企業(yè)云計算咨詢安全規(guī)劃設計課件

企業(yè)云計算咨詢安全規(guī)劃設計集團安全總結0-不存在未考慮IT風險未認可信息安全需要信息安全管理流程完全缺失評估IT風險方式隨意信息安全責任定義不清晰員工安全意識薄弱未考慮業(yè)務需求未定義信息安全管理層被動響應信息安全事件僅有初步的風險評估方法已定義信息安全策略和技術標準已定義基本的信息安全組織和職責員工已具有基本的信息安全意識已定義信息安全管理制度/流程已定義風險容忍度和量化指標信息安全職責已明確分配、管理并落實員工具有較好的安全意識信息安全流程與企業(yè)整體組織安全功能協(xié)作與企業(yè)安全目標有效整合對信息安全實施的有效性定期評估且持續(xù)改進已建立全司層面的風險管理流程并貫徹執(zhí)行且管理良好

集團現(xiàn)狀現(xiàn)狀整體表現(xiàn)為：組織：有專業(yè)的安全人員和安全團隊，沿用傳統(tǒng)安全的組織結構；管理：集團有完善的管理制度流程，但缺失關于云計算的安全管理規(guī)章制度。技術：信息技術手段及安全設備支撐能力不足，安全產(chǎn)品未對到云計算啟防護作用。1-初始級2-可重復級3-已定義級4-已管理級5-優(yōu)化級安全體系框架總體安全體系規(guī)劃思路4集團云安全建設目標基本要求（第一分冊）物理安全技術要求管理要求云計算安全技術要求（第二分冊）網(wǎng)絡安全主機安全應用安全數(shù)據(jù)安全安全管理機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理物理安全全部參照基本要求說明：《云計算安全技術要求》中，安全技術要求條款在《基本要求》中已涵蓋的內(nèi)容，直接依據(jù)《基本要求》中適用的條款執(zhí)行。

保證云平臺管理流量與云租戶業(yè)務流量分離；根據(jù)云租戶的業(yè)務需求自定義安全訪問路徑；依據(jù)安全策略控制虛擬機間的訪問；能識別、監(jiān)控虛擬機之間、虛擬機與物理機之間、虛擬機與宿主機之間的流量；根據(jù)云服務方和云租戶的職責劃分，實現(xiàn)各自控制部分的集中審計；虛擬化層的漏洞掃描、安全加固及防病毒；虛機的數(shù)據(jù)備份等。目錄6云安全規(guī)劃安全組織4.14網(wǎng)絡安全安全制度4.2安全技術4.3安全規(guī)劃路線4.4集團信息安全組織架構現(xiàn)狀1、決策層集團領導擔任信息安全決策層，對信息安全發(fā)展發(fā)現(xiàn)進行引導。2、執(zhí)行層集團信息中心對集團信息安全提出相關方案和發(fā)展建議并確保相關的落地實施；其他部門和其他院所配合信息安全工作。集團組織架構說明

信息安全組織職責規(guī)劃類別集團領導層信息中心各部門各院所信息安全規(guī)劃信息安全戰(zhàn)略信息安全策略信息安全項目規(guī)劃決策提案確認或反饋確認或反饋信息安全組織管理信息安全組織職責設計決策提案確認或反饋確認或反饋信息安全溝通與合作——制定確認或反饋確認或反饋信息安全標準管理信息安全管理標準建設——制定確認或反饋確認或反饋信息安全技術標準建設信息安全標準核查——制定確認或反饋確認或反饋信息安全運營管理其他信息安全風險評估信息安全事件管理信息安全審計信息安全教育培訓——制定確認或反饋確認或反饋信息安全運營評價與改進決策制定確認或反饋確認或反饋主要工作內(nèi)容負責組織/部門描述信息安全規(guī)劃管理信息安全項目規(guī)劃：保密數(shù)據(jù)防泄漏策略在集團的部署方案提案信息中心起草策略部署方案，由各個安全專職會提供相關建議建議各部門和各院所安全專職對保密數(shù)據(jù)防泄漏策略的部署方案在本單位范圍的可行性進行確認或反饋決策集團領導層對方案進行最終審議并決策發(fā)布集團領導層在審議通過后，發(fā)布數(shù)據(jù)防泄漏策略及落實相關部門在策略部署方面的職責組織及推動落實各部門和各院所安全專職負責落實部署方案中涉及本單位的部分信息中心推動方案的落實，提供技術支持配合執(zhí)行集團所有部門和院所執(zhí)行集團信息安全組審議通過的數(shù)據(jù)防泄漏策略基礎網(wǎng)絡計算信息安全組織人員規(guī)劃云安全規(guī)劃目錄安全組織4.14網(wǎng)絡安全安全制度4.2安全技術4.3安全規(guī)劃路線4.4集團安全制度現(xiàn)狀信息安全管理制度按照ISO27001的標準制定了比較完善的三級文檔制度，但是缺少針對等級保護三級管理制度和流程，缺少虛擬化相關要求文檔制度。集團安全制度總體規(guī)劃根據(jù)《信息系統(tǒng)安全等級保護基本要求第1部分通用安全要求》和《信息系統(tǒng)安全等級保護基本要求第2部分云計算安全技術要求草案》規(guī)劃集團云平臺管理。云安全規(guī)劃目錄安全技術4.34網(wǎng)絡安全主機安全應用安全4.3.14.3.24.3.3數(shù)據(jù)安全4.3.4安全制度4.1安全組織4.2安全規(guī)劃路線4.4集團網(wǎng)絡安全規(guī)劃重點網(wǎng)絡結構安全FWLBVMVMFWLBVMVMVRF1VRF2（VirtualPrivateCloudTenant），有私網(wǎng)IP地址需求，可以為其申請的主機自主分配私網(wǎng)IP地址。不同的VPC租戶IP地址網(wǎng)段允許重復StorageStorageVPC租戶CloudPlatformvPC1vPC2vNETvNETvNET辦公網(wǎng)專網(wǎng)VLAN/L2FWLBVMVMVRFnStoragevNET三級區(qū)域二級區(qū)域集團有多租戶需求，且多個租戶內(nèi)會出現(xiàn)IP地址重疊?；赩PC（

VirtualPrivateCloudTenant）技術對租戶與租戶之間實現(xiàn)隔離，實現(xiàn)多租戶東西向安全。網(wǎng)絡結構安全網(wǎng)絡邊界安全找出集團信息內(nèi)網(wǎng)需要防護的網(wǎng)絡邊界，利用邊界防火墻進行安全防護。針對這些安全邊界，規(guī)劃安全策略（1）位置來源目的策略說明國家綜合數(shù)據(jù)網(wǎng)A數(shù)據(jù)中心國網(wǎng)數(shù)據(jù)網(wǎng)默認禁止，部分允許允許部分管理工作國網(wǎng)數(shù)據(jù)網(wǎng)A數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作廣域網(wǎng)南京數(shù)據(jù)中心A數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作武漢數(shù)據(jù)中心A數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作AB院區(qū)A數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作霸州/張北/良鄉(xiāng)/華享院區(qū)A數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作數(shù)據(jù)中心A數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作南京數(shù)據(jù)中心B同城災備中心默認允許備份武漢數(shù)據(jù)中心B同城災備中心默認允許備份AB院區(qū)B同城災備中心默認允許備份霸州/張北/良鄉(xiāng)/華享院區(qū)B同城災備中心默認允許備份數(shù)據(jù)中心B同城災備中心默認允許備份針對這些安全邊界，規(guī)劃安全策略（2）位置來源目的策略說明廣域網(wǎng)A數(shù)據(jù)中心南京數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作A數(shù)據(jù)中心武漢數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作A數(shù)據(jù)中心AB院區(qū)默認禁止，部分允許允許部分管理工作A數(shù)據(jù)中心霸州/張北/良鄉(xiāng)/華享院區(qū)默認禁止，部分允許允許部分管理工作A數(shù)據(jù)中心數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作B同城災備中心南京數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作B同城災備中心武漢數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作B同城災備中心AB院區(qū)默認禁止，部分允許允許部分管理工作B同城災備中心霸州/張北/良鄉(xiāng)/華享院區(qū)默認禁止，部分允許允許部分管理工作B同城災備中心數(shù)據(jù)中心默認禁止，部分允許允許部分管理工作A數(shù)據(jù)中心B同城災備中心允許B目前作為備份展，不做防護B同城災備中心A數(shù)據(jù)中心不允許B目前作為備份展，不允許訪問A數(shù)據(jù)中心訪問控制部署實現(xiàn)堡壘機部署在運維管理區(qū)，與運維管理區(qū)接入交換機連接；堡壘機采用雙機熱備模式；通過防火墻策略，堡壘機與業(yè)務區(qū)需納管的設備、主機、虛機路由可達。性能要求堡壘機需要承載大量管理登錄，一旦出現(xiàn)中斷會造成無法運維、管理的風險，需要高可靠性，所有堡壘機需支持雙機部署。日志要求保存至少一個月，所以堡壘機自帶存儲空間為1T以上。辦公區(qū)云平臺運管區(qū)設備針對主機的訪問權限及安全審計風險，部署運維審計系統(tǒng)（堡壘機）。實現(xiàn)數(shù)據(jù)中心內(nèi)部資產(chǎn)管理，包含網(wǎng)絡設備、安全設備、主機服務器等；實現(xiàn)對數(shù)據(jù)中心內(nèi)部資產(chǎn)的訪問控制和權限控制，并進行審計記錄；實現(xiàn)訪問資產(chǎn)時進行雙因子認證。入侵防護針對入侵防護，部署入侵防御系統(tǒng)對中心網(wǎng)絡進行入侵防御。采用實時分析，自動阻截異常報文與異常流量；識別、阻斷某些內(nèi)網(wǎng)用戶對某個或某些特定網(wǎng)站的訪問；當發(fā)現(xiàn)有異常流量時，生成動態(tài)過濾規(guī)則對惡意流量進行過濾，同時通過各種手段對合法流量進行驗證，保證網(wǎng)絡和服務正常提供；實時分析、記錄、阻截網(wǎng)絡中的病毒報文，防止網(wǎng)絡中的主機被病毒感染。部署實現(xiàn)IPS采用透明模式部署在網(wǎng)絡中；信息內(nèi)網(wǎng)部署兩臺IPS串聯(lián)在核心交換機之前；信息外網(wǎng)部署兩臺IPS串聯(lián)在核心交換機之前。性能要求IPS吞吐量每秒能達到5G級別，滿足集團規(guī)劃需求；IPS造成的延時在微秒級，對客戶體驗不能造成影響；IPS支持二層回退功能，IPS本身出現(xiàn)故障后不影響整個網(wǎng)絡運行狀態(tài)。入侵防護DDOS攻擊一般分為三類。第一類以力取勝，海量數(shù)據(jù)包從互聯(lián)網(wǎng)的各個角落蜂擁而來，堵塞IDC入口，讓各種強大的硬件防御系統(tǒng)、快速高效的應急流程無用武之地。第二類以巧取勝，靈動而難以察覺，每隔幾分鐘發(fā)一個包甚至只需要一個包，就可以讓豪華配置的服務器不再響應。這類攻擊主要是利用協(xié)議或者軟件的漏洞發(fā)起。第三類是上述兩種的混合，輕靈渾厚兼而有之，既利用了協(xié)議、系統(tǒng)的缺陷，又具備了海量的流量。輔助防護措施采用高性能的網(wǎng)絡設備盡量避免NAT的使用充足的網(wǎng)絡帶寬保證升級主機服務器硬件把網(wǎng)站做成靜態(tài)頁面增強操作系統(tǒng)的TCP/IP棧主要防護措施利用專業(yè)的DDOS防火墻。沒有任何技術是可以完全防御DDOS的方法，所以DDOS這只能平時注意，盡早發(fā)現(xiàn)盡早防御。安全審計部署統(tǒng)一日志服務平臺實現(xiàn)安全審計。定位于面向業(yè)務的安全運維管理中心，實現(xiàn)整網(wǎng)安全風險的監(jiān)測、預警、響應、管理的閉環(huán)管理；實現(xiàn)安全、網(wǎng)絡、應用的融合監(jiān)控；實現(xiàn)安全風險態(tài)勢呈現(xiàn)、業(yè)務部署、安全多維分析、安全響應和報告等。網(wǎng)絡設備安全防護網(wǎng)絡設備自身的安全是網(wǎng)絡安全的一個重要方面，需要對其進行安全加固。從訪問控制、服務、配置策略和固件的升級方面進行考慮。禁用無關服務1、根據(jù)需求確定設備應提供的網(wǎng)絡服務，對于之外的網(wǎng)絡服務應該禁用。2、禁用不該有的缺省服務和已知的不安全服務。修改不安全的配置1、對配置進行審查，對不安全的配置進行修改。比如，設備出廠時一般都會有一個管理員帳戶，并配安全強度不夠的口令或者很簡單的口令字，容易被暴力（bruteforce）攻破。訪問控制1、只有那些需要訪問設備的人被允許進行設備訪問。在最小權限下，對角色進行檢查，刪除不必要的權限。固件升級1、設備都會有各種各樣的Bug存在，這些Bug的存在可能會為攻擊者創(chuàng)造入侵機會。比如DLINK漏洞；綠盟、啟明星辰和銥訊通的WAF產(chǎn)品存在上傳檢測bypass漏洞，攻擊者可利用該漏洞繞過WAF檢測，直接上傳文件。網(wǎng)絡安全規(guī)劃圖其中安全產(chǎn)品DDOS攻擊防護、WAF和上網(wǎng)行為管理雙機熱備模式串聯(lián)在出口區(qū)，IPS串聯(lián)在出口區(qū)。虛擬網(wǎng)絡采用SDN、VPN和NFV架構。網(wǎng)絡區(qū)域邊界利用邊界防火墻進行防護。所有的設備進行安全加固。霸州/張北/良鄉(xiāng)華亨院區(qū)A/B院區(qū)武漢數(shù)據(jù)中心南京數(shù)據(jù)中心廣域網(wǎng)核心交換WAFIPSFW異構FWDMZ區(qū)接入交換鏈路接入交換匯聚交換Internet接入交換上網(wǎng)行為管理DDOS攻擊防護開發(fā)測試區(qū)二級系統(tǒng)區(qū)SDNVPNNFV設備安全加固云安全規(guī)劃目錄安全技術4.34網(wǎng)絡安全主機安全應用安全4.3.14.3.24.3.3數(shù)據(jù)安全4.3.4安全制度4.1安全組織4.2安全規(guī)劃路線4.4主機安全規(guī)劃重點主機安全入侵防護所有的設備進行安全加固。主機系統(tǒng)的安全加固，對已上線運行的物理主機和虛擬主機，采用自動配置下發(fā)的方式進行加固；對將來將要上線的虛擬主機，加固虛擬機模板后續(xù)主機系統(tǒng)的安全性?！朴嬎阗Y源區(qū)已上線的操作系統(tǒng)未來上線的操作系統(tǒng)物理資源區(qū)操作系統(tǒng)通過關閉不必要的服務、禁用不需要的端口、修改不安全的配置實現(xiàn)操作系統(tǒng)的安全通過修改模板的安全配置實現(xiàn)操作系統(tǒng)惡意代碼防護無代理殺毒軟件實現(xiàn)無代理惡意代碼防護，同時具備攻擊防護、虛擬補丁和細粒度訪問控制功能。QEMU防惡意程序后端驅動防惡意程序引擎用戶虛擬機VM防惡意程序虛擬機驅動QEMU網(wǎng)絡流量重定向驅動用戶虛擬機VMvNICBridgeOVSCVK安全管理程序管理中心DSM網(wǎng)絡安全引擎系統(tǒng)安全配置以及安全日志數(shù)據(jù)庫管理中心CVM主機訪問控制安全組，是一些規(guī)則的集合，用來對虛擬機的訪問流量加以限制，使用iptables，給虛擬機所在的宿主機添加iptables規(guī)則?？梢远xn個安全組，每個安全組可以有n個規(guī)則，可以給每個實例綁定n個安全組，nova中總是有一個default安全組，創(chuàng)建實例的時候，如果不指定安全組，會默認使用default安全組。1、安全組通過IPTables來做包過濾；2、安全組由L2Agent來實現(xiàn),比如neutron-openvswitch-agent和neutron-linuxbridge-agent,會將安全組規(guī)則轉換成IPTables規(guī)則,而且一般發(fā)生在所有計算節(jié)點上。3、安全組則可以作用于任何進出虛擬機的流量。4、在云平臺中部署安全組可以和防火墻達到雙重防護。外部惡意訪問可以被防火墻過濾掉,避免了計算節(jié)點的安全組去處理惡意訪問所造成的資源損失。即使防火墻被突破,安全組作為下一到防線還可以保護虛擬機。最重要的是,安全組可以過濾掉來自內(nèi)部的惡意訪問。剩余信息保護利用虛擬平臺自帶的徹底銷毀數(shù)據(jù)功能銷毀虛擬機數(shù)據(jù)。主機安全審計通過安全監(jiān)管平臺實現(xiàn)虛擬機的監(jiān)控，并對異常進行告警。主機安全規(guī)劃圖通過VPC通道保證租戶隔離。無代理殺毒保證主機病毒防護。安全組保證主機的訪問控制安全。安全監(jiān)管平臺保證主機審計。物理服務區(qū)（測試及分布存儲區(qū)）存儲及備份區(qū)vswitchVMVMVMvswitchVMVMVM三級等保業(yè)務區(qū)核心交換機vswitchVMVMVMvswitchVMVMVM二級等保業(yè)務區(qū)大數(shù)據(jù)區(qū)（VDI區(qū)）VxLAN虛擬化管理備份軟件云平臺管理區(qū)廣域網(wǎng)安全組安全監(jiān)管平臺殺毒軟件VPC通道VPC通道主機系統(tǒng)、數(shù)據(jù)庫安全加固WAF網(wǎng)頁防篡改監(jiān)聽端網(wǎng)頁防篡改監(jiān)聽端代碼審計服務網(wǎng)頁防篡改漏洞掃描平臺業(yè)務區(qū)

云安全規(guī)劃目錄安全技術4.34網(wǎng)絡安全主機安全應用安全4.3.14.3.24.3.3數(shù)據(jù)安全4.3.4安全制度4.1安全組織4.2安全規(guī)劃路線4.4應用安全規(guī)劃重點應用安全身份鑒別訪問控制安全審計剩余信息保護通信完整性通信保密性防抵賴軟件容錯資源控制要點身份鑒別訪問控制安全審計剩余信息保護通信完整性通信保密性防抵賴軟件容錯資源控制組合鑒別技術敏感標記的設置審計報表及審計記錄的保護敏感信息清楚、存儲空間釋放加密技術整個報文及會話傳輸過程加密原發(fā)證據(jù)的提供出錯校驗、自動保護資源分配、優(yōu)先級、最小化服務及檢測報警代碼審計針對代碼無法發(fā)現(xiàn)代碼中存在的安全漏洞，利用代碼審計發(fā)現(xiàn)和杜絕現(xiàn)有的代碼中存在的不規(guī)范而導致的漏洞，預防以后出現(xiàn)類似安全風險。Web應用系統(tǒng)在開發(fā)過程中不可避免的會存留諸多安全缺陷，加之集團復雜的業(yè)務場景和部署環(huán)境更使其在運行過程中面臨多種多樣的安全風險。在Web應用系統(tǒng)上線前針對源代碼進行安全檢測，可以大幅降低應用系統(tǒng)生命周期中遭遇攻擊的可能，并減少后期的維護成本。定期代碼審計服務應該至少包含：代碼規(guī)范檢查、代碼漏洞掃描、滲透測試等。代碼審計功能實現(xiàn)漏洞發(fā)現(xiàn)在防范攻擊的同時，集團還應建立漏洞掃描系統(tǒng)及定時掃描機制，并及時更新漏洞庫。漏洞掃描系統(tǒng)發(fā)現(xiàn)集團現(xiàn)網(wǎng)內(nèi)的安全漏洞，并給出整改建議?？梢酝ㄟ^模擬滲透測試、暴力破解、合規(guī)審查等方式發(fā)現(xiàn)現(xiàn)網(wǎng)內(nèi)存在的風險點，比如：弱口令、不安全的服務等。漏洞掃描不需要實時掃描，掃描頻率在每月一次，輸出掃描報告，對有新上線的業(yè)務或模塊進行即時掃描。根據(jù)掃描結果對高中危漏洞進行判斷整改。漏洞掃描系統(tǒng)掃描時會產(chǎn)生大量日志，會占用掃描對象計算資源（CPU利用率會增加1%-3%），存在極小的宕機風險。漏洞掃描系統(tǒng)一般采用加密狗認證，加密狗一般采用USB2接口，虛擬機無法直接透傳，建議采用第三方透傳軟件在虛擬機上進行認證或者在物理服務器上直接使用加密狗認證。漏掃系統(tǒng)功能實現(xiàn)分析和指出有關WEB應用、數(shù)據(jù)庫、操作系統(tǒng)中的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)；支持滲透測試、暴力破解、合規(guī)性審查等要求；支持詳細的檢測報告；支持詳細的修補措施和安全建議。漏掃系統(tǒng)部署實現(xiàn)部署在管理區(qū)；WEB應用、數(shù)據(jù)庫、系統(tǒng)掃描軟件部署在同一臺服務器，通過物理服務器的USB接口利用加密狗進行認證。漏掃系統(tǒng)性能要求運管區(qū)無法支持在線更新，需要掃描系統(tǒng)支持離線掃描；掃描系統(tǒng)掃描時，對掃描對象不能造成影響（產(chǎn)生日志除外）；支持多線程掃描。WEB應用防護對集團的WEB應用入侵防護處理，建議使用WEB應用防火墻（WAF）實現(xiàn)。WEB應用漏洞主要來源：應用本身代碼存在安全隱患；承載應用的基礎架構自身的安全漏洞部署WAF的主要考慮：集團的WEB應用關系重大，一旦被攻破對公司、社會甚至國家會造成極大的負面影響。集團的WEB應用潛在的威脅極高?；诩瘓F現(xiàn)有的基礎架構和工作模式，隨著業(yè)務的發(fā)展和越來越多的漏洞曝光，會持續(xù)出現(xiàn)新的可利用漏洞；現(xiàn)階段WEB應用防火墻采用透明模式部署在出口區(qū)，隨著集團業(yè)務的發(fā)展和多租戶的需求，可以采用軟件WEB應用防火墻用反向代理的模式部署在云計算租戶下。WEB應用防護網(wǎng)頁防篡改為網(wǎng)站提供不間斷的監(jiān)控與保護，有效的保障網(wǎng)站的完整性和真實性。

對非法請求，惡意掃描及數(shù)據(jù)庫注入攻擊等進行攔截，只有合法的請求被正常響應，對訪問網(wǎng)頁進行實時規(guī)則檢查，對網(wǎng)頁的篡改及刪除等操作進行攔截，并且產(chǎn)生日志及報警對網(wǎng)頁更改全部禁止，需要更改的部分通過白名單更改。網(wǎng)頁篡改的特點：傳播速度快、閱讀人群多；復制容易，事后消除影響難；作案環(huán)境和工具相對簡單；預先檢查和實時防范難。網(wǎng)頁篡改的危害：破壞機構形象；簡介成為非法牟利的工具；影響和諧社會的建設。應用安全規(guī)劃圖通過VPC通道保證租戶隔離。WAF熱備串聯(lián)在出口區(qū)，對網(wǎng)內(nèi)WEB應用進行防護。網(wǎng)頁防篡改管理端部署在云平臺管理區(qū)，監(jiān)聽端部署在WEB應用服務器上。漏洞掃描平臺部署在管理區(qū)。物理服務區(qū)（測試及分布存儲區(qū)）存儲及備份區(qū)vswitchVMVMVMvswitchVMVMVM三級等保業(yè)務區(qū)核心交換機vswitchVMVMVMvswitchVMVMVM二級等保業(yè)務區(qū)大數(shù)據(jù)區(qū)（VDI區(qū)）VxLAN虛擬化管理備份軟件云平臺管理區(qū)廣域網(wǎng)安全組安全監(jiān)管平臺殺毒軟件VPC通道VPC通道主機系統(tǒng)、數(shù)據(jù)庫安全加固WAF網(wǎng)頁防篡改監(jiān)聽端網(wǎng)頁防篡改監(jiān)聽端代碼審計服務網(wǎng)頁防篡改漏洞掃描平臺業(yè)務區(qū)

云安全規(guī)劃目錄安全技術4.34網(wǎng)絡安全主機安全應用安全4.3.14.3.24.3.3數(shù)據(jù)安全4.3.4安全制度4.1安全組織4.2安全規(guī)劃路線4.4數(shù)據(jù)安全規(guī)劃重點數(shù)據(jù)安全要點數(shù)據(jù)完整性數(shù)據(jù)保密性備份和回復數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復數(shù)據(jù)存儲、傳輸，完整性檢測和恢復數(shù)據(jù)存儲、傳輸，加密保護冗余、備份數(shù)據(jù)審計針對數(shù)據(jù)庫操進出流量的審計，采用數(shù)據(jù)庫審計系統(tǒng)進行審計。集團的數(shù)據(jù)庫審計系統(tǒng)采用分布式部署，兩個監(jiān)聽端和一個管理端，隨著集團數(shù)據(jù)庫的數(shù)量和業(yè)務量的發(fā)展可以很好的進行彈性擴展。數(shù)據(jù)庫審計系統(tǒng)的功能：有效解決對數(shù)據(jù)庫訪問的安全監(jiān)控難題；實現(xiàn)對數(shù)據(jù)庫所