云平臺(tái)安全等保三級(jí)規(guī)劃方案

10云平臺(tái)信息安全等級(jí)保護(hù)規(guī)劃方案目錄\l“_TOC_250036“云計(jì)算帶來的安全挑戰(zhàn) 4\l“_TOC_250035“整體方案設(shè)計(jì) 4\l“_TOC_250034“根底安全設(shè)計(jì) 5\l“_TOC_250033“物理安全 5\l“_TOC_250032“機(jī)房選址 5\l“_TOC_250031“機(jī)房治理 5\l“_TOC_250030“機(jī)房環(huán)境 5\l“_TOC_250029“設(shè)備與介質(zhì)治理 5\l“_TOC_250028“網(wǎng)絡(luò)安全 6\l“_TOC_250027“安全域邊界隔離技術(shù) 6\l“_TOC_250026“入侵防范技術(shù) 6\l“_TOC_250025“網(wǎng)絡(luò)防病毒技術(shù) 6\l“_TOC_250024“WEB防火墻技術(shù) 7\l“_TOC_250023“網(wǎng)頁防篡改技術(shù) 7\l“_TOC_250022“流量治理技術(shù) 7\l“_TOC_250021“上網(wǎng)行為治理技術(shù) 7\l“_TOC_250020“網(wǎng)絡(luò)安全審計(jì) 8\l“_TOC_250019“主機(jī)安全 8\l“_TOC_250018“主機(jī)安全加固 8\l“_TOC_250017“運(yùn)維堡壘主機(jī) 9\l“_TOC_250016“數(shù)據(jù)庫安全審計(jì) 10\l“_TOC_250015“主機(jī)防病毒技術(shù) 10\l“_TOC_250014“漏洞掃描技術(shù) 10\l“_TOC_250013“應(yīng)用安全 11\l“_TOC_250012“安全應(yīng)用交付 11\l“_TOC_250011“VPN 11\l“_TOC_250010“安全治理中12\l“_TOC_250009“云計(jì)算平臺(tái)安全設(shè)計(jì) 12\l“_TOC_250008“強(qiáng)身份認(rèn)12\l“_TOC_250007“云安全防護(hù)系12\l“_TOC_250006“云安全運(yùn)12\l“_TOC_250005“虛擬機(jī)安全設(shè)計(jì) 13\l“_TOC_250004“虛擬化安全防護(hù)要13\l“_TOC_250003“虛擬化安全方14\l“_TOC_250002“方案配置 18\l“_TOC_250001“方案合規(guī)性分18\l“_TOC_250000“三級(jí)系統(tǒng)安全產(chǎn)品配置清單19云計(jì)算帶來的安全挑戰(zhàn)IDC的調(diào)查格外具有代表性75考慮因素。IT資源的大集中，而隨著資源的集中，相應(yīng)的護(hù)要從建設(shè)云的階段就開頭規(guī)劃設(shè)計(jì)，這樣才能做到防患于未然。云計(jì)算在技術(shù)層面上的核心特點(diǎn)是虛擬化技術(shù)的運(yùn)用帶來的資源彈性和可云計(jì)算系統(tǒng)需要重構(gòu)建安全防護(hù)體系。實(shí)施方案，以供參考。整體方案設(shè)計(jì)根底安全設(shè)計(jì)物理安全物理環(huán)境安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的電磁機(jī)房選址避開設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。機(jī)房治理機(jī)房出入口安排專人值守，掌握、鑒別和記錄進(jìn)入的人員；需進(jìn)入機(jī)房的來訪人員須經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，掌握、鑒別和記錄進(jìn)入的人員。機(jī)房環(huán)境房應(yīng)安裝防靜電活動(dòng)地板。備和磁介質(zhì)實(shí)施電磁屏蔽。設(shè)備與介質(zhì)治理域監(jiān)控、防盜報(bào)警系統(tǒng)，阻擋非法用戶的各種接近攻擊。監(jiān)控系統(tǒng)的有效運(yùn)行。對(duì)介質(zhì)進(jìn)展分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫或檔案室中。利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。網(wǎng)絡(luò)安全安全域邊界隔離技術(shù)XX單位各安全域的邊界全防范體系。部署設(shè)計(jì)：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。入侵防范技術(shù)有必要。部署設(shè)計(jì)：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。網(wǎng)絡(luò)防病毒技術(shù)P2P軟件帶寬濫用等各種廣的途徑，凈化網(wǎng)絡(luò)流量。部署設(shè)計(jì)：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。WEB防火墻技術(shù)XX等重要職責(zé)，暴露在互聯(lián)網(wǎng)上，隨時(shí)會(huì)面臨黑客Web攻擊方式多種多樣，包括XSS緩沖區(qū)溢出、名目遍歷、CookieWeb攻擊，Web效勞能夠持續(xù)牢靠的供給效勞WEB防火墻〔WAF設(shè)備〕格外有必要。部署設(shè)計(jì)：設(shè)備部署于網(wǎng)站效勞器之前，串行于網(wǎng)絡(luò)中。網(wǎng)頁防篡改技術(shù)XX等重要職責(zé)，暴露在互聯(lián)網(wǎng)上，隨時(shí)會(huì)面臨網(wǎng)頁被Web站點(diǎn)名目WAF上啟用網(wǎng)頁防篡改功能格外有必要。部署設(shè)計(jì)：設(shè)備部署于網(wǎng)站效勞器之前，串行于網(wǎng)絡(luò)中。流量治理技術(shù)依據(jù)等級(jí)保護(hù)根本要求，三級(jí)業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)在互聯(lián)網(wǎng)出口處進(jìn)展流量控低網(wǎng)絡(luò)風(fēng)險(xiǎn)。因此，部署一套專業(yè)的流量治理設(shè)備格外有必要。部署設(shè)計(jì)：流量治理系統(tǒng)部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。上網(wǎng)行為治理技術(shù)3〔重要效勞器區(qū)域、外部連接邊界〕需網(wǎng)行為治理系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為進(jìn)展監(jiān)控、日志進(jìn)展記錄。部署設(shè)計(jì)：上網(wǎng)行為治理系統(tǒng)部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。網(wǎng)絡(luò)安全審計(jì)上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全治理和風(fēng)險(xiǎn)防范。志進(jìn)展記錄。部署設(shè)計(jì)：主機(jī)安全主機(jī)安全加固統(tǒng)的安全性所打算的，沒有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安全也毫無根基可言。是被攻擊的最終目標(biāo)。統(tǒng)調(diào)用實(shí)現(xiàn)對(duì)文件系統(tǒng)的訪問掌握，以加強(qiáng)操作系統(tǒng)安全性?？蓪?shí)現(xiàn)：加強(qiáng)認(rèn)證，承受證書的方式來提高認(rèn)證和授權(quán)的級(jí)別和強(qiáng)度對(duì)操作系統(tǒng)本身的加固，防止緩沖區(qū)溢出等攻擊保護(hù)系統(tǒng)進(jìn)程穩(wěn)定運(yùn)行，確保正常效勞的供給對(duì)注冊(cè)表進(jìn)展保護(hù)，制止非授權(quán)修改獨(dú)特的授權(quán)模式，非授權(quán)程序無法運(yùn)行系統(tǒng)用戶的權(quán)限分別，尤其是超級(jí)用戶一步對(duì)訪問的時(shí)間、來源進(jìn)展掌握部署設(shè)計(jì)：境，使業(yè)務(wù)系統(tǒng)能夠安全、正常的運(yùn)行。運(yùn)維堡壘主機(jī)面的，總結(jié)起來主要有以下幾點(diǎn)：IT設(shè)備訪問的混亂。IT理方式造成了業(yè)務(wù)治理和安全之間的失衡。帳號(hào)、密碼、認(rèn)證、授權(quán)、審計(jì)等各方面缺乏有效的集中治理技術(shù)手段。目前，XX、運(yùn)行關(guān)鍵業(yè)務(wù)、數(shù)據(jù)庫應(yīng)用、ERPXX治理，躲避越權(quán)訪問或者誤操作等帶來的數(shù)據(jù)泄密及系統(tǒng)破壞風(fēng)險(xiǎn)。因此XX部署設(shè)計(jì)：Web方式登錄運(yùn)維審計(jì)系統(tǒng)，然后通過運(yùn)維審計(jì)系統(tǒng)上呈現(xiàn)的訪問資源列表直接訪問授權(quán)資源。數(shù)據(jù)庫安全審計(jì)部署設(shè)計(jì)：數(shù)據(jù)庫審計(jì)部署于數(shù)據(jù)庫前端交換機(jī)上，通過端口鏡像收集信息。主機(jī)防病毒技術(shù)3層交換機(jī)、防火軟件軟件版本以及病毒特征庫。部署設(shè)計(jì)：征庫、定期全盤掃描病毒。漏洞掃描技術(shù)XX單位網(wǎng)絡(luò)浩大、構(gòu)造簡單，部署的設(shè)備很多，由于不同部門用戶的計(jì)掃描整個(gè)網(wǎng)絡(luò)內(nèi)的漏洞格外有必要，對(duì)整個(gè)網(wǎng)絡(luò)的安全體系維護(hù)格外重要。部署設(shè)計(jì)：定期進(jìn)展漏洞掃描，檢查安全隱患。應(yīng)用安全安全應(yīng)用交付動(dòng)完成切換，提升網(wǎng)絡(luò)和應(yīng)用的可用性，保障業(yè)務(wù)連續(xù)性?，F(xiàn)優(yōu)先級(jí)治理、帶寬保障以及帶寬的公正使用，提升應(yīng)用體驗(yàn)。術(shù)兼容性，同時(shí)具有強(qiáng)大的應(yīng)用層安全防護(hù)功能的安全應(yīng)用交付產(chǎn)品〔SADC〕也是必不行少的。用場景。部署設(shè)計(jì)：載分擔(dān)。VPNVPN技術(shù)實(shí)供給端對(duì)端、點(diǎn)到端的安全傳輸解決方案。部署設(shè)計(jì)：VPN設(shè)備旁路部署于核心交換機(jī)上，實(shí)現(xiàn)傳輸鏈路的加密。安全治理中心XX單位隨著網(wǎng)絡(luò)安全意識(shí)的增加、網(wǎng)絡(luò)安全建設(shè)工作的推動(dòng)，等級(jí)保護(hù)、分級(jí)保護(hù)和行業(yè)的信息安全治理等標(biāo)準(zhǔn)、標(biāo)準(zhǔn)的實(shí)施，越來越多的單位急需構(gòu)建信息安全治理平臺(tái)。鑒于其網(wǎng)絡(luò)規(guī)模、業(yè)務(wù)應(yīng)用和安全治理人員的實(shí)際狀況，局部SOCXX單位統(tǒng)。部署設(shè)計(jì)：要部署安全插件。云計(jì)算平臺(tái)安全設(shè)計(jì)安全隱患，在消滅安全損失之前進(jìn)展解決。強(qiáng)身份認(rèn)證的治理用戶行為審計(jì)系統(tǒng)，可確保事后用戶行為可溯源。云安全防護(hù)系統(tǒng)基于虛擬化層面的云安全防護(hù)用于保證云環(huán)境下虛擬網(wǎng)絡(luò)和數(shù)據(jù)的安全。層防火墻。確保云操作系統(tǒng)自身的強(qiáng)健性，API的安全訪問機(jī)制。云安全運(yùn)維云安全運(yùn)維用于支撐云數(shù)據(jù)中心安全運(yùn)維，功能包括：實(shí)現(xiàn)對(duì)云環(huán)境中虛擬安全設(shè)備的集中治理；對(duì)虛擬機(jī)進(jìn)展各種監(jiān)控，并對(duì)監(jiān)控?cái)?shù)據(jù)分析生成報(bào)表；對(duì)宿主機(jī)和虛擬化設(shè)備的日志進(jìn)展安全審計(jì)并進(jìn)展深入分析。虛擬機(jī)安全設(shè)計(jì)來其虛擬系統(tǒng)自身的安全問題。安全威逼的消滅自然就需要方法來處理。虛擬化安全防護(hù)要點(diǎn)動(dòng)態(tài)的安全虛擬機(jī)之間產(chǎn)生的攻擊一旦虛擬機(jī)被別有認(rèn)真的破壞人員掌握，受感染的虛擬機(jī)將會(huì)成為跳板,從虛擬機(jī)層面橫向移動(dòng)，竊取有價(jià)值的數(shù)據(jù)而不被傳統(tǒng)的防護(hù)手段所覺察。攻擊在虛擬器之中發(fā)生更高的安全需求用太多的物理資源。傳統(tǒng)網(wǎng)絡(luò)劃分不再適合虛擬化環(huán)境很高的操作開銷和影響業(yè)務(wù)靈敏性。防護(hù)東西向流量的全面防護(hù)方案。虛擬化安全方案在虛擬化數(shù)據(jù)中心的共享域和專有域，其密級(jí)、架構(gòu)、功能都類似，故在設(shè)分析不同，虛擬化環(huán)境下同一個(gè)物理機(jī)當(dāng)中的多個(gè)虛擬機(jī)中可能部署多個(gè)業(yè)務(wù)，vSwitch進(jìn)展轉(zhuǎn)發(fā)，不出物理機(jī)，Hypervisor深度結(jié)合，對(duì)進(jìn)出每一個(gè)虛擬機(jī)的全部流量進(jìn)展捕獲、分析及掌握，從而實(shí)現(xiàn)虛擬平臺(tái)內(nèi)部東西向流量之間的防護(hù)。其具備的具體功能如下：功能強(qiáng)大的威逼防范供給對(duì)虛擬化平臺(tái)的立體威逼防范，包括：惡意代碼防護(hù)件時(shí)，可以生成警報(bào)日志。防火墻全部端口和協(xié)議，降低對(duì)效勞器進(jìn)展未授權(quán)訪問的風(fēng)險(xiǎn)。其功能如下：〔租戶〕的虛擬機(jī)業(yè)務(wù)系統(tǒng)進(jìn)展隔離，且無需修改虛擬交換機(jī)配置即可供給虛擬分段。IPMac規(guī)章過濾通信流。可為每個(gè)網(wǎng)絡(luò)接口配置不同的策略。IP的協(xié)議：通過支持全數(shù)據(jù)包捕獲簡化了故障排解，并且可TCPUDPICMP等。IPARP通信流。能出于正常狀況，也可能是攻擊的一局部?！瞁ebLDAPDHCP、FTP和數(shù)據(jù)庫地部署防火墻策略?？刹僮鞯膱?bào)告：通過具體的日志記錄、警報(bào)、儀表板和敏捷的報(bào)告，Deep〔如策略更改內(nèi)容及更改者〕，從而供給具體的審計(jì)記錄。入侵檢測(cè)和阻擋(IDS/IPS)，使其免受攻擊和零日攻擊。SQL注入、XSS跨站腳本等攻擊，攻擊特征庫可在線更或離線更。特別流量清洗〔DDOS〕進(jìn)展防范，將特別的流量進(jìn)展清洗，放行正常流量。WEB應(yīng)用防護(hù)Web應(yīng)用防護(hù)規(guī)章可防范SQL注入攻擊、跨站點(diǎn)腳本攻擊及其他針對(duì)Web應(yīng)用程序漏洞攻擊，在代碼修復(fù)完成之前對(duì)這些漏洞供給防護(hù)，識(shí)別并阻Web應(yīng)用程序攻擊，并可實(shí)現(xiàn)網(wǎng)頁防篡改功能。應(yīng)用程序掌握程序或者惡意軟件，并能夠?qū)W(wǎng)絡(luò)中的非業(yè)務(wù)流量進(jìn)展準(zhǔn)確的限制。日志審計(jì)完整的流量記錄，便于信息追蹤、系統(tǒng)安全治理和風(fēng)險(xiǎn)防范。虛擬機(jī)之間的數(shù)據(jù)流量檢查及掌握Hypervisor深度結(jié)合，在治理程序內(nèi)部無縫實(shí)施安全防護(hù)措施。IPS等關(guān)施。增加動(dòng)態(tài)虛擬化環(huán)境的安全性板自動(dòng)實(shí)施安全策略。完全虛擬化的安全網(wǎng)關(guān)構(gòu)造，并可降低網(wǎng)絡(luò)延時(shí)、提升安全檢測(cè)提升性能、優(yōu)化部署本錢。者網(wǎng)關(guān)等多種部署方式。Web及相互感染，并可通過安全網(wǎng)關(guān)模塊對(duì)不同業(yè)務(wù)進(jìn)展訪問掌握的隔離。對(duì)虛擬機(jī)供給即插即用的安全保護(hù)VLANvSwitch轉(zhuǎn)變網(wǎng)路拓?fù)?，削減治理運(yùn)維本錢。統(tǒng)一治理通過特地的虛擬化安全治理平臺(tái)對(duì)多個(gè)物理機(jī)之上的虛擬化安全網(wǎng)關(guān)模塊上。根底安全產(chǎn)品功能分析功能防火墻IPSIDS防毒墻

位置業(yè)務(wù)網(wǎng)數(shù)據(jù)中心區(qū)域邊界內(nèi)部辦公網(wǎng)邊界業(yè)務(wù)網(wǎng)核心效勞器區(qū)域邊界網(wǎng)絡(luò)邊界

作用對(duì)業(yè)務(wù)網(wǎng)進(jìn)展獨(dú)立防護(hù)，進(jìn)展訪問掌握、攻擊防范對(duì)外部單位接入的各種數(shù)據(jù)交換進(jìn)展訪問掌握、入侵防范實(shí)時(shí)監(jiān)控并阻斷針對(duì)數(shù)據(jù)中心核心業(yè)務(wù)效勞器的入侵行為實(shí)時(shí)監(jiān)控并阻斷網(wǎng)絡(luò)層傳輸?shù)?，針?duì)數(shù)據(jù)中心核心業(yè)務(wù)的病毒和木馬行為對(duì)外網(wǎng)用戶的可信接入進(jìn)展身份SSLVPN網(wǎng)關(guān) 外網(wǎng)邊界

審計(jì)等，保護(hù)辦公網(wǎng)內(nèi)部效勞器資源的可用性，保障正常業(yè)務(wù)可控的訪問對(duì)內(nèi)部人員網(wǎng)絡(luò)行為的約束與審上網(wǎng)行為審計(jì)網(wǎng)絡(luò)流量掌握網(wǎng)頁防篡改或WAF數(shù)據(jù)庫審計(jì)

外網(wǎng)邊界DMZ部署在效勞器網(wǎng)絡(luò)中

計(jì)對(duì)網(wǎng)絡(luò)流量進(jìn)展整形，保障重要業(yè)務(wù)的網(wǎng)絡(luò)帶寬符合安全要求WEB被破壞主要是實(shí)現(xiàn)全部用戶對(duì)數(shù)據(jù)庫訪問及操作的行為進(jìn)展審計(jì)分析權(quán)、命令回放等對(duì)內(nèi)部全部效勞器及應(yīng)用系統(tǒng)的身份認(rèn)證系統(tǒng) 部署在云安全治理中心區(qū)業(yè)務(wù)網(wǎng)與辦公網(wǎng)邊界安全隔離網(wǎng)閘 將來可用于業(yè)務(wù)網(wǎng)與其他機(jī)構(gòu)外聯(lián)邊界

登錄、身份識(shí)別進(jìn)展認(rèn)證及安全識(shí)別全面的監(jiān)控和安全的身份認(rèn)證與辦公網(wǎng)進(jìn)展適度的、可控的數(shù)據(jù)交換，同時(shí)保持業(yè)務(wù)網(wǎng)的高度隔離狀態(tài)，保護(hù)核心業(yè)務(wù)效勞器的高度安全方案配置方案合規(guī)性分析標(biāo)和優(yōu)勢(shì)，能夠全面滿足云數(shù)據(jù)中心信息安全建設(shè)的要求。三級(jí)系統(tǒng)安全產(chǎn)品配置清單序號(hào) 工程名稱 配置要求 數(shù)量 單價(jià)〔一〕網(wǎng)絡(luò)安全系統(tǒng)〔邊界安全〕下一代防火墻上網(wǎng)行為治理流量治理WAF網(wǎng)絡(luò)安全審計(jì)鏈路負(fù)載均衡〔二〕主機(jī)安全〔內(nèi)部安全〕

集成防火墻、入侵防御、病毒防護(hù)等功能 4內(nèi)部上網(wǎng)用戶的行為治理和1審計(jì)重要信息系統(tǒng)應(yīng)用的帶寬保1障保障應(yīng)用系統(tǒng)安全，防止攻1擊，集成網(wǎng)頁防篡改功能對(duì)網(wǎng)絡(luò)行為及各系統(tǒng)日志進(jìn)1行審計(jì)保證網(wǎng)絡(luò)出口鏈路的冗余性、連續(xù)性，以及鏈路選路 2的合理性0.

主機(jī)安全加固運(yùn)維