XX云數(shù)據(jù)中心安全等級保護(hù)建設(shè)方案

1項(xiàng)目綜述

1.1項(xiàng)目背景

為了保障基于“健康云”、“才智云”的XX數(shù)據(jù)中心，天融信公司

依據(jù)公安部《關(guān)于開展信息系統(tǒng)等級愛護(hù)平安建設(shè)整改工作的指導(dǎo)看法》

公信安[2023]1389號)的要求，貫徹“通過組織開展信息平安等級愛護(hù)平

安管理制度建設(shè)、技術(shù)措施建設(shè)和等級測評，落實(shí)等級愛護(hù)制度的各項(xiàng)要

求，使信息系統(tǒng)平安管理水平明顯提高，平安防范實(shí)力明顯增加，平安隱

患和平安事故明顯削減，有效保障信息化健康發(fā)展，維護(hù)國家平安、社會

秩序和公共利益”的方針，為XX數(shù)據(jù)中心須要在規(guī)劃、建設(shè)和運(yùn)用相關(guān)

信息系統(tǒng)的同時對信息平安也要同步建設(shè)，全面開展信息平安等級愛護(hù)建

設(shè)整改工作。

1.2平安目標(biāo)

XX的信息平安等級愛護(hù)建設(shè)工作的總體目標(biāo)是：

“遵循國家信息平安等級愛護(hù)有關(guān)法規(guī)規(guī)定和標(biāo)準(zhǔn)規(guī)范，通過全面開

展信息平安等級愛護(hù)定級備案、建設(shè)整改和等級測評工作，進(jìn)一步實(shí)現(xiàn)對

整個新建云平臺的信息系統(tǒng)平安管理體系和技術(shù)防護(hù)體系，增加信息平安

愛護(hù)意識，明確信息平安保障重點(diǎn)，落實(shí)信息平安責(zé)任，切實(shí)提高系統(tǒng)信

息平安防護(hù)實(shí)力，為整個云平臺的順當(dāng)建設(shè)和信息化健康發(fā)展供應(yīng)牢靠保

障?！?/p>

具體目標(biāo)包括

(1)體系建設(shè)，實(shí)現(xiàn)按需防衛(wèi)。通過體系設(shè)計(jì)制定等級方案，進(jìn)行

平安技術(shù)體系、平安管理體系和平安運(yùn)維體系建設(shè)，實(shí)現(xiàn)按需防衛(wèi)。

(2)平安運(yùn)維，確保持續(xù)平安。通過平安監(jiān)控、平安加固等運(yùn)維手

段，從事前、事中、事后三個方面進(jìn)行平安運(yùn)行維護(hù)，實(shí)現(xiàn)持續(xù)性按需防

衛(wèi)的平安需求。

(3)通過合規(guī)性建設(shè)，提升XX云平臺平安防護(hù)實(shí)力，保障系統(tǒng)信

息平安，同時滿意國家等級愛護(hù)的合規(guī)性要求，為信息化工作的推動保駕

護(hù)航。

13建設(shè)范圍

本方案的設(shè)計(jì)范圍覆蓋XX的新建云平臺基礎(chǔ)設(shè)施服務(wù)系統(tǒng)。平安對

象包括：

?云內(nèi)平安：虛擬化環(huán)境中的虛擬化平臺與其相關(guān)虛擬化網(wǎng)絡(luò)、虛

擬化主機(jī)的平安防護(hù)；

?云外平安：虛擬化環(huán)境以外的網(wǎng)絡(luò)接入，核心交換，存儲備份環(huán)

境。

1.4建設(shè)依據(jù)

1.4.1國家相關(guān)政策要求

(1)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安愛護(hù)條例》(國務(wù)院147

號令)；

(2)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的看法》(中

辦發(fā)[2023]27號)；

(3)《關(guān)于信息平安等級愛護(hù)工作的實(shí)施看法》(公通字[2023]66

號)；

(4)《信息平安等級愛護(hù)管理方法》(公通字[2023]43號)；

(5)《信息平安等級愛護(hù)備案實(shí)施細(xì)則》(公信安[2023]1360號);

(6)《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息平安風(fēng)險評估工作

的通知》(發(fā)改高技[2023]2071號)；

(7)《關(guān)于開展信息平安等級愛護(hù)平安建設(shè)整改工作的指導(dǎo)看法》

(公信安[2023]1429號)。

1.4,2等級愛護(hù)與信息平安相關(guān)國家標(biāo)準(zhǔn)

(1)《計(jì)算機(jī)信息系統(tǒng)平安愛護(hù)等級劃分準(zhǔn)則》(GB17859-1999);

(2)《信息平安技術(shù)信息系統(tǒng)平安等級愛護(hù)實(shí)施指南》(GBT

25058-2024);

(3)《信息平安技術(shù)信息系統(tǒng)平安愛護(hù)等級定級指南》

(GB/T22240-2024);

(4)《信息平安技術(shù)信息系統(tǒng)平安等級愛護(hù)基本要求》

(GB/T22239-2024)；

(5)《信息平安技術(shù)信息系統(tǒng)等級愛護(hù)平安設(shè)計(jì)技術(shù)要求》(GB/T

25070-2024);

(6)《信息平安技術(shù)信息系統(tǒng)平安等級愛護(hù)測評要求》；

(7)《信息平安技術(shù)信息系統(tǒng)平安等級愛護(hù)測評過程指南〉〉；

(8)《信息平安技術(shù)信息平安風(fēng)險評估規(guī)范》(GB/T

20984-2024);

(9)《信息平安技術(shù)信息系統(tǒng)平安管理要求》(GB/T

20269-2024);

(10)《信息技術(shù)平安技術(shù)信息平安管理體系要求〉〉(GB/T

22080-2024(idtISO/IEC27001:2023));

(11)《信息技術(shù)平安技術(shù)信息平安管理好用準(zhǔn)則》(GB/T

22081-2024(idtISO/IEC27002:2023));

(12)《信息平安技術(shù)信息系統(tǒng)通用平安技術(shù)要求》(GB/T

20271-2024)與相關(guān)的一系列具體技術(shù)標(biāo)準(zhǔn)。

2云平安等保風(fēng)險分析

由于本系統(tǒng)是新建設(shè)系統(tǒng)，并且尚未部署應(yīng)用。機(jī)房環(huán)境目前已經(jīng)特

別完備，具備很好的物理平安措施。

因此當(dāng)前最主要的工作是依據(jù)等級愛護(hù)基本要求，著重進(jìn)行網(wǎng)絡(luò)層、

主機(jī)層、數(shù)據(jù)層等方面的等級愛護(hù)平安技術(shù)建設(shè)工作。

此外，天融信具有等級愛護(hù)的專家團(tuán)隊(duì)，深化了解國家等級愛護(hù)相關(guān)

政策，熟識信息系統(tǒng)規(guī)劃和整改工作的關(guān)鍵點(diǎn)和流程，將通過等級愛護(hù)差

距分析、文檔審核、現(xiàn)場訪談、現(xiàn)場測試等方式，發(fā)掘目前云平臺系統(tǒng)與

等保技術(shù)和管理要求的不符合項(xiàng)。并針對不符合項(xiàng)，進(jìn)行逐條分析，確認(rèn)

建設(shè)方案。

在云架構(gòu)下傳統(tǒng)的愛護(hù)模式如何建立層次型的防護(hù)策略，如何愛護(hù)共

享虛擬化環(huán)境下的云平臺建設(shè)中需重點(diǎn)考慮的環(huán)節(jié)；健康云和才智云將實(shí)

現(xiàn)基于云的數(shù)據(jù)存儲和集中管理，必需采納有效措施防止外部入侵和內(nèi)部

用戶濫用權(quán)限；在信息平安保障體系實(shí)現(xiàn)時仍需滿意國家信息平安等級愛

護(hù)政策要求，同時須要解決信息平安等級愛護(hù)政策在云計(jì)算技術(shù)體系下如

何落地的重要課題。

健康云和才智云計(jì)算平臺引入了虛擬化技術(shù)，實(shí)現(xiàn)數(shù)據(jù)資源、服務(wù)資

源、平臺資源的云共享，計(jì)算、網(wǎng)絡(luò)、存儲等三類資源是云計(jì)算平臺依靠

重要的系統(tǒng)資源，平臺的可用性(Availability)牢靠性(Reliability)、

數(shù)據(jù)平安性、運(yùn)維管理實(shí)力是平安建設(shè)的重要指標(biāo)，傳統(tǒng)的密碼技術(shù)、邊

界防護(hù)技術(shù)、入侵檢測技術(shù)、審計(jì)技術(shù)等在云計(jì)算環(huán)境下仍舊須要，并須

要針對云計(jì)算給信息平安帶來的新問題，重點(diǎn)解決，虛擬化平安漏洞，以

與基于云環(huán)境下的平安監(jiān)控、用戶隔離、行為審計(jì)、不同角色的訪問限制、

平安策略、平安管理和日志審計(jì)等技術(shù)難點(diǎn)，這就更加須要借助內(nèi)外網(wǎng)等

級愛護(hù)的建設(shè)構(gòu)建滿意健康云、才智云平臺業(yè)務(wù)須要的平安支撐體系，提

高信息化環(huán)境的平安性，并通過運(yùn)維、平安保障等基礎(chǔ)資源的統(tǒng)一建設(shè)，

有效消退平安保障中的“短板效應(yīng)”，增加整個信息化環(huán)境的平安性。

2.1合規(guī)性風(fēng)險

XX云平臺的平安建設(shè)需滿意等級愛護(hù)三級基本要求的標(biāo)準(zhǔn)，即須要

建設(shè)平安技術(shù)、管理、運(yùn)維體系，達(dá)到可信、可控、可管的目標(biāo)。但是目

前在云計(jì)算環(huán)境下的等級愛護(hù)標(biāo)準(zhǔn)尚未出臺，可能會面臨信息系統(tǒng)可信、

可控、可管的巨大挑戰(zhàn)，如下圖：

■KO未十算梭心俵術(shù)，自主可碘度較大；

□缺乏相應(yīng)的法南去規(guī)和行業(yè)監(jiān)控評價體系；

更大規(guī)模異構(gòu)共享和虛擬動態(tài)的運(yùn)營環(huán)境誰以控制;

網(wǎng)絡(luò)虛擬化后,虛擬機(jī)之間的通信控制;

多租戶環(huán)境下不同租戶間的隔閽.

3□傳統(tǒng)的安全測評面對虛擬化環(huán)境；

乙□云計(jì)H的安全管理制度和運(yùn)維體系；

此外，在今后大量XX自有應(yīng)用以與通過Saas方式，縱向引入各下

屬單位應(yīng)用。為了滿意各類不同應(yīng)用的合規(guī)性需求，須要在平安技術(shù)、運(yùn)

維、管理等方面進(jìn)行更加敏捷、高可用性的冗余建設(shè)。

2.2系統(tǒng)建設(shè)風(fēng)險

虛擬化平臺架構(gòu)，品牌的選擇是一個很慎重的問題。其架構(gòu)依據(jù)不同

品牌，導(dǎo)致接口開放程度不同，運(yùn)行機(jī)制不同。而與虛擬化平臺相關(guān)的如:

信息系統(tǒng)應(yīng)用架構(gòu)、平安架構(gòu)、數(shù)據(jù)存儲架構(gòu)等，都與虛擬化平臺休戚相

關(guān)，也是后續(xù)應(yīng)用遷入工作的基礎(chǔ)。此外，在后期遷入應(yīng)用，建設(shè)過程中

的質(zhì)量監(jiān)控，建設(shè)支配是否合理牢靠等問題，均有可能造成風(fēng)險。以下為

具體的風(fēng)險：

2.2.1應(yīng)用遷入阻力風(fēng)險

XX的云平臺規(guī)劃愿景包括：應(yīng)用數(shù)據(jù)大集中，管理大集中，所以要

求今后非云環(huán)境的各類應(yīng)用逐步的遷移入虛擬化環(huán)境，各應(yīng)用的計(jì)算環(huán)境

也須要調(diào)整入虛擬化環(huán)境。由此可能會引發(fā)一些兼容性風(fēng)險問題，帶來遷

入阻力的風(fēng)險。

2.2.2虛擬化平臺品牌選擇風(fēng)險

因現(xiàn)有虛擬化平臺已經(jīng)選購?fù)瓿?，是VMware的vSphere虛擬化平

臺，因其對國內(nèi)其他IT平臺，尤其是對國內(nèi)平安廠商的開放性嚴(yán)峻不足,

導(dǎo)致很多平安機(jī)制無法兼顧到云平臺內(nèi)部。

因此造成了平安監(jiān)控、平安管理、平安防護(hù)機(jī)制在云平臺內(nèi)外出現(xiàn)斷

檔的現(xiàn)象，使現(xiàn)有的自動化平安管理、網(wǎng)絡(luò)管理、平安防護(hù)等措施無法有

效覆蓋虛擬化環(huán)境。

2.2.3建設(shè)質(zhì)量計(jì)量、監(jiān)督風(fēng)險

因?yàn)楸敬蝀X云平臺的建設(shè)準(zhǔn)備采納市場化建設(shè)的方式進(jìn)行，但是現(xiàn)

有云計(jì)算平臺是否符合建設(shè)要求，是否符合平安需求，如何進(jìn)行質(zhì)量的計(jì)

量，如何進(jìn)行評審監(jiān)督，都是亟待解決的問題。

2.2.4平安規(guī)劃風(fēng)險

在云平臺的規(guī)劃過程中，應(yīng)同時規(guī)劃平安保障體系的；保證在建設(shè)過

程中，同步實(shí)施計(jì)算環(huán)境和平安保障建設(shè)。如出現(xiàn)信息平安建設(shè)延后，可

能帶來保障體系的脆弱性，放大各其他基礎(chǔ)設(shè)施的脆弱性，導(dǎo)致各類平安

風(fēng)險的滋生。

2.2.5建設(shè)支配風(fēng)險

云平臺的建設(shè)因其困難性，導(dǎo)致系統(tǒng)投入運(yùn)用前，須要進(jìn)行完善詳實(shí)

的規(guī)劃、設(shè)計(jì)和實(shí)施。需協(xié)調(diào)好各相關(guān)部門，以與第三方合作廠商，同心

同德的建設(shè)云平臺，而建設(shè)支配是須要先行一步制定好的，從而可以指導(dǎo)

規(guī)范整個項(xiàng)目的生命周期。

2.3平安技術(shù)風(fēng)險

基于虛擬化技術(shù)的云平臺帶來了很多優(yōu)勢，如計(jì)算資源按需安排，計(jì)

算資源利用效率最大化等等。但是，在引入優(yōu)勢的同時，也會帶來很多新

的平安風(fēng)險。因此對于XX云平臺的信息平安風(fēng)險分析也應(yīng)依據(jù)實(shí)際狀況

作出調(diào)整，考慮虛擬化平臺、虛擬化網(wǎng)絡(luò)、虛擬化主機(jī)的平安風(fēng)險。

同時，為了滿意等級愛護(hù)的合規(guī)性要求，須要結(jié)合等級愛護(hù)三級的基

本要求中關(guān)于平安技術(shù)體系的五個層面的平安需求，即：物理平安、網(wǎng)絡(luò)

平安、主機(jī)平安、應(yīng)用平安與數(shù)據(jù)平安。

雖然目前階段，云平臺尚未引入有效應(yīng)用和數(shù)據(jù)，但是在平安規(guī)劃中

須要為將來出現(xiàn)的狀況進(jìn)行先期預(yù)料，將其可能引入的平安風(fēng)險進(jìn)行考

慮。

因此，在經(jīng)過總結(jié)后，可得出八個方面的平安風(fēng)險。

2.3.1物理平安風(fēng)險

因目前物理機(jī)房的基礎(chǔ)設(shè)施已完善，在實(shí)地考察后，發(fā)覺XX現(xiàn)有機(jī)

房已滿意等級愛護(hù)三級合規(guī)性要求，物理平安風(fēng)險已經(jīng)得到有效限制。

2.3.2網(wǎng)絡(luò)平安風(fēng)險

本節(jié)主要探討非虛擬化環(huán)境中的傳統(tǒng)網(wǎng)絡(luò)平安風(fēng)險。

?網(wǎng)絡(luò)可用性風(fēng)險

有多種因素會對網(wǎng)絡(luò)可用性造成負(fù)面影響，主要集中于鏈路流量負(fù)載

不當(dāng)，流量安排不當(dāng)，以與拒絕服務(wù)攻擊、蠕蟲類病毒等威逼。此外，對

網(wǎng)絡(luò)內(nèi)部流量和協(xié)議的審計(jì)也特別關(guān)鍵，運(yùn)維人員須要了解這些信息以協(xié)

調(diào)網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)的可用性，進(jìn)一步保障應(yīng)用業(yè)務(wù)的可用性。

?網(wǎng)絡(luò)邊界完整性風(fēng)險

網(wǎng)絡(luò)邊界包含云平臺邊界、內(nèi)部各平安域的邊界，租戶邊界（主機(jī)/

虛擬主機(jī)/業(yè)務(wù)系統(tǒng)），互聯(lián)網(wǎng)接入邊界。在此探討非虛擬化環(huán)境下的網(wǎng)絡(luò)

邊界完整性風(fēng)險。

云平臺網(wǎng)絡(luò)邊界、互聯(lián)網(wǎng)接入邊界、內(nèi)部各平安域網(wǎng)絡(luò)邊界以與物理

主機(jī)的網(wǎng)絡(luò)邊界可能會因缺乏邊界訪問限制管理，訪問限制策略不當(dāng)，身

份鑒別失效，非法內(nèi)聯(lián)，非法外聯(lián)等因素而被突破，導(dǎo)致網(wǎng)絡(luò)邊界完整性

失去愛護(hù)，進(jìn)一步可能會影響信息系統(tǒng)的保密性和可用性。

?平安通信風(fēng)險

第三方運(yùn)維人員，采納遠(yuǎn)程終端訪問云中的各類應(yīng)用。假如不對應(yīng)用

數(shù)據(jù)的遠(yuǎn)程通信數(shù)據(jù)進(jìn)行加密，則通信信息就有被竊聽、篡改、泄露的風(fēng)

險，破壞通信信息的完整性和保密性。

?入侵防護(hù)風(fēng)險

網(wǎng)絡(luò)入侵可能來自各邊界的外部或內(nèi)部。假如缺乏行之有效的審計(jì)手

段和防護(hù)手段，則信息平安無從談起。為避開信息平安保障體系成為了聾

子、瞎子，須要審計(jì)手段發(fā)覺入侵威逼，須要防護(hù)手段阻斷威逼。

?惡意代碼風(fēng)險

當(dāng)網(wǎng)絡(luò)邊界被突破后，信息系統(tǒng)會暴露在危急的環(huán)境下，最為突出的

風(fēng)險就是惡意代碼的風(fēng)險，可能會造成系統(tǒng)保密性和可用性的損失。包括

端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、

IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。系統(tǒng)隨時會面臨各類惡意代碼攻擊的風(fēng)

險，尤其是APT攻擊，即使系統(tǒng)具備較為完善的防衛(wèi)體系，也很難防范此

類攻擊。

2.3.3主機(jī)平安風(fēng)險

在虛擬化環(huán)境下，主機(jī)平安也應(yīng)對物理服務(wù)器主機(jī)和虛擬化主機(jī)進(jìn)行

區(qū)分對待，存在的平安風(fēng)險問題有所不同。

本節(jié)只探討物理服務(wù)器和遠(yuǎn)程接入應(yīng)用的操作終端的平安風(fēng)險。

?應(yīng)用操作終端風(fēng)險

云平臺搭建后，系統(tǒng)資源統(tǒng)一放在云端，而用戶是通過終端遠(yuǎn)程接入

云中的應(yīng)用。除了上述的身份鑒別和授權(quán)的風(fēng)險外，終端運(yùn)用的閱讀器自

身存在漏洞，甚至終端本身的健康狀況不良，都可能會造成云端受到相應(yīng)

的威逼。

?服務(wù)器主機(jī)操作系統(tǒng)漏洞風(fēng)險

服務(wù)器主機(jī)操作系統(tǒng)因自身設(shè)計(jì)緣由，存在固有的漏洞和脆弱性，具

有被突破、被潛藏、被利用、被破壞的各類風(fēng)險。

?服務(wù)器主機(jī)平臺風(fēng)險

目前服務(wù)器的硬件架構(gòu)中，采納的CPU、主板、內(nèi)存等配件的核心技

術(shù)仍舊受制于人，為了業(yè)務(wù)的性能需求，仍舊須要采納國外的技術(shù)架構(gòu)。

可能會帶來后門入侵的風(fēng)險。

2.3.4應(yīng)用平安風(fēng)險

?身份鑒別、授權(quán)、審計(jì)風(fēng)險

應(yīng)用放置在云端，在實(shí)現(xiàn)資源共享的同時，會帶來信息泄漏的風(fēng)險。

由于網(wǎng)絡(luò)的不確定性，首要問題就是要確認(rèn)運(yùn)用者的身份、確保身份的合

法性。由于工作須要，不同部門、不同職責(zé)的工作人員應(yīng)用需求不同，信

息運(yùn)用權(quán)限不同，必須要對運(yùn)用者身份進(jìn)行統(tǒng)一的認(rèn)證，統(tǒng)一授權(quán)，統(tǒng)一

審計(jì)。

一旦攻擊者獲得運(yùn)用者的身份驗(yàn)證信息，假冒合法用戶，用戶數(shù)據(jù)完

全暴露在其面前，其他平安措施都將失效，攻擊者將可以為所欲為，竊取

或修改用戶數(shù)據(jù)。因此，身份假冒是政務(wù)云面對的首要平安威逼。

?應(yīng)用服務(wù)可用性風(fēng)險

任何形式的應(yīng)用都存在可用性風(fēng)險，而一旦可用性風(fēng)險被威逼利用，

進(jìn)一步引發(fā)了平安事務(wù)，則會帶來應(yīng)用的不行用，進(jìn)而導(dǎo)致業(yè)務(wù)受阻。

缺乏對應(yīng)用服務(wù)的審計(jì)也會帶來可用性風(fēng)險，假如通過審計(jì)和分析策

略在故障或入侵之前可以察覺到異樣信息，可能就避開了事故的發(fā)生。

而在云計(jì)算環(huán)境下，因?yàn)閼?yīng)用的高度集中和邊界模糊，可能一次單臺

主機(jī)的不行用，都會帶來多種業(yè)務(wù)的不行用。因此云計(jì)算環(huán)境下的應(yīng)用可

用性問題相比傳統(tǒng)計(jì)算環(huán)境下，具備影響范圍廣，程度深的特點(diǎn)。

?WEB攻擊風(fēng)險

WEB攻擊主要指針對WEB服務(wù)的各類應(yīng)用惡意代碼攻擊,諸如SQL

注入攻擊、XSS攻擊、網(wǎng)頁篡改等，通常是由于對HTTP表單的輸入信

息未做嚴(yán)格審查，或WEB應(yīng)用在代碼設(shè)計(jì)時存在的脆弱性導(dǎo)致的。

假如不對這類攻擊進(jìn)行特地的防護(hù)，很簡單造成平安保障體系被突

破，以WEB服務(wù)作為跳板，進(jìn)一步威逼內(nèi)部的應(yīng)用和數(shù)據(jù)。

2.3.5數(shù)據(jù)平安風(fēng)險

?數(shù)據(jù)保密性和完整性風(fēng)險

XX云因其業(yè)務(wù)特點(diǎn)，所處理的數(shù)據(jù)關(guān)乎公眾服務(wù)，以與為國家供應(yīng)

輿情服務(wù)。雖然會有部分應(yīng)用會對互聯(lián)網(wǎng)用戶供應(yīng)服務(wù)，但只是供應(yīng)有限

的接口，訪問有限的，關(guān)乎個人的等非敏感數(shù)據(jù)。但大部分敏感的，不宜

公開的政務(wù)云數(shù)據(jù)還會面臨來自非法入侵后進(jìn)行竊取或篡改，進(jìn)而帶來的

數(shù)據(jù)保密性和完整性風(fēng)險。

?數(shù)據(jù)可用性風(fēng)險

當(dāng)數(shù)據(jù)的完整性遭遇破壞時，數(shù)據(jù)可用性也會遭遇影響，數(shù)據(jù)失真，

尤其是應(yīng)用的關(guān)鍵參數(shù)失真最為嚴(yán)峻。尤其是虛擬化環(huán)境下，數(shù)據(jù)碎片化

存儲，在整合時出現(xiàn)問題，導(dǎo)致應(yīng)用服務(wù)中斷，進(jìn)而造成應(yīng)用可用性的風(fēng)

險。所以如何進(jìn)行容災(zāi)，備份，復(fù)原也是一個嚴(yán)峻的問題。

?數(shù)據(jù)審計(jì)風(fēng)險

因?yàn)樵谠骗h(huán)境中，用戶的數(shù)據(jù)不再保存在用戶本地，因此目前在云計(jì)

算環(huán)境中，多依靠完整性驗(yàn)證的方式運(yùn)用戶確信他們的數(shù)據(jù)被正確的存儲

和處理。為了保證數(shù)據(jù)可復(fù)原性與冗余性，在云計(jì)算環(huán)境中，通常會采納

冗余存儲的手段。這就須要特定的審計(jì)方法保證多個版本數(shù)據(jù)的一樣性和

完整性。

此外，針對數(shù)據(jù)的運(yùn)用者信息，也須要通過審計(jì)措施來進(jìn)行記錄。

?數(shù)據(jù)平安檢測風(fēng)險

在政務(wù)云環(huán)境下，數(shù)據(jù)往往是離散的分布在“云”中不同的位置，用

戶無法確定自己的數(shù)據(jù)原委在哪里，具體是由哪個服務(wù)器進(jìn)行管理。也因

此造成當(dāng)數(shù)據(jù)出現(xiàn)不行用，破壞，甚至泄露時，很難確定具體的問題點(diǎn)。

?數(shù)據(jù)庫平安風(fēng)險

數(shù)據(jù)庫通常作為非結(jié)構(gòu)化數(shù)據(jù)的索引，通過結(jié)構(gòu)化表的表現(xiàn)形式，為

前端應(yīng)用和后方數(shù)據(jù)供應(yīng)橋梁；同時，對于結(jié)構(gòu)化的數(shù)據(jù)，數(shù)據(jù)庫本身就

進(jìn)行了數(shù)據(jù)存儲。

惡意攻擊通常會通過數(shù)據(jù)庫漏洞或惡意代碼的方式進(jìn)行非法提權(quán)，從

而通過數(shù)據(jù)庫結(jié)構(gòu)化語句竊取、篡改甚至破壞后臺存儲的數(shù)據(jù)，威逼到數(shù)

據(jù)的保密性、完整性和可用性。

2.3.6虛擬化平臺平安風(fēng)險

虛擬化是云計(jì)算最重要的技術(shù)支持之一，也是云計(jì)算的標(biāo)記之一。然

而，虛擬化的結(jié)果，卻使很多傳統(tǒng)的平安防護(hù)手段失效。從技術(shù)層面上講,

云計(jì)算與傳統(tǒng)IT環(huán)境最大的區(qū)分在于其虛擬的計(jì)算環(huán)境，也正是這一區(qū)

分導(dǎo)致其平安問題變得異樣“麻煩”。

?虛擬化平臺自身平安風(fēng)險

虛擬化平臺自身也存在平安漏洞，虛擬主機(jī)可能會被作為跳板，通過

虛擬化網(wǎng)絡(luò)攻擊虛擬化平臺的管理接口；或者由虛擬機(jī)通過平臺的漏洞干

脆攻擊底層的虛擬化平臺，導(dǎo)致基于虛擬化平臺的各類業(yè)務(wù)均出現(xiàn)不行用

或信息泄露。

?平安可信、可控風(fēng)險

虛擬化平臺技術(shù)是從國外引進(jìn)的，目前常見的主流商用虛擬化平臺被

幾個大的國外廠商壟斷，且不對外供應(yīng)關(guān)鍵、核心接口，更不供應(yīng)源碼,

導(dǎo)致在其上構(gòu)建和部署平安措施困難，可控性差。再加上可能的利益驅(qū)使

和網(wǎng)絡(luò)戰(zhàn)須要，無法判別是否留有限制''后門”，可信度有待商榷。

?虛擬資源池內(nèi)惡意競爭風(fēng)險

處于虛擬資源池內(nèi)的多虛擬主機(jī)會共享統(tǒng)一硬件環(huán)境，常常會出現(xiàn)惡

意的搶占資源，影響了平臺資源的可用性，進(jìn)而影響虛擬化平臺的服務(wù)水

平。

2.3.7虛擬化網(wǎng)絡(luò)平安風(fēng)險

虛擬化的網(wǎng)絡(luò)結(jié)構(gòu)，使得傳統(tǒng)的分域防護(hù)變得難以實(shí)現(xiàn)，虛擬化的服

務(wù)供應(yīng)模式，使得對運(yùn)用者身份、權(quán)限和行為鑒別、限制與審計(jì)變得更加

困難。造成虛擬化網(wǎng)絡(luò)不行見風(fēng)險、網(wǎng)絡(luò)邊界動態(tài)化風(fēng)險、多租戶混用平

安風(fēng)險等。

?虛擬化網(wǎng)絡(luò)不行見風(fēng)險

在云環(huán)境中，虛擬化資源會放在同一的資源池中，供各應(yīng)用調(diào)配資源

來實(shí)現(xiàn)業(yè)務(wù)的運(yùn)行。在這種狀況下，傳統(tǒng)平安防護(hù)設(shè)備無法深化虛擬化平

臺內(nèi)部進(jìn)行平安防護(hù)，難以達(dá)到惡意代碼的防護(hù)，流量監(jiān)控，協(xié)議審計(jì)等

平安要求。

?網(wǎng)絡(luò)邊界動態(tài)化風(fēng)險

為了實(shí)現(xiàn)虛擬化環(huán)境下的動態(tài)負(fù)載，出現(xiàn)了虛擬機(jī)動態(tài)漂移技術(shù)，導(dǎo)

致虛擬化主機(jī)的真實(shí)位置也會隨之變更，造成邊界的平安策略也須要隨之

轉(zhuǎn)移。若邊界隔離、平安防護(hù)措施與策略不能跟隨虛擬機(jī)漂移，會使得邊

界防護(hù)措施和防護(hù)策略難以起效，造成平安漏洞。

?多租戶混用平安風(fēng)險

在XX云平臺的規(guī)劃愿景中，包含對下屬機(jī)構(gòu)供應(yīng)SaaS類服務(wù)，必

定會引入其他租戶的應(yīng)用。這么多的業(yè)務(wù)系統(tǒng)有著不同的平安等級和訪問

限制要求，業(yè)務(wù)系統(tǒng)自身的平安保障機(jī)制也參差不齊。全部業(yè)務(wù)系統(tǒng)的平

安防護(hù)策略和需求也是不同的，而平安策略一刀切常常會使整體平安度降

低，高平安等級要求的業(yè)務(wù)系統(tǒng)無法得到應(yīng)有的平安保障，導(dǎo)致越權(quán)訪問、

數(shù)據(jù)泄露。

?網(wǎng)絡(luò)地址沖突風(fēng)險

由于用戶對虛擬機(jī)有完全限制權(quán)，所以可以隨意修改虛擬機(jī)的mac

地址，可能造成與其他虛擬機(jī)的mac沖突，從而影響虛擬機(jī)通信。

?惡意虛擬機(jī)實(shí)施攻擊風(fēng)險

虛擬機(jī)通信隔離機(jī)制不強(qiáng)，惡意虛擬機(jī)可能監(jiān)聽其他虛擬機(jī)的運(yùn)行狀

態(tài)，實(shí)施Dos攻擊，惡意占用資源（cpu,內(nèi)存，網(wǎng)絡(luò)帶寬等），影響其他

VM的運(yùn)行。

2.3.8虛擬化主機(jī)平安風(fēng)險

?虛擬機(jī)惡意搶占資源風(fēng)險

虛擬機(jī)完全由最終用戶限制，惡意份子和被限制的虛擬機(jī)可能惡意搶

占網(wǎng)絡(luò)、存儲和運(yùn)算資源，導(dǎo)致整體云平臺資源耗盡，從而影響其他關(guān)鍵

業(yè)務(wù)系統(tǒng)的正常運(yùn)行擾亂正常政務(wù)辦公。

?虛擬機(jī)平安審計(jì)風(fēng)險

在云平臺構(gòu)建完成后，將同時運(yùn)轉(zhuǎn)數(shù)量眾多的虛擬機(jī)。并且，對虛擬

機(jī)的操作人員各異，平安意識和平安防范措施也參差不齊。缺乏平安審計(jì)

會導(dǎo)致某些虛擬機(jī)感染病毒后進(jìn)行非法操作，甚至可能利用hyperv運(yùn)or

的已有漏洞，獲得更高權(quán)限，從而實(shí)施各種攻擊。

?虛擬機(jī)鏡像平安風(fēng)險

比起物理主機(jī)，虛擬機(jī)鏡像是以文件形式存在，因此，簡單被復(fù)制和

修改，同時，不同平安級別的版本鏡像可能被替換。虛擬機(jī)鏡像文件如缺

乏限制措施，可能存在完整性修改，鏡像回滾失敗等風(fēng)險。

2.3.1平安管理風(fēng)險

當(dāng)云平臺系統(tǒng)進(jìn)入上線運(yùn)行階段后，相關(guān)平安管理人員在管理過程中

可能會遭遇多種問題，引發(fā)平安管理風(fēng)險。

在云計(jì)算環(huán)境下，應(yīng)用系統(tǒng)和硬件服務(wù)器不再是一一綁定的關(guān)系，平

安管理職責(zé)發(fā)生了變更，失去了對基礎(chǔ)設(shè)施和應(yīng)用的肯定管理權(quán)和限制

權(quán)。另外，政務(wù)云系統(tǒng)的管理層面發(fā)生了變更，XX的云環(huán)境運(yùn)維部門負(fù)

責(zé)管理基礎(chǔ)設(shè)施，而應(yīng)用系統(tǒng)因?yàn)樽鈶舯姸?，使得?yīng)用系統(tǒng)的維護(hù)者眾多。

也因此管理職責(zé)困難化，須要明晰職權(quán)。在多租戶遷入應(yīng)用和數(shù)據(jù)的狀況

下，區(qū)分于傳統(tǒng)的私有云，管理人員的隊(duì)伍也發(fā)生了變更，須要多個部門

進(jìn)行人員的協(xié)調(diào)。因?yàn)槿藛T是由多個部門組成，也因此要求平安管理制度,

應(yīng)急響應(yīng)的策略和制度依據(jù)實(shí)際狀況作出調(diào)整。

2.3.2云環(huán)境下的特有平安管理風(fēng)險

在云環(huán)境下，“資源池”管理技術(shù)主要實(shí)現(xiàn)對物理資源、虛擬資源的

統(tǒng)一管理，并依據(jù)用戶需求實(shí)現(xiàn)虛擬資源（虛擬機(jī)、虛擬存儲空間等）的

自動化生成、安排、回收和遷移，用以支持用戶對資源的彈性需求。

這突破了傳統(tǒng)的平安區(qū)域，使得傳統(tǒng)基于物理平安邊界的防護(hù)機(jī)制不

能有效地發(fā)揮作用，減弱了云平臺上各租戶對重要信息的管理實(shí)力。另外,

在傳統(tǒng)網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)中的各類資產(chǎn)通常由不同的管理員進(jìn)行管理。但

在虛擬化環(huán)境中，往往都由同一管理員負(fù)責(zé)，可能會出現(xiàn)管理員權(quán)限過于

集中的風(fēng)險。對管理員的操作審計(jì)和行為規(guī)范都提出了很高的要求。

2.3.3平安組織建設(shè)風(fēng)險

要應(yīng)對云平臺進(jìn)入運(yùn)行階段的各類問題，首先對進(jìn)行平安管理運(yùn)維的

組織保障實(shí)力提出了挑戰(zhàn)。

沒有依據(jù)實(shí)際狀況建設(shè)的平安組織，無法應(yīng)對云平臺困難環(huán)境下的平

安管理要求，無法順當(dāng)完成平安管理工作，無法保障各類云業(yè)務(wù)的順當(dāng)進(jìn)

行。而且鑒于本次云平臺建設(shè)的實(shí)際狀況：即遷入多租戶的大量應(yīng)用，所

以在進(jìn)行平安管理時，如何劃分管理權(quán)限，明晰職責(zé)，也成為了須要解決

的問題。

因此，需求合理的、務(wù)實(shí)的、專業(yè)的多類平安隊(duì)伍來應(yīng)對挑戰(zhàn)，保障

云平臺業(yè)務(wù)順當(dāng)通暢的進(jìn)行。

2.3.4人員風(fēng)險

再平安的網(wǎng)絡(luò)設(shè)備和平安管理系統(tǒng)也離不開人的操作和管理，再好的

平安策略也最終要靠人來實(shí)現(xiàn)，因此人員也是整個網(wǎng)絡(luò)平安中的重要一

環(huán)。需求具備完備的信息平安意識，專業(yè)的信息平安素養(yǎng)，職業(yè)化的信息

平安看法人才，來管理和維護(hù)政務(wù)云系統(tǒng)，保障業(yè)務(wù)。

2.3.5平安策略風(fēng)險

在應(yīng)對云平臺將來可能遇到的信息平安事務(wù)時，除了具備組織、人員

外，還須要制定適合云平臺系統(tǒng)困難環(huán)境的平安制度和平安策略，讓組織

和人員可以有效的，合規(guī)的完成信息平安事務(wù)相關(guān)的各類工作，以保證信

息平安管理可以高效，高質(zhì)量的進(jìn)行。

2.3.6平安審計(jì)風(fēng)險

在云平臺投入運(yùn)用后，因業(yè)務(wù)系統(tǒng)和底層架構(gòu)較為困難，須要進(jìn)行全

方位的監(jiān)控審計(jì)，以便與時發(fā)覺各類可能和信息平安相關(guān)、業(yè)務(wù)狀態(tài)相關(guān)

的信息，并與時作出管理策略的響應(yīng)和調(diào)整。

而具體由誰來監(jiān)控審計(jì)，審計(jì)結(jié)果是否有效而客觀，是否可以與時傳

達(dá)至相關(guān)責(zé)任人，這些問題都須要妥當(dāng)解決，才能夠?qū)崿F(xiàn)全方位，與時，

有效的審計(jì)。

2.4平安運(yùn)維風(fēng)險

因?yàn)閄X的選購方式是通過市場化建設(shè)，供應(yīng)基礎(chǔ)設(shè)施平臺，平臺

建設(shè)完成后，將引入各下屬機(jī)構(gòu)的應(yīng)用系統(tǒng)。所以在云平臺投入運(yùn)用后，

運(yùn)維人員、審計(jì)監(jiān)控以與應(yīng)急響應(yīng)等都發(fā)生了職責(zé)、權(quán)限、流程的變更，

引入了新型的，在云環(huán)境下特有的新型風(fēng)險。

此外，還包括一些傳統(tǒng)的平安運(yùn)維風(fēng)險，例如：環(huán)境與資產(chǎn)，操作與

運(yùn)維，業(yè)務(wù)連續(xù)性，監(jiān)督和檢查，第三方平安服務(wù)等風(fēng)險。

2.4.1云環(huán)境下的特有運(yùn)維風(fēng)險

?運(yùn)維職權(quán)不明風(fēng)險

在云平臺投入運(yùn)用后，基礎(chǔ)設(shè)施由xx進(jìn)行運(yùn)維，而基于基礎(chǔ)設(shè)施的

各類應(yīng)用由各租戶的相關(guān)人員進(jìn)行運(yùn)維。但是當(dāng)發(fā)生事故的時候，無法在

第一時間確定事故的波與方；處理事故時，無法安排具體任務(wù)；事故追責(zé)

時，無法確定究竟由誰來負(fù)責(zé)。尤其是在云環(huán)境中，資源池內(nèi)假如發(fā)生了

平安事故，資源邊界更加模糊。因此確定運(yùn)維職責(zé)特別重要。

?運(yùn)維流程不明風(fēng)險

因?yàn)檫\(yùn)維參加者眾多，屬于不同的參加方，也導(dǎo)致在進(jìn)行運(yùn)維過程中,

很多流程要涉與到不同參加方的多個部門。因此確定一個統(tǒng)一的，合理的

平安運(yùn)維制度是保障運(yùn)維工作順當(dāng)進(jìn)行的必要條件。

?虛擬資源運(yùn)維審計(jì)監(jiān)控風(fēng)險

在平安技術(shù)上，傳統(tǒng)的運(yùn)維審計(jì)手段缺乏對虛擬機(jī)的運(yùn)維審計(jì)實(shí)力。

流量不行視也帶來了協(xié)議無法審計(jì)，虛擬機(jī)動態(tài)遷移帶來審計(jì)策略中斷等

問題。

?突發(fā)事務(wù)風(fēng)險

再完備的平安保障體系，也無法阻擋突然性事務(wù)的發(fā)生，這種風(fēng)險也

是信息系統(tǒng)固有的屬性，無法避開。尤其是在云環(huán)境下，應(yīng)急響應(yīng)變得更

為困難，涉與范圍廣，復(fù)原難度大。也因此需求在云平臺系統(tǒng)運(yùn)行中，有

牢靠的應(yīng)急響應(yīng)隊(duì)伍和機(jī)制，保障快速、妥當(dāng)?shù)膽?yīng)對各類突發(fā)性問題。

2.4.2環(huán)境與資產(chǎn)風(fēng)險

信息系統(tǒng)依托于機(jī)房與周邊環(huán)境，而業(yè)務(wù)系統(tǒng)則干脆依托于基礎(chǔ)設(shè)

施。在云平臺系統(tǒng)投入運(yùn)用后，面臨的最干脆的風(fēng)險就來自于環(huán)境和資產(chǎn)。

因?yàn)樵破脚_由XX的運(yùn)維團(tuán)隊(duì)進(jìn)行運(yùn)行維護(hù)，為了保證政務(wù)云系統(tǒng)的正常

運(yùn)行，所以要求數(shù)據(jù)中心運(yùn)維團(tuán)隊(duì)的運(yùn)維管理實(shí)力能夠具備較高的水平。

2.4.3操作與運(yùn)維風(fēng)險

人員是很難進(jìn)行限制的，而對業(yè)務(wù)和基礎(chǔ)設(shè)施進(jìn)行操作和運(yùn)維的人

員，無論是通過現(xiàn)場還是遠(yuǎn)程進(jìn)行操作，都可能因?yàn)檎`操作，為信息系統(tǒng)

帶來損失。如何規(guī)范人員的操作、運(yùn)維流程，如何削減誤操作的可能性，

如何提高操作者的職業(yè)素養(yǎng)，這些都是須要解決的問題。

2.4.4業(yè)務(wù)連續(xù)性風(fēng)險

信息系統(tǒng)的最終使命是運(yùn)行業(yè)務(wù)，但是業(yè)務(wù)的連續(xù)性是否能夠保證，

關(guān)乎信息系統(tǒng)的多個層面，包括物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用以與數(shù)據(jù)等。在

云平臺環(huán)境下，還包括虛擬化平臺，以與運(yùn)行在其上的虛擬主機(jī)、虛擬網(wǎng)

絡(luò)。其中任何一環(huán)假如出現(xiàn)問題，都有可能影響業(yè)務(wù)的連續(xù)性。所以如何

愛護(hù)業(yè)務(wù)的連續(xù)性也給運(yùn)維團(tuán)隊(duì)提出了難題。

2.4.5監(jiān)督和檢查風(fēng)險

才智云系統(tǒng)是多組織，多系統(tǒng)，多業(yè)務(wù)，多參加者的云計(jì)算平臺，為

了保障如此困難的系統(tǒng)，須要很多平安技術(shù)、管理和運(yùn)維的過程。這些過

程是否符合法律、符合標(biāo)準(zhǔn)，在發(fā)生事故時，如何督促管理者有效跟蹤事

故，并快速解除故障。這些都須要進(jìn)行監(jiān)督和檢查管理，否則簡單使參加

者擔(dān)當(dāng)法律風(fēng)險。

2.4.6第三方服務(wù)風(fēng)險

為保障云平臺的正常運(yùn)行和不斷完善，須要進(jìn)行很多運(yùn)行維護(hù)工作，

諸如：業(yè)務(wù)遷入，差距分析，平安加固，滲透測試等。但是這些工作都過

于專業(yè)化，仍須要專業(yè)的第三方平安機(jī)構(gòu)供應(yīng)相應(yīng)的服務(wù)，才可以有效的

進(jìn)行。

因此，如何選擇第三方服務(wù)機(jī)構(gòu)，如何監(jiān)督評價第三方的服務(wù)質(zhì)量，

就須要妥當(dāng)?shù)牡谌椒?wù)管理。

3解決方案總體設(shè)計(jì)

3.1設(shè)計(jì)原則

XX云平臺平安等級愛護(hù)的建設(shè)須要充分考慮長遠(yuǎn)發(fā)展需求，統(tǒng)一規(guī)

劃、統(tǒng)一布局、統(tǒng)一設(shè)計(jì)、規(guī)范標(biāo)準(zhǔn)，并依據(jù)實(shí)際須要與投資金額，突出

重點(diǎn)、分步實(shí)施，保證系統(tǒng)建設(shè)的完整性和投資的有效性。在方案設(shè)計(jì)和

項(xiàng)目建設(shè)中應(yīng)當(dāng)遵循以下的原則：

統(tǒng)一規(guī)劃、分步實(shí)施原則

在信息平安等級愛護(hù)的建設(shè)過程中，將首先從一個完整的網(wǎng)絡(luò)系統(tǒng)體

系結(jié)構(gòu)動身，全方位、多層次的綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個環(huán)節(jié),

運(yùn)用信息系統(tǒng)工程的觀點(diǎn)和方法論進(jìn)行統(tǒng)一的、整體性的設(shè)計(jì)，將有限的

資源集中解決最緊迫問題，為后繼的平安實(shí)施供應(yīng)基礎(chǔ)保障，通過逐步實(shí)

施，來達(dá)到信息網(wǎng)絡(luò)系統(tǒng)的平安強(qiáng)化。從解決主要的問題入手，伴隨信息

系統(tǒng)應(yīng)用的開展，逐步提高和完善信息系統(tǒng)的建設(shè)，充分利用現(xiàn)有資源進(jìn)

行合理整合的原則。

故后文中的平安解決方案將進(jìn)行著眼將來的平安設(shè)計(jì)，并強(qiáng)調(diào)分步走

的平安戰(zhàn)略思想，著重描述本期應(yīng)部署的平安措施，并以發(fā)展的眼光闡述

今后應(yīng)部署的平安措施。

標(biāo)準(zhǔn)性和規(guī)范化藏

信息平安等級愛護(hù)建設(shè)應(yīng)當(dāng)嚴(yán)格遵循國家和行業(yè)有關(guān)法律法規(guī)和技

術(shù)規(guī)范的要求，從業(yè)務(wù)、技術(shù)、運(yùn)行管理等方面對項(xiàng)目的整體建設(shè)和實(shí)施

進(jìn)行設(shè)計(jì)，充分體現(xiàn)標(biāo)準(zhǔn)化和規(guī)范化。

重點(diǎn)愛護(hù)原則

依據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同平安愛護(hù)等級的

信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的平安愛護(hù)，集中資源優(yōu)先愛護(hù)涉與核心業(yè)務(wù)或

關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。

適度平安原則

任何信息系統(tǒng)都不能做到肯定的平安，在平安規(guī)劃過程中，要在平安

需求、平安風(fēng)險和平安成本之間進(jìn)行平衡和折中，過多的平安要求必將造

成平安成本的快速增加和運(yùn)行的困難性。

適度平安也是等級愛護(hù)建設(shè)的初衷，因此在進(jìn)行等級愛護(hù)設(shè)計(jì)的過程

中，一方面要嚴(yán)格遵循基本要求，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層

面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要綜

合考慮業(yè)務(wù)和成本的因素，針對信息系統(tǒng)的實(shí)際風(fēng)險，提出對應(yīng)的愛護(hù)強(qiáng)

度，并依據(jù)愛護(hù)強(qiáng)度進(jìn)行平安防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效限制成本。

技術(shù)管理并重原則

信息平安問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感

染理解為信息平安問題的全部是片面的，僅僅通過部署平安產(chǎn)品很難完全

覆蓋全部的信息平安問題，因此必須要把技術(shù)措施和管理措施結(jié)合起來，

更有效的保障信息系統(tǒng)的整體平安性。

先進(jìn)形和成熟性原則

所建設(shè)的平安體系應(yīng)當(dāng)在設(shè)計(jì)理念、技術(shù)體系、產(chǎn)品選型等方面實(shí)現(xiàn)

先進(jìn)性和成熟性的統(tǒng)一。本方案設(shè)計(jì)采納國際先進(jìn)好用的平安技術(shù)和國產(chǎn)

優(yōu)秀平安產(chǎn)品，選擇目前和將來肯定時期內(nèi)有代表性和先進(jìn)性的成熟的平

安技術(shù)，既保證當(dāng)前系統(tǒng)的高平安牢靠，又滿意系統(tǒng)在很長生命周期內(nèi)有

持續(xù)的可維護(hù)和可擴(kuò)展性。

動查調(diào)整原則

信息平安問題不是靜態(tài)的。信息系統(tǒng)平安保障體系的設(shè)計(jì)和建設(shè)，必

需遵循動態(tài)性原則。必需適應(yīng)不斷發(fā)展的信息技術(shù)和不斷變更的脆弱性，

必需能夠與時地、不斷地改進(jìn)和完善系統(tǒng)的平安保障措施。

經(jīng)濟(jì)性原則

項(xiàng)目設(shè)計(jì)和建設(shè)過程中，將充分利用現(xiàn)有資源，在可用性的前提條件

下充分保證系統(tǒng)建設(shè)的經(jīng)濟(jì)性，提高投資效率，避開重復(fù)建設(shè)。

3.2平安保障體系構(gòu)成

XX信息平安等級愛護(hù)平安方案的設(shè)計(jì)思想是以等級愛護(hù)的“一個中

心、三重防護(hù)”為核心指導(dǎo)思想，構(gòu)建集防護(hù)、檢測、響應(yīng)、復(fù)原于一體

的全面的平安保障體系。具體體現(xiàn)為：以全面實(shí)行等級愛護(hù)制度為核心，

打造科學(xué)好用的信息平安防護(hù)實(shí)力、平安風(fēng)險監(jiān)測實(shí)力、應(yīng)急響應(yīng)實(shí)力和

災(zāi)難復(fù)原實(shí)力，從平安技術(shù)、平安管理、平安運(yùn)維三個角度構(gòu)建平安防護(hù)

體系，切實(shí)保障信息平安。

云環(huán)境下的信息平安保障體系模型如下圖所示:

安全管理運(yùn)維中心

?一個指導(dǎo)思想：等級愛護(hù)思想

等級愛護(hù)是系統(tǒng)設(shè)計(jì)的核心指導(dǎo)思想，整個方案的技術(shù)與管理設(shè)計(jì)都

是圍繞符合等級愛護(hù)的設(shè)計(jì)思想和要求綻開實(shí)現(xiàn)的。

?三個防衛(wèi)維度：技術(shù)、管理、運(yùn)維全方位的縱深防衛(wèi)

(1)平安技術(shù)維度：平安技術(shù)是基礎(chǔ)防衛(wèi)的具體實(shí)現(xiàn)

(2)平安管理維度：平安管理是總體的策略方針指導(dǎo)

(3)平安運(yùn)行維度：平安運(yùn)行體系是支撐和保障

3.2.1平安技術(shù)體系

參考GB/T25070-2024《信息平安技術(shù)信息系統(tǒng)等級愛護(hù)平安設(shè)

計(jì)技術(shù)要求》(以下簡稱《設(shè)計(jì)技術(shù)要求》)，平安技術(shù)體系設(shè)計(jì)內(nèi)容主要

涵蓋到“一個中心、三重防護(hù)”。即平安管理中心、計(jì)算環(huán)境平安、區(qū)

域邊界平安、通信網(wǎng)絡(luò)平安。

-身份鑒別_

一訪問控制一

邊界訪問控制

至體安全重甫一

辿界協(xié)議過濾

一邊界愚性一程序可信執(zhí)行保護(hù)

物界安全審小年統(tǒng)安全審手一

圖3-3平安技術(shù)體系構(gòu)成

(1)平安管理中心：構(gòu)建先進(jìn)高效的平安管理中心，實(shí)現(xiàn)針對系統(tǒng)、

產(chǎn)品、設(shè)備、信息平安事務(wù)、操作流程等的統(tǒng)一管理；

(2)計(jì)算環(huán)境平安：為XX云平臺打造一個可信、牢靠、平安的計(jì)

算環(huán)境。從系統(tǒng)應(yīng)用級的身份鑒別、訪問限制、平安審計(jì)、數(shù)據(jù)機(jī)密性與

完整性愛護(hù)、客體平安重用、系統(tǒng)可執(zhí)行程序愛護(hù)等方面，全面提升XX

在系統(tǒng)與應(yīng)用層面的平安；

(3)區(qū)域邊界平安：從加強(qiáng)網(wǎng)絡(luò)邊界的訪問限制粒度、網(wǎng)絡(luò)邊界行

為審計(jì)以與愛護(hù)網(wǎng)絡(luò)邊界完整等方面，提升網(wǎng)絡(luò)邊界的可控性和可審計(jì)

性；

(4)通信網(wǎng)絡(luò)平安：從愛護(hù)網(wǎng)絡(luò)間的數(shù)據(jù)傳輸平安、網(wǎng)絡(luò)行為的平

安審計(jì)等方面保障網(wǎng)絡(luò)通信平安。

XX平安技術(shù)體系建設(shè)的基本思路是：以愛護(hù)信息系統(tǒng)為核心，嚴(yán)格

參考等級愛護(hù)的思路和標(biāo)準(zhǔn)，從多個層面進(jìn)行建設(shè)，滿意XX云平臺在物

理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面的平安需求，建成后

的保障體系將充分符合國家標(biāo)準(zhǔn)，能夠?yàn)閄X業(yè)務(wù)的開展供應(yīng)有力保障。

平安技術(shù)體系建設(shè)的要點(diǎn)包括：

1、構(gòu)建分域的限制體系

XX信息平安保障體系，在總體架構(gòu)上將依據(jù)分域愛護(hù)思路進(jìn)行，本

方案參考IATF信息平安技術(shù)框架，將XX云平臺從結(jié)構(gòu)上劃分為不同的

平安區(qū)域，各個平安區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、應(yīng)用系統(tǒng)形成

單獨(dú)的計(jì)算環(huán)境、各個平安區(qū)域之間的訪問關(guān)系形成邊界、各個平安區(qū)域

之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)基礎(chǔ)設(shè)施；因此方案將從愛護(hù)計(jì)算

環(huán)境、愛護(hù)邊界、愛護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施三個層面進(jìn)行設(shè)計(jì)，并通過統(tǒng)一的基

礎(chǔ)支撐平臺（這里我們將采納平安信息管理平臺）來實(shí)現(xiàn)對基礎(chǔ)平安設(shè)施

的集中管理，構(gòu)建分域的限制體系。

接入域

2、構(gòu)建縱深的防衛(wèi)體系

XX信息平安保障體系包括技術(shù)和管理兩個部分，本方案針對XX云

平臺的通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、虛擬化環(huán)境，綜合采納身份認(rèn)證、

訪問限制、入侵檢測、惡意代碼防范、平安審計(jì)、防病毒、數(shù)據(jù)加密等多

種技術(shù)和措施，實(shí)現(xiàn)XX業(yè)務(wù)應(yīng)用的可用性、完整性和保密性愛護(hù)，并在

此基礎(chǔ)上實(shí)現(xiàn)綜合集中的平安管理，并充分考慮各種技術(shù)的組合和功能的

互補(bǔ)性，合理利用措施，從外到內(nèi)形成一個縱深的平安防衛(wèi)體系，保障信

息系統(tǒng)整體的平安愛護(hù)實(shí)力。

3、保證一樣的平安強(qiáng)度

XX云平臺應(yīng)采納分級的方法，實(shí)行強(qiáng)度一樣的平安措施，并實(shí)行統(tǒng)

一的防護(hù)策略，使各平安措施在作用和功能上相互補(bǔ)充，形成動態(tài)的防護(hù)

體系。

因此在建設(shè)手段上，本方案實(shí)行“大平臺”的方式進(jìn)行建設(shè)，在平臺

上實(shí)現(xiàn)各個級別信息系統(tǒng)的基本愛護(hù)，比如統(tǒng)一的防病毒系統(tǒng)、統(tǒng)一的審

計(jì)系統(tǒng)，然后在基本愛護(hù)的基礎(chǔ)上，再依據(jù)各個信息系統(tǒng)的重要程度，實(shí)

行高強(qiáng)度的愛護(hù)措施。

4、實(shí)現(xiàn)集中的平安管理

信息平安管理的目標(biāo)就是通過實(shí)行適當(dāng)?shù)南拗拼胧﹣肀Ｕ闲畔⒌谋?/p>

密性、完整性、可用性，從而確保信息系統(tǒng)內(nèi)不發(fā)生平安事務(wù)、少發(fā)生平

安事務(wù)、即使發(fā)生平安事務(wù)也能有效限制事務(wù)造成的影響。通過建設(shè)集中

的平安管理平臺，實(shí)現(xiàn)對信息資產(chǎn)、平安事務(wù)、平安風(fēng)險、訪問行為等的

統(tǒng)一分析與監(jiān)管，通過關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能夠快速發(fā)覺問題,

定位問題，有效應(yīng)對平安事務(wù)的發(fā)生。

3.2.2平安管理體系

僅有平安技術(shù)防護(hù)，無嚴(yán)格的平安管理相協(xié)作，是難以保障整個系統(tǒng)

的穩(wěn)定平安運(yùn)行。應(yīng)當(dāng)在平安建設(shè)、運(yùn)行、維護(hù)、管理都要重視平安管理,

嚴(yán)格按制度進(jìn)行辦事，明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理

以與人員的培訓(xùn)，提高平安管理水平，同時加強(qiáng)對緊急事務(wù)的應(yīng)對實(shí)力，

通過預(yù)防措施和復(fù)原限制相結(jié)合的方式，使由意外事故所引起的破壞減小

至可接受程度。

3.2.3平安運(yùn)維體系

由于平安技術(shù)和管理的困難性、專業(yè)性和動態(tài)性，XX云平臺系統(tǒng)平

安的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)均須要有較為專業(yè)的平安服務(wù)團(tuán)隊(duì)支持。

平安運(yùn)維服務(wù)包括系統(tǒng)日常維護(hù)、平安加固、應(yīng)急響應(yīng)、業(yè)務(wù)持續(xù)性管理、

平安審計(jì)、平安培訓(xùn)等工作。

3.3平安技術(shù)方案具體設(shè)計(jì)

天融信在本項(xiàng)目的整改方案設(shè)計(jì)中，針對XX的三級等級愛護(hù)整改建

設(shè)，依據(jù)一個中心三重防護(hù)的思路綻開具體設(shè)計(jì)。具體設(shè)計(jì)面對以下的幾

個方面：

3.3.1信息平安拓?fù)湓O(shè)計(jì)

數(shù)

據(jù)IP-SAN存使

存

儲

區(qū)

7、

FGSAN存硅[30rPuflBd%SVWlCh)

HHH]

互聯(lián)網(wǎng)接入?yún)^(qū)平安設(shè)計(jì)

互

聯(lián)

網(wǎng)

接

入

區(qū)

DMZ區(qū)

核心交換區(qū)

'、_________________________'

互聯(lián)網(wǎng)接入?yún)^(qū)作為云平臺發(fā)布門戶網(wǎng)站，用戶接入，以與將來與各下

屬單位數(shù)據(jù)中心通過虛擬專網(wǎng)連接的重要接入?yún)^(qū)域，是XX的對外唯一通

路。擔(dān)負(fù)著重要的邊界防護(hù)使命。

＞本期方案支配部署如下平安產(chǎn)品：

?抗DDOS系統(tǒng):部署兩臺千兆級別的抗DDoS系統(tǒng)，以A/S模式,

透亮方式部署；對入站方向的DDoS攻擊流量進(jìn)行清洗，愛護(hù)內(nèi)

網(wǎng)干脆對外服務(wù)的網(wǎng)站。

?防病毒過濾網(wǎng)關(guān)：部署兩臺千兆級別的防病毒過濾網(wǎng)關(guān)，以A/S

模式，透亮方式部署；對入站方向的HTTP、SMTP、POP3、IMAP

等流量進(jìn)行防病毒過濾清洗，主要愛護(hù)內(nèi)網(wǎng)中干脆對外供應(yīng)服務(wù)

的網(wǎng)站，郵件系統(tǒng)，以與各辦公終端。

?入侵防衛(wèi)系統(tǒng)：部署兩臺千兆級別的入侵防衛(wèi)系統(tǒng)，以A/S模式,

透亮方式部署；對入站方向的數(shù)據(jù)包進(jìn)行包還原，檢測攻擊行為，

攻擊特征，若發(fā)覺攻擊行為則進(jìn)行阻斷。

?接入防火墻：利用現(xiàn)有CiscoASA5555防火墻，以A/S模式，

路由方式部署；負(fù)責(zé)入站方向IP包的訪問限制，對DMZ區(qū)的

WEB網(wǎng)站進(jìn)行端口訪問限制；另外開啟VPN功能，對接下屬機(jī)

構(gòu)數(shù)據(jù)中心，進(jìn)行虛擬專網(wǎng)連接，同時第三方運(yùn)維人員可借由VPN

遠(yuǎn)程登入。此處接入防火墻作為縱深防衛(wèi)體系的第一道屏障，與

內(nèi)網(wǎng)各重要邊界防火墻異構(gòu)。

DMZ區(qū)平安設(shè)計(jì)

DMZ區(qū)

WEB

實(shí)體E務(wù)器

WEB

發(fā)碰務(wù)器

網(wǎng)頁防篡改《、

系統(tǒng)

WEB應(yīng)用防火墻

A/S

互聯(lián)網(wǎng)接入?yún)^(qū)

DMZ區(qū)承載XX的對外服務(wù)網(wǎng)站，擔(dān)負(fù)著XX門戶的重要使命。本

區(qū)域中的平安設(shè)計(jì)主要針對WEB網(wǎng)站防護(hù)，網(wǎng)頁防篡改等。

＞本期方案支配部署如下平安產(chǎn)品：

?WEB應(yīng)用防火墻:部署兩臺千兆級別的WEB應(yīng)用防火墻，以A/S

模式，反向代理方式部署；對WEB訪問流量進(jìn)行針對性防護(hù)。

?網(wǎng)頁防篡改系統(tǒng)：部署一套網(wǎng)頁防篡改軟件系統(tǒng)（需安裝在一臺服

務(wù)器中），通過文件驅(qū)動級監(jiān)控+觸發(fā)器的方式，監(jiān)控全部對WEB

實(shí)體服務(wù)器中網(wǎng)頁內(nèi)容的修改行為，只有來自WEB發(fā)布服務(wù)器的

修改行為會被放行，其他一切修改行為將被阻斷。

核心交換區(qū)平安設(shè)計(jì)

核

心

交

換

區(qū)

核心交換區(qū)主要由兩臺高性能核心交換機(jī)組成，作為整個內(nèi)網(wǎng)的核

心，負(fù)責(zé)全部內(nèi)網(wǎng)區(qū)域間流量的交換轉(zhuǎn)發(fā)。在此區(qū)域主要部署審計(jì)類平安

產(chǎn)品，對網(wǎng)絡(luò)中的流量進(jìn)行行為審計(jì)和入侵檢測。

＞本期方案支配部署如下平安產(chǎn)品：

?網(wǎng)絡(luò)審計(jì)系統(tǒng)：部署一臺萬兆級別的網(wǎng)絡(luò)審計(jì)系統(tǒng)，以旁路方式，

對接兩臺核心交換機(jī)的鏡像端口；核心交換機(jī)需將其他平安域的

流量鏡像至網(wǎng)絡(luò)審計(jì)系統(tǒng)，供網(wǎng)絡(luò)審計(jì)系統(tǒng)審計(jì)記錄；審計(jì)記錄

可通過報表展示給用戶，并可發(fā)送至平安管理平臺，進(jìn)行綜合的

平安態(tài)勢分析和展示。

?入侵檢測系統(tǒng)：部署一臺萬兆級別的入侵檢測系統(tǒng)，以旁路方式，

對接兩臺核心交換機(jī)的鏡像端口；核心交換機(jī)需將其它平安域的

流量鏡像至入侵檢測系統(tǒng)，供入侵檢測系統(tǒng)進(jìn)行入侵行為檢測；

審計(jì)記錄可通過報表展示給用戶，并可發(fā)送至平安管理平臺，進(jìn)

行綜合的平安態(tài)勢分析和展示。

測試開發(fā)區(qū)平安設(shè)計(jì)

，

測

V7000/

試

V7000U

開培訓(xùn)服務(wù)器

發(fā)

區(qū)

U

測0酈務(wù)器開頻務(wù)器

測試開發(fā)區(qū)是對自研應(yīng)用系統(tǒng)和新上線設(shè)備進(jìn)行測試的區(qū)域，其中還

包含重要的開發(fā)文檔，對該區(qū)域的平安設(shè)計(jì)主要體現(xiàn)在邊界訪問限制（需

篩選可建立連接的條件）。

＞本期方案支配部署如下平安產(chǎn)品：

?測試開發(fā)區(qū)邊界防火墻：部署兩臺千兆級別的防火墻系統(tǒng)，以A/S

模式，透亮方式部署；篩選可以建立的連接（規(guī)定內(nèi)網(wǎng)中哪些IP

地址可以訪問本區(qū)域，規(guī)定區(qū)域內(nèi)的應(yīng)用系統(tǒng)端口開放策略），通

過策略完成訪問限制。

平安管理運(yùn)維區(qū)平安設(shè)計(jì)

安

全

管

理

運(yùn)

維

區(qū)

平安管理運(yùn)維區(qū)是整個XX內(nèi)網(wǎng)負(fù)責(zé)平安管理、平安運(yùn)維和與之相關(guān)

的用戶管理、云平臺管理、備份管理等各個組件的集合區(qū)域。是維系云平

臺正常運(yùn)轉(zhuǎn)，制定各類平安策略的核心區(qū)域。

＞本期方案支配部署如下平安產(chǎn)品：

?平安管理運(yùn)維區(qū)邊界防火墻：部署兩臺千兆級別的防火墻系統(tǒng)，以

A/S模式，透亮方式部署；篩選可以建立的連接（規(guī)定內(nèi)網(wǎng)中哪

些IP地址可以訪問本區(qū)域，規(guī)定區(qū)域內(nèi)的應(yīng)用系統(tǒng)端口開放策

略），通過策略完成訪問限制。

?日志審計(jì)系統(tǒng)：需新購置一臺服務(wù)器級存儲，安裝日志審計(jì)軟件，

收集數(shù)據(jù)中心內(nèi)其他各類IT組件的日志，并集中存儲；另應(yīng)供應(yīng)

備份存儲空間，通過備份服務(wù)器將日志進(jìn)行備份。

?平安管理平臺：需供應(yīng)一臺服務(wù)器,安裝平安管理平臺軟件系統(tǒng)（內(nèi)

置數(shù)據(jù)庫），收集全部審計(jì)類平安設(shè)備的事務(wù)信息，并結(jié)合日志審

計(jì)系統(tǒng)的日志信息，作統(tǒng)一事務(wù)關(guān)聯(lián)分析，以與對內(nèi)網(wǎng)各類資產(chǎn)

進(jìn)行風(fēng)險評估。最終以圖形化界面，展示全網(wǎng)平安態(tài)勢。

?堡壘機(jī)：部署一臺可管理300臺設(shè)備/系統(tǒng)的堡壘主機(jī)，將全部IT

組件的管理運(yùn)維端口，通過策略路由的方式，交由堡壘主機(jī)代理。

實(shí)現(xiàn)運(yùn)維單點(diǎn)登錄，統(tǒng)一管理運(yùn)維賬號，管理運(yùn)維授權(quán)，并對運(yùn)

維操作進(jìn)行審計(jì)記錄（錄屏和鍵盤操作記錄）。

?防病毒系統(tǒng)：需供應(yīng)兩臺服務(wù)器，分別安裝虛擬機(jī)防病毒系統(tǒng)，和

其他物理主機(jī)的防病毒系統(tǒng)；對全網(wǎng)主機(jī)（虛擬主機(jī)和非虛擬主

機(jī)）進(jìn)行統(tǒng)一的防病毒任務(wù)部署，防病毒進(jìn)程管理，防病毒軟件

升級管理，以與中毒主機(jī)隔離等工作。

?終端平安管理系統(tǒng)：需供應(yīng)一臺服務(wù)器，安裝終端平安管理系統(tǒng)，

對辦公終端進(jìn)行平安監(jiān)控和管理，實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入，應(yīng)用發(fā)布，補(bǔ)

丁管理，移動介質(zhì)管理，敏感文檔防泄漏審計(jì)等功能。

?漏洞掃描系統(tǒng)：部署一臺可單次任務(wù)掃描一個B類網(wǎng)段的漏洞掃

描系統(tǒng)，對全網(wǎng)IT組件（主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、平安設(shè)備、

數(shù)據(jù)庫、中間件、應(yīng)用服務(wù)等）進(jìn)行脆弱性發(fā)掘，并生成檢查報

告。結(jié)果可通過報表展示給用戶，并可發(fā)送至平安管理平臺，從

而進(jìn)行綜合平安態(tài)勢分析和展示。

?vShield組件：應(yīng)在vCenter服務(wù)器中安裝vShiled平安組件，從

而實(shí)現(xiàn)虛擬機(jī)防火墻的功能，可進(jìn)行VM級別的訪問限制和流量

限制，其策略可隨VM動態(tài)遷移。

?vSphereUpdateManager服務(wù)器：應(yīng)單獨(dú)供應(yīng)一臺服務(wù)器（非

虛擬機(jī)），安裝vSphereUpdateManager組件，對vShpere環(huán)

境進(jìn)行補(bǔ)丁管理。

?AD域控與LDAP服務(wù)器：應(yīng)部署AD域控服務(wù)器，與LDAP服務(wù)

器。除了進(jìn)行全網(wǎng)設(shè)備和個人的域登錄管理外，還可結(jié)合眾多的

平安管理設(shè)備（如終端平安管理系統(tǒng)，將來的CA數(shù)字證書中心），

為認(rèn)證設(shè)備供應(yīng)統(tǒng)一的用戶管理。

＞將來建議部署的平安產(chǎn)品包括：

?CA數(shù)字證書認(rèn)證中心：在將來多應(yīng)用遷入后，對應(yīng)用參加者（包

括個人終端、其他相關(guān)聯(lián)主機(jī)）應(yīng)進(jìn)行強(qiáng)訪問限制、身份鑒別以

與抗抵賴等愛護(hù)措施，尤其是符合等級愛護(hù)的雙因素認(rèn)證須要基

于PKI/CA的認(rèn)證基礎(chǔ)設(shè)施。須要留意：必需部署CA中心，并

完成應(yīng)用認(rèn)證流程的梳理，使全部應(yīng)用參加者均通過雙因素認(rèn)證

后才能進(jìn)入應(yīng)用環(huán)境后，才可滿意等級愛護(hù)要求，在通過測評前,

肯定要將PKI/CA基礎(chǔ)設(shè)施建立起來。

?文檔平安管理系統(tǒng)：在應(yīng)用數(shù)據(jù)遷入云平臺后，會有專用的NAS

類存儲，為業(yè)務(wù)環(huán)境供應(yīng)非結(jié)構(gòu)化數(shù)據(jù)（主要為文檔、文件）的

存儲和共享。須要運(yùn)用文檔平安管理系統(tǒng)對敏感文檔下載后進(jìn)行

加密，并規(guī)定合法與非法文件傳輸出口，合法出口文檔為明文，

非法出口文檔為密文。

33.1.6辦公終端區(qū)平安設(shè)計(jì)

辦公終端區(qū)是全部辦公終端的集合區(qū)域，是各類業(yè)務(wù)生產(chǎn)的起點(diǎn)。因

其涉與眾多終端運(yùn)用者的不同平安素養(yǎng)，也因終端級操作系統(tǒng)的較多脆弱

性，使個人終端成為了眾多平安事務(wù)的起點(diǎn)。因此須要進(jìn)行較為周全的平

安防護(hù)。

＞本期方案支配部署如下平安產(chǎn)品：

?辦公終端區(qū)邊界防火墻：部署一臺萬兆級別的防火墻系統(tǒng)作為本區(qū)

域的邊界防火墻；篩選可以建立的連接（規(guī)定內(nèi)網(wǎng)中哪些IP地址

可以訪問本區(qū)域，規(guī)定區(qū)域內(nèi)的應(yīng)用系統(tǒng)端口開放策略），通過策

略完成訪問限制；另外須要加裝IPS、防病毒、應(yīng)用識別與管控功

能組件，使其可應(yīng)對困難的個人終端流量。

?辦公終端需安裝的平安組件：應(yīng)統(tǒng)一安裝防病毒客戶端，終端平安

系統(tǒng)客戶端（批量下載安裝），使終端可接收相應(yīng)平安防護(hù)系統(tǒng)的

管理。

云平臺應(yīng)用區(qū)平安設(shè)計(jì)

云平臺應(yīng)用區(qū)承載著數(shù)據(jù)中心的核心業(yè)務(wù)，也是本次建設(shè)方案的核心

保障區(qū)域。云平臺應(yīng)用區(qū)主要通過虛擬化技術(shù)實(shí)現(xiàn)應(yīng)用的承載，運(yùn)用

VMwarevSphere平臺進(jìn)行虛擬化環(huán)境的建立和管理。內(nèi)置公共教化云、

XX云與科研云，按其供應(yīng)業(yè)務(wù)的不同進(jìn)行區(qū)分。

建議每個云組成一個Cluster,各自包含多臺ESXi主機(jī)，這些ESXi

主機(jī)上的虛擬機(jī)共享Cluster內(nèi)部的計(jì)算資源。VM可在Cluster內(nèi)部的

多臺ESXi主機(jī)上進(jìn)行遷移，通過DRS進(jìn)行計(jì)算資源負(fù)載均衡，通過

vSphereHA進(jìn)行高可用性管理。

Cluster之間如需進(jìn)行通信，則應(yīng)將同心流量牽引至云平臺的邊界防

火墻，進(jìn)而通過數(shù)據(jù)平安交換區(qū)進(jìn)行通信信息平安過濾，并完成交換（后

文將詳述）。

本區(qū)域內(nèi)的平安設(shè)計(jì)，主要包括邊界平安，平安審計(jì)，虛擬化平安，

數(shù)據(jù)備份等四個部分。

＞本期方案支配部署如下平安產(chǎn)品：

?云平臺應(yīng)用區(qū)邊界防火墻：部署兩臺萬兆級別的防火墻系統(tǒng)作為本

區(qū)域的邊界防火墻；篩選可以建立的連接（規(guī)定內(nèi)網(wǎng)中哪些IP地

址可以訪問本區(qū)域，規(guī)定區(qū)域內(nèi)的應(yīng)用系統(tǒng)端口開放策略），通過

策略完成訪問限制；另外須要加裝IPS、防病毒、應(yīng)用識別與管控

功能組件，使其可應(yīng)對困難的應(yīng)用流量。

?平安審計(jì)類產(chǎn)品：部署在核心交換區(qū)的網(wǎng)絡(luò)審計(jì)系統(tǒng)和入侵檢測系

統(tǒng)，將同時分別供應(yīng)兩個千兆審計(jì)接口，連接本區(qū)域的匯聚交換

機(jī)鏡像端口，著重審計(jì)云平臺邊界處的流量信息。當(dāng)多租戶系統(tǒng)

遷入后，將把租戶間流量牽引至本區(qū)域匯聚交換機(jī)，進(jìn)而鏡像至

審計(jì)設(shè)備進(jìn)行審計(jì)記錄。

?虛擬化平安：vSphere虛擬化平臺，與其相關(guān)網(wǎng)絡(luò)、VM組件的平

安主要靠vSphere供應(yīng)的平安組件完成。包括vShield（供應(yīng)VM

防火墻、防病毒功能），DRS（計(jì)算資源負(fù)載均衡），vMotion（虛

擬機(jī)動態(tài)遷移），vShpereHA（VM高可用性管理），Snapshot

（VM快照備份管理）。

?備份服務(wù)器：接收平安管理運(yùn)維區(qū)的備份管理服務(wù)器管理，并依據(jù)

其策略執(zhí)行具體的備份操作。

數(shù)據(jù)平安交換區(qū)平安設(shè)計(jì)（加強(qiáng)型建議規(guī)劃）

數(shù)據(jù)平安交換區(qū)主要負(fù)責(zé)多個云之間的數(shù)據(jù)平安隔離和數(shù)據(jù)交換，以

與下屬機(jī)構(gòu)遠(yuǎn)程信息交互的工作。因云平臺應(yīng)用區(qū)中的公共教化云、XX

云以與科研云中，只應(yīng)允許有限的信息交互（一般為數(shù)據(jù)庫同步，部分電

子XX信息同步）。尤其對于科研云，其中的應(yīng)用數(shù)據(jù)對于XX至關(guān)重要,

不容輕易泄露或篡改；其中的數(shù)據(jù)應(yīng)以數(shù)據(jù)庫同步，電子XX同步等方式

定期更新至XX云和公共教化云中；而且執(zhí)行更新操作的起點(diǎn)應(yīng)通過專有

的應(yīng)用進(jìn)行，在本方案中，采納云平臺應(yīng)用區(qū)的數(shù)據(jù)同步管理服務(wù)器進(jìn)行。

因此，設(shè)立專有的數(shù)據(jù)平安交換區(qū)。此區(qū)域僅作為平安加強(qiáng)型的建議

規(guī)劃，可以考慮在應(yīng)用與數(shù)據(jù)遷入后著手進(jìn)行。

?平安隔離與信息交換系統(tǒng)：該系統(tǒng)由三部分構(gòu)成：前置服務(wù)器、雙向

網(wǎng)閘、后置服務(wù)器。

前置服務(wù)器：數(shù)據(jù)導(dǎo)入前，對數(shù)據(jù)的傳輸源進(jìn)行身份鑒別，確認(rèn)傳

輸源發(fā)出的懇求可信（可通過同步服務(wù)器IP/MAC進(jìn)行確認(rèn)）；認(rèn)

證勝利后，對數(shù)據(jù)進(jìn)行格式檢查，內(nèi)容平安過濾（IPS、防病毒等），

為數(shù)據(jù)通過雙向網(wǎng)閘做好準(zhǔn)備。

雙向網(wǎng)閘：網(wǎng)閘也是由三部分組成，一般為“2+1”結(jié)構(gòu)。如下圖:

外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)

雙向網(wǎng)閘的網(wǎng)絡(luò)兩端在多數(shù)據(jù)傳輸時保持網(wǎng)絡(luò)斷路，隔絕了一切網(wǎng)

絡(luò)傳輸協(xié)議。當(dāng)數(shù)據(jù)須要傳輸時，則采納擺渡的方式，將數(shù)據(jù)通過

內(nèi)部私有傳輸協(xié)議逐步導(dǎo)入到對端，在過程中，網(wǎng)絡(luò)仍舊保持?jǐn)嗦贰?/p>

極高的愛護(hù)了內(nèi)部重要網(wǎng)絡(luò)的機(jī)密性。

后置服務(wù)器：接收網(wǎng)閘傳輸過來的數(shù)據(jù)，并進(jìn)行完整性校驗(yàn)；若完

整性受損，則回傳重傳信號；數(shù)據(jù)校驗(yàn)合格后，進(jìn)行日志記錄，并

發(fā)送至內(nèi)網(wǎng)。

數(shù)據(jù)存儲區(qū)平安設(shè)計(jì)

數(shù)

據(jù)

存

儲

區(qū)

/

_

_

_

_

_

_數(shù)據(jù)庫服務(wù)器

_

_

_

_

_

_

_

_

_

云平臺應(yīng)用區(qū)

本區(qū)域承載全部應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)，是IT業(yè)務(wù)使命的根基所在。

用戶已經(jīng)選購了IBM企業(yè)級存儲與磁帶庫，具備極高的數(shù)據(jù)完整性，可

用性愛護(hù)。在此進(jìn)行的平安設(shè)計(jì)主要針對數(shù)據(jù)機(jī)密性愛護(hù)。

＞本期方案支配部署如下平安產(chǎn)品：

?數(shù)據(jù)庫防火墻：部署在Oracle數(shù)據(jù)庫之前，串聯(lián)愛護(hù)4臺數(shù)據(jù)庫

服務(wù)器的多個數(shù)據(jù)庫實(shí)例。供應(yīng)數(shù)據(jù)庫虛擬補(bǔ)丁庫，針對應(yīng)用側(cè)

和運(yùn)維側(cè)的不同數(shù)據(jù)庫訪問模式，進(jìn)行具體的SQL語句限制策略;

同時針對SQL注入攻擊，進(jìn)行SQL語句建模式威逼判別，并進(jìn)

行具體的防護(hù)；針對高危SQL語句，如：NoWhere的批量更新、

批量刪除語句，可進(jìn)行策略性阻斷。

?數(shù)據(jù)庫加密系統(tǒng):需供應(yīng)兩臺服務(wù)器，安裝數(shù)據(jù)庫加密與加固系統(tǒng),

形成主備模式。需在對應(yīng)愛護(hù)的4臺Oracle服務(wù)器中安裝加解密

管理控件（部署配置后自動安裝），然后配置加密策略，對重要數(shù)

據(jù)庫表中的機(jī)密數(shù)據(jù)列進(jìn)行加密，支持一列一密。應(yīng)重點(diǎn)愛護(hù)存

放個人信息的數(shù)據(jù)庫表（如身份證號等），實(shí)現(xiàn)重點(diǎn)數(shù)據(jù)列的加密

愛護(hù)。即使出現(xiàn)拖庫，盜庫等行為，也無法獲得明文數(shù)據(jù)，明文

數(shù)據(jù)的獲得僅限授權(quán)應(yīng)用運(yùn)用。

3.3.