下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、信息安全防护体系设计安全保障体系总体架构设计以网络安全等级保护要求为安全体 系架构的指导思想,以实际需求为导向,以安全技术为支撑,以标准 制度为依据,以安全组织和流程为保障,以安全运营为抓手,参考定 级等保三级标准开展设计。安全物理环境安全物理环境主要针对环境安全防范与物理环境相关的威胁,保 护系统、建筑以及相关的基础设施。从物理位置的选择、物理访问控 制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度 控制、电力供应、电磁防护等几个方面来考虑。云计算平台针对物理 损害和物理访问风险都需实施较完善的物理安全控制措施,同时通过 完善的管理及风险的有效控制考虑到如何避免由于自然灾害(洪水
2、、 地震等)及不可抗因素造成的业务中断、数据损失。安全通信网络通用要求:安全通信网络需要考虑网络架构、通信传输、可信验 证三个方面。其面向对象是整个云计算平台,要求网络架构和通信传 输网的建设需要达到符合业务高峰期的要求,以及做到冗余部署;在 通信过程需要采用校验技术或密码技术保证数据的完整性或整个报 文的保密性;为了提高网络的安全性和可靠性,在规划网络安全建设 的时候采用安全域的规划概念,一旦某个区域出现问题,可以采用隔 离手段,限制损害的扩散,将威胁降到最低程度。云计算安全扩展要求:按照标准,云计算安全扩展要求部分对安 全通信网络的要求主要在网络架构方面。要求确保云计算平台不承载 高于其安
3、全保护等级的业务应用系统,即租户业务系统的定级结果不 高于云平台的定级结果;同时需要实现不同云服务客户虚拟网络之间 的隔离,云平台管理流量与租户业务流量分离;云平台应提供开放接 口或开放性安全服务,允许云服务客户接入第三方安全产品或在云平 台选择第三方安全服务,也就是说仅具备保护平台自身安全能力是不 够的,云平台需要为租户提供可以选择的安全服务能力。安全区域边界通用要求:安全区域边界部分包括边界防护、访问控制、入侵防 范、恶意代码和垃圾邮件、安全审计、可信验证等。同时应做好整个 云计算平台的区域划分,包括明确的区域边界,互联网访问区,平台 业务区,平台管理区等。云计算安全扩展要求:按照标准要求
4、,云计算安全扩展要求对安 全区域边界部分的控制点主要在:访问控制、入侵防范、安全审计三 个方面。在云平台下应在虚拟化网络边界和不同等级的网络区域边界 部署访问控制机制,并设置访问控制规则;应能检测到云服务客户发 起的和对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时 间、攻击流量等。能检测到虚拟机与宿主机、虚拟机与虚拟机之间的 异常流量,并在检测到网络攻击行为、异常流量情况时进行告警。 应对云服务商和云服务客户相关操作进行安全审计等。安全计算环境通用要求:系统最关键的资源就是数据,而这些数据承载在网络 设备、核心后台系统重要的操作系统及数据库系统。因此,网络设备、 操作系统、数据库管理系
5、统的等设备和计算本身的安全性是至关重要 的。安全计算环境需要考虑身份鉴别、访问控制、安全审计、入侵防 范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份 恢复、剩余信息保护、个人信息保护等十一方面。随着云平台的发展, 对安全计算环境要求部分提出了新的要求。首先是用户登录应用的身 份鉴别需要做到采用两种或两种以上组合和鉴别技术,且其中一种鉴 别技术应使用密码技术来实现,其次,对于不同权限的用户访问应用 应做到最小授权原则,对于访问控制的粒度需要达到进程级,未达到 防范入侵的要求需要做到:最小化组件安装:关闭不必要的端口:限 定管理终端位置:发现漏洞、修补漏洞:重要节点的攻击监控和报警:
6、 再者,安全审计需要覆盖到每一个用户,审计维度包括日期、时间、 用户、事件类型、事件是否成功等,且需要保护审计数据的完整性, 最后,数据的存储和传输都需要采用密码技术进行保护。对于重要的 系统管理数据和敏感的业务数据应采用加密或其他有效措施实现传 输保密性和存储保密性,等保三级系统要求具备重要数据本地和异地 备份,应提供异地实时备份功能,利用通信网络将重要数据实时备份 至备份场地;应提供重要数据处理系统的热冗余,保证系统的高可用 性。云计算扩展要求:云计算安全扩展要求对安全计算环境部分的控 制点主要在:身份鉴别、访问控制、镜像和快照保护、数据完整性和 保密性、数据备份恢复、剩余信息保护六个方面
7、。在云平台环境中应 满足,当远程管理云计算平台中设备时,管理终端和云计算平台之间 应建立双向身份验证机制。采取密码技术或其他技术手段防止虚拟机 镜像、快照中可能存在的敏感资源被非法访问。云存储服务应保证云 服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致; 应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系 统提供技术手段,并协助完成迁移过程。应能检测虚拟机之间的资源 隔离失效,并进行告警;应能检测非授权新建虚拟机或者重新启用虚 拟机,并进行告警;应能够检测恶意代码感染及在虚拟机间蔓延的情 况,并进行告警。使用密码技术保证虚拟机迁移过程中,重要数据的 保密性,防止在迁移过程
8、中的重要数据泄露。在故障发生时,应能够 继续提供一部分功能,保证能够实施必要的措施。利用通信网络将重 要数据实时备份至备份场地,重要数据处理系统需要热冗余,保证系 统的高可用性。安全管理中心通用要求:安全管理中心是整个网络平台的大脑核心,具有对全 网安全态势及运维态势分析展示的功能,在安全管理中心部分需要关 注:系统管理、审计管理、安全管理、集中管控四个方面。在云平台 安全管理中心的建设中应对系统管理员、审计管理员、安全管理员的 身份鉴别进行重点建设,同时对三个管理权限人员的行为和记录结果 进行分析。对全网的网络链路、安全设备、网络设备和服务器进行统一监管审计,对其运行日志、本地分析的日志等结果进行统一分析展 示。云计算安全扩展要求:在云平台环境下,应能对物理资源和虚拟 资源按照策略做统一管理调度与分配;应保证
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 桩间挡板施工方案
- 网线施工方案
- 疫情安全生产专项施工方案
- 重庆扇形水塔美化施工方案
- 输水隧洞错车道施工方案
- 铁路设备检修保养方案
- 诊所装修整改方案
- 落地脚手架施工方案
- 庆阳婚庆仿真树施工方案
- 辽宁花卉玻璃温室施工方案
- 冬春季呼吸道传染病防控
- 中介费合同范本(2025年)
- 《kdigo专家共识:补体系统在肾脏疾病的作用》解读
- 生产调度员岗位面试题及答案(经典版)
- 【物 理】2024-2025学年八年级上册物理寒假作业人教版
- 交通运输安全生产管理规范
- 电力行业 电力施工组织设计(施工方案)
- 《法制宣传之盗窃罪》课件
- 通信工程单位劳动合同
- 查对制度 课件
- 2024-2030年中国猪肉市场销售规模及竞争前景预测报告~
评论
0/150
提交评论