DL∕T 2612-2023 電力云基礎(chǔ)設(shè)施安全技術(shù)要求

電力云基礎(chǔ)設(shè)施安全技術(shù)要求2023-05-26發(fā)布2023-11-26實施國家能源局發(fā)布DL/DL/T2612—2023口版售后電話 Ⅱ 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 25電力云基礎(chǔ)設(shè)施安全構(gòu)成 25.1基本要求 25.2基本構(gòu)成 36安全通信網(wǎng)絡(luò)要求 46.1網(wǎng)絡(luò)構(gòu)架要求 46.2通信傳輸要求 46.3設(shè)備安全要求 56.4負載均衡 56.5網(wǎng)絡(luò)防護 57安全區(qū)域邊界要求 57.1邊界防護 57.2訪問控制 57.3入侵防范 57.4安全審計 67.5無線網(wǎng)絡(luò)安全 68安全計算環(huán)境要求 68.1物理資源安全 68.2資源虛擬化安全 78.3云服務(wù)管理安全 99安全管理中心要求 9.1系統(tǒng)管理 9.2審計管理 9.3安全管理 9.4集中管控 10安全物理環(huán)境要求 附錄A(規(guī)范性)共性安全功能要求 附錄B(資料性)云基礎(chǔ)設(shè)施構(gòu)成要求 附錄C(資料性)電力云平臺類型及安全構(gòu)成 IDL/T2612—2023本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定劉為、田小蕾、吳赫、尹琴、李寧、羅富財、趙博、程杰、呂旭明、金成明、張文杰、王飛、曹智、胥冠軍、張揚、崔潔、韓云鵬、林婷婷、薛兵兵、李威、楊壯觀、李東洋、王慧穎、李云鵬、李沖、孫俊偉、劉穎、于亮亮、孫寶華、陳碩、夏菲、譚彥鵬、韋明、趙景1電力云基礎(chǔ)設(shè)施安全技術(shù)要求1范圍2規(guī)范性引用文件僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本信息技術(shù)軟件工程術(shù)語GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T31167--2014信息安全技術(shù)云計算服務(wù)安全指南GB/T32400--2015信息技術(shù)云計算概覽與詞匯GB/T51399-2019YD/T3892—2021虛擬私有云與本地計算環(huán)境互聯(lián)服務(wù)能力要求3術(shù)語和定義GB/T32400—2015界定的以及下列術(shù)語和定義適用于本文件。云計算cloudcomputing一種通過網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池云服務(wù)客戶cloudservicecustomer簡稱云平臺，云服務(wù)商(3.2)提供的云計算基礎(chǔ)設(shè)施及其之上的服務(wù)軟件的集合。電力行業(yè)廣泛應(yīng)用的云平臺包括：生產(chǎn)大區(qū)云、管理信息內(nèi)網(wǎng)云、互聯(lián)網(wǎng)[來源：GB/T22239—2019,定義3.6,有修改]2[來源：GB/T31167—2014,定義3.6,有修改][來源：GB/T31167—2014,定義3.6,有修改][來源：GB/T11457—2006,定義2.261,或ISO20000—2018,3.2.18,有修改][來源：YD/T3892—2021,定義3.1.2]4縮略語DDoS分布式拒絕服務(wù)(DistributedDenialofService)IP網(wǎng)際互連協(xié)議(InternetProtocol)IT信息技術(shù)(InformationTechnology)MAC媒體存取控制位址(MediaAccessControlAddress)OS操作系統(tǒng)(operatingsystem)SLA服務(wù)級別協(xié)議(ServiceLevelAgreement)SLC服務(wù)生命周期(ServiceLifeCycle)VLAN虛擬局域網(wǎng)(VirtualLocalAreaNetwork)VPC虛擬私有云(VirtualPrivateCloud)VPN虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)VxLAN虛擬擴展局域網(wǎng)(VirtualeXtensibleLocalAreaNetwork)WAFWeb應(yīng)用防火墻(WebApplicationFirewall)3DL/T2612—2023b)云基礎(chǔ)設(shè)施安全應(yīng)涵蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管c)基于云平臺構(gòu)成(參見附錄B),云基礎(chǔ)設(shè)施安全應(yīng)包括物理資源安全、資源虛擬化安全和云服e)使用的密碼技術(shù)、服務(wù)和產(chǎn)品，應(yīng)符合國家和電力行業(yè)相關(guān)規(guī)定。云基礎(chǔ)設(shè)施安全構(gòu)成見圖1。a)安全物理環(huán)境：云數(shù)據(jù)中心機房設(shè)施、物理設(shè)備設(shè)施、物理環(huán)境等措施。b)安全通信網(wǎng)絡(luò)：云數(shù)據(jù)中心通信傳輸、網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備安全、負載均衡、網(wǎng)絡(luò)防護、無線局域網(wǎng)安全等c)安全區(qū)域邊界：云數(shù)據(jù)中心邊界防護、訪問控制、入侵檢測、安全審計等措施。d)安全計算環(huán)境：物理資源安全、資源虛擬化安全、云服務(wù)管理安全三部分，對每部分根據(jù)其功能狀況提出身份鑒別、訪問控制、安全審計、入侵檢測等要求。e)安全管理中心：安全計算環(huán)境安全區(qū)域邊界安全管理中心a)云基礎(chǔ)設(shè)施運行產(chǎn)生的數(shù)據(jù)(簡稱云基礎(chǔ)設(shè)施數(shù)據(jù)):DL/T2612—2023所有物理資源的功能(含安全功能)配置數(shù)據(jù)、運行數(shù)據(jù)；b)云服務(wù)運行產(chǎn)生的數(shù)據(jù)(簡稱云服務(wù)數(shù)據(jù)):服務(wù)目錄與客戶賬戶數(shù)據(jù)、服務(wù)生命周期過程與狀態(tài)、服務(wù)運行數(shù)據(jù)、服務(wù)計量和計費數(shù)c)云客戶業(yè)務(wù)系統(tǒng)運行產(chǎn)生的數(shù)據(jù)(簡稱云客戶數(shù)據(jù)):客戶業(yè)務(wù)系統(tǒng)功能(含安全功能)配置數(shù)據(jù)、業(yè)務(wù)系統(tǒng)運行環(huán)境數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等。d)支持VxLAN技術(shù)。b)對云基礎(chǔ)設(shè)施數(shù)據(jù)、云服務(wù)數(shù)據(jù)，應(yīng)采用符合網(wǎng)絡(luò)安全等級要求或國家/行業(yè)密碼規(guī)定加密技c)對確有保護保護需求的云服務(wù)客戶數(shù)據(jù)，應(yīng)基于SLA采用符合云服務(wù)客戶要求的完整性檢測d)對確有保護保護需求的云服務(wù)客戶數(shù)據(jù)，應(yīng)基于SLA采用符合云服務(wù)客戶要求的網(wǎng)絡(luò)鏈路層5DL/T2612—2023b)部署web防護設(shè)備WAF;a)支持網(wǎng)絡(luò)邊界處檢測，防止或限制從外部發(fā)起的攻擊行為，以及從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊6安全審計應(yīng)符合本文件附錄A.3中的規(guī)定。7.5無線網(wǎng)絡(luò)安全a)應(yīng)在指定的網(wǎng)絡(luò)邊界處部署無線接入設(shè)備；c)限制接入終端訪問內(nèi)部網(wǎng)絡(luò)、內(nèi)部設(shè)備；d)支持電力行業(yè)規(guī)定的無線網(wǎng)絡(luò)協(xié)議。8安全計算環(huán)境要求身份鑒別應(yīng)符合本文件附錄A.1中的規(guī)定。訪問控制應(yīng)符合本文件附錄A.2中的規(guī)定。安全審計應(yīng)符合本文件附錄A.3中的規(guī)定。a)具備將內(nèi)存、存儲空間等回收或再分配時的完全清除能力；b)具備根據(jù)云服務(wù)客戶需求，對其重要數(shù)據(jù)的存儲空間回收或再分配時的完全清除能力。a)部署惡意代碼防范工具，及時升級特征庫；b)及時阻斷惡意代碼攻擊行為。a)安裝所需的組件和應(yīng)用程序，并部署安全加固組件；b)定期開展漏洞掃描，及時修補漏洞；c)部署入侵防范措施，及時升級規(guī)則庫；d)及時阻斷入侵行為。7DL/T2612—2023身份鑒別應(yīng)符合本文件附錄A.1中的規(guī)定。a)訪問控制遵循附錄A.2中的規(guī)定；b)支持對物理存儲設(shè)備的統(tǒng)一賬號與權(quán)限管理，如支持跨物理集群的賬號與權(quán)限管理；c)支持分布式存儲的數(shù)據(jù)副本分別存儲于不同的物理存儲設(shè)備；d)存儲管理員未授權(quán)不應(yīng)操作云服務(wù)客戶數(shù)據(jù)。a)云服務(wù)客戶數(shù)據(jù)對物理存儲的存儲需求、安全需求，由云服務(wù)客戶通過服務(wù)SLA決定；b)對云基礎(chǔ)設(shè)施數(shù)據(jù)、云服務(wù)數(shù)據(jù)，采用符合相應(yīng)安全等級要求的校驗技術(shù)，確保數(shù)據(jù)完整性，c)云服務(wù)客戶確有數(shù)據(jù)保護需求，應(yīng)通過服務(wù)SLA要求，采用符合云服務(wù)客戶要求的校檢技術(shù)，確保數(shù)據(jù)的完整性，采用符合云服務(wù)客戶要求的加密產(chǎn)品，確保數(shù)據(jù)的保密性；d)支持云服務(wù)客戶以安全的方式訪問存儲資源；e)支持云服務(wù)客戶自行部署、云服務(wù)商提供或第三方機構(gòu)提供存儲加密產(chǎn)品；f)確保物理存儲中的數(shù)據(jù)(含個人信息)等部署于中國境內(nèi)，確需出境的數(shù)據(jù)，應(yīng)遵循國家、行業(yè)相關(guān)規(guī)定，開展出境安全風(fēng)險評估，并采取針對性措施。安全審計應(yīng)符合本文件附錄A.3中的規(guī)定。a)確保虛擬機遷移過程中重要數(shù)據(jù)的完整性、保密性，并在檢測到完整性受到破壞時，采取必要b)云基礎(chǔ)設(shè)施數(shù)據(jù)提供備份與恢復(fù)的措施；c)另外兩類數(shù)據(jù)根據(jù)SLA提供必要的措施。8.2資源虛擬化安全身份鑒別應(yīng)符合本文件附錄A.1中的規(guī)定。a)限制對虛擬資源訪問與管理權(quán)限，包括預(yù)估、申請、分配、調(diào)度、擴容、回收等；8b)控制訪問權(quán)限，對回收的虛擬資源，應(yīng)明確其中包含的敏感資源；e)控制對虛擬機模板的創(chuàng)建、刪f)控制對云服務(wù)客戶虛擬資源、數(shù)據(jù)的訪問權(quán)限；g)其他要求應(yīng)遵循本文件附錄A.2中的規(guī)定。a)實現(xiàn)虛擬機隔離(包括分配給虛擬機的CPU、內(nèi)存等資源),確保虛擬機可以獨立運行；c)提供虛擬機熱遷移所需的鏡像和模板，并實現(xiàn)目標虛擬機的創(chuàng)建與啟動；d)確保虛擬機遷移過程中重要數(shù)據(jù)的完整性、保密性，并在檢測到完整性受到破壞時采取必要的f)按照云服務(wù)客戶要求提供加固的操作系統(tǒng)鏡像；g)具備虛擬機鏡像備份在不同物理設(shè)備上的功能。a)對分配給虛擬機的存儲資源實現(xiàn)隔離；b)實現(xiàn)不同云服務(wù)客戶的數(shù)據(jù)隔離；d)確保數(shù)據(jù)遷移過程不影響其他虛擬存儲的高可用性。在網(wǎng)卡虛擬化、網(wǎng)絡(luò)設(shè)備虛擬化、網(wǎng)絡(luò)功能虛擬化基礎(chǔ)上，應(yīng)提供實現(xiàn)如下安全功能的能力：e)實現(xiàn)虛擬防火墻、虛擬負載均衡等網(wǎng)絡(luò)安全措施；f)支持接入第三方網(wǎng)絡(luò)安全產(chǎn)品。c)提供容器鏡像完整性檢查、掃描功能，以及支持提供加固的鏡像；9e)提供流量監(jiān)控、分析與控制。a)監(jiān)控虛擬機生命周期過程，包括創(chuàng)建、啟動、關(guān)閉、重啟、掛起、休眠、恢復(fù)、刪除等；b)監(jiān)控虛擬磁盤生命周期過程，包括創(chuàng)建、刪除、掛起、卸載；c)監(jiān)控虛擬機的資源使用情況，包括CPU利用率、帶寬利用率、存儲利用率等；d)監(jiān)控虛擬機/數(shù)據(jù)的遷移過程，包括各部分遷移進展、是否異常、成功與否等；e)支持設(shè)定性能指標及閾值，并進行匯總分析，及時發(fā)現(xiàn)異常，及時告警；f)支持云服務(wù)客戶對監(jiān)控數(shù)據(jù)的需求。身份鑒別應(yīng)符合本文件附錄A.1中的規(guī)定。a)在虛擬機生命周期過程中，根據(jù)云服務(wù)客戶需求，由云服務(wù)管理員對虛擬機執(zhí)行創(chuàng)建和物理刪b)確保僅在云服務(wù)客戶授權(quán)下，云服務(wù)管理員等相關(guān)云服務(wù)商人員才能訪問云服務(wù)客戶數(shù)據(jù)；c)控制對虛擬機快照中可能存在的敏感數(shù)據(jù)的訪問權(quán)限；d)其他要求應(yīng)遵循本文件附錄A.2中的規(guī)定。a)根據(jù)云服務(wù)商和云服務(wù)客戶的職責劃分，實現(xiàn)各自控制部分的審計；b)云服務(wù)商為云服務(wù)客戶進行審計提供支持；a)支持云服務(wù)客戶設(shè)置對虛擬機的訪問控制策略；b)支持云服務(wù)客戶對服務(wù)部件自行實現(xiàn)冗余部署；c)云服務(wù)出現(xiàn)硬件故障、負載均衡需求、安裝和維護需求，應(yīng)支持環(huán)境參數(shù)、訪問控制策略、資源運行狀態(tài)(CPU、內(nèi)存等)、存儲與網(wǎng)絡(luò)配置等與服務(wù)部件同步熱遷移，實現(xiàn)服務(wù)平滑運行；d)支持云服務(wù)客戶自行選擇服務(wù)部件的快照、克隆、備份等功能，并提供對快照、克隆、備份的完整性校檢，以確保部件的快速恢復(fù)。應(yīng)提供建立虛擬網(wǎng)絡(luò)架構(gòu)的能力，由云服務(wù)客戶自行配置實現(xiàn)以下安全功能：a)支持分配和隱藏內(nèi)部IP地址；b)支持開展虛擬網(wǎng)絡(luò)全冗余設(shè)計，避免單點故障；c)支持配置實現(xiàn)VPC;e)支持配置VLAN、VxLANa)支持數(shù)據(jù)敏感(含個人信息)識別功能；d)支持所有存儲副本的刪除。本項要求應(yīng)包括：a)支持數(shù)據(jù)備份與恢復(fù)所需的物理資源安全、虛擬化安全、云服務(wù)管理安全等措施；b)支持數(shù)據(jù)保存若干個可用的副本，各副本之間的內(nèi)容應(yīng)保持一致；d)支持云服務(wù)客戶查詢備份數(shù)據(jù)存儲位置。b)支持虛擬機遷移時原存儲空間回收或再分配時的完全清除能力；d)清除并回收云服務(wù)管理系統(tǒng)運行過程中產(chǎn)生的剩余信息。a)入侵檢測應(yīng)能檢測到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流b)入侵檢測應(yīng)能檢測到虛擬機與宿主機的異常流量。本項要求包括以下內(nèi)容。a)應(yīng)根據(jù)云服務(wù)客戶