智慧城市数据中心安全体系设计

1、 智慧城市数据中心安全体系设计目录 TOC o 1-3 h z u HYPERLINK l _Toc8675017 一、项目背景 PAGEREF _Toc8675017 h 2 HYPERLINK l _Toc8675018 二、工程概述 PAGEREF _Toc8675018 h 2 HYPERLINK l _Toc8675019 三、数据中心安全体系设计 PAGEREF _Toc8675019 h 4 HYPERLINK l _Toc8675020 （一）云平台安全总体设计 PAGEREF _Toc8675020 h 4 HYPERLINK l _Toc8675021 （二）云安全等保定级

2、分析 PAGEREF _Toc8675021 h 5 HYPERLINK l _Toc8675022 （三）云安全系统需求分析 PAGEREF _Toc8675022 h 6 HYPERLINK l _Toc8675023 1、安全技术需求分析 PAGEREF _Toc8675023 h 7 HYPERLINK l _Toc8675024 2、安全管理需求分析 PAGEREF _Toc8675024 h 14 HYPERLINK l _Toc8675025 （四）安全技术体系设计 PAGEREF _Toc8675025 h 15 HYPERLINK l _Toc8675026 （五）云区域边界

3、安全设计 PAGEREF _Toc8675026 h 20 HYPERLINK l _Toc8675027 1、实现边界的访问控制 PAGEREF _Toc8675027 h 22 HYPERLINK l _Toc8675028 2、实现网络边界入侵检测 PAGEREF _Toc8675028 h 23 HYPERLINK l _Toc8675029 3、实现边界病毒防护 PAGEREF _Toc8675029 h 23 HYPERLINK l _Toc8675030 4、实现边界完整性保护 PAGEREF _Toc8675030 h 24 HYPERLINK l _Toc8675031 5、

4、实现边界安全审计保护 PAGEREF _Toc8675031 h 24 HYPERLINK l _Toc8675032 6、实现网站安全防护 PAGEREF _Toc8675032 h 25 HYPERLINK l _Toc8675033 （六）云计算环境安全设计 PAGEREF _Toc8675033 h 25 HYPERLINK l _Toc8675034 1、虚拟机访问控制 PAGEREF _Toc8675034 h 25 HYPERLINK l _Toc8675035 2、主机安全管理 PAGEREF _Toc8675035 h 26 HYPERLINK l _Toc8675036 3

5、、日志集中审计 PAGEREF _Toc8675036 h 27 HYPERLINK l _Toc8675037 4、脆弱性管理 PAGEREF _Toc8675037 h 27 HYPERLINK l _Toc8675038 （七）云安全管理中心设计 PAGEREF _Toc8675038 h 27 HYPERLINK l _Toc8675039 1、集中安全管控 PAGEREF _Toc8675039 h 27 HYPERLINK l _Toc8675040 2、安全策略集中管理 PAGEREF _Toc8675040 h 28 HYPERLINK l _Toc8675041 3、云安全集

6、中管理 PAGEREF _Toc8675041 h 29 HYPERLINK l _Toc8675042 （八）安全管理体系设计 PAGEREF _Toc8675042 h 30 HYPERLINK l _Toc8675043 1、安全管理组织 PAGEREF _Toc8675043 h 30 HYPERLINK l _Toc8675044 2、人员安全管理 PAGEREF _Toc8675044 h 30 HYPERLINK l _Toc8675045 3、安全管理策略 PAGEREF _Toc8675045 h 31 HYPERLINK l _Toc8675046 （九）安全运维体系设计

7、PAGEREF _Toc8675046 h 31项目背景根据区委、区政府主要领导批示，2014年11月我区启动了智慧城市战略发展顶层设计与规划工作。经过几个月的努力，通过一系列调研、分析、设计与研讨，智慧城市建设总体规划与三年行动计划文稿形成（以下简称“规划”），并与相关部门进行了若干次的专题讨论。根据各方意见修改后，规划于2015年4月中旬经区长办公会研究原则通过。规划中指出“新建智慧城市云平台，与现有的“智慧华明”云平台共同支撑智慧应用系统建设。按照“集约建设、集中部署”的原则，将新建的智慧应用系统直接部署在云平台，将各部门已建的非涉密业务系统和公共服务类应用系统逐步迁移至云平台，实现智慧

8、应用在基础层面集中共享、信息层面协同整合、运行维护层面统一保障，有利于充分整合和利用信息化资源。”根据规划中的目标和原则，在“智慧城市”首期项目中与城市运行管理指挥中心同步进行云计算数据中心工程建设，数据中心为智慧城市的总体建设提供基于云计算技术的信息化基础设施，为智慧城市的各类业务应用提供稳定可靠的运行环境。工程概述云计算数据中心与城市运行管理指挥中心选址为同一地点，位于城市开发区津塘路与五经路交口处的“帝达东谷国际东谷中心2号楼2层”，位于该层西北侧区域，总共占用面积接近350平方米。其中包含主机房、配电间、消防间、控制室等区域。图 SEQ 图 * ARABIC 1 数据中心平面图云计算数

9、据中心是“智慧城市”的信息技术基础设施，不仅承载智慧城市首期项目的三个主要应用，还将为日后城市区的各类信息化应用提供稳定可靠高效的计算、存储、网络资源，以实现全区信息化基础资源的集中建设、集中管理、集约使用。数据中心的网络连接包括互联网、政务网、其他专网，接入区文广局的光纤路由，以及三大运营商提供的固网和移动网络。智慧城市云计算数据中心建设包括数据中心网络、云计算平台、安全系统、机房工程等部分，后续章节分项阐述。数据中心安全体系设计为满足云平台各业务应用系统对信息安全等级保护的要求，本项目智慧城市云平台均按照信息安全等级保护3级标准来建设。云平台安全总体设计本项目安全设计的基本思路是：以保护信

10、息系统为核心，严格参考等级保护的思路和标准，从多个层面进行建设，满足智慧城市云平台信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体系将充分符合国家标准，抵御在云环境下所带来的新的安全风险，能够为智慧城市云平台业务的开展提供有力保障。针对智慧城市云平台的实际情况和安全防护需求，采用体系化的设计方法，构建一个安全保障体系，该体系通过建立健全统一的信息安全技术体系、管理体系和运维体系，实现在智慧城市云平台信息网络中形成有效的安全防护能力、安全监管能力和安全运维能力，为智慧城市云平台的运行提供安全的网络运行环境和应用安全支撑，保障智慧城市云平台信息系统能进行安全可靠

11、的连接、数据交换和信息共享，为智慧城市云平台信息化建设奠定基础。智慧城市云平台安全防御体系的安全保障框架如图所示：图 SEQ 图 * ARABIC 8 安全保障框架图云安全等保定级分析智慧城市云平台最终将依托电子政务外网和专线网络进行建设，其信息化网络将依据信息安全等级保护管理办法（公通字200743号）、关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861 号）、信息系统安全保护等级定级指南(GB/T22240-2008)等文件规定和国家政务外网的统一要求，确定信息系统的安全保护等级。智慧城市云平台建设包含一定的敏感信息，一旦遭到破坏后，将对社会秩序和公共利益造成一定侵害

12、，使工作职能受到一定影响，业务能力下降，部分影响主要业务职能开展和社会管理，属一般损害。智慧城市云平台的定级将依据业务应用系统安全等级矩阵表和系统服务安全保护等级矩阵表进行。业务信息安全等级主要是根据业务信息安全被破坏时所侵害的客体以及对应客体的侵害程度进行评定，具有的要求如下表：表 SEQ 表 * ARABIC 11 业务应用系统安全等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级同时，系统服务安全保护等级主要是根据系统服务安全被破坏时所侵害

13、的客体以及对相应客体的侵害程度进行定级，具体的要求如下表：表 SEQ 表 * ARABIC 12 系统服务安全保护等级矩阵表系统安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级作为定级对象的业务应用系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。结合智慧城市云平台的功能以及业务信息安全等级和系统服务安全等级的要求，对智慧城市云平台的安全保护级别定为三级。云安全系统需求分析安全技术需求分析物理安全风险与需求分析物理安全风险主要是指网络周

14、边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础，只有保证了物理层的可用性，才能使得整个网络的可用性，进而提高整个网络的抗破坏力。例如：机房缺乏控制，人员随意出入带来的风险；网络设备被盗、被毁坏；线路老化或是有意、无意的破坏线路；设备在非预测情况下发生故障、停电等；自然灾害如地震、水灾、火灾、雷击等；电磁干扰等。因此，在通盘考虑安全风险时，应优先考虑物理安全风险。保证网络正常运行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。云区域边界安全风险与需求分析区域边界的安

15、全主要包括：边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。边界访问控制对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。边界完整性检测边界的完整性如被破坏则所有控制规则将失去效力，因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护边界完整性。边界入侵防范各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也同样存在。通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系统的安全防护，保护核心信息资产的

16、免受攻击危害。边界安全审计在安全区域边界需要建立必要的审计机制，对进出边界的各类网络行为进行记录与审计分析，可以和主机审计、应用审计以及网络审计形成多层次的审计系统。并可通过安全管理中心集中管理。边界恶意代码防范现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括 互联网、广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀。云计算环境安全风险与需求分析计算环境的安全主要指主机以及应用层面的安全风险与需求分析，包括：身份鉴别、访问控制、系统审计、

17、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。身份鉴别身份鉴别包括主机和应用两个方面。主机操作系统登录、数据库登录以及应用系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听，从而获得管理员权限，可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度，且防止被网络窃听；同时应考虑失败处理机制。访问控制访问控制包括主机和应用两个方面。访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统，低权限的合法用户也可能企图执行高权限用

18、户的操作，这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符，在制定好的访问控制策略下进行操作，杜绝越权非法操作。系统审计系统审计包括主机审计和应用审计两个方面。对于登录主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制，对用户的行为、使用的命令等进行必要的记录审计，便于日后的分析、调查、取证，规范主机使用行为。而对于应用系统同样提出了应用审计的要求，即对应用系统的使用行为进行审计。重点审计应用层信息，和业务系统的运转流程息息相关。能够为安全事件提供足够的信息，与身份认证与访问控制联系紧密，为相关事件提供审计记录。入侵防范主机操作系统面

19、临着各类具有针对性的入侵威胁，常见操作系统存在着各种安全漏洞，并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短，这就使得操作系统本身的安全性给整个系统带来巨大的安全风险，因此对于主机操作系统的安装，使用、维护等提出了需求，防范针对系统的入侵行为。恶意代码防范病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽，造成网络性能严重下降、服务器崩溃甚至网络通信中断，信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。软

20、件容错软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。 数据安全主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要，是必须考虑的问题。应采取措施保证数据在传输过程中的完整性以及保密性；保护鉴别信息的保密性。备份与恢复数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要，是必须考虑的问题。对于关键数据应建立数据的备份机制，而对于网络的关键设备、线路均需进行冗余配置，备份与恢复是应对突发事件

21、的必要措施。资源合理控制资源合理控制包括主机和应用两个方面。主机系统以及应用系统的资源是有限的，不能无限滥用。系统资源必须能够为正常用户提供资源保障。否则会出现资源耗尽、服务质量下降甚至服务中断等后果。因此对于系统资源进行控制，制定包括：登录条件限制、超时锁定、用户可用资源阈值设置等资源控制策略。剩余信息保护对于正常使用中的主机操作系统和数据库系统等，经常需要对用户的鉴别信息、文件、目录、数据库记录等进行临时或长期存储，在这些存储资源重新分配前，如果不对其原使用者的信息进行清除，将会引起用户信息泄漏的安全风险，因此，需要确保系统内的用户鉴别信息文件、目录和数据库记录等资源所在的存储空间，被释放

22、或重新分配给其他用户前得到完全清除对于动态管理和使用的客体资源，应在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄漏。抗抵赖对于数据安全，不仅面临着机密性和完整性的问题，同样还面临着抗抵赖性（不可否认性）的问题，应采用技术手段防止用户否认其数据发送和接收行为，为数据收发双方提供证据。云网络安全风险与需求分析智慧城市云平台的网络的安全主要包括：网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等方面。网络结构网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和VLAN。网络

23、安全审计由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。网络设备防护由于系统将会使用大量的网络设备和安全设备，如交换机、防火墙、入侵检测设备等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。如果发生网络设备被不法分子攻击，将导致设备不能正常运行。更加严重情况是设备设置被篡改，不法分子轻松获得网络设备的控制权，通过网络设备作为跳板攻击服务器，将会造成无法想象的后果。例如，交换

24、机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。通信完整性与保密性由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保证数据的机密性。网络可信接入对于一个不断发展的网络而言，为方便办公

25、，在网络设计时保留大量的接入端口，这对于随时随地快速接入到数据中心区域网络进行办公是非常便捷的，但同时也引入了安全风险，一旦外来用户不加阻拦的接入到网络中来，就有可能破坏网络的安全边界，使得外来用户具备对网络进行破坏的条件，由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入，能监控网络，对于没有合法认证的外来机器，能够阻断其网络访问，保护好已经建立起来的安全环境。安全管理需求分析“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个

26、安全体系来讲，不可或缺的重要组成部分。安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。主要包括：安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理根据等级保护的要求在上述方面建立一系列的管理制度与操作规范，并明确执行。安全技术体系设计参考等级保护技术方案设计规范，对智慧城市云平台进行安全防护系统规划的过程中，必须按照分域、分级的办法进行规划和设计，要划分具体的安全计算环境、安全区域边界、安全通信网络，并根据信息系统的等级来确定不同环节的保护等级，实现分级的保护；同时通过集中的安全管理中心，实现对计算环境、区域边界、通信网络实施集中的管理，并

27、确保上述环节执行统一的安全防护策略。从信息系统安全涉及角度，安全信息系统可以看成是由安全应用支撑平台和在其上运行的应用软件系统两部分组成，而安全应用支撑平台又是由信息安全机制和信息安全基础技术支持来实现的，其中信息安全基础技术包括密码基础、系统安全技术、网络安全技术以及其他安全技术；这些基础提供了身份认证、访问控制、安全审计、可用性保护、机密性保护、完整性保护、监控、隔离、过滤等安全机制，用以形成覆盖计算环境、区域边界、通信网络的等级保护技术方案，同时通过引入安全管理中心，则构成了完整的安全技术体系。安全技术体系的建设简单来说就是“一个中心，三重保护，五个层面，”。(1)一个中心“一个中心”指

28、的是安全管理中心，是对云平台的安全策略及安全机制实施统一管理的平台。按照等保的基本要求，第三级（含）以上的信息系统安全保护环境需要设置安全管理中心。对于智慧城市云平台网络，从全局的角度出发，对不同保护等级、不同安全行域的信息系统实施统一的安全管理，即建立全网集中的统一安全管理，通过资产管理、脆弱性管理、事件管理、风险管理、策略管理、运维管理、应急管理等手段，实现全网集中的安全监控、风险管理、事件响应。在安全管理平台的基础上，建立安全管理中心，协调信息系统各个环节所采用的安全防护措施和安全管理要素，形成相互关联、高度融合的安全防护平台，实现对安全事件的实时检测、及时响应和综合防护，对网络系统安全

29、防护体系的动态更新，降低安全风险，提升智慧城市云平台的信息安全监管能力。(2)三重保护“三重保护”指的是按照分域保护的思想，将云平台从结构上划分为不同的安全行域，各个安全行域内部的网络设备、服务器、终端、应用系统形成单独的计算环境，各个安全行域之间的访问关系形成区域边界，各个安全行域之间的连接链路和网络设备构成了通信网络，因此安全技术体系将从保护计算环境、保护区域边界、保护通信网络三个层面分别进行构建，最终形成三重纵深防御的安全体系，并且它们始终都在安全管理中心的统一管控下有序地运行。保护计算环境：计算环境是对信息系统的信息进行存储、处理的相关部件，包括网络平台、系统平台和业务应用。不同安全等

30、级信息系统的计算环境有着不同级别的保护要求，在进行计算环境保护措施设计时，我们将根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求，提出各信息系统计算环境内部的安全技术保护措施，主要从以下方面进行设计：身份鉴别、访问控制、安全审计、数据完整性保护、数据保密性保护、客体安全重用、程序可信执行保护。保护区域边界：区域边界是信息系统计算环境与通信网络之间实现连接的相关部件。不同安全等级信息系统的区域边界有着不同级别的保护要求，在进行区域边界保护措施设计时，我们将根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求，提出各信息系统区域边界安全保护技术措施，主要从以下方

31、面进行设计：访问控制、安全审计、边界完整性保护。考虑到相邻的信息系统存在区域边界设备共享的情况，如果不同安全级别的信息系统通过同一套安全措施进行边界保护，这个边界保护措施及其所采用的保护策略应满足最高级别信息系统的安全保护要求。保护通信网络：通信网络是对信息系统计算环境之间进行信息传输的相关部件，包括骨干网/城域网及局域网主干核心系统。不同安全等级的通信网络有着不同级别的保护要求，在进行通信网络保护措施设计时，我们将根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求，提出通信网络安全保护技术措施，主要从以下方面进行设计：安全审计、数据传输完整性保护、数据传输保密性保护、网络可

32、信接入保护。考虑到不同安全级别的信息系统共享同一网络线路和网络设备传输数据的情况，该通信网络的安全保护措施及其所采用的保护策略应满足最高级别信息系统的安全保护要求。(3)五个层面“五个层面”指的是物理环境、网络平台、主机系统、应用服务和数据资源。不同的层面对信息安全有不同的要求，安全体系重点实现以下的建设目标：物理安全方面：物理安全是对云平台计算机机房、通信线路、网络及安全设备、设施及相关的数据存储介质提供的安全保护，使其免受各类自然灾害（地震、水灾、火灾等）以及人为操作失误或错误及计算机犯罪行为导致的破坏。物理安全防范是安全架构的基础，对系统的正常运行具有重要的作用。网络安全方面：云环境下的

33、网络不仅要求具有大数据量吞吐能力，还要求实现网络虚拟化。同时要加强网络处理能力的安全保障，保证重要的网络设备能够在网络拥堵是能够正常运行，并且将网络边界控制到应用层，不仅能够做到主动防御还能够防的住，同时还有一些阻断、告警等主动防御手段。主机安全方面：主要实现对云主机的访问控制、安全审计、安全扫描、配置基线检查、主机加固等，同时实现对虚拟机宿主服务器安全需求，包括物理服务器的识别和管理，虚拟机软件系统审计安全，虚拟机软件系统安全防护。应用安全方面：云计算环境下的应用系统必须能够实现分布式部署和运行在虚拟环境中，并且能够针对不同业务应用之间进行隔离，对每次应用运行情况进行监控审计。云计算环境下在

34、对外提供服务的过程中，需要同时应对多租户的运行环境，保证不同用户只能访问本身的数据、应用程序和存储资源。在这种情况下，智慧城市云平台必须要引入严格的身份认证机制，不同的云计算租户有各自的帐号密码管理机制。数据安全方面：云环境中得数据将是分块存储的数据，由于多租户的原因，要求进行数据隔离。对于用户而言，数据的安全性和隐私保护是其最为关注的问题。云计算中，用户数据在云端处理、存储，对数据安全保护提出更高要求。同时增强数据完整性保护，强调数据传输的完整性，不仅能够检测出数据遭到破坏，并且还能恢复数据。对数据保密性提出更高的要求，实现对数据的操作审计。云区域边界安全设计智慧城市云平台安全子系统是云平台

35、的基础承载平台，整个网络系统必须考虑强大的安全防护功能，从2-7层、外网接入、内网安全实现全方位的网络安全保障。整个网络充分考虑等级保护业务分级要求，以及云计算虚拟化环境部署要求，采用目前典型的大二层网络架构，由2台核心交换机组成核心交换区。安全域的划分充分考虑了业务系统区分，管理与业务分开等原则划分。防火墙部署下移到各域边界进行防护，同时在核心交换机处旁路部署安全审计设备、防病毒网关。在核心数据区旁路部署数据库审计系统。在互联网接入区网络出口处部署IPS、网络行为审计系统、链路负载和防火墙。在全网统一部署安全管理系统、日志审计系统、防病毒系统。在政务外网接入区、专线应用接入区部署专线安全网关

36、。通过在互联网接入区边界部署两台入侵防御系统来实现来自外网对智慧城市云平台网络攻击的防范，入侵防护系统以串联的方式部署在网络中，提供主动的、实时的入侵检测，和攻击行为实时阻断，具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，即可以有效检测隐藏在海量信息通讯中的病毒、木马、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效监控。根据等级保护技术要求，3级系统的边界应当能够有效监测非法外联和非法接入的行为。对于业务应用服务区域、核心数据区等区域内的主机设备均为服务器，不会主动对外发起访问，因此为实现边界完整性保护的要点就是要杜绝非法接入。在服务器区域的接入交换

37、机端口上绑定MAC地址，对于接入的非许可终端，由于其MAC不会被交换机识别，而有效防止了接入。对于安全管理区等区域内的主机，我们通过部署行为审计系统，结合实现主机的非法外联和非法接入行为的管控。在全网部署一套综合日志审计系统，通过在在核心交换机和各个边界安全设备上均开启日志审计功能，对设备运行状况、网络流量、用户通信行为等进行日志记录，尤其是记录设备及网络中发生的安全事件。并在管理区建立集中的日志审计服务器，进行网络中各种日志数据的统一采集、存储、分析和统计，为管理人员提供直观的日志查询、分析、展示界面，并长期妥善保存日志数据以便需要时查看。由于网站是处于互联网这样一个相对开放的环境中，各类网

38、页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生。其中，又以篡改网站最为恶劣，尤其是智慧城市云平台作为城市区政府发布重要新闻、重大方针政策以及法律、法规等的重要渠道，一旦被黑客篡改，将严重损害政府的形象，影响社会稳定。甚至有的篡改将直接导致事件升级成政治事件，严重危及国家安全和人民利益。总体而言，网站安全形势与其重要性不相匹配，其安全性问题当前非常突出。在应用发布区部署WEB防篡改系统，该系统主要包括网站攻击防御系统和针对网站网页保护系统。 实现边界的访问控制通过在网络边界部署防火墙，将用户信息网络划分出不同网络安全区域，对于跨越

39、安全区域的访问进行访问控制，重点根据源、目标地址、协议、端口、服务、用户等信息进行判断，符合访问控制策略的将被允许，否则将被禁止。在云环境下的安全域边界控制与根据与传统的网络安全域边界控制不同。云环境下在网络访问控制的层次模型中，内部网络划分了安全域，既在外部网络接入边界处实施访问控制，也在各个安全域边界实施访问控制。在宿主机上实施基于主机的网络访问控制，实现虚拟机之间的隔离，从而形成网络边界一安全域边界一主机虚拟主机4层网络访问控制机制。实现网络边界入侵检测通过在互联网接入区边界部署两台入侵防御系统来实现来自外网对云平台网络攻击的防范，入侵防护系统以串联的方式部署在网络中，提供主动的、实时的

40、入侵检测，和攻击行为实时阻断，具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，即可以有效检测隐藏在海量信息通讯中的病毒、木马、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效监控。实现边界病毒防护在互联网接入区边界部署两台防病毒网关，通过防病毒网关实现在网络层对病毒的查杀，病毒过滤网关运行在网络边界上，通过分析网络间通讯数据包实现对其中的恶意代码进行查杀，防止病毒在网络中的传播。有些病毒在网络中传播（比如蠕虫病毒），在没有感染到主机时，对网络已经造成危害，而病毒过滤网关针对这些病毒产生的扫描数据包，采用“空中抓毒”的安全机制，在边界处就过滤了这些无用的数

41、据包，从而为网络创造一个安全的环境。病毒过滤网关与部署在主机、服务器上的防病毒软件相配合，从而形成覆盖全面，分层防护的多级病毒过滤系统。实现边界完整性保护根据等级保护技术要求，3级系统的边界应当能够有效监测非法外联和非法接入的行为。对于业务应用服务区域、核心数据区等区域内的主机设备均为服务器，不会主动对外发起访问，因此为实现边界完整性保护的要点就是要杜绝非法接入。在服务器区域的接入交换机端口上绑定MAC地址，对于接入的非许可终端，由于其MAC不会被交换机识别，而有效防止了接入。对于安全管理区等区域内的主机，我们通过部署行为审计系统，结合实现主机的非法外联和非法接入行为的管控。实现边界安全审计保

42、护在全网部署一套综合日志审计系统，通过在在核心交换机和各个边界安全设备上均开启日志审计功能，对设备运行状况、网络流量、用户通信行为等进行日志记录，尤其是记录设备及网络中发生的安全事件。并在管理区建立集中的日志审计服务器，进行网络中各种日志数据的统一采集、存储、分析和统计，为管理人员提供直观的日志查询、分析、展示界面，并长期妥善保存日志数据以便需要时查看。实现网站安全防护由于网站是处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生。其中，又以篡改网站最为恶劣，一旦被黑客篡改，将严重损害政府的形

43、象，影响社会稳定。甚至有的篡改将直接导致事件升级成政治事件，严重危及国家安全和人民利益。总体而言，网站安全形势与其重要性不相匹配，其安全性问题当前非常突出。在应用发布区部署WEB防篡改系统，该系统主要包括网站攻击防御系统和针对网站网页保护系统。云计算环境安全设计虚拟机访问控制由于传统安全防护方式和策略主要适用于物理设备，如物理主机、网络设备、磁盘阵列等，而无法管理到每个虚拟，使得传统的基于物理安全边界和主机的安全防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。云计算安全系统必须实现用户的安全隔离，避免用户非授权访问其他用户数据，或者干扰其他用户应用正常运行的安全风险。访问控制是实

44、现既定安全策略的系统安全技术，它通过核心交换机部署的防火墙板卡实现虚拟化防火墙管理着对所有资源的访问请求。根据安全策略的要求，虚拟化防火墙访问控制对每个资源请求做出许可或限制访问的判断，可以有效地防止非法用户访问系统资源和合法用户非法使用资源。在虚拟机系统中提供访问控制机制，可以有效管理虚拟机对物理资源的访问，控制虚拟机之间的访问。主机安全管理在网中部署主机安全系统，提供针对Windows主机的软硬件资产管理、主机行为监管、主机安全防护、非法接入控制、非法外联监控、补丁管理等功能，采用统一策略下发并强制策略执行的机制，实现对网络内部主机系统的管理和维护，从而有效地保护用户计算机系统安全和信息数

45、据安全。对虚拟机系统技术的进行补丁修复，可以有效的降低系统的安全风险，尤其要加强对休眠虚拟机的安全系统状态的监控。虚拟主机安全风险管理体系最主要的是对虚拟主机全过程的管理。对终端风险事前、事中、事后全过程进行分析、控制、管理，直至消除风险。对于不能消除的风险，应将风险降低到可接受的范围，并可进行有效的应急处置。日志集中审计在全网部署一套日志审计系统，该系统为不同的网络设备、安全设备、服务器、应用系统提供了统一的事件管理分析平台，打破了不同设备存在的信息鸿沟，系统提供了强大监控能力，从网络到设备直至应用系统的监控。在对事件的监控信息的集中及关联分析的基础上，有效的实现了全网的安全预警、入侵行为的

46、实时发现、入侵事件动态响应，通过于其它安全设备的联动来真正实现动态防御。脆弱性管理利用漏洞扫描系统，以本地扫描或远程扫描的方式，对各系统的网络设备、主机系统及相应的操作系统、应用系统等进行全面的漏洞扫描和安全评估，发现网络结构和配置方面的漏洞，提供详尽的扫描分析报告和漏洞修补建议，实现对网络尤其是其中的重要服务器主机系统的安全加固，提升安全等级。云安全管理中心设计集中安全管控在传统网络架构下，随着网络技术的广泛应用，各种网络环境中的安全问题正威胁着用户的正常工作，目前边界安全技术及产品已非常成熟，从目前的网络安全情况来看，边界安全产品略显不足，无法解决以下问题：内网的信息泄露内部攻击频繁出现为

47、移动办公提供安全访问为每台终端设备加固安全策略防御新的或未知的安全威胁安全准入非法内联/外联而在云计算环境下，由于传统边界的模糊化，上述的安全问题更加迫切，为保证移动办公用户的安全，防御未知的黑客攻击、内部攻击、内部信息泄露，加强每一台内网设备的安全策略，解决终端层面的安全问题是迫在眉睫。通过部署安全管理产品，实现终端设备的统一集中管理，对电子政务云环境内部的终端网络安全行为进行全面监管，检测并保障桌面系统的安全，能够很好的提升云环境的整体安全水平，并满足等保合规性要求。安全策略集中管理在云环境中众多的设备都实现了整合和虚拟化、网络架构变的更加扁平、有些设备甚至实现了从硬件化到软件化的转变。同时由于云计算环境的安全防护和策略体系建设尚处于初期，许多方面都面临着适时变化的可能。再者智慧城市云平台本次系统建设必须符合等级保护规范要求，策略配置必须实现业务系统差异化配置。安