云平臺安全等保三級規(guī)劃方案

10云平臺信息安全等級保護規(guī)劃方案目錄\l“_TOC_250036“云計算帶來的安全挑戰(zhàn) 4\l“_TOC_250035“整體方案設計 4\l“_TOC_250034“根底安全設計 5\l“_TOC_250033“物理安全 5\l“_TOC_250032“機房選址 5\l“_TOC_250031“機房治理 5\l“_TOC_250030“機房環(huán)境 5\l“_TOC_250029“設備與介質(zhì)治理 5\l“_TOC_250028“網(wǎng)絡安全 6\l“_TOC_250027“安全域邊界隔離技術 6\l“_TOC_250026“入侵防范技術 6\l“_TOC_250025“網(wǎng)絡防病毒技術 6\l“_TOC_250024“WEB防火墻技術 7\l“_TOC_250023“網(wǎng)頁防篡改技術 7\l“_TOC_250022“流量治理技術 7\l“_TOC_250021“上網(wǎng)行為治理技術 7\l“_TOC_250020“網(wǎng)絡安全審計 8\l“_TOC_250019“主機安全 8\l“_TOC_250018“主機安全加固 8\l“_TOC_250017“運維堡壘主機 9\l“_TOC_250016“數(shù)據(jù)庫安全審計 10\l“_TOC_250015“主機防病毒技術 10\l“_TOC_250014“漏洞掃描技術 10\l“_TOC_250013“應用安全 11\l“_TOC_250012“安全應用交付 11\l“_TOC_250011“VPN 11\l“_TOC_250010“安全治理中12\l“_TOC_250009“云計算平臺安全設計 12\l“_TOC_250008“強身份認12\l“_TOC_250007“云安全防護系12\l“_TOC_250006“云安全運12\l“_TOC_250005“虛擬機安全設計 13\l“_TOC_250004“虛擬化安全防護要13\l“_TOC_250003“虛擬化安全方14\l“_TOC_250002“方案配置 18\l“_TOC_250001“方案合規(guī)性分18\l“_TOC_250000“三級系統(tǒng)安全產(chǎn)品配置清單19云計算帶來的安全挑戰(zhàn)IDC的調(diào)查格外具有代表性75考慮因素。IT資源的大集中，而隨著資源的集中，相應的護要從建設云的階段就開頭規(guī)劃設計，這樣才能做到防患于未然。云計算在技術層面上的核心特點是虛擬化技術的運用帶來的資源彈性和可云計算系統(tǒng)需要重構(gòu)建安全防護體系。實施方案，以供參考。整體方案設計根底安全設計物理安全物理環(huán)境安全策略的目的是保護網(wǎng)絡中計算機網(wǎng)絡通信有一個良好的電磁機房選址避開設在建筑物的高層或地下室，以及用水設備的下層或隔壁。機房治理機房出入口安排專人值守，掌握、鑒別和記錄進入的人員；需進入機房的來訪人員須經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；域；重要區(qū)域應配置電子門禁系統(tǒng)，掌握、鑒別和記錄進入的人員。機房環(huán)境房應安裝防靜電活動地板。備和磁介質(zhì)實施電磁屏蔽。設備與介質(zhì)治理域監(jiān)控、防盜報警系統(tǒng)，阻擋非法用戶的各種接近攻擊。監(jiān)控系統(tǒng)的有效運行。對介質(zhì)進展分類標識，存儲在介質(zhì)庫或檔案室中。利用光、電等技術設置機房防盜報警系統(tǒng)；對機房設置監(jiān)控報警系統(tǒng)。網(wǎng)絡安全安全域邊界隔離技術XX單位各安全域的邊界全防范體系。部署設計：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡中。入侵防范技術有必要。部署設計：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡中。網(wǎng)絡防病毒技術P2P軟件帶寬濫用等各種廣的途徑，凈化網(wǎng)絡流量。部署設計：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡中。WEB防火墻技術XX等重要職責，暴露在互聯(lián)網(wǎng)上，隨時會面臨黑客Web攻擊方式多種多樣，包括XSS緩沖區(qū)溢出、名目遍歷、CookieWeb攻擊，Web效勞能夠持續(xù)牢靠的供給效勞WEB防火墻〔WAF設備〕格外有必要。部署設計：設備部署于網(wǎng)站效勞器之前，串行于網(wǎng)絡中。網(wǎng)頁防篡改技術XX等重要職責，暴露在互聯(lián)網(wǎng)上，隨時會面臨網(wǎng)頁被Web站點名目WAF上啟用網(wǎng)頁防篡改功能格外有必要。部署設計：設備部署于網(wǎng)站效勞器之前，串行于網(wǎng)絡中。流量治理技術依據(jù)等級保護根本要求，三級業(yè)務系統(tǒng)應當在互聯(lián)網(wǎng)出口處進展流量控低網(wǎng)絡風險。因此，部署一套專業(yè)的流量治理設備格外有必要。部署設計：流量治理系統(tǒng)部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡中。上網(wǎng)行為治理技術3〔重要效勞器區(qū)域、外部連接邊界〕需網(wǎng)行為治理系統(tǒng)實現(xiàn)對內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為進展監(jiān)控、日志進展記錄。部署設計：上網(wǎng)行為治理系統(tǒng)部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡中。網(wǎng)絡安全審計上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全治理和風險防范。志進展記錄。部署設計：主機安全主機安全加固統(tǒng)的安全性所打算的，沒有安全的操作系統(tǒng)的支持，網(wǎng)絡安全也毫無根基可言。是被攻擊的最終目標。統(tǒng)調(diào)用實現(xiàn)對文件系統(tǒng)的訪問掌握，以加強操作系統(tǒng)安全性?？蓪崿F(xiàn)：加強認證，承受證書的方式來提高認證和授權的級別和強度對操作系統(tǒng)本身的加固，防止緩沖區(qū)溢出等攻擊保護系統(tǒng)進程穩(wěn)定運行，確保正常效勞的供給對注冊表進展保護，制止非授權修改獨特的授權模式，非授權程序無法運行系統(tǒng)用戶的權限分別，尤其是超級用戶一步對訪問的時間、來源進展掌握部署設計：境，使業(yè)務系統(tǒng)能夠安全、正常的運行。運維堡壘主機面的，總結(jié)起來主要有以下幾點：IT設備訪問的混亂。IT理方式造成了業(yè)務治理和安全之間的失衡。帳號、密碼、認證、授權、審計等各方面缺乏有效的集中治理技術手段。目前，XX、運行關鍵業(yè)務、數(shù)據(jù)庫應用、ERPXX治理，躲避越權訪問或者誤操作等帶來的數(shù)據(jù)泄密及系統(tǒng)破壞風險。因此XX部署設計：Web方式登錄運維審計系統(tǒng)，然后通過運維審計系統(tǒng)上呈現(xiàn)的訪問資源列表直接訪問授權資源。數(shù)據(jù)庫安全審計部署設計：數(shù)據(jù)庫審計部署于數(shù)據(jù)庫前端交換機上，通過端口鏡像收集信息。主機防病毒技術3層交換機、防火軟件軟件版本以及病毒特征庫。部署設計：征庫、定期全盤掃描病毒。漏洞掃描技術XX單位網(wǎng)絡浩大、構(gòu)造簡單，部署的設備很多，由于不同部門用戶的計掃描整個網(wǎng)絡內(nèi)的漏洞格外有必要，對整個網(wǎng)絡的安全體系維護格外重要。部署設計：定期進展漏洞掃描，檢查安全隱患。應用安全安全應用交付動完成切換，提升網(wǎng)絡和應用的可用性，保障業(yè)務連續(xù)性?，F(xiàn)優(yōu)先級治理、帶寬保障以及帶寬的公正使用，提升應用體驗。術兼容性，同時具有強大的應用層安全防護功能的安全應用交付產(chǎn)品〔SADC〕也是必不行少的。用場景。部署設計：載分擔。VPNVPN技術實供給端對端、點到端的安全傳輸解決方案。部署設計：VPN設備旁路部署于核心交換機上，實現(xiàn)傳輸鏈路的加密。安全治理中心XX單位隨著網(wǎng)絡安全意識的增加、網(wǎng)絡安全建設工作的推動，等級保護、分級保護和行業(yè)的信息安全治理等標準、標準的實施，越來越多的單位急需構(gòu)建信息安全治理平臺。鑒于其網(wǎng)絡規(guī)模、業(yè)務應用和安全治理人員的實際狀況，局部SOCXX單位統(tǒng)。部署設計：要部署安全插件。云計算平臺安全設計安全隱患，在消滅安全損失之前進展解決。強身份認證的治理用戶行為審計系統(tǒng)，可確保事后用戶行為可溯源。云安全防護系統(tǒng)基于虛擬化層面的云安全防護用于保證云環(huán)境下虛擬網(wǎng)絡和數(shù)據(jù)的安全。層防火墻。確保云操作系統(tǒng)自身的強健性，API的安全訪問機制。云安全運維云安全運維用于支撐云數(shù)據(jù)中心安全運維，功能包括：實現(xiàn)對云環(huán)境中虛擬安全設備的集中治理；對虛擬機進展各種監(jiān)控，并對監(jiān)控數(shù)據(jù)分析生成報表；對宿主機和虛擬化設備的日志進展安全審計并進展深入分析。虛擬機安全設計來其虛擬系統(tǒng)自身的安全問題。安全威逼的消滅自然就需要方法來處理。虛擬化安全防護要點動態(tài)的安全虛擬機之間產(chǎn)生的攻擊一旦虛擬機被別有認真的破壞人員掌握，受感染的虛擬機將會成為跳板,從虛擬機層面橫向移動，竊取有價值的數(shù)據(jù)而不被傳統(tǒng)的防護手段所覺察。攻擊在虛擬器之中發(fā)生更高的安全需求用太多的物理資源。傳統(tǒng)網(wǎng)絡劃分不再適合虛擬化環(huán)境很高的操作開銷和影響業(yè)務靈敏性。防護東西向流量的全面防護方案。虛擬化安全方案在虛擬化數(shù)據(jù)中心的共享域和專有域，其密級、架構(gòu)、功能都類似，故在設分析不同，虛擬化環(huán)境下同一個物理機當中的多個虛擬機中可能部署多個業(yè)務，vSwitch進展轉(zhuǎn)發(fā)，不出物理機，Hypervisor深度結(jié)合，對進出每一個虛擬機的全部流量進展捕獲、分析及掌握，從而實現(xiàn)虛擬平臺內(nèi)部東西向流量之間的防護。其具備的具體功能如下：功能強大的威逼防范供給對虛擬化平臺的立體威逼防范，包括：惡意代碼防護件時，可以生成警報日志。防火墻全部端口和協(xié)議，降低對效勞器進展未授權訪問的風險。其功能如下：〔租戶〕的虛擬機業(yè)務系統(tǒng)進展隔離，且無需修改虛擬交換機配置即可供給虛擬分段。IPMac規(guī)章過濾通信流?？蔀槊總€網(wǎng)絡接口配置不同的策略。IP的協(xié)議：通過支持全數(shù)據(jù)包捕獲簡化了故障排解，并且可TCPUDPICMP等。IPARP通信流。能出于正常狀況，也可能是攻擊的一局部?！瞁ebLDAPDHCP、FTP和數(shù)據(jù)庫地部署防火墻策略?？刹僮鞯膱蟾妫和ㄟ^具體的日志記錄、警報、儀表板和敏捷的報告，Deep〔如策略更改內(nèi)容及更改者〕，從而供給具體的審計記錄。入侵檢測和阻擋(IDS/IPS)，使其免受攻擊和零日攻擊。SQL注入、XSS跨站腳本等攻擊，攻擊特征庫可在線更或離線更。特別流量清洗〔DDOS〕進展防范，將特別的流量進展清洗，放行正常流量。WEB應用防護Web應用防護規(guī)章可防范SQL注入攻擊、跨站點腳本攻擊及其他針對Web應用程序漏洞攻擊，在代碼修復完成之前對這些漏洞供給防護，識別并阻Web應用程序攻擊，并可實現(xiàn)網(wǎng)頁防篡改功能。應用程序掌握程序或者惡意軟件，并能夠?qū)W(wǎng)絡中的非業(yè)務流量進展準確的限制。日志審計完整的流量記錄，便于信息追蹤、系統(tǒng)安全治理和風險防范。虛擬機之間的數(shù)據(jù)流量檢查及掌握Hypervisor深度結(jié)合，在治理程序內(nèi)部無縫實施安全防護措施。IPS等關施。增加動態(tài)虛擬化環(huán)境的安全性板自動實施安全策略。完全虛擬化的安全網(wǎng)關構(gòu)造，并可降低網(wǎng)絡延時、提升安全檢測提升性能、優(yōu)化部署本錢。者網(wǎng)關等多種部署方式。Web及相互感染，并可通過安全網(wǎng)關模塊對不同業(yè)務進展訪問掌握的隔離。對虛擬機供給即插即用的安全保護VLANvSwitch轉(zhuǎn)變網(wǎng)路拓撲，削減治理運維本錢。統(tǒng)一治理通過特地的虛擬化安全治理平臺對多個物理機之上的虛擬化安全網(wǎng)關模塊上。根底安全產(chǎn)品功能分析功能防火墻IPSIDS防毒墻

位置業(yè)務網(wǎng)數(shù)據(jù)中心區(qū)域邊界內(nèi)部辦公網(wǎng)邊界業(yè)務網(wǎng)核心效勞器區(qū)域邊界網(wǎng)絡邊界

作用對業(yè)務網(wǎng)進展獨立防護，進展訪問掌握、攻擊防范對外部單位接入的各種數(shù)據(jù)交換進展訪問掌握、入侵防范實時監(jiān)控并阻斷針對數(shù)據(jù)中心核心業(yè)務效勞器的入侵行為實時監(jiān)控并阻斷網(wǎng)絡層傳輸?shù)?，針對?shù)據(jù)中心核心業(yè)務的病毒和木馬行為對外網(wǎng)用戶的可信接入進展身份SSLVPN網(wǎng)關 外網(wǎng)邊界

審計等，保護辦公網(wǎng)內(nèi)部效勞器資源的可用性，保障正常業(yè)務可控的訪問對內(nèi)部人員網(wǎng)絡行為的約束與審上網(wǎng)行為審計網(wǎng)絡流量掌握網(wǎng)頁防篡改或WAF數(shù)據(jù)庫審計

外網(wǎng)邊界DMZ部署在效勞器網(wǎng)絡中

計對網(wǎng)絡流量進展整形，保障重要業(yè)務的網(wǎng)絡帶寬符合安全要求WEB被破壞主要是實現(xiàn)全部用戶對數(shù)據(jù)庫訪問及操作的行為進展審計分析權、命令回放等對內(nèi)部全部效勞器及應用系統(tǒng)的身份認證系統(tǒng) 部署在云安全治理中心區(qū)業(yè)務網(wǎng)與辦公網(wǎng)邊界安全隔離網(wǎng)閘 將來可用于業(yè)務網(wǎng)與其他機構(gòu)外聯(lián)邊界

登錄、身份識別進展認證及安全識別全面的監(jiān)控和安全的身份認證與辦公網(wǎng)進展適度的、可控的數(shù)據(jù)交換，同時保持業(yè)務網(wǎng)的高度隔離狀態(tài)，保護核心業(yè)務效勞器的高度安全方案配置方案合規(guī)性分析標和優(yōu)勢，能夠全面滿足云數(shù)據(jù)中心信息安全建設的要求。三級系統(tǒng)安全產(chǎn)品配置清單序號 工程名稱 配置要求 數(shù)量 單價〔一〕網(wǎng)絡安全系統(tǒng)〔邊界安全〕下一代防火墻上網(wǎng)行為治理流量治理WAF網(wǎng)絡安全審計鏈路負載均衡〔二〕主機安全〔內(nèi)部安全〕

集成防火墻、入侵防御、病毒防護等功能 4內(nèi)部上網(wǎng)用戶的行為治理和1審計重要信息系統(tǒng)應用的帶寬保1障保障應用系統(tǒng)安全，防止攻1擊，集成網(wǎng)頁防篡改功能對網(wǎng)絡行為及各系統(tǒng)日志進1行審計保證網(wǎng)絡出口鏈路的冗余性、連續(xù)性，以及鏈路選路 2的合理性0.

主機安全加固運維