XX云数据中心安全等级保护建设方案

--1述1.1景为了保障基于“健康云”智云”的数中心,天信公司依据公安部开护[３８9号)的要，贯彻“通过组织展息安全等级保护安全理度建设、技术措施设和级测评,落实级保护制度的各要求使信系统全管水平显高安防能明增,安隐和全故显少有保障信化康展,维护国家安会序公利”方为数据心需要在规划、建设和使相关信系统的时对信息安全也要同步建设,全面开展信息安全等级保护建整改工。1.2安目标ＸＸ的信息安全等级保护设工作的总体目标:“遵循家信息全等级护有关规规定标准规过全面开信息安全等保护定备案建设整改等级测工作进一步实现对整个新建平台的信系统安管理体和技术护体系增强信息安保护意明确信息安全保障重点落实，实,为整云平台的利建和息健发提可保。”具目包体系设实需通系设等级进安全技术体系、全理系和全系建设实需。安全,确保安全通过安全安全等，事、中事方面安护实防安需。3通规建设,提XＸ云平安防护力，障系统息安，同时等级护的求，信化工作的保护。----1.3围本方案的设计范围覆盖新建云平台基础设施服务系对象包括：

云内安全:虚拟化环中的虚拟化平及其相关虚拟化网络拟化主机的安全防护；云外安全:虚拟化环以外的网络接入核心交换，存储备份环境。1.4依国家相关政策《华算保国务院号《国家息领导小关于强信安保障工的意》（办发[２]27；）《关于信息安全等级保护工的实施意见公通字２00４号）；（4等》公２007］）《信息安全等级保护备案实细则(公信安［１号;（６关加强家电政务程建项信息全风评估作的知》（发高技２008]２号）；）关于安全等整指(公安[2009]1４２号）。等级保护及信国(1)《算保Ｇ）（信息安全技术信息统等护指ＧＢ２058----－２0０）;（3）《信息安全技术全保护等级定级指南／2240-术系统全等级保基本要求《信息安技术统等级保护全设计技术要求GB/Ｔ０7２00;（6）《信息安术统安全等级保护评要求》（7)术系统安;(8)《信息安全技术安风险评规范》ＧＴ；信安全技术全管理要求202６２006;（《信息技术术００8ISO/IEC７２005）；（１术术（２０ｄISO／ＥC27002:２）；)《信安全技术系统通用全技术要》／22１-２006。2云安全等保风险分析由于本系统是新建设系统尚未部署应用环境，具备很好的物理安全措施。因此当前最主要的工作是依据等级保护基本要求行网络层、----,,智慧于储集必须采用措施止内部用户滥权限体实仍满足同决计算体地题智慧计算引,实资务源源计算网存储三类源算赖资源,用性ilaｂilty靠性性运能力是指标密码边界检计算然算给带新问题,漏洞以基监控用户离为同角色控制志这就更借助内网满慧业务撑体提高性运障基资源一效消“短板应”强个ﻬ2.1风ＸX满三基本标准运维,达可控但是标准尚可能会可可可大挑战图:----此外,在今后量有应用及通过ａaS式向引入各下属单位应用。为了满足各类不应用的合规性需，需要在安全技术运维、管理等方面进行更加灵活、高可性的冗余建设。

系虚拟平架,品牌的选是一很慎重问题。其架依据同品牌，导致接开放程度同运行机制同而与拟化台相的如信息统应用架构安全架数据存储架等,都与虚化平息相关,也是续应用迁入工作的基础此外,在后期迁入应用建设程中质监控建设计划是否合理可等问题，均可能造成风险以为具的风：迁入风XX平台划括数中管理大集中以要求今后非云环境的各类应用逐步的迁入虚拟化环境用的计算环境也需要调整入虚拟化环境。由此可能会引发些兼容性风险题,迁入阻力的风险。虚拟化品牌选择有虚,是e的虚台其T平台，其安全开放重,导致安全----机制无兼顾到平台内部。因此造了安全控安管理安全防护机在云平内外出现断档的现象,使现有的自化全管理络管安全防护措施法有效覆盖拟化环境。建设质量计量督因为次X的,计算是是需如如何进评督,都是亟。安全规划在平的规过中,应时划全保体的证建过中,同步实计算环境和安全保障建设出信全建设延可能带保体系的脆性放大其基设施的弱，致各安风险的生。建设计划风险云平台的建设因其复杂性,系使前,需要进善实的划设计和施。需调好各关部门,及三方厂，策群力的建设云平台,而建计是要行制好的，可规的生。----2.3险基于化技云平台带了许势，如计资源需分,源利用率最大化等引优的同时，也会来许多的安全险。因对于云平的息安全风险分也应根实际情作出调，考虑拟化台、虚化网络、拟化主机的全险。同时,为满足级护合性要要级护三本中技术体五需求即:物理全、络全、机安全、用全及安。虽然前段,平尚未入有应和数，是在安全规划中要为未出现情进行期测将其能入安风险进行虑。因，经过结后可得八个面安风。物理安全风险目后,发现X现有已满足级保三合性求物理全险经得有控。网络安全风险本节主要讨论非虚拟化环中的传统网络安全风险。

网性险有多种因会对网络可性造成负面影响，主集中于，分配,及等。此对网络和计也关,要信息网络源保网可性进用的可性。

网络完整性风险网络云台安全(主机/主机/统入论非化环网络完整性风险。云平网网入安全络及主机的网络能会因控制，控制,，----非法内联,非法外联等因素而被突破导致网络边界完整性失去保护一步可能会影响息系统保密性和可用性。

险的远程信数据进加密则通信听改、泄露风险，破通信信息完整性和密性。

入护风险入可能来自各边界的部部果缺乏之效的审防手段则信息安无从谈起为避免息安保障体系成了聋、瞎子需要审计段发现入威胁需要防手段阻威胁。

恶险当露最为突出的就是恶代码的风,能会造成统保密和可用的损失。包括端口扫描、强力攻击马后门攻击绝服务击冲区溢攻击击和网络攻击等。系统会类恶意代攻击风险，是击,系统完的防体系攻击。险在环境下进行区对,的安险问。服务程入用的的安风险。

终端风险云后,系端,而用入云的应用。了的的风险外，终端用的自在，终端的不可能造成云端应的威胁。

系统险服务统因自,和性,有被突破、、破坏的类风险。

服务险----目前服器的硬架构中采用的Ｕ主、存等配件的心技术然受制人为业的性需,仍需要采用国外技术架构。可能带来后门入侵风险。应安

身应放,在同时会风于不首者身确合由于工需要,不同门、不同职责的工作人员需求不同信息使权限不同，必须要对使用者身进行统的认,统一授权统审计。一旦攻击者获取使用者的身份验证信息假冒合户用户数据完暴在其前其安全施将失效攻击将可以为所欲为窃取或修改用户数据。此身份冒是政务云对的首要安全胁。

应可性任形式的应用都存在可用性风险一性，步了，会不,进受对应用服务的审计带来可用性险审在或入侵前可信息，可能就了事的。而在云计,因为用的中可能一的不可用都会带来业务的不可此云计应用可用性问题统计，的。

WEBWB攻对W服务SQL击攻击等是由于P的入信审，或EB应用在计时存在的性的。对攻击进行的，安全保,以E务作为板进一威胁内部的应据。----

,,

,,何灾备份复

,再地目前算多依证方式使信他们确了证复冗余算余段这就需方本此外信息要通计措录

检测,往“同位置确己竟里,具体哪此,,甚至泄定具体

库通常作构索引,通过结构形式端梁同,于结构本身就了恶意攻过漏洞意代权,从通过库结构语句、至威胁到、----虚化平台安险也然虚拟的果,使多传统安防护手段失效从术面上讲云算与传统境,也是一区别导致其安全问题变得异“棘手。

自险自存漏虚拟主过虚拟化网络攻击拟化平台的管理接口者由拟机通过台的漏洞直攻击底层的虚拟化平，导致基于虚拟化平台的各类业均出现不可用或信息泄露。

可、可风险平台国引进前常见的主被大国商垄断不对外提供关核心接口不提源码,导致在建安全难,可加可的益驱网战要,别控”,可商。

风险主统一常会的平可,进虚拟化平。虚拟化网险虚拟的网构得传防变得现拟化的务供,使得用身、控变得加困虚化网络可见、网络化险、全风。

网险在云环境,会,各用现业务防护台部进安护，难流安要。

网络化险为现虚化环出现拟机术导致拟----化机真位也随改,成边界的安全略也需要随之移。若边界隔离安防护措施与略不能跟随虚拟漂移会使得边防护措施和防护策略难以起,造成安全漏洞。

多租户全风险在平台规景中,包构SaａS类服务必引入其他户的应用这么多业务系有着同的安全等级和问控制求业务系统身的安保障制也参差不齐业务统的安全防护策和需求也是不同而安全略一刀切常会使体安全降低安全等级求业务系统无得到应有安全保障,导致越权访问、数据泄露。

风用有控，以虚的地址,可能造成与其他虚拟机的ａc冲突，从而影响虚拟机通信。

虚施风虚制恶意虚拟机可能其实施Do击,恶意用(cpu,，,其他V的运行。虚拟化主机安风

虚机恶风虚拟机完由用户控制虚能、运,导致整云平，从而影响其他业系统运行务。

虚拟全在云平同运转数虚对拟,安全全防参不齐导致拟行法,能有漏高而施。

虚机安全风主,虚机在,修改同不同级可能虚机措施可----,,,有伍协组成求度急响策略依实际作调资源池”术主实现资源、资源求现源、源物资,由出作出组组组求,成作,实:,----何划分理权限,明职责,也成了需要决的问。因此,需求合的务实的专业的多类安全队伍来应挑战,保障云平台业务顺利通的进行。人再网系离操的安全策略最靠因此人员是重一具备信息全识,专业的信业信,来和维统保。安全策略风险在应对云平未来可能遇到信息安全事时,除了具组、员，需要制定适云平台系统杂环境的安全度和安全策略让组和员以效规的完成信息安全事件相各类作保证信息安全管理可以高,高量进行。安全审计风险在云平台投入使用后因业务统和底层架构较为复进行全方位的监控审计,以便及时发现各类可能和信息安全相关态关的信息,并时作出管理策略的响应和调整。而具体来监控审计是有效而可以时相关责人,题需要决，才能实现全方及时,有效的审计。2.4安维风险为的方是通设,设平,平台设完成后各的应用系统以在平台入使后维人审计控以及响发了责、限、的化，入了的在云境有的风险。----,,

,

程为众多属导致过程,很多程涉参个部个,合制度障顺利条

审技审审计计,断

再完备保障,阻然件这信息固变为,涉范围广恢复难度大也求系可靠响队伍机制,保快、妥突问题息房周系接最直接就自为ＸX护为证政系,所以求数据心团力够较高----操作与险人是难行制的,而对业务基设施进行操作运维的员，无论是过现场是远程行操作都能为误操为息系统来损失如何规人员的作维流程,如减少操作的可能,如提高操者的职业素养,这些是需解决的问题。业务连续性险信系的最使运业,但业务连性否够关信系统多层面主机应用及据在云平环下，还包虚拟化平台,以及运行在其上的虚拟主、虚网络其任一环果出问题都有可能响务的连性所以何保护务的连性给运团队提出题。监督和险智慧云统是多织，多，多，多与者云平台,为了保障如此复杂的,需要多安全技、理运维过程这些程是否法律标准,在何督理有障。这些都需要行监督和检查管理否使与者法风险。务风险为保障云台的运行,需要行多行护，业务，，安，等。但是些作过业，需要的安全机提应，可有的行。因此如何务机，何监的务，需要的务管理。----3计3.1则考虑,统一、统布统、规范标准并需及额突重点分步施,证统完的有方案设和建中以的：则在信息全等级护的建设过程中将首先从个完整网络系体系结构出发,全方位、多次的综考虑信网络各种实和各个环节，运用信息统工程观点和法论进行统一的、整性的设计将有限的资集中决最紧迫问题,为后继的全实施提基础障通过逐步实施,来达到信网络系的安全强。从解主要的问题入手，伴信息系应用的开展逐步提高和善信息系的建设，分利用有资源进行合理整合原则。故后文中安全解决方案将进行眼未来安全设计并强调分步走的安全战略思，着重述本期应部的安全施并以发展眼后应的安全施化原则信息全等保护设应当循行法规和范的要，从运行等方目整体设和实进行计，充分现标准和规范。则根据息的重要程点通过分全护级信息统，强的安全护，中源先保护及信息资----产的信系统。则任信系都能到对安，安规过中要安需求、安全风险和全成之进平和中过多安要必将成安全成本迅速加运复杂。适安也是级护设的初,因此在进等保设过中一方面要严遵基求从物理、网络、主机、应用、数据等层面加强防护措施,保障息统机密、整和用性另外也综合虑务成因素,针对息统实际险提出应保护度并按照保护强度进行安全防护统设计建设从而有效控制成本。则信息全问题从来就是单纯的技术问题把防黑客侵和毒感染理解为信安全问题的全是片面的，仅全品很完全盖所有的信息全问题因此必要把技措施管理措施结合起来更有效保障息系统的整体安全性。原则所建设安全系应设计理技术系、品方面进性和成的一。本设用先进用安全技和全产品来和进性成安全技，统的全可统在可护可性。整原则信安问题不是。息统全保系设计建设必须遵循则必适应不的息技和不的性必须、不进和系统的安全保措。----经济则项设和设程中将分用有源在用的提件充分保系建的济，高资率避重建。3.2安全成想是“中心重防护”为核心指导想，构建集防护检测、响应、恢复一体的全面的安全具体面等级保制,打造科学实用的信息安全防护能力、安全风监测能力、应急响应能力和灾难恢复能力,安全技管运防切。云模图示

一:等级护思想等级保护统设计的核思想整个方案的技术及管理设计都是围绕符要。--

--：技术、管理、运维全方位的深防御（1安全技术维:安全技术基础防御的体实现（２安全管维度：安全管理是总体的策略方针指导（３安全运维度安全运行体系是支撑和保障安全技术体系参考２信息全技术术以简称《设计技术求术体系设计内容主要涵盖到个中、重”。即安全管理中心、计算环境安全、区域边界安全、通信网络安全。图３术体系构成（1)中构中心对产品设备事操一管理；（2)算为云个可信、可、算从系统应用级的身份别、访问控制、全审计、数据机密及完整性保护、客----体全用、统执程保等面,面提升在系统应用层面的安全;（3）域界全:从加强络界访控制粒度、网络边行为审计以及护络界整等方面，提升网边界的可控性和可计;（4)通从保护网络的数据传安全网络行为安全审计等方面保障网络通信安全。Ｘ技体系,严格参考等级准从满足云平台在理层面网络层面统层面用层面和管层面的全需求,建后的保障体系将充分符合国家标准,能够为业务的展提供有力障。安全技术体建设的点包括:1、构建分域控制体系信息安全障体系在总体架构上将按照分域保护路进行,本方案参考Ｉ信息安全技术框架,将云台从同的安区各个安全区内部的络设、服务、终、应用统形成单独的算环境各个安全区之间的问关形成边各个安全域之间连接路和网设备构成了网基础设施因此方案保护算环境保护界护络基设施三个层面进行设计,通统一的基支撑平（这将用安全信管理平台基安全设的,构建分控制系。--

--

,统。3致强度办取统一策略作,。因设手段取“大,统比如统一统统,,统度度。4取统使。,----对信息资产、安全事、安全风险、访行为等的统一分析监管，通过关联分析技术使统管理人员能够迅速发问题，定问题，效应对安全事件的发生。安全仅有安全技术防护无严格的安管理相配合是难以保障整个系统的稳定安全运行。应该在安全建设、运行、维护、管理要重安全理，格按度进行办事明任权力,规范操作，加强人高安全管理水平,时加对紧急件的应能力，过预防施和恢控制相结合方式，使意外事所引起破坏减至可受程度。安全由于安全技术和管理的复性专业性和动态性云平台系统全的规划、设计建设运行维护均需有较为专业安全服务队支持安全运维服务包括系统日常维护、安加固、应急响应业务持性、全计安全培训等作。3.3﻾安全技术方设计信在的整方设计对的等保护整建,一设计。体设计以的个方:----信拓扑----3.3.1.1计ISP

ISP互网接入区

系墙）核心交换

DMZ互联网接入区作为云平台发布门户网站,户接入,将来下属单位据中过虚连接要接是对外路着重要的边界防使命。➢期方案计划部署如下安全产品抗ｏS系:署两台千兆级别的抗系统,以模式，透明方式部署;对入站方向的击流量行清洗保内网直对外务的网。部署两台千级别的防病过滤网关,以模式,透明方式部署;对入站方向的、SMTP、POP3ＭＡＰ等流进行防病毒过滤清洗要保护内网中直对外提供服务的站件系,以及各办公终端。侵御部署两台千级别的入侵御系统,以模式,明方式部署;入站方向的数据包进行包还原,检测攻为,击特,若--

--发现攻行为则行阻断。接利有ｃoASＡ5防火墙,以／S模式,路由方式署负DMZ区行端制另启VＰN功能，对接下属机构数据中心，进行虚拟专网连接,同第三方维人员借由VPN远程登入此处接入防火作为纵深防御系的第道屏障与内网重要边防火墙构。3.3.1.2ＤＺ区互联网接入DＭZ区承载XX的外服网站,担着门户的要使本区域中的安全设主要对ＷＢ网站护,网页防篡改等。➢

本期案计部署下安产:

WEB应用火:部两台千兆级别的WEB应用防火ＡＳ模式,反向代理方式部署对WEB访流量进行针对性护。网：部署一套网页防篡改软件系统（需安在一台服务器中)，通件级控发器方式，控有对服务器中网页内的改行为,有WＥＢ发服务器的改行为，改行为阻断。----3.3.1.3计交换区

核心交换主要由两台高能核心交换机成,作整内的心负责所有内网区域间流量的交换发。在此区域主要部审计类安全产品,对网络中的流量进行行为审计和入检测。➢期方案计划署如下安全产品：络系:署一台万兆级别的网络审计系统以旁路方式对接两换机镜;核心交需镜网络审计系统,网络计系计记计记户，并可送管进的安态入侵检测系统部万入,以路方式对接两台核交换机的镜端口心交换机需其它安全域流量镜像至侵供为检测;审记可通表展示用并可送至管理台,进行综的全态势和展示3.3.1.4测试开发计测试

开发区

交换区----测试发区对自应用统和上线进行测试域,中包重要开文，该域安设主体在界问(需选可建立连接的条件。➢本期方案计划部署如安全产品:测试:署两台千兆级的防火墙系统以模,透明方式部署;筛选可以建立的连（规定内网中哪些地址可以访问本区域规定区域内的应用统端口开放略),通过策完成访问控制。3.3.1.5计

交换

全维个网负责安全管理、安全运维和与之关的用户管理、云平台管理、备份理等各个组件的集合区域。是维系云平台正常运转,制定各类安全策略的核心域。➢本期方案划部署下安全产品：安全：署两台千兆级别的火墙系统,以Ｓ模式,透明方式部；筛选可以建立的连(规定内网中哪些地址可以访问本区定区域内的应用系统端口开放策略通过策略完成访问控制。--

--,,:,(),,,:300/,I,,,)别拟防毒物防病毒;(虚拟非)病程,毒,隔离工公,络准入,用布丁移动介质,敏感文档防泄漏功能漏洞描次任描Ｂ洞扫、、、、用等）弱发掘生检报告果报表给用户送从而ｖShｉelｄ在vCenterｖhileｄ,从而虚防火墙功能VＭ别访控制流量,随VＭ动迁移Mａｎagｅr独非虚拟),ｖSpheｒeＵpdateManａｇeｒ,vShpere环境补丁--

--AＤ域及器:应部署ＡＤ域控服务器,及ＬDAP服务器了进行网设和个的登录理外,还可合众多安全管设备（如终安全管系将的Ａ数证书中证设提供统一的用管理。➢

未来建部署的全产品括：

CA心应用参与(终机强制抗施尤其是等双需于PKI/ＣA的基设施。需必署中并流梳使有参与双因素认证才能境,可满等保求，要将Ａ基设施建立起来。应用据迁入平台后有专用的类存储,为业务环境供非结化数(主要为档、文)的存储和。需要使用文档,定及非,合文档为,文档为。3.3.1.6终端安

交换端所有端合域,是业务起因及多端使用者的素,因终端级统,使人终端成了众多安全的因需要进行的安全护。➢

署如产

端:部级的为的可以建立的(网中IP可以域定域应用系统端),完制需PS、、用及管控使其可应对--

--杂的个终端流。办公终端需安装的安全组:户端统端,安全。3.3.1.7计云平台用区承载着据中心的核业,建设保障区平台要通技术承载用行虚的建置公XX云及科按其提不同分。议成个ｅr,各自多台机这主机上拟机享Cluster部算源在ｕｓtｅr部多台机迁过进行计算资负载均衡通过ＳpherｅHA行高可用性管理。----之间需行通,，信述)。本区域内的安全设计,要包括边界安,全审计,虚化安全,数据备份等四部分。➢本期方案划部署下安全:部署域些访控制;装S病应识别及控功组件,其可对复杂应用量。安审类品：部署在核心交换区的网审计统和侵检系统，将时分提供个千审计口连接本区域聚交机镜端口，着重审计云平台边界处的流信息。当多租户系统入后，将租间流量牵引至本区域汇聚交换，进而镜像至审计设备进行审计。ere拟化平,及其网络组件的安全要vpher供的全组件完成。括Si提供防火墙、防病毒功能)（计虚拟机）SpeeHA(M可用Snaps（备份管)。备份：接安全管管管,其策行备份。----3.3.1.8）

云平台数据全交换区要负多个云之的数安全隔离数据换,以下属机构程信交互工作因云平台应区中公共育云ＸＸ云以科研云中,只允有限信息（一般库部分电XＸ信息同步其对科云,其中的用据对XX至关重要，不容轻易泄露或篡改其中的数据应数据库同步，子ＸX同方式期更至Ｘ和公教育;而行更操起点通专有应用进,在方中，采用云平台应用区的数同步管理服务进行。因此,设立专有数据安全交区区域仅为安全强的建议规划可以考虑在用及数据迁入后着手进。

该系统三部分构:前置服务器双向网闸后置服务器。✓

服据导前对据的传源进身份别确认输源发出请可信可IＰ进认);后，数据进,全过（IPS等,为据通过双网----闸做好备。✓双向：网如:安全离与信息换系统外网络

内网络网处理单元

隔离全交换元

网处理元双向网闸的络两端在无数据传输时保持网络断路,绝切络传输协议当数据需要传输,则采用渡的方式数通内私有输协议逐步导入到对,在过程网络仍然保持断路的护内部重要网络的机密性。✓后置服收网闸传输来的数据并进行完性校验完整性受损，则回传传信号;数校验合格后进行日志记，并发送至网。3.3.1.9数据存

存储数据库服务器

云平台应用储磁带库

本区域所有系统业务ＩT业务用经IBM业级存储及带库,具备极高数完整性，可性保护。在----进行的全设计要针对数据机密性保护。➢期方案划部署如下安全产品:署在Ｏraｃle数据库之前，串联保护数据服务器的多个数据库实例提供数据库虚拟补丁库，针对应用侧和维侧的不同数据库访问模式进行具体的Ｌ语句控制策略；同时针对ＳQL注入攻击,进行语建模式威胁别，并进行具体的防护；针对高危ＳQL语句如ｏ批更新批删语,可进策略性阻断。加系提供两台服务器装数据库加密与加固系统成主备模式。需在对应保护的４Ｏracle服务器中安装加解密管理控件(部署配置后安装后配置密略,中的机密数据列进行加密，支持一列密。应重点保护存放个人信息的数据库表(如身份证号等),实现点据列的加密保护使出现拖库库行为,也无法获取明文数据,明文数据的获取应使用。安全计计系统全护高安全统行可信计,现安全略模和的访问控制系统计机,的在计系统用全持的可信计台高体的全。高全系统系统用安全制密保护和可信计等安全建统安全，对应用安全策,实中式、应用的安管理保证系统全可信防入使用的并系统攻击保个信系统安。安计为中应服供全。的设全计保要后用后安保,本行安。----3.3.2.1别为保网信的密性,完性可控性可性抗赖性信系统需采多安技术,如身份鉴别、息加密、信完性校、抗抵赖。而对ＸX的云平台户类又两业户管理户对不同户访问,将过同的机实其身份鉴别。C)针对业用访问的身份鉴别的实现主依靠ＣA系统的数组证书技术及产品CＡ数字证书系统应作为今后康,智慧各关业应用管理的基设,是息全基平台基础成部分。应用及系统的份认、授权管以及责任认定机都依赖与认系平台。数字证书是基于ＰKI/ＣA的认基础设施等级保护级基要求中对于应系用鉴有明的因认要求:即结合现有系已备静态码号认现双素份验成这认方目有两主方法

应用系统身份鉴别机制改造:即将所有用系统的登录环节进行必要的改造，应因素认证的要。,在用系统多的环,可以用(统身份认证理系统,统登录户，统用户账号管理,行用户授权管理进行应用;用户通过登录,成应用系机以过应而需登通过身份认证网关不改统录验机而有用认关,网关成数字证书认，过授权管理,户可访问的系统登对应统后,用户成针对应用的静态账户认证。因目前云平台用,因以PKI/ＣＡ为基础设施的身份鉴别机目前法的在设的方本方中不部PK/CA基础设施。----,,,(vCenter,3.3.2.2,,,程有效是根来确能进行操如规,高同之止高,境此外,为合法—柜所有进储合法自动脱为了有信息,任何都能查其动内云业未入3.3.2.3储库,同时也为索引库进行认证程,后认证审;同时维,AD合,进域证合----,,,3.3.2.4(imag必须管理施、审计踪迹以快ｏt)“逃野”,而给攻击者快vＣnｔｒ因VM措施vCeｔer3.3.2.5,,而vCente,:TPｏVMFS,理快理3.3.2.6管理、以----,,,/+,XX3.3.2.7境主对层机对上监督程息记录并发送到心能掌握发“过对监,握主机主机录对记录对程监对,过对过管对3.3.2.8境应vC,并境ESXi主机VM)主过管应6----3.3.2.9运维审计议在全管区部运维计系统(通称堡主机核心Ｔ设备管理用户中登认证限和操监控资包括务器数库、换、器、火墙其他设备等过运维(内主机)，可以实现能点录内控堡垒主机供了基于B/Ｓ的单录统，用通过一次录系统后就可以无认证访问包括授权多种基于B/Ｓ应用系。管理集帐号理包所有务、络备帐集管,是中授、认和审计基础。中帐号理可以实将帐号具体自然人相联,从实现针对自然的行为审计。份证内控垒主机为用户提供统一的认证界用统一的认接不但便于对用认的理而能采更安的证式,包括静态密码、双因素、一次口和物征等种证式,而可以便地与三方认服务对，提认证的全性和可了接在服器认证所中身证建议采用基态码数的双因素认方式。源权内控垒机供一界面,对用户、及行和源授以权限制,限用户资源安。过中访授和问控可用通过BS服务机、络备访问计。权的对括户用资和户行系不能授权户可过问源于的权应用以制户的操作,以及操等权问制内控垒机统能提访问制限用户资安----全粒度的命令策略是命令的集合可以是一组可执行命令也可以一组非可执的令,合用分配体的户,来制系统行为,管理员会根据自身的角色为其指定相应的控策略来限定用户。操作计操审计管理主要审计操作人员的号使用(录资源访问)情况资源使用情等在服器机网络备访问志录都采用一帐号资源进标识后操作审计能更好地对号完整用过进追踪为了对字终端图形端作为进行计和控内控堡垒机对种字符终端和图形终端用的协议行代理，实现平的操作支和计，例如Teｌnet、ＳSH、平的程协Liｎｕｘ/Ｕnix平的Wind图协。堡进行集中在6。3.3.2.10

测针对应用统恶代检要针对服务终以B应的检。的B应,如网以应用等。过期可以测应用具操作

程使用foxpea的系令的统服自行能服务统集中的管理和管理，服务的用服,意对务、能以定，提供对集中管理平台实现体监控系统的中理平台过理控制台实对网络系统和监控系统的管理人资源----提高管效率。在云环境中,于服务防病毒统应分为个部分1)虚拟化机防病系统：可通过采购ｈield防护件,添加ＶM的主机病毒功能，或采购趋势科技，卡巴斯等得到开放接口的病毒厂商的专有适应phere环的机防病毒系统;2)物主机病毒系统对非虚拟化环境的物理主(包括服务器主机,终主机,则采用传统的网络防病毒系统行恶意代码检测及防护。3.3.2.11

全针对Ｓphｅ虚化境通过ａｅ有安机进防。a)通过供时虚机控制通带或外技手对虚机运状、资占用、移等信行控。ｂ)通过ｎtｅr定详管权设定确虚机镜安，并保：提虚机像件整校功能防虚机像恶意,越权篡改。采有措保逻卷一刻能一虚机。实虚拟资源,并证：)应过的RS自(开vShｅreA)，虚拟的物理资并虚拟资源确虚机拟监器(Heris)及拟。2）拟只分虚机物。3)虚机虚拟(vPU）实。虚机。虚机内被放或拟到全。保虚机用为的移Migraionｈld可中）进行态的源恶意占。)提资源的措施。e）拟安,在虚拟机监控ypｅ提供虚拟----物理机间的安隔离措施可控制拟机之以及虚机和物机之间所有的数据通。f)提供虚化平台作管理员权限分离机制，设置网络管理、户管理、系统管等不同管理员账户。g）将虚化平台各类操作和事件作为可审计事件，进行记和追溯。h）确保拟镜像模的配置正确性并明确模的谱系源。3.3.2.12

全vShpere虚化台需锁并照佳实践进行固具体请参照ｒevSpherｅ

最佳践议（vShpｅreｉｍized)进行拟平的加固可在大度确保虚拟平脆弱得抑。安全计安区域界面安设计要区边访问制、界议滤区域界整及全审等面计。在期方中着进行计方面。3.3.3.1制由于租户享机源的中共享可以满多个客户不同间段对资源的峰要求避按峰需求设计容量和性资源不同户源的为避免不租户间的资源访提的访问控制方保同间数的离性租户权访户据。方面数据的度离以据租户的安需定制。不同租户之间，通过VLAN分进隔离，并VA的M主机的访控制，按照最权的进行访问控制的制定。不户系统的访问由平台物理进行,不通过vSwih进行，安全审计类可以对通----信进行全监控访问控制因为VMware开发开发接口导致国内全厂商对vＳwiｔch流不可视，只通过策略路由将租户间流量引导至聚交换机，才可实现流量可视并进行审计。3.3.3.2区域网络区边界通常是整个网络系中较为容易受攻击的位置多来自外部的攻都是通过边界的薄弱环攻击到网络内的安域的边界也需要做安全防保安域内的信息安全以及安域内与其他安域间的数据的受控的访。因此网络及安全域边需要进行着重安全防御设计内部各安全域的边界主要通过署防火墙网络入侵测产品病防护网关设，以理的全防策以虑到个全产间动补。不业应系统云台的务边界,采划不的实现,务边界的隔离。安产品型了需虑产自的能、、因,要虑系的理等因可以统击,防产的系统全;可理通过全理中实系网域的全。通过在各个安域边部防墙统进行区域边界访制。3.3.3.3区域区域边的全审计要着对网络边界的进访进行系统审计对联、接入、外部、DS攻击等网络边审计通过对网络进行测计统计网络各应用流量用户I流量网络应用的用,发的问络用。通的审计数统计据，及发现常应用,问对。中通过在交机云平台汇交机路署络计统入检系，区边行全审。----3.3.3.4范区域界的恶意代码防范要是对网络数据包中的毒、木等恶意程序及码进行实时的防护，过部网络层的防病毒关手段实现，本项目中使用专业防病毒过滤网关系统实现互联网接入域边的恶意代码防范,通过携带防病毒功能下一代防火墙系统云平台界、办公终端区边进行恶代码防范。3.3.3.5网络域边完整性护要内部机防非外联及外主机非法接入两个面考。止由于上两行动成络边非法外，界不完整。当前,对于网络非接入及非外联,主要通终端全管系统现相应功。终安全理系为了到安管理目标，要包括下功:1)桌面安防护内网资管理行为管监控具体功包括限制非外联为，止商业密漏实时监各种络连接为，现并且断可上网行为保护内资产。网络接控制止外部授许可和主机入。阻止种内攻击防止客、木、谍软攻击、虫病爆发、法测攻击行为;对终实制络接入制。内资使程理、产管控、防止网资用行,限制应软件的用B、P、通件一、非法外非法外为端护的功能可以对内部络管----理,可以对内网外联及非内网主机的接入作监控对主机机上线、关机下线信息以及机名、机物理地址MAC地址）改等信息行报警所有事的详细信息都动录数据库，以提供包对指定时间段范围、IP地段范围、事件类型条件组合查询方便网络理员安全事件事后分析非法外监控系统该实时检测内部网络用户通过调制解调、网卡等设备非法联互联行为，并实现远程告警或阻断。二、网络信接入功设计能够按照定的策控制机器对网络的接入，保证只有认证过的机器才能够接网络，防存在安全隐患或未经授权的机器接入网，在网络接入层控制非法端连接，持IEEE802.1x端口认的工标准。对于不支持ＥＥ802．1x交换环境,用软件制的方式实现对终端设备安全接控制。根据网络境,用可以择在不段分用认证、非认证、不网络入认证组合。安络3.3.4.1、设备业断对于提供信息统应上的条通信、网关设备换设，应用机制保数据的可用连。对于交、及部安全的换等系统,采用部式,以提络系防3.3.4.2网络的安全包对网络信息的控计监时监控络事析络,现可的行有息并为,行、警断。对网络信计能够机的通信过----量牵引者ＰＩ接口等方给审计统。网络的控与审是继防火墙入侵测之后又一种网络安全手段目很多际范及内重络安全定都安计放重位置。安全计有于入进评是提高安性重要具审计信对确定否有络攻情况生,以确问和击都常要通过安全事不断集积累且以析为现能破坏行提有的证。审是记用使算机络统进所活的过是提安性的重工不能识谁问系统还能出统被样使用。审信息于定否在络攻情况以及定题和击，很要。同时,安全事件的记有助于更速和系统地识问题,且它是后面阶段事故重要依据，为行为及行提供。,通过对安全事件的不收集与积累并且加以分析,有性地对中或用进行审计或可能的破坏行为供有证据。安全审计系统安系统的重分,样能的安全。安对进系统能够在网络的，在一一。安计可系统安全和用件的审计能。对于要的网络信息系统用用行安全计。安全审计监控、理和审计能。,监控能对监的网络及进安监;理能全及了网中被监控机源与安全事件使用,用络、程/用等的访问及网用为况审计能对监过生记录行析计，现全用为。3.3.4.3据机性为在络中机、,以----,,N,soVPNVPN,,V,IP,P工,则系系无做任更改即可实现采很,VPN具身份别认证/访控制,可级高敏信息其他息可以实现信息流向风抵抗基础逻辑蔽与离VPN相来,故采专无考虑底链路,具极强适泛3.3.4.1vＳｈ件云源如域)VM（）问施辑离问制段迁移随着迁移迁移租户资源隔离问服云采取隔离访问控制措施带(简称“等环境集--全管理全管理--中安全理功能系统是安全用系统全策略署和控制的中心对安全策略和安计算环、安全区域边界和安全通信网络上的安机制实施一管理，安中心为各系统管理员、安全管理员和安全审计员供身份鉴别和权限管理集成平台实施系统管理、安全管理和审计管理，部署的安全策略则是连接安全件和各安全保障层面的纽带。该体系的结如下图所示。计环境点n

区边界

通网络点

局点

域网交换机

区域边界

专用接口

通信网络安全管

子系统

子系统

路由器理体系结构务安全管理理理中心安安全管理子系统

务理审计子系统

务份理理理理系统管理子系统跨域安全管理中心图1一个中三重管理的安全体系安管中是按三分立管思想行的，现含户认、授权、访问控制、系资源、访问审计安全管理等管理过的统一平台。其中系统管理、安全管理审计管理分述如。----3.3.5.1计系管子统于节子统界子系统网络系的软件行管和维，行用户件牌对统异行做急。系管子统功如下1资源配理采集点、界网系上报软件息包括软件安、件源网状等息上报到全管理中心２实现对安全事件的综合收集和分析收如防火入侵测网络计洞描备的件息日志并进行合件联析其可存在安隐和全件并行形展。3急处时发现点界和络系的软硬件变更异情况，并做急处理工作3.3.5.2安全管计安全管理系策略置括主体识置客体标识配置安全策略生成和下发、策略申请处理等➢全管理系统标记理功能如下１提供用户标记理功能,为系统中的各用户,配置安全别和安全畴。2供客体标记理功能,为系统中各与安全务相关的客体设定安全标记安全标识包括与文件名直接关的安全标识目录安标识通配符格式的安标识等类同时提供安全标识中安全级别的修改接口供人工参与安级别的制定和更。➢全管理系统策略理功能如下1.生成访问策略。访问策略是用户用户能问的客体资合成问策略,安全管子统的安全策配，生成问策置，问策置策略置能成户置文件识置信入策和信等发各全中2．策略和下策请处是定客安别的----该特权授予的户身份结合起来所形成的一个权限列表列表目来源各用提的客安级修请和主问制略,反客体资源属性和主体的限围，并将该表送给相应主所的平台。３.策略的维护。策略的维功能为全管理的策略查找、策略更新等操作供支并够实略文导入导操作,支持离状下的策略管理,提高安全管员策管操作方便性和易性。3.3.5.3审计管审计系于存处整系统所有计息节点子系统边界子系统、络子系统和安管理中心子系统等得审计信息后形成文件,上传到审计服务器进存储处理，审计可以在安全管理中心上查看审计信息。审计子系功能下：生成审计策略并发放用安全管理中心提供的审计策略设置界面使审计理可选三安全应用支平不范中客访的审别,并与问策略、级检策略相合，生具体的审策略并该略放对应安部件。接、存审信接全件来审计息并行存和处。查审计息。使用全管理中心提供审界面，审计面将审计信息提供给安审计员,并提供审计信息功能。3.4系设信现的，有的信息安全管制，项目的用进成的理信安作在整个息作中的、目、以策略，安全和安全策略形成一实行具导合求息安全理体,安略全全理和管理操作等。----理建设想各种准体文件信息全管建设仅的建议真正构建符合Ｘ身状况的信息安全管理体系建过程中应当以为指导息全技术、息全产品是息全管理基础，息安全理是信息的关键,人管理是信息安全管理的核心息安全政策行息安全管理指导则，息安管理系是实息安管理最有的手建立制度目的帮助对息全理制系进重规,重点是确定息安全工作要求和指标总体方针完善息安全理规章制度法操流程定安全操技和,加强安制执束和信息统各层和操行为确保整个网络系统的安全管理处于较高的水平。设计原则１）参考国家等级保护要求2)安全策略重点保护物和环境安全、信息资产分类管理、变更管理、业务连续管理、安全事故管理、审查评估。3有对的安全。信息安全工作以管理为基础，在安全、效和。业分考行及的管和。对工作原和原。----安全方针信息安全方针应由、导执根制总安针:1保障业务系统安全，就是业务系不受不受黑客、非授权人员等攻击、渗透和篡改,保证可靠及的发布为公众和其他家机关提供服务确保业务系统在Ｉ中实现的程的安全保障，及到业务系统务理安全、业务作整、务数据安全性等。保系安全也是保障整个系的全性。满足法律法规求。

策总体在总体安全方针的指导下制订四个层面的总体安全策第一、业安全策。建立和制定科学、理的内控制机和业务流。----照了了的务安全总体控明确求和后障涉及事务完该部分由业门加以。第应用系统安全策略证内制现证业信和数的。首是通过应统实制定内部制务程加以实现同证该过实将些求落证实现的业务系能够对业处理的信和数据在整个生命周中的密性完整性抗抵性保障Ｘ重要信的真实和完整性分由各务部门信息化门共同以落实。第三基础施全策。保数据、操系、业中间、网等支撑业应用的基础设施安全。业务和应用系是孤立存在的是在环境中行的所以IT撑环境的全直接影响着整个业务安全性。Ｔ撑境全略是证数库操作系统、业中件网络等支撑业应的ＩT础设施安全。该部分由信息化部门加以落实。第四、运行维护安全略。监控业务与系统的有效运行。前面三个方面只是强了现整个业务系统保证业务系统安全性是保证业务系统确实业务程在行,建立运行过程安全性的机些需通过运行管理安全实现管理安全策略是监控业务和系统有效运行。该部分由信息化部门加以落实。安全管理信息系统明、、----则,在集中指挥的管理机制下统筹协调不同层次同理范围的安全管理工作。天融根多安建及务验建议X安理组架工作人安排：信安全导小组组长（分管息安全工作的委领导）成员（各部门主要负责人和分管息安全工作的门领导）信息安全工作主管门分管息安全工作的门领导工小组组长系统管理

安全管理员

审计管理员Ｘ信息组构具及括➢定义:信息安全管理小组是信息系统安全理的最高管理构；职负责对信系统安全管理进行决策监督下级安全部门领导进行任授;委最高领应该由主管领导委任与授权。人信息安全管理小组主要由组长和成员组成。----责

述

备注组长成员

分管信息安全的Ｘ领导。各部门相关负人和分信息安全工作的部门负人➢组：工作小组是信息系统安全管理工作和业务管理的具体执行部门；职责总体负责信系统的安全管理执行体的日常理工作信系统的安全行维护和监设立全主管安全管理员等安全理岗位明确定义各岗的具体职责信息管部门向信息全管理委进行汇报；任与授权:息化管部门对息系统安全管工作进委任与授权。责述

备注组长管信息安全作的部门负责人系统管理员员安全管理员员审计管理员员具体管理人员包括：➢安全管理员、系统管理员、审计管理员义：系安管员网安管员信安员信安审计员别委户统安管工系统理作审计管理工作的具体执行者;责：按制的全理略对息统安进日的护与监；全理、统理、计理向息理门导行;委任：安全管理员、系管员审管员信化理门进委与权其责限该“三分互督小化等原则行义分配。--略规范略规范--服务交付物安全管理咨询，不仅限于下安全管理制度：层次

分类

编制内容

备注安全管理体系框架框架安全体系框架术体系框架框架性安全管全策略略理制安全策全风险管理度Ｘ信息安全风险管理信安全检查规范安全查构构框架

责信息全岗责人员考核人员管理

Ｘ信息全岗训考核外人访管理员理统制度体Ｘ全理全方案计理度施日常运维系统运管理维管理资产管理介管理

信息系统定级等级保护管理系统全规划工作计划安全项和工程施管理Ｘ息系管理Ｘ机安全管理办公境信息安全管理资安理介管理--理中心理中心--层次

分类设备管理

编制内容理

备注监管理和安全管Ｘ日志审计网安全管理理理理理理理理理理

理理理理置管理架理案作安程作作序册类

作作作安作全设备安全网安全设备安全操作操作记录表格个制度和程序手册的要求，形成的记录表格类针对安管方的设要据级护本求,结现有全管理，建套符合等保护要求的安管理系。----3.5计天融信根多年的安集成及服务经,合类似项运维经验,为提供门户网站的安全监控应急响应、安全告、网络及安全设维护、网络防护和系统加固等安全运维务。门户网站安控3.5.1.1天信安全监控务过安管理台自动分析人工分析相合方式帮助从各类统海量日志信息分析可发的各类攻击潜在的全威，时发各攻击件并时发预，时供具的解方案建有弥补当全备相孤缺息之关分不足处，升客信息统事件控与警力高全防水。天信可对网络安设备主统应用系统等进行时全监帮助发现意描SQL注入暴力破解ＤDoＳ击攻行为并及时用预警供解方建,协助对全事进处。----实时监的技术现中的、篡改设备、服务器网设等）安全志事，后行联析(包括场匹和联数)来发现入攻行。监主要对安全设备报出安事类连接、审计、证授以及系统自身的告警)网络和主机等备告信息数据库信息3.5.1.2网站被挂不仅严重影到了网站的公众信誉度,还可能对问该网站用户计算机成很大的破天融信挂马检测块对XＸ的网站使用于准确率静态匹配特征、云等多种检测手段，判别网站页面否存在挂马发您网站系统中被恶意入的马进行警时行，全件的进大来严重及发站被和恶意挂行ＸX马网页挂监测分析报报服报的。3.5.1.3站审计在云服务器通过安全天融信安全网站用统的访问日进行监控用能的安全匹配以及安全分析,XX及时发现针对网站的恶意、Q入攻击----XＳS跨站攻击等可能给网站系造成影响的安全事件。服果现网件并向时提供一安全预报告安全事件的细信息处理方进行描。每月提一《网站安全事件分析表,该报表将《月度服务报告的一个章。3.5.1.4务服容安全对网站络设备等进检查,帮X存ＳQL、XSS漏、CGI漏洞高危漏洞能对站系影响安全。常描策下代码安全如：ＳＬ盲注、ｋ注入、源代泄露、Ｘ目录历等息安全如:应用序错、站路径露、Ｏ、弱令、辑器等置安全如:敏感文敏目录目录览应用台弱口令允许E方法等服务器安全如:系漏洞、服务端口弱口令、应用服漏洞等天信网站扫描服主要采用安全扫工具扫描的方式现。工自动扫描具备下特点：基上应用统的漏洞定、高程IP扫描;高度;----一切以证目标统的数据安全为前提对目标机、应系统正工作的响降至小。通对的信息系统