IT运维信息安全解决方案

8。3IT运维信息安全解决方案8。3.1安全运维的重要性随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进，安全运维占信息系统生命周期70%-80％的信息，并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段，运维人员需要管理越来越庞大的IT系统这样的情况下，信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设，更是IT系统管理中的夯实基础。运维服务的发展趋势对于企业的安全运维服务管理的发展，通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段.1、在混乱阶段：运维服务没有建立综合的支持中心,也没有用户通知机制；2、在被动阶段：运维服务开始关注事件的发生和解决，也开始关注信息资产，拥有了统一的运维控制台和故障记录和备份机制；3、在主动阶段：运维服务建立了安全运行的定义，并将系统性能，问题管理、可用性管理、自动化与工作调度作为重点；4、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理；5、在价值阶段，运维服务实现了性能、安全和核心几大应用的紧密结合，体现其价值所在8.3.2信息安全的概念8。3.2.1信息安全定义信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪后，随着信息技术的不断发展，信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早，投入力度大，已取得了许多成果，并得以推广应用•中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业，形成了中国信息安全产业的雏形。关于信息安全的定义也有很多，国内学者与国外学者、不同的社会组织也给出了不同的定义.＞国内学者的定义“信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面•”＞我国“计算机信息系统安全专用产品分类原则'中的定义是：“涉及实体安全、运行安全和信息安全三个方面。”＞我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施（网络）的安全运行环境的安全,保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”•这里面涉及了物理安全、运行安全与信息安全三个层面。＞国家信息安全重点实验室给出的定义是“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说就是要保障电子信息的有效性•”>英国BS7799信息安全管理标准给出的定义是“信息安全是使信息避免一系列威胁，保障商务的连续性最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。”>美国国家安全局信息保障主任给出的定义是：“因为术语‘信息安全'一直仅表示信息的机密性，在国防部我们用‘信息保障'来描述信息安全，也叫‘IA'.它包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。”>国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露"•8.3。1。2信息安全的目标机密性Confidentiality完整性Integrity可用性Availability可控性controllability真实性Authenticity>不可否认性Non-repudiation8。3.1。3信息安全范围＞帐号口令管理＞系统基线配置安全管理＞系统漏洞安全管理＞终端安全管理＞安全审计管理＞客户信息安全管理＞业务安全管理＞安全检查与维护作业8。3。2安全运维的定义通常安全运维包含两层含义：一是指在运维过程中对网络或系统发生病毒或黑客攻击等安全事件进行定位、防护、排除等运维动作，保障系统不受内、外界侵害。二是指对运维过程中发生的基础环境、网络、安全、主机、中间件、数据库乃至核心应用系统发生的影响其正常运行的事件（包含关联事件）通称为安全事件，而围绕安全事件、运维人员和信息资产，依据具体流程而展开监控、告警、响应、评估等运行维护活动，称为安全运维服务。目前，大多数企业还停留在被动的、传统意义上的安全运维服务,这样安全运维服务存在着以下弊端：1）、出现故障纵有众多单一的厂商管理工具，但无法迅速定位安全事件，忙于“救火",却又不知火因何而“着”。时时处于被动服务之中，无法提供量化的服务质量标准。2）、企业的信息系统管理仍在依靠各自的“业务骨干"支撑，缺少相应的流程和知识积累，过多依赖于人。3）、对安全事件缺少关联性分析和评估分析,并且没有对安全事件定义明确的处理流程,更多的是依靠人的经验和责任心，缺少必要的审核和工具的支撑。正是因为目前运维服务中存在的弊端,XX股份有限公司依靠长期从事应用平台信息系统运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL（最佳实践指导）、ISO/IEC27000系列服务标准、以及《中国移动广东公司管理支撑系统SOA规范》等相关标准，建立了一整套完善和切实可行的信息安全运维服务管理的建设方案。8.3。3XX股份运维五大架构体系8。3.3。1建立安全运维监控中心基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测，以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行,XX股份帮助用户建立全面覆盖信息系统的监测中心，并对各类事件做出快速、准确的定位和展现。实现对信息系统运行动态的快速掌握，以及运行维护管理过程中的事前预警、事发时快速定位。其主要包括：1、集中监控：采用开放的、遵循国际标准的、可扩展的架构，整合各类监控管理工具的监控信息，实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。监控的主要内容包括:基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等.2、综合展现：合理规划与布控，整合来自各种不同的监控管理工具和信息源，进行标准化、归一化的处理，并进行过滤和归并,实现集中、综合的展现。3、快速定位和预警：经过同构和归并的信息，将依据预先配置的规则、事件知识库、关联关系进行快速的故障定位,并根据预警条件进行预警。8.3。3。2建立安全运维告警中心基于规则配置和自动关联,实现对监控采集、同构、归并的信息的智能关联判别，并综合的展现信息系统中发生的预警和告警事件，帮助运维管理人员快速定位、排查问题所在。同时，告警中心提供了多种告警响应方式，内置与事件响应中心的工单和预案处理接口，可依据事件关联和响应规则的定义，触发相应的预案处理，实现运维管理过程中突发事件和问题处理的自动化和智能化。关于事件基础库维护：它是事件知识库的基础定义，内置大量的标准事件，按事件类型进行合理划分和维护管理，可基于事件名称和事件描述信息进行归一化处理的配置，定义了多源、异构信息的同构规则和过滤规则.关于智能关联分析：它是借助基于规则的分析算法，对获取的各类信息进行分析，找到信息之间的逻辑关系，结合安全事件产生的网络环境、资产重要程度，对安全事件进行深度分析,消除安全事件的误报和重复报警。关于综合查询和展现：它实现了多种视角的故障告警信息和业务预警信息的查询和集中展现.关于告警响应和处理：它提供了事件生成、过滤、短信告警、邮件告警、自动派发工单、启动预案等多种响应方式,内置监控界面的图形化告警方式；提供了与事件响应中心的智能接口，可基于事件关联响应规则自动生成工单并触发相应的预案工作流进行处理。8。3。3。3建立安全运维事件响应中心借鉴并融合了ITIL（信息系统基础设施库）/ITSM（IT服务管理）的先进管理规范和最佳实践指南，借助工作流模型参考等标准，开发图形化、可配置的工作流程管理系统，将运维管理工作以任务和工作单传递的方式,通过科学的、符合用户运维管理规范的工作流程进行处置，在处理过程中实现电子化的自动流转，无需人工干预,缩短了流程周期,减少人工错误，并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。其中包括以下五大方面:图形化的工作流建模工具：实现预案建模的图形化管理，简单易用的预案流程的创建和维护，简洁的工作流仿真和验证。2．可配置的预案流程:所有运维管理流程均可由用户自行配置定义，即可实现ITIL/ITSM的主要运维管理流程，又可根据用户的实际管理要求和规范,配置个性化的任务、事件处理流程。3.智能化的自动派单:智能的规则匹配和处理，基于用户管理规范的自动处理，降低事件、任务发起到处理的延时，以及人工派发的误差。4。全程的事件处理监控:实现对事件响应处理全过程的跟踪记录和监控,根据ITIL管理建议和用户运维要求，对事件处理的响应时限和处理时限的监督和催办。5。事件处理经验的积累:实现对事件处理过程的备案和综合查询,帮助用户在处理事件时查找历史处理记录和流程，为运维管理工作积累经验。8.334建立安全运维审核评估中心安全运维审核评估中心具有对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理三大功能。1。评估功能：遵循国际和工业标准及指南建立平台的运行质量评估框架，通过评估模型使用户了解运维需求、认知运行风险、采取相应的保护和控制，有效的保证信息系统的建设投入与运行风险的平衡，系统地保证信息化建设的投资效益，提高关键业务应用的连续性。2。考核功能：在评价过程中避免主观臆断和片面随意性,可以实现工作量、工作效率、处理考核、状态考核等的一种客观评价功能.3。审计功能：是以跨平台多数据源信息安全审计为框架，以电子数据处理审计为基础的信息审计系统。主要包括：系统流程和输入输出数据以及数据接口的完整性、合规性、有效性、真实性审计。8。3。3.5以信息资产管理为核心IT资产管理是全面实现信息系统运行维护管理的基础，提供的丰富的IT资产信息属性维护和备案管理，以及对业务应用系统的备案和配置管理.基于关键业务点配置关键业务的基础设施关联，通过资产对象信息配置丰富业务应用系统的运行维护内容，实现各类IT基础设施与用户关键业务的有机结合,以及全面的综合监控。这其中包括：综合运行态势：是全面整合现有各类设备和系统的各类异构信息，包括网络设备、安全设备、应用系统和终端管理中各种事件,经过分析后的综合展现界面，注重对信息系统的运行状态、综合态势的宏观展示。系统采集管理：以信息系统内各种IT资源及各个核心业务系统的监控管理为主线，采集相关异构监控系统的信息，通过对不同来源的信息数据的整合、同构、规格化处理、规则匹配，生成面向运行维护管理的事件数据，实现信息的共享和标准化。系统配置管理：从系统容错、数据备份与恢复和运行监控三个方面着手建立自身的运行维护体系,采用平台监测器实时监测、运行检测工具主动检查相结合的方式,构建一个安全稳定的系统.8。3.3.6安全管理原则1）、XX股份有限公司负责业务支撑中心的安全、保密管理工作遵守南方基地已有各项安全规定,以此为基础制定详细的《安全管理实施办法》，并采取适当措施保证有关措施的有效执行。2）、XX股份有限公司定期检查安全、保密规定的执行情况；3）、XX股份有限公司定期组织系统病毒检查，并对此负责；4）、XX股份有限公司及时向信息技术中心反映存在的安全隐患。8。3.3.7保密原贝卩1）、XX股份严格遵守南方基地各项安全保密制度，加强服务工程师的保密意识，制定有效的管理制度。2）、XX股份整理措施和技术措施,防止重要数据、文件、资料的丢失及泄漏。3）、XX股份有关计费清单、用户资料、业务数据、重要文件等均属机密,不得任意抄录、复制及带出机房,也不得转告与工作无关的人员。4）、机房内重要文件、数据文件的销毁方式为文件送入碎纸机,不得随意丢弃。5）、安全保密工作XX股份安排专人负责，定期向XX信息技术中心提交《安全工作报告》。8.3。4信息安全的要求8。3.4。1帐号口令管理＞账号口令管理要求按照“谁主管，谁负责”原则，业务系统责任部门负责按照本办法管理公司内部人员及第三方协维人员在系统应用层的帐号。由公司各部门分别维护管理操作系统层和应用层的系统，并分别作为各层帐号的管理部门。各层帐号管理部门各自负责本部门职责层面内的帐号审批及授权管理，推动制定帐号审批流程、表格模版等并落实责任人，监督落实帐号申请表、用户帐号登记表的维护管理。各层帐号管理部门各自负责本部门职责层面内的帐号审批、创建及删除、权限管理以及口令管理要求执行情况审核机制，接受定期审核。用户需按照帐号审批流程向各责任部门申请所需帐号、修改权限或者撤销帐号。在帐号审批成功并创建后,应对帐号口令进行定期修改。并应做到严格保护帐号口令，不得故意泄露，否则需承担由此导致安全问题的责任。＞帐号管理人员逻辑分类岗位职责涉及相关记录

1、需对相关授权表进行审批授权签字，每季度需复核审批；部门负责人2、需对员工变动情况进行审批；3、需对远程维护接入申请进行审批系统层/应用层超级管理员：1、系统层超级管理员：按各系统进行设置2、应用层超级管理员：按业务应用管理进行设置系统/应用程序最高权限管理员，负责管理所辖系统的帐号分配和管理，需要部门负责人对其进行授权.系统层超级管理员、应用层超级管理员需由部门领导分别进行授权,不同系统可以兼任。系统层/应用层普通用户：系统维护、应用操作执行人员，为普通维护人员及第三方人员，只能申请自身帐号进行操作，不能进行帐号分配管理。安全管理员、安全审计员：负责所辖各系统及设备的信息安全管理工作•每月检查信息安全管理的执行情况，汇总安全分析报告；与系统层超级管理员、应用层管理员需职责分离。超级管理员帐号管理流程管理流程管理要求

内部帐号创建/变更流程管理流程管理要求管理流程管理流程管理要求内部员工需要增加帐号或进行权限变更时,审核。内部员工需要增加帐号或进行权限变更时,审核。由申请人填写《系统帐号创建/变更申请表》提交所在部门负责人进行权限职责相容性申请部门完成审核后，转发系统责任部门负责人进行书面审批。书面审批通过，由系统超级管理员在系统中创建帐号或进行权限修改.第三方帐号管理流程管理流程管理要求

如存在第三方公司人员需要建立帐号的情况，应和第三方厂商签订相关的安全保密协议。保密协议应注明拥有帐号列表及相关保密责任，以合理确保第三方厂商能够执行中国移动的安全管理要求和职责不相容要求。第三方公司需要增加普通帐号或进行权限变更时，由合作引入部门填写《系统帐号创建/变更申请表》。提交所在部门负责人进行权限职责相容性审核.申请部门完成审核后，转发系统责任部门负责人进行书面审批后.系统超级管理员在系统中创建帐号或进行权限修改。系统预设帐号管理流程管理流程管理要求

对于部分因系统、接口原因在系统中预设的用户帐号，系统责任部门应对接口程序、脚本或相关设置进行加密保存，禁止使用简单密码。因系统原因不能进行加密保存的，系统管理员需提交预设帐号清单及使用人员清单。系统责任部门负责人进行书面审批授权。系统责任部门负责人每季度进行复核签字确认，如发现多余或不恰当的账号应进行及时调整。8。3。4。2系统基线配置安全管理基线配置安全要求依据《管理信息系统安全基线规范V2.0》等管理规范与要求，公司各业务平台操作系统、数据库、服务器中间件、帐号权限分配与配置策略、防火墙需按照该规范进行配置。定期组织相关检查人员按时对各业务系统进行安全基线配置检查，对检查中存在风险的系统发出整改通知书，督促其及时进行整改，并根据整改反馈进行复查，对业务系统上线前进行基线配置安全检查工作，存在有安全风险的系统必须进行限期整改,验收合格后才能上线。＞基线配置安全检查流程管理要求管理流程管理要求信息安全管理部门按工作计划发起基线安全检查流程并0A通知具体系统负责人各系统责任人收到0A邮件后，协调安排配合人员进行现场配合信息安全管理部门根据检查结果，对存在风险的系统发出整改通知，系统责任人收到整改通知后安排对风险进行整改加固，并反馈整改情况，信息安全管理部门收到反馈结果组织复查。8.3。4。3系统漏洞安全管理＞系统漏洞安全要求定期对公司各生产系统进行操作系统、数据库、中间件、Web网

站等进安全漏洞检查，对检查中存在漏洞的系统发出整改通知书，督促其及时进行整改，并根据整改反馈进行复查,对业务系统上线前进行系统漏洞安全检查工作，存在有安全风险的系统必须进行整改验收后才能上线.＞系统漏洞安全检查流程管理要求管理流程管理要求信息安全管理部门按工作计划发起系统漏洞安全检查流程并0A通知具体系统负责人各系统责任人收到0A邮件后，协调安排配合人员进行现场配合信息安全管理部门根据检查结果，对存在漏洞的系统发出整改通知，系统责任人收到整改通知后安排对风险进行整改加固，并反馈整改情况，信息安全管理部门收到反馈结果组织复查。8。3。4。4终端安全管理＞终端安全管理要求终端安全策略配置项应满足以下要求：.终端统一命名，统一采用“公司+人员姓名”中文方式

.系统标准化管理，统一使用正版软件，禁止安装盗版。.密码策略，按照公司帐号管理办法设置复杂度策略。.配置帐户锁定策略,要求设置锁定次数为5次以下。.禁用匿名访问网络。。设置系统屏保密码,同时设定10分钟以内的锁定策略。.审计策略，开启所有审计策略。.要求安装杀毒软件并及时进行病毒库更新安装公司采购的终端监控软件。。要求统安装公司采购的终端监控软件。终端安全配置检查流程管理要求管理流程管理要求信息安全管理部门按工作计划发起办公终端安全检查流程并0A通知具体检查部门各部门员工(含合作伙伴)配合进行终端安全检查。检查人员对存在不合规项的终端进行设置，以满足安全管理要求。8.3.4。5安全审计管理安全审计管理要求事件日志记录：将来自不同区域、不同设备、不同系统的日志信息集中起来，集中分析处理，创建记录异常事件和安全相关事件的审计日志并按照协商认可的保留期限将其保留一段时间。1）.审计日志必须至少包含4W（who/when/where/what）要素：用户ID或帐号。操作日期和时间.终端标识或位置。用户所进行的操作。系统的成功访问和拒绝访问的记录。数据与其它资源的成功访问和拒绝访问记录。2）.日志审计类型网络类日志（鉴权平台、网络设备日志）主机类日志（主机本身日志）应用类日志（交换机、智能网等应用系统日志）安全类日志（IDS、防火墙等）3）.所有特权操作新帐户的创建。用户权限升级、口令更改.配置的更改。系统文件的删除。系统启动和停止.11rI/O设备连接/分离。端口开启进程启动等4）。对应记录用户ID。地址：包括目标IP和源IP重要事件的日期和时间。事件类型。所访问的文件或资源.所用程序/实用程序。所进行的操作或操作结果。＞安全审计流程工作流程工作要求工作流程工作要求/标准岗位职责肯各业务系统安全监控审计人员监控系统中产生的事件肯系统管理员肯各业务系统安全监控审计人员监控系统中产生的事件肯系统管理员肯负责系统的日常监控维护和日志分析检测到需及时处

理安全事件当检测到需处理事件时应及时进行处理检测到需及时处

理安全事件当检测到需处理事件时应及时进行处理肯系统管理员肯安全管理员肯发现安全事件时，系统管理员通过任务工单向安全管理员及时汇报；肯安全管理员接到事件报告时，要及时进行分析定性，决定后续处理措施。工作流程工作要求/标准岗位职责联系设备厂商、服务厂商,及时对事件进行分析处理，处理内容包括：确定危险程度,工作流程工作要求/标准岗位职责联系设备厂商、服务厂商,及时对事件进行分析处理，处理内容包括：确定危险程度,实施控制措施，恢复系统，确定来源，收集数据取证等.如果事件对网络或系统造成重大影响,应启动事后分析流程.厂商人员、服务商（如需要）；系统管理员；安全管理员如有必要，系统管理员负责通知厂商、服务商到场厂商、服务商如接到安全事件通知，需及时到场，将分析结果和处理建议提交安全管理员；安全管理员需审核厂商提交的安全事件处理建议；重大安全事件需及时向上级管理人员汇报；系统管理员配合厂商进行安全建议的实施。填写《事件分析处理记录》存档。报告应包含已经采取的防护措施的详细情况和其他任何经验教训（例如用来预防相同或类似事件再次发生的进一步防护措施）厂商人员、服务商系统管理员安全管理员肯处理人员需填写《事件分析处理报告》肯安全管理员需审核并签署处理结果8.3.4。6客户信息安全管理＞客户信息安全管理要求各系统管理员应明确识别各系统中存储、传输的客户有关信息，并具体标注需要保护的客户信息类型，对于各相关系统中的客户信息，未经授权许可不得查询，更不能用于公司合法运营之外的其它商业用途。禁止在相关系统中运行与业务无关的其它程序，尤其是可能自动获取用户资料的程序.按照最小化原则配置账户权限,保证对客户信息的访问不得超过本身工作范围。对于访问相关系统的用户,能直接获得客户信息的，必须经过授权，未经授权的用户不得访问该系统。对涉及客户信息相关操作，严格按照《“金库模式"实施指导意见》要求执行，对业务系统涉及客户身份资料、位置信息、通话详单、充值记录等高价值信息的高风险操作纳入金库管控。各系统在信息获取、处理、存储、消除各环节保护客户信息的完整性、保密性、可用性，具备但不限于如下功能：.客户信息存储时应具备相应的安全要求，包括存储位置、存储方式等,对于重要的客户信息,应根据系统实际情况提供必要的加密手段..应具备完善的权限管理策略，支持权限最小化原则、合理授权，对不能支持此原则的系统，应减少掌握该权限的人员数量，并加强人员管理。。具备完整的用户访问、处理、删除客户信息的操作记录能力，以备审计。新建系统必须满足本要求，对于不支持本要求的已建系统，应根据实际情况在系统升级中进行改造。.在传输客户信息时，经过不安全网络的(例如INTERNET网)，需要对传输的客户信息提供加密和完整性校验8。3。4。7业务安全管理加强业务内容安全监控,加强对业务内容源引入、内容提供/发布、内容传播等环节的审核和监控,并建立和完善内容安全事件的应急处理机制，确保业务内容提供的健康、合法。提高业务计费安全控制，加强对业务计费流程的梳理，严防计费问题的出现。针对WAP、WWW、短信等不同业务订购方式，分别采用有效手段，防止业务计费点被套用；确保建立和完善业务信息费异常监控技术手段，及时发现计费安全问题;对代收费业务应进行定期拨测，发现问题及时处理。增强业务系统外部接口安全防护，高度重视与外部系统有交互接口的业务平台的安全风险，确保交互协议设计的安全可靠。加强对外部交互协议与接口的拨测，及时发现存在的安全问题。在业务系统建设过程中应在业务系统与外部平台之间规划部署防火墙、流量监控等安全管控措施。完善业务使用流程和制度相关自，加强对业务订购、业务认证、业务使用、业务退订等各环节流程的审核和监控，及时发现安全问题。对业务订购、变更、退订要提供准确的核实和确认机制，对业务认证要重点关注敏感认证数据加密、认证算法强度和认证失败次数控制等。加强对互联网营销渠道的安全监控，采取黑白名单、动态码验证等技术手段防止营销渠道恶意盗链，建立完善的拨测机制，监控违规情况。针对第三方营销渠道，禁止层层转包，并定期进行营销规范性拨测,发现违规情况及时处理。业务平台运维从系统、人员、第三方管理等方面,加强业务平台的运维安全管控,防止业务运维中出现安全隐患.增强业务系统自身的访问控制，严格限制运维人员的帐号、权限，确保权限、角色相符合；加强对运维人员的安全意识和技能培训，提高安全运维能力。8。3。4。8安全检查与维护作业按照规范要求，定期进行信息安全检查，形成汇报材料并进行内部通报.检查应包括但不限于以下内容,1）.每月进行1次检查生产终端及网络接入情况。2）。平均每2个月完成1次全量的系统漏洞扫描，并且完成系统帐号弱口令安全检查工作.3）.每月完成1次全量Web漏洞扫描，每半月完成1次重要Web网站漏洞扫描。4）.针对割接变更的业务系统,每月进行1检查安全基线配置情况。5）。每月出具1次安全审计月报。6）。每季度定期抽检要害人员保密协议、第三方保密协议、信息安全承诺书、要害人员保密协议签署备案情况。7）。每季度定期抽检业务系统业务流程制定与执行、信息发布与审核等情况。8）。每季度定期抽检新建系统上线安全验收情况。9）。针对重大专项安全保障工作,根据专项工作的具体要求，信息安全组负责制定专项的安全保障工作安排，其中包括:内容安全保障、业务安全保障、系统与网络安全保障、客户信息安全保障、第三方保障，并组织基地各部门开展各项安全检查工作。8。3。5IT运维服务范围IT运维是IT管理的核心和重点部分,也是内容最多、最繁杂的部分，该阶段主要用于IT部门内部日常运营管理，涉及的对象分成两大部分，即IT业务系统和运维人员，可细分为八个子系统：＞设备管理：对网络设备、主机、存储、操作系统运行状况进行监控＞应用/服务管理对各种应用支持软件如数据库、中间件、群件以及各种通用或特定服务的监控管理，如邮件系统、DNS、Web等的监控与管理＞数据/存储/容灾管理对系统和业务数据进行统一存储、备份和恢复＞业务管理对企业自身核心业务系统运行情况的监控与管理＞目录/内容管理主要对于企业需要统一发布或因人定制的内容管理和对公共信息的管理＞资产管理管理企业中各IT系统的资源资产情况，这些资源资产可以是物理存在的，也可以是逻辑存在的，并能够与企业的财务部门进行数据交互＞信息安全管理目前信息安全管理主要依据的国际标准是ISO17799，该标准涵盖了信息安全管理的十大控制方面，36个控制目标和127种控制方式,如企业安全组织方式、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、业务连续性管理等＞日常工作管理主要用于规范和明确运维人员的岗位职责和工作安排、提供绩效考核量化依据、提供解决经验与知识的积累与共享手段8.3。6IT运维与信息安全的关系信息安全是IT运维的重要组成模块，对于某些行业是关键模块＞IT运维旨在谋求安全性与方便性＞信息安全保障着价值＞信息安全正在创造价值信息安全与IT运维共有一个衡量标尺：组织业务目标＞业务需求驱动信息安全与IT运维需求＞信息安全与IT运维方案要适应业务流程＞信息安全与IT运维方案要支撑业务的可持续发展＞业务目标的调整驱使安全与IT运维的调整＞投资与企业战略、风险状况密切相关信息安全贯穿了IT运维整个生命周期＞信息安全与IT运维都是一个过程，而不是一次事件＞每个IT运维流程都影响着安全的一个或者多个目标(C.I.A)＞失去信息安全的IT运维是失败的运维＞信息安全的成熟度模型与IT运维的标杆管理是吻合的IT运维与信息安全的融合＞信息安全公司试水运维，安全产品强化管理、监控功能，支持IT运维＞运维支持类产品引入安全概念、集成安全技术＞信息安全融入IT运维流程中＞相关标准的认证工作可以同时进行(IS020000/270001)IT运维的趋势彰示着安全的未来＞IT运维的标准化符合安全的“纵深防御"的理念＞IT运维的流程化提高了安全的可管理性，为改进安全工作提供条件＞IT运维的自动化减少了人为失误，降低了安全的成本8。3.7云计算信息安全云计算是一种基于Internet的新兴应用计算机技术，在信息行业的发展中占据着重要的位置，它为互联网用户提供了安全可靠地服务和计算能力。其信息安全问题不仅仅是云计算所要解决的首要问题，也是决定云计算的发展前景的关键性因素。云计算的特征云计算是在分布式计算、网格计算、并行计算等发展的基础上提出的一种计算模型，它面对的是超大规模的分布式环境，核心是提供数据存储和网络服务。它具有如下一些特点:＞较高的可靠性云计算采用了计算节点同构可互换、数据多副本容错等分支，因此与本地计算机相比,其可靠性更高。＞大规模性由具备一定规模的多个结点组成,系统规模可以无限大.＞高度的可扩展性可用即插即用的方式方便、快速地增加和减少资源可扩展性和弹性比较高。＞资源共享性提供一种或多种形式的计算或存储能力资源池,如物理服务器，虚拟机,事物和文件处理能力或任务进程。＞动态分配实现资源的自动分配管理，包括资源即时监控和自动调度等，并能够提供使用量监控和管理。＞跨地域能够将分布于多个物理地点的资源进行整合，提供统一的资源共享,并能在各物理地点间实现负载均衡。另外，由于云计算具有低廉的成本及广阔的应用空间，不断吸引着电信运营商和制造商的关注。如中国三大电信运营商纷纷开展了云计算的研究和试验工作，构建中国IT支撑云、业务云、公众服务云，为社会提供基于云计算的IT服务。然而，在云计算应用发展中面临着诸多挑战,如标准化问题、网络带宽问题、安全风险问题，其中安全问题被认为是最大的挑战之一，对于云计算的商业模式能否成功起着至关重要的影响。云计算安全出了传统IT架构中的信息安全风险外，还包括虚拟化、多租户技术带来的新的业务风险，导致信息安全风险复杂度升高。837.2云计算九大安全威胁CSA(CloudSecurityAlliance，云计算安全联盟)列出了云计算领域的9个安全威胁。1。数据泄露为了表明数据泄露对企业的危害程度，CSA在报告中提到了一篇研究文章，该文章描述了黑客如何利用边信道(Side-Channel)时间信息，通过侵入一台虚拟机来获取同一服务器上的其他虚拟机所使用的私有密钥。不过，其实不怀好意的黑客未必需要如此煞费苦心，就能确保这种攻击得逞。要是多租户云服务数据库设计不当，哪怕某一个用户的应用程序只存在一个漏洞，都可以让攻击者获取这个用户的数据，而且还能获取其他用户的数据。要应对数据丢失和数据泄露方面的威胁，难就难在其有可能造成“拆东墙补西墙”般的效果。CSA报告认为：“你落实到位的措施可能可以缓解一种威胁，但是会加大遭遇另一种威胁的风险。"用户可以对数据进行加密，以减小泄露的风险，不过一旦用户丢失了加密密钥,就再也无法查看数据了。反过来说，如果用户决定对数据进行异地备份以减小数据丢失风险,却就又加大了数据泄露的几率。2•数据丢失CSA认为，云计算环境的第二大威胁是数据丢失。用户有可能会眼睁睁地看着那些宝贵数据消失得无影无踪,但是却对此毫无办法.不怀好意的黑客会删除攻击对象的数据.粗心大意的服务提供商或者灾难（如大火、洪水或地震）也可能导致用户的数据丢失.让情况更为严峻的是，要是用户丢失了加密密钥，那么对数据进行加密的行为反而会给用户带来麻烦.报告特别指出,数据丢失带来的问题不仅仅可能影响企业与客户之间的关系。按照法规，企业必须存储某些数据存档以备核查，然而这些数据一旦丢失，企业由此有可能陷入困境，遭到政府的处罚。3•数据劫持第三大云计算安全风险是账户或服务流量被劫持。CSA认为，云计算在这方面增添了一个新的威胁。如果黑客获取了企业的登录资料，其就有可能窃听相关活动和交易，并操纵数据、返回虚假信息，将企业客户引到非法网站.报告表示：“你的账户或服务实例可能成为攻击者新的大本营。他们进而会利用你的良好信誉，对外发动攻击。”要抵御这种威胁，关键在于保护好登录资料，以免被偷窃。CSA认为:“企业应考虑禁止用户与服务商之间共享账户登录资料。企业应该尽量采用安全性高的双因子验证技术。”4。不安全的接口第四大安全威胁是不安全的接口(API).IT管理员们会利用API对云服务进行配置、管理、协调和监控°API对一般云服务的安全性和可用性来说极为重要。企业和第三方因而经常在这些接口的基础上进行开发，并提供附加服务。CSA在报告中表示：“这为接口管理增加了复杂度。由于这种做法会要求企业将登录资料交给第三方，以便相互联系，因此其也加大了风险。"CSA在此给出的建议是，企业要明白使用、管理、协调和监控云服务会在安全方面带来什么影响。安全性差的API会让企业面临涉及机密性、完整性、可用性和问责性的安全问题。5•拒绝服务攻击分布式拒绝服务(DDoS)被列为云计算面临的第五大安全威胁.DDoS—直都是互联网的一大威胁。而在云计算时代，许多企业会需要一项或多项服务保持7X24小时的可用性，在这种情况下这个威胁显得尤为严重。DDoS引起的服务停用会让服务提供商失去客户，还会给按照使用时间和磁盘空间为云服务付费的用户造成惨重损失。虽然攻击者可能无法完全摧垮服务，但是“还是可能让计算资源消耗大量的处理时间，以至于对提供商来说运行成本大大提高，只好被迫自行关掉服务。”6•不怀好意的“临时工”第六大威胁是不怀好意的内部人员，这些人可能是在职或离任的员工、合同工或者业务合作伙伴.他们会不怀好意地访问网络、系统或数据.在云服务设计不当的场景下,不怀好意的内部人员可能会造成较大的破坏。从基础设施即服务（IaaS）、平台即服务（PaaS）到软件即服务（SaaS），不怀好意的内部人员拥有比外部人员更高的访问级别,因而得以接触到重要的系统，最终访问数据。在云服务提供商完全对数据安全负责的场合下，权限控制在保证数据安全方面有着很大作用.CSA方面认为：“就算云计算服务商实施了加密技术，如果密钥没有交由客户保管,那么系统仍容易遭到不怀好意的内部人员攻击。”7。滥用云服务第七大安全威胁是云服务滥用，比如坏人利用云服务破解普通计算机很难破解的加密密钥。恶意黑客利用云服务器发动分布式拒绝服务攻击、传播恶意软件或共享盗版软件.这其中面临的挑战是，云服务提供商需要确定哪些操作是服务滥用，并且确定识别服务滥用的最佳流程和方法。&贸然行事第八大云计算安全威胁是调查不够充分，也就是说，企业还没有充分了解云计算服务商的系统环境及相关风险，就贸然采用云服务。因此,企业进入到云端需要与服务提供商签订合同，明确责任和透明度方面的问题。此外,如果公司的开发团队对云技术不够熟悉，就把应用程序贸然放到云端，可能会由此出现运营和架构方面的问题。>9•共享隔离问题CSA将共享技术的安全漏洞列为云计算所面临的第九大安全威胁。云服务提供商经常共享基础设施、平台和应用程序,并以一种灵活扩展的方式来交付服务.CSA在报告中表示：“共享技术的安全漏洞很有可能存在于所有云计算的交付模式中，无论构成数据中心基础设施的底层部件（如处理器、内存和GPU等）是不是为多租户架构（IaaS）、可重新部署的平台（PaaS）或多用户应用程序（SaaS）提供了隔离特性。”如果极其重要的数据中心组成部分，比如虚拟机管理程序、共享平台组件或者应用程序受到攻击，那么由此可能导致整个环境遭受到损害。CSA建议采用更深入的整体防御策略，通过涵盖计算、存储、网络、应用程序、用户安全执行以及监控等多个层面的解决方案,来应对相应的安全挑战。8。3。7.3云计算信息安全风险尽管很多研究机构认为云计算提供了最可靠、最安全的数据存储中心,但安全问题是云计算存在的主要问题之一。虽然每一家云计算方案提供商都强调使用加密技术（如SSL）来保护用户数据，但即使数据采用SSL技术进行加密,也仅仅是指数据在网络上加密传输的，数据在处理和存储时的保护的安全问题仍然没有解决.主要存在以下安全风险：>由于网络边界模糊带来的安全风险在传统的网络边界防护中，一般都是按照网络中资源重要程度的不同进行区域划分，各个区域之间边界明确，然后再在不同区域根据安全需求不同采取相应的边界防护措施.但在云计算环境下，由于大量运用虚拟化技术,资源池化技术导致云计算环境内服务器、存储设备和网络设备等硬件基础设施被高度整合,多个系统同时运行在同一个物理设备上，传统的网络边界正在被打破,传统意义上网络边界防护手段也需要调整以适应新的技术变革.数据安全面临的风险.信息远程传输面临的安全风险在云计算环境下，所有的数据处理、存储都是在云端完成的，用户一端只具有较少的计算处理能力.这就意味着用户的原始数据、发送的处理请求、用户端展示的内容等数据都需要通过网络进行传输，云计算环境中将严重依赖网络。在开放的互联网中如何保证云端与用户端之间数据传输的机密性、完整性是需要解决的问题。。信息集中存储面临的安全风险如果用户一旦迁移到云环境中后，用户所有的数据都将在云端,云服务商以何种技术保证用户的数据在云端得到了妥善保存而没有被无意或恶意的泄露出去，用户如何能保证自身存储的数据都是合法的、经过授权的用户所访问而没有被竞争对手窥探,云计算环境下的身份鉴别、认证管理和访问控制等安全机制是否符合用户的需求，这些都已经成为云计算环境下迫切需要解决的问题。＞云服务器面临的安全风险在云计算环境中，由于数据和资源的大集中导致云服务器需要承担比传统网络架构的服务器更加繁重的任务。云计算环境对外提供的应用服务、用户提出的数据处理需求等等都需要由云服务器来完成。但同时云环境下开放的网络环境、多用户的应用场景给云服务器的安全带来更多的隐患。＞云计算环境下的信息安全策略1）。边界安全为了适应由于网络边界模糊带来的安全需求，大量的边界防护设备，如防火墙、入侵检测等系统也进行了相应的改造，提供虚拟化环境下的安全防护能力以适应新的安全需求.以防火墙系统为例：在云计算环境下的防火墙普遍采用虚拟防火墙技术，将一台物理的防火墙基于虚拟设备资源进行划分，每个虚拟后的防火墙不但具备独立的管理员操作权限，能随时监控和调整策略的配置情况，同时多个虚拟防火墙的管理员也支持并行操作。物理防火墙能保存每个虚拟防火墙的配置和运行日志。经过虚拟化之后的防火墙能像普通的物理防火墙一样，由不同的业务系统使用，由各自业务系统自主管理和配置各自的虚拟防火墙，采用不同的安全策略，实现各业务系统之间的安全隔离.虚拟化之后的安全设备也与网络设备,服务器等一样实现的资源的池化。从安全的角度出发，不同的虚拟机也应该像物理服务器一样划分到不同的安全域，采取不同的边界隔离关于虚拟机之间边界防护的技术思路有两种，一种是虚拟化厂商为代表,在利用虚拟化的边界防护设备的基础上,与虚拟化管理功能进行整合，通过内置的端口检测虚拟机之间的数据流量.这种方式与交换设备无关，但消耗资源多，不能实施灵活的安全策略。另一种划分思路是以网络设备厂商为代表，由网络设备对虚拟机进行标识并将其流量牵引到物理交换机中实现流量监测,具体实现方法是采用边缘虚拟桥EVB协议将内部的不同虚拟机之间网络流量全部交与服务器相连的物理交换机进行处理。在这种工作模式下,交换设备与虚拟化管理层紧密结合，能实施灵活的虚拟机流量监控策略,同时也使得安全设备的部署变得更加简单.。数据传输安全在云计算环境中的数据传输包括两种类型，一种是用户与云之间跨越互联网的远程数据传输，另一种是在云内部,不同虚拟机之间数据的传输。为了保证云中数据传输的安全，需要在信息的传输过程中实施端到端的传输加密，具体的技术手段可以采用协议安全套接层或传输层安全协议(SSL/TLS)或IPSec,在云终端与云服务器之间、云应用服务器之间基于SSL协议实现数据传输加密.在某些安全级别要求高的应用场景,还应该尽可能地采用同态加密机制以提高用户终端通信的安全.同态加密是指云计算平台能够在不对用户数据进行解密的情况下,直接对用户的密文数据进行处理,并返回正确的密文结果。通过同态加密技术能进一步提高云计算环境中用户数据传输的安全可靠..数据存储安全对于云计算中的数据安全存储安全的一个最有效的解决方案就是对数据采取加密的方式。在云环境下的加密方式可以分为两种：一是采用对象存储加密的方式；一是采用卷标存储加密的方式。对象存储时云计算环境中的一个文件/对象库，可以理解为文件服务器或硬盘驱动器.为了实现数据的存储加密，可以将对象存储系统配置为加密状态，即系统默认对所有数据进行加密.但若该对象存储是一个共享资源,即多个用户共享这个对象存储系统时,则除了将对象存储设置为加密状态外，单个用户还需要采用“虚拟私有存储”的技术进一步提高个人私有数据存储的安全。“虚拟私有存储”是由用户先对数据进行加密处理后，再传到云环境中，数据加密的密钥由用户自己掌握，云计算环境中的其他用户即便是管理者都无权拥有这个密钥，这样可以保证用户私有数据存储的安全。另一种数据存储安全的解决方案是卷标存储加密.在云计算环境中，卷标被模拟为一个普通的硬件卷标,对卷标的数据存储加密可以采用两种方式：一种方式是对实际的物理卷标数据进行加密，由加密后的物理卷标实例出来的用户卷标不加密，即用户卷标在实例化的过程中采用透明的方式完成了加解密的过程；另一种方式是采用特殊的加密代理设备，这类设备串行部署在计算实例和存储卷标或文件服务器之间实现加解密。这些加密代理设备一般也是云计算环境中的虚拟设备，通过串行的方式来实现计算实例与物理存储设备之间透明的数据加解密.它的工作原理是当计算实例向物理存储设备写数据时，由加密代理设备将计算实例的数据进行加密后存储到物理存储设备中；当计算实例读取物理存储设备数据时，由加密代理将物理存储设备中的数据解密后将明文交给计算实例。.云服务器安全对于云服务器的安全,首先，在云服务器中也需安装病毒防护系统、及时升级系统补丁，但是与传统服务器不同的是，在云服务器中应用的病毒防护系统和补丁系统也相应的进行升级以适应新的环境。如病毒防护系统为了在不增加系统冗余度的前提下提供更好的病毒查杀能力，提出了安装一个病毒防护系统的虚拟服务器，在其他系统中只安装探测引擎的模式。当系统需要提供病毒查杀服务时，由引擎将请求传递给安装病毒防护系统的服务器完成病毒查杀任务。除了外部的安全防护手段之外，云服务器上部署的操作系统自身的安全对云服务器的安全也起到至关重要的作用。目前国外的一些云服务提供商已经推出了云安全操作系统，已经具备了身份认证、访问控制、行为审计等方面的安全机制。837.4云计算信息安全方案下面将从三个层面对云计算的信息安全风险进行安全方案的描述，分别是数据安全、应用安全、虚拟化安全网。数据安全数据安全是指保存在云服务系统上的原始数据信息的相关安全方案,包括五个方面：数据传输、数据存储、数据隔离、数据加密和数据访问。1）。数据传输在云计算内部，除了服务本身需要的数据传输外，还有更多因动态调整而引起的数据传输。这部分数据面临的最大威胁是直接通过明文传输，而没有采用任何加密措施。在云计算内部的传输协议也应该能满足数据的完整性，因此应采取安全传输协议。2）。数据储存是数据流在加工过程中产生的临时文件或加工过程中需要查找的信息。数据以某种格式记录在计算机内部或外部存储介质上。数据存储要命名，这种命名要反映信息特征的组成含义。数据流反映了系统中流动的数据，表现出动态数据的特征;数据存储反映系统中静止的数据，表现出静态数据的特征。3）。数据隔离云计算中并不是所有数据都适合进行数据加密，加密数据会影响数据服务的效率•对于PaaS和SaaS应用来说，为了强调运行效率等方面的“经济性”，非法访问还是会发生的，因此需要通过实施数据隔离来解决.在云计算环境下，系统的物理安全边界将会逐步消失，转而替代的是逻辑安全边界，因此应该采用VLAN或者分布式虚拟交换机等技术来实现系统数据的安全隔离。。数据加密为了更好地加强云计算的安全性，需在数据存储上增加数据的私密性,既能保证文件的隐私性，又能实现数据的隔离和安全存储。如亚马逊的S3系统会在存储数据时自动生成一个MDS散列，免除了使用外部工具生成校验的繁冗，有效保证数据的完整性；如IBM设计出一个''理想格(ideallattic)”的数学对象，可以对加密状态的数据进行操作。基于这些技术,企业可以根据不同的情况,选择不同的加密方式来满足不同的加密需要..数据访问数据访问tee的策略，也就是数据访问权限控制，可以通过安全认证的技术来解决.通过统一单点登录认证、资源认证、协同认证、不同安全域之间的认证或者多种认证方式相结合的形式，对用户身份进行严格审查，对数据进行操作前,一定要对操作者身份进行严格核查。另外在权限的合理分配方面也要做好规划和管理。而数据访问的监视和日志审计也必不可少，特别是对敏感信息的操作，要做到可溯源。应用安全从云计算提供商的角度出发，描述从应用层面应当如何充分考虑来自外部的风险。1).IaaS应用-虚拟化安全IaaS云计算提供商将用户在虚拟机上部署的所有应用都看成一个黑盒子,他们完全不会干涉所部署应用的管理工作和运维工作，仅负责提供基础资源。在IaaS应用中，用户应负责其应用程序的部署和管理,程序的安全性也应由用户考虑。IaaS应用提供商利用虚拟化等技术，根据用户的需求提供基础资源，虚拟化的安全性是云服务商负责的。2)。PaaS应用一API安全、应用部署安全PaaS云计算提供商给用户提供在IaaS之上，依照平台的接口规范，部署由用户开发的平台化应用或采购现成的中间件产品.PaaS云计算提供商关注的安全问题包括两个方面：PaaS平台自身的安全风险和用户部署在PaaS平台上的应用的安全风险。PaaS平台自身的安全风险，主要包括对外提供API的安全和PaaS应用管理的安全•对于PaaS的API安全问题，目前国际上并没有统一的标准，这对云计算API的安全管理带来了不确定性；而PaaS应用管理方面，核心的安全原则就是确保用户的数据只有用户自身才能访问和授权，实行多用户应用隔离，不能被非法访问和窃取。在这种环境下，PaaS平台应提供平台的保密性和完整性，云服务提供商应负责监控PaaS平台的缺陷和漏洞，及时发布补丁更新，解决安全漏洞。用户部署在PaaS平台上的应用安全风险，对于云提供商来说主要是对客户部署程序的安全审查，排除有意或无意的恶意程序甚至病毒的部署。因为用户申请要部署的程序，无论是自行开发的还是采购的，均有安全的不确定性，因此云服务提供商需要对申请部署的程序进行严格的安全审计，包括非法代码、不安全代码、存在漏洞的代码的检测，并需与用户一起对审计的结果进行分析和修正。当前这方面没有标准，因此需要各云服务商提供此安全审计要求。3).SaaS应用-服务安全SaaS云计算提供商给用户提供的是灵活方便地使用在云计算服务端中的各种应用。SaaS云计算提供商应必须确保提供给用户的应用程序的安全性，而用户只需对访问云端应用的终端的安全负责，如终端自身安全、客户端的访问管理等。在SaaS平台层，云服务提供商应重点关注所提供服务的安全性，可参考当前对软件安全性的相关考虑方案进行评估和审查。虚拟化安全虚拟化安全是云计算最基础部分IaaS的重要技术手段,对虚拟化技术的安全性进行分析，对整个云计算的安全性来说是坚实的一步.基于虚拟化技术的云计算信息安全风险主要有两个方面:虚拟化软件产品的安全和虚拟主机系统自身的安全。.虚拟化软件产品安全虚拟化软件产品是直接部署在裸机之上,提供创建、启动和销毁虚拟主机的能力，对虚拟主机进行管理的一种软件。实现虚拟化的技术不止一种，可以通过不同层次的抽象来实现,如操作系统级虚拟化、半虚拟化和全虚拟化.虚拟化软件产品保证用户的虚拟主机能在多用户环境下相互隔离，可以安全地在一台物理服务器上同时运行多个虚拟主机系统，因此云服务提供商必须建立安全控制措施,严格限制任何未经授权的用户访问虚拟化软件层，限制对虚拟化层次的访问。另一方面，虚拟化具有动态性，即所虚拟的服务系统会根据整个云的情况进行动态调整，如把虚拟服务器进行动态切换、挂起等。虚拟化软件层必须考虑由此带来的安全风险,如切换是否完整、是否存在数据残留、是否存在数据丢失、在切换的过程中是否会被利用共享内存攻击而导致数据被窃取等,这些问题都是虚拟化软件层要解决的..虚拟主机系统安全虚拟主机系统位于虚拟化软件产品之上,普通的物理服务器主机系统的安全原理与实践完全可以运用到虚拟主机系统上，同时也需要补充虚拟主机系统的特点.应当对虚拟主机系统的运行状态进行实时监控，对各虚拟主机系统的系统日志和防火墙日志进行分析，以此来发现存在的安全隐患.对于发现存在安全隐患的虚拟主机系统，应立即进行隔离，避免危害扩散，而对于已经不需要运行的虚拟主机，应当立即关闭。8.3.7。5云计算信息安全实践＞数据和资源访问数据访问的策略即权限控制，主要是通过安全认证和安全网关访问技术来解决•在实践中，可以通过4A项目的建设来统筹完成的。4A项目实现了单点登录认证、强制用户认证，将应用资源和数据的方案控制在合理的范围内,并采用不同安全域之间的认证或者不同认证方式相结合的方式,通过动态令牌和静态口令、短信认证多种认证手段相结合的方式，对用户身份进行严格审查。特别地，对受限敏感数据进行操作或访问受限敏感网络资源前，对操作者身份进行更为严格的核查，采用按次审核的VPN访间方式,确保安全可靠。另外4A平台在权限方面进行统一合理的分配，数据或资源的访问都通过图形网管或者字符网管进行监视，并对日志和人员操作进行记录和审计，做到了可溯源。4A平台的主要功能概念框架和访问方式的概念模型如图所示：因此，在数据和资源访问方面，将4A平台作为私有云的基础数据和资源访问平台，可以提供安全可靠的保障.＞数据传输和隔离在私有云平台数据传输和隔离方面主要存在如下问题。•不同部门对安全级别的要求不一样，管理流程不一样,需要平衡统一维护和分开管理的矛盾。•在虚拟化的架构下，保证安全性需做到：物理服务器内部虚拟机有流量查看与策略控制机制，虚拟机端口策略需要跟随虚拟机动态迁移，网络、服务器等安全的分工界面保持明晰，原有设计无法实现。•云平台业务灵活动态增减与严格安全隔离之间的矛盾•网络上做到分层分段隔离，保证网络及信息系统间有着清晰的物理或逻辑边界.私有云平台的网络部署逻辑,如图所示：在实践中，除了使用IPS安全防御系统和企业级防火墙等安全设施作为防御手段，为了保持维护和管理界面的清晰和安全性，采用了VDC(virtualdevicecontext)技术，通过虚拟化把一台物理交换机虚拟化成多台逻辑设备技术•一台物理交换机虚拟成多台VDC虚拟交换机后,具有以下几个特点:VDC之间完全隔离，具有独立的管理地址和配置文件；一台物理交换机最多可以虚拟成8台VDC虚拟交换机；每台VDC具有独立的VLAN空间，分别支持4096个VLAN；物理交换机上任意端口可以归属给任何VDC虚拟交换机。通过VDC的使用可以将网络按照层级进行水平分割，同时又可以按照系统维度进行垂直的安全域划分，在节省投资的同时也保证了部署的灵活性和安全性.VDC的应用场景如图所示：结合虚拟化管理平台及VPath和VSG等技术，实现了多租户虚拟化安全生态系统，如图所示：8.3.8XX信息安全解决方案企业在IT运维过程中面临的最大挑战,就是如何确保企业信息和数据的安全,如何建立起有效的信息安全管控框架,以符合企业信息安全要求。以下将会介绍XX股份对于信息安全的解决方案。8。3。8。1IT运维信息安全风险来自企业外的风险1）。病毒和木马风险：互联网上到处流窜着不同类型的病毒和木马,有些病毒在感染用户电脑后，会篡改电脑系统文件，使系统文件损坏，导致用户电脑最终彻底崩溃,严重影响员工的工作效率;有些木马在用户访问网络的时候,不小心被植入电脑中，轻则丢失工作文件，重则泄露机密信息。2）。不法分子等黑客风险：计算机网络的飞速发展也导致一些不法分子利用网络行窃、行骗等，他们利用所学的计算机编程语言编译有特定功能的木马插件，经过层层加壳封装技术，用扫描工具找到互联网上某电脑存在的漏洞,绕过杀毒软件的追击和防火墙的阻挠，从漏洞进入电脑，然后在电脑中潜伏，依照不法分子设置的特定时间运行，开启远程终端等常用访问端口，那么这台就能被不法分子为所欲为而不被用户发觉，尤其是技术部、项目部和财务部电脑若被黑客植入后门,留下监视类木马查件，将有可能造成技术图纸被拷贝泄露、财务网银密码被窃取。还有些黑客在网络上绑架了成千上万的电脑，让这些电脑成为自己傀儡，在网络上同时发布大量的数据包,前几年流行的洪水攻击及DDoS分布式拒绝服务攻击都由此而来，它会导致受攻击方服务器资源耗尽，最终彻底崩溃，同时整个网络彻底瘫痪.来自企业内的风险。文件的传输风险：若有员工将公司重要文件以QQ、MSN发送出去,将会造成企业信息资源的外泄，甚至被竞争对手掌握，危害到企业的生存发展。.文件的打印风险：若员工将公司技术资料或商业信息打印到纸张带出公司，会使企业信息资料外泄。.文件的传真风险：若员工将纸质重要资料或技术图纸传真出去，以及将其他单位传真给公司的技术文件和重要资料带走,会造成企业信息的外泄。。存储设备的风险：若员工通过光盘或移动硬盘等存储介质将文件资料拷贝出公司,可能会泄露企业机密信息。若有动机不良的员工，私自拆开电脑机箱，将硬盘偷偷带出公司，将会造成企业信息的泄露..上网行为风险：员工可能会在电脑上访问不良网站,会将大量的病毒和顽固性插件带到企业网络中来，造成电脑及企业网络的破坏，更甚者,在电脑中运行一些破坏性的程序,导致电脑系统的崩溃.。用户密码风险：主要包括用户密码和管理员密码。若用户的开机密码、业务系统登陆密码被他人掌握，可能会窃取此用户权限内的信息资料和业务数据;若管理员的密码被窃取，可能会被不法分子破坏应用系统的正常运行，甚至会被窃取整个服务器数据。.机房设备风险:主要包括服务器、UPS电源、网络交换机、电话交换机、光端机等。这些风险来自防盗、防雷、防火、防水.若这些自然灾害发生，可能会损坏机房设施，造成业务中断。.办公/区域风险：主要包括办公区域敏感信息的安全。有些员工缺乏安全意识，在办公区域随意堆放本部门的重要文件或是在办公区域毫不避嫌谈论工作内容，若不小心被其他人拿走或听到,可能会泄露部门工作机密，甚至是公司机密。8。3。8.2IT运维信息安全风险控制风险控制的目标：风险的事前识别、分析和定位，从而制定相关的风险应对策略，减低风险对项目产生的影响.风险控制的原则：对于高风险(即高频度、影响大)的风险要尽量进行规避，对低风险进行管理、分析和识别。为规避风险，运维人员应定期进行风险检控,制定风险评估管理计划，提交运维管理员进行审批，并召集人员进行风险评估.跟踪风险,风险随着时间在变化，原则上定期进行风险跟踪并按照变化情况修改风险列表。需要对风险进行控制，运维人员将已经消失的风险放入数据库作为过期的风险，围绕它的所有流程和过程均被保留。8.3.8。3应用层安全运维1）、对于西南基地管理支撑应用的帐户，必需遵循《西南基地管理支撑系统帐号密码管理办法（V2。0）》，并结合实际情况，补充并完善相关管理办法。2）、系统用户帐号原则上不允许存在共享帐号，所有帐号必须明确至个人；由于系统特殊原因必须使用共享帐号的情况下，系统必须制订对共享帐号的审核授权流程，明确共享帐号的有效期以及使用帐号人员资料.3）、用户帐号原则上采用用户中文名称的汉语拼音，当遇到用户的中文汉语拼音相同时，系统将为重复的帐号后加上顺序号，如此类推，如：liming,liming2,liming3,liming5顺序号将避开数字‘4'。4）、各系统用户数据属性应包括用户中文姓名和用户中文ID,原则上用户中文ID就是用户姓名，当不同用户具有相同中文名称时，系统除了按2、3的命名规范为其分配用户帐号外，用户中文ID后面加上与帐号一致的后缀。而用户的中文名后面不加顺序号.5）、测试人员和代维人员帐号：各系统测试人员和代维人员帐号原则上应以该系统的英文缩写作为前缀加上用户名称的汉语拼音生成.6）、各系统用户密码长度不得低于6位;不得采用弱密码（弱密码定义参见《南方基地管理支撑系统帐号密码管理办法》）；最少每90天必须强制用户更改密码；并不得使用5次以内重复的密码;登录系统时，如重复尝试3次不成功，则系统暂停该帐号登录功能。7）、信息化系统安全体系检查点检查要求交付物系统平台管理核心系统及关键服务器定义需对关键系统和服务器有清晰的定义（如DNS/DHCP、防病毒等影响全网层面的服务器、承载重要业务或包含敏感信息的系统等）核心业务、关键服务器列表园区信息化系统和关键服务器需有详尽故障应急预案应急预案应定期进行相关应急演练，并形成演练日常维护应急与演练报告，保证每年所有的平台和关键服务应急演练报告器都至少进行一次演练根据应急演练结果更新应急预案，并保应急预案更新记录，留更新记录，记录至少保留3年预案版本记录备份管理系统所涉及不同层面（如系统的重要性、操作系统/数据库）应当制定数据的备份恢复以及备份介质管理制度备份管理制度，包括备份策略管理制度与备份介质管理制度

系统所涉及不同层面应根据业务要求制定数据的本地和异地备份（存放）策略备份管理制度，包括备份策略管理制度与备份介质管理制度相关人员对本地和异地备份策略的结果进行每季度审核策略审核表,加入备份管理制度备份的数据进行恢复性测试，确保数据的可用性，每年不少于一次备份恢复应急演练记录相关人员对备份介质的更换记录进行每半年审核备份介质更换记录表，加入备份管理制度相关人员对备份介质的销毁记录进行每半年审核备份介质销毁记录表，加入备份管理制度故障管理各地市需制定相应的园区信息化系统及服务器故障处理流程故障处理流程系统中发现的异常情况由系统维护人员根据相关流程在规定时间内处理故障处理流程故障处理完成后必须留有相应的故障处理记录故障处理报告上线管理为保障设备接入网络的安全性，设备上线前必须安装防病毒系统及更新操作系统补丁，并对设备进行进行安全扫描评1、企业网接入管理办法2、接入记录

估,针对安全漏洞进行安全加固为避免系统上线对其它系统和设备造成影响,发布前必须对系统应用站点、数据库、后台服务、网络端口进行安全评估。系统投入正式运营前必须在测试环境中对系统进行模拟运行一周以上1、应用系统接入申请流程2、接入记录系统上线之后如需对系统进行功能更新，必须由系统管理员或系统管理员指定专门维护人员进行更新操作，严格按照公司安全管理规范执行1、应用系统更新申请流程2、更新记录Web应用应根据业务需求与安全设计原则进行安全编码，合理划分帐号权限，确保用户帐号密码安全,加强敏感数据安全保护，提供详细的日志1、中国移动门户网站安全技术规范V1。0_20101229_1832_（全部合订）2、根据规范对开发规范进行修正，用户名密码的管理要求、敏感数据的管理要求、系统日志的开发要求3、现有应用的安全检查漏洞与防病毒定期进行服务器漏洞扫描，并根据漏洞扫描报告封堵高危漏洞，每季度至少对所有服务器扫描一次扫描记录与扫描结果报告

需建立统一的WSUS服务器，并每季度对关键服务器进行高危漏洞升级，并留有升级记录1、WSUS服务器中的关键更新的补丁清单，每个月1份2、应用服务器端每次更新的补丁清单任何终端必须安装正版防病毒软件，且保证90%以上病毒库取新（五日以内）防病毒检查记录每周检查防病毒软件隔离区，排除病毒威胁防病毒检查记录核心系统和关键服务器日志审计在操作系统层、数据库层、应用层建立日志记录功能，日志记录中保存1年的内容，日志安全记录能够关联操作用户的身份1、操作系统层日志策略2、数据库日志策略3、应用层日志要求加入开发规范中操作系统日志中需记录''账户管理”“登录事件”“策略更改”“系统事件”等内容操作系统层日志策略操作行为记录需进行定期申计数据库层日志需记录每次数据库操作的内容数据库日志策略应用层日志需记录每次应用系统出错的信息应用层日志要求加入开发规范中检查关键错误日志、应用程序日志中的

关键错误记录，保证日志审核正常关键访问与操作应立即启用日志记录功能，避免因日志记录不全，造成入侵后无法被追踪的问题信息发布管理每天检查平台短信发送、接收的可用性每天短信检查记录短信必须设置关键字过滤，每个月进行关键字更新，并检查其有效性短信关键字更新记录，有效性检查记录信息防泄密需对所有园区信息化系统、应用系统的核心信息进行清晰的界定，核心信息包括但不限于涉及客户资料、客户账户信息、客户密码、操作记录应用系统核心信息矩阵图需对核心信息设定保密措施应用系统核心信息管理制度对核心信息的操作进行特殊监控，并留下记录访问控制账号密码管理服务器上任何账号必须有审批人员审核确认1、账号管理办法2、账号申请表所有系统和服务器上账号必须每季度进行审核账号审核表密码复杂度要求：一•静态密码：密码应至少每90天进行更新,密码长度应至少6位或以上,密码应由大小与字母、数字或标点符号等字符组成，五次内不能重复二.动态密码。1、密码修改记录表2、历史密码记录表远程访问不得有互联网远程维护的访问方式.现场检查MDCN网系统的远程访问只能通过省公司的SSLVPN或IBMVPN，不得在市公司层面存在互联网以VPN等形式的远程访问现场检查8.3。8.4备份安全指遵照相关的数据备份管理规定，对园区信息化系统及其产品的数据信息进行备份和还原操作。根据园区信息化系统及其产品的数据重要性和应用类别，把需要备份的数据分为数据库、系统附件、应用程序三部分。每周检查NBU备份系统期备份结果检查，处理相关问题。备份系统状态、备份策略检查，对备份策略以及备份状态检查以及调优，主要服务器变更、应用统一接入等。8.3.8。5防病毒安全1）、导出防病毒安全检查报告、对有风险和中毒的文件与数据进行检查；2）、对病毒分析处理；3）、定期检测病毒，防止病毒对系统的影响。8.3。&6系统安全1）、定期修改系统Administrator密码:主要修改AD、Cluster、服务器密码；2）、安装操作系统补丁，系统重启，应用系统检查测试;3）、数据库的账号、密码管理,保证数据库系统安全和数据安全；4）、对系统用户的系统登录、使用情况进行检查，对系统日志进行日常审计。8。3.8.7主动安全1）、监控Agent的配置与管理，对端对端监控产生检查结果核实处理相应问题；2）、信息化所有系统需有详尽故障应急预案；3）、应定期进行相关应急演练，并形成演练报告，保证每年所有的平台和关键服务器都至少进行一次演练;4）、根据应急演练结果更新应急预案，并保留更新记录,记录至少保留3年。8。3。8.8系统及网络安全1）、流量分析（netscount）XX股份根据南方基地的安全及分析需求，提供netscount分析服务支撑,对各系统性能提供全面分析.并提供优化建议及方案。2）、应用分析（splunk）XX股份根据南方基地的园区信息化系统安全,建立splunk的日志分析服务,并针对日志进行全面分析。对系统的安全、保障提供优化建议及优化方案.提供流量分析和应用分析提供10个以上的专题分析报告,并根据报告提供具体的实。3）、施方案及优化手段根据优化建议及方案对平台及网络进行安全整改，以全面提升平台的性能、安全，解决瓶颈。8。3.8.9防篡改防攻击1）、网页文件保护，通过系统内核层的文件驱动，按照用户配置的进程及路径访问规则.2）、设置网站目录、文件的读写权限,确保网页文件不被非法篡改。3）、网络攻击防护,Web核心模块对每个请求进行合法性检测，对非法请求或恶意扫描请求进行屏蔽，防止SQL注入式攻击.4）、集中管理,通过管理服务器集中管理多台服务器，监测多主机实时状态，制定保护规则.5）、安全网站发布，使用传输模块从管理服务器的镜像站点直接更新受保护的网站目录，数据通过SSL加密传输，杜绝传输过程的被篡改的可能。6）、网站备份还原，通过管理控制端进行站点备份及还原.7）、网页流出检查，在请求浏览客户端请求站点网页时触发网页流出检查，对被篡改的网页进行实时恢复，再次确保被篡改的网页不会被公众浏览。8）、实时报警，系统日志，手机短信，电子邮件多种方式提供非法访问报警。9）、管理员权限分级，可对管理员及监控端分配不同的权限组合。10）、日志审计,提供管理员行为日志,监控端保护日志查询审计。11）、对站点主机进行监控，对CPU，内存，流量的作统计，以便实时监控站点服务器的运作情况.12）、站点系统账号监控，对站点服务器的账号进行监控，对账号的修改，添加等改动有阻拦和日志记录及报警，使站点服务器更加安全。8。3。8。10合理授权1）、合理授权的定义：合理授权是指对IT管理支撑应用系统及其相关资源的访问设定严格的授权审批机制，确保IT管理支撑应用系统的安全性。2）、为了保证南方基地IT管理支撑应用系统的安全性，确保相关IT资源的访问经过合理授权，所有IT管理支撑应用系统及其相关资源的访问必须遵照申请一评估一授权的合理授权管理流程。3）、需要合理授权的IT资源包括但不局限于应用系统的测试环境、程序版本管理服务器、正式环境（包括应用服务器和数据服务器等）.4）、申请：由访问者（一般是应用开发商、应用系统管理员等）提交书面的访问申请表（书面访问申请表，包括但不局限于纸质、Word文档以及电子邮件等），提交安全管理员（一般是系统管理员或者专职的安全管理员）进行风险评估。5）、评估：安全管理员对接到的访问申请书进行风险评估，并根据访问者及被访问IT资源的具体情况，进行灵活处理。6）、授权:在访问申请表通过安全风险评估后，安全管理员会对访问者进行合理授权。原则上，对程序版本管理服务器和正式环境的访问申请，安全管理员必需根据有关管理流程给出正式授权,以满足安全审计的要求.8.3.8。10。1安全隔离1）、安全隔离的定义：安全隔离是指对IT应用系统的相关数据（包括应用系统的程序代码、数据文件等）进行逻辑隔离、物理隔离等，以确保应用系统的安全性.如果开发商在开发、维护合作过程当中可能接触到我公司的敏感数据，必须与南方基地签订安全保密协议.2）、对安全等级为机密的IT应用系统（包括但不局限于企业内部的机密档案信息等），我们需要对它的有关数据进行物理隔离，以提高应用系统的安全防范能力；对安全等级为秘密的IT应用系统以及应用系统的基础数据（如综合应用平台的基础数据、组织架构等）,需要进行逻辑隔离。系统应用层面的访问必须通过帐号进行访问，系统的帐号及口令管理参照