页防篡改等。 Ø 本期方案计划布署以下安全产品： l WEB应用防火墙：布署两台千兆等级WEB应用防火墙，以A/S模式，反向代理方法布署；对WEB访问流量进行针对性防护。 l 网页防篡改系统：布署一套网页防篡改软件系统（需安装在一台服务器中），经过文件驱动级监控+触发器方法，监控全部对WEB实体服务器中网页内容修改行为，只有来自WEB公布服务器修改行为会被放行，其它一切修改行为将被阻断。 3.3.1.3 关键交换区安全设计关键交换区关键由两台高性能关键交换机组成，作为整个内网关键，负责全部内网区域间流量交换转发。在此区域关键布署审计类安全产品，对网络中流量进行行为审计和入侵检测。 Ø 本期方案计划布署以下安全产品： l 网络审计系统：布署一台万兆等级网络审计系统，以旁路方法，对接两台关键交换机镜像端口；关键交换机需将其它安全域流量镜像至网络审计系统，供网络审计系统审计统计；审计统计可经过报表展示给用户，并可发送至安全管理平台，进行综合安全态势分析和展示。 l 入侵检测系统：布署一台万兆等级入侵检测系统，以旁路方法，对接两台关键交换机镜像端口；关键交换机需将其它安全域流量镜像至入侵检测系统，供入侵检测系统进行入侵行为检测；审计统计可经过报表展示给用户，并可发送至安全管理平台，进行综合安全态势分析和展示。 3.3.1.4 测试开发区安全设计测试开发区是对自研应用系统和新上线设备进行测试区域，其中还包含关键开发文档，对该区域安全设计关键表现在边界访问控制（需筛选可建立连接条件）。 Ø 本期方案计划布署以下安全产品： l 测试开发区边界防火墙：布署两台千兆等级防火墙系统，以A/S模式，透明方法布署；

展开阅读全文