HYT 240-2018 海洋信息云计算服务平台安全规范

海洋信息云计算服务平台安全规范Securityspecificationsoplatformforoceaninfo中华人民共和国自然资源部发布HY/T240—2018 I 2规范性引用文件 14体系框架 5云平台基础环境安全保障 26云平台业务和数据安全保障 57云平台安全服务 6I本标准按照GB/T1.1—2009给出的规则起草。本标准由中华人民共和国自然资源部提出。本标准由全国海洋标准化技术委员会(SAC/TC283)归口。本标准起草单位：国家海洋信息中心、中国海洋大学、东北大学、上海大学。本标准主要起草人：石绥祥、李占斌、秦勃、王波涛、徐凌宇、刘培顺、曲海鹏、林喜军、魏红宇、1海洋信息云计算服务平台安全规范本标准规定了海洋信息云计算服务平台的安全体系框架，以及海洋信息云计算服务平台的基础环境安全保障、业务和数据支撑安全保障、安全服务。本标准适用于海洋信息云计算服务平台的安全使用，也可以作为第三方服务机构开展海洋信息云计算服务平台安全保障服务的指导。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T22239—2008信息安全技术信息系统安全等级保护基本要求3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件。统筹利用已有的网络、存储、计算、数据等信息资源，为涉海领域提供基础设施、支撑软件、应用系统、数据资源、运行保障和信息安全等服务的海洋综合业务信息化系统。3.2缩略语下列缩略语适用于本文件。laaS:基础设施即服务(InfrastructureasaService)PaaS:平台即服务(PlatformasaService)SaaS:软件即服务(SoftwareasaService)VPN:虚拟专用网络(VirtualPrivateNetworks)VLAN:虚拟局域网(VirtualLocalAreaNetwork)USB:通用串行总线(UniversalSerialBus)CPU:中央处理单元(CentralProcessingUnit)API:应用程序接口(ApplicationProgrammingInterface)4体系框架4.1安全架构海洋信息云计算服务平台(以下简称“云平台”)的安全保障范畴涵盖laaS安全、PaaS安全、SaaS安2全，其安全架构见图1。具体内容如下：a)laaS安全指云平台的物理环境、网络、主机(物理主机和虚拟主机)、云平台所承载数据和云平台支撑业务软件等安全；b)PaaS安全指云平台内存储的数据、计算模型、计算资源以及海洋数据产品等资源的安全和云平台内海洋业务的安全；c)SaaS安全指云平台的安全服务，包括网络安全服务、业务支撑安全服务、系统安全服务、认证服务和数据安全服务等。网络安全服务身份认证服务业务支撑按服务网络安全服务身份认证服务业务支撑按服务服务安全隔离加密及密钥管理访问控制身份鉴别业务连续性图1云平台安全架构示意图4.2安全要求云平台安全的总体要求应根据平台内业务和数据的安全等级，平台的建设安全标准与平台服务的最高安全标准一致，按照GB/T22239—2008安全要求进行建设和运维。5云平台基础环境安全保障5.1网络资源安全5.1.1网络身份标识和认证网络身份标识和认证应符合以下要求：a)应对云服务用户进行标识，确保所标识用户在云平台系统生存周期内的唯一性，并将用户标识与安全审计相关联；b)应在云用户实施动作之前，先对提出该动作要求的用户成功进行鉴别。35.1.2网络访问控制网络访问控制应符合以下要求：a)应在网络内划分不同的域，不同的域之间启用边界访问控制，应设置对应的网络访问策略，按照安全域安全级别进行访问控制；b)应利用虚拟防火墙功能，实现虚拟环境下的逻辑分区边界防护和分段的集中管理与配置；c)应在创建客户虚拟机的同时，根据具体的拓扑和可能的通信模式，在虚拟网卡和虚拟交换机上配置防火墙；d)虚拟交换机应启用虚拟端口的限速功能，通过定义平均带宽、峰值带宽和流量突发大小，实现端口级别的流量控制，同时应禁止虚拟机端口使用混杂模式进行网络通信嗅探；e)外部用户通过互联网访问云平台中设备时，应设置访问控制机制，且提供相对安全的访问通道，例如通过VPN方式。5.1.3网络安全隔离网络安全隔离应符合以下要求：a)应提供基于虚拟机安全组的网络隔离，虚拟机之间应采用VLAN和不同的IP网段的方式进行逻辑上的隔离；b)应在防火墙配置中对每台虚拟设备做相应的安全设置；c)相互隔离的虚拟机之间通信应根据需要采用安全通信。5.1.4网络安全审计网络安全审计应符合以下要求：a)应对网络系统中的网络设备的运行状况、网络流量、用户行为、用户操作、系统管理等进行日志记录，包括：事件发生的时间、地点、用户、事件类型、事件是否成功及其他审计相关信息；b)应对日志记录进行保护，不应受到未预期的删除、修改或覆盖，审计记录应至少保存6个月。5.1.5网络入侵防范网络入侵防范应符合以下要求：a)应具有抵御常见网络攻击的设计，在网络边界部署和启用入侵防范技术手段，禁用不需要的服务和端口；应定期对系统和服务软件进行漏洞检查，及时安装补丁，至少每周进行一次检查，消除可能隐患；在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；b)云平台应防止同一平台内的租户窃取关键数据；c)云平台应提供监控系统、审计系统、行为分析系统对内部入侵行为进行防范。5.2虚拟化安全5.2.1虚拟机基础安全虚拟机基础安全应符合以下要求：a)应实现云平台虚拟主机的访问控制和身份鉴别；b)应在本地或外部设备上对虚拟机的日志记录进行存储备份、定期审计；c)应提供实时的虚拟机监控机制，对虚拟机的运行状态、资源占用、迁移等信息进行监控；d)应确保虚拟机的镜像安全，并保证提供虚拟机镜像文件完整性校验功能；4e)应提供存储空间级安全隔离。5.2.2虚拟机配置与加固虚拟机配置与加固应符合以下要求：a)应通过及时更新虚拟化软件补丁，提供虚拟化主机的安全；应考虑对非工作状态的虚拟机镜像或者对刚刚运行的虚拟机采取保护措施，直到它们被打上补丁；b)应通过对云平台的资源监控管理，控制虚拟机所消耗的服务器资源，保障受到攻击的虚拟机不会对在同一台物理主机运行的其他虚拟机造成影响，应限制虚拟机到物理主机的通信，防止拒绝服务攻击。5.2.3虚拟机安全防护虚拟机安全防护应符合以下要求：a)应实现常见针对虚拟机的恶意攻击的安全防护；b)应避免虚拟机共同体之间通过共同访问资源进行恶意攻击；c)应提供虚拟机跨物理机迁移过程中的保护措施；d)应提供虚拟机镜像文件加密功能，防止虚拟机镜像文件数据被非授权访问；e)应能对虚拟机模版文件、配置文件等重要数据进行完整性检测。5.2.4虚拟主机隔离虚拟主机隔离应符合以下要求：a)物理主机上的多个虚拟主机应隶属同一个安全区域，禁止跨安全域部署，应提供虚拟主机之间隔离服务；b)应根据安全等级，关闭或拆除主机的光盘驱动、USB接口、串口等接口；c)应设置隔离措施实现虚拟机资源之间的安全隔离，包括：CPU调度隔离、内部网络隔离、内存隔离、存储隔离；d)应只允许符合安全策略的虚拟机之间实现相互访问资源；e)虚拟主机之间的信息交互应按其安全属性要求选择建立安全通道、身份认证或访问控制。5.2.5虚拟主机的远程管理虚拟主机的远程访问应采用网络安全传输安全协议；宜采用堡垒机加强远程管理安全。5.3接口安全接口安全应满足以下要求：a)接口使用端使用接口应提供身份认证信息，身份认证信息需要进行保护，应能抵御假冒、篡改、重放等攻击行为；b)接口提供端对使用端的请求进行认证，使用端每一次请求都应包含认证信息，认证信息应能抵御假冒，篡改，重放等攻击行为；c)接口提供端应对使用端的请求进行权限管理，根据用户的权限判断是否执行用户的请求；d)接口提供端应对使用端的请求进行资源控制，防止用户占用过多资源。56云平台业务和数据安全保障6.1数据安全数据安全应符合以下要求：a)应采用加密技术或其他措施保证数据的完整性，应采用加密技术对存储和传输中的敏感数据进行机密性保护；b)应提供云平台间的数据迁移能力，数据迁移应制定迁移方案，并进行迁移方案可行性评估与风险评估，确定数据迁移风险控制措施，做好数据备份以及恢复相关工作，应保证数据迁移不影响业务应用的连续性；c)应采用访问控制技术对数据进行分类保护，应提供数据备份与恢复功能；d)应能清除因数据在不同物理服务器上迁移、业务终止、自然灾害、合同终止等遗留的数据。6.2业务安全6.2.1业务调度安全业务调度安全应符合以下要求：a)应赋予用户不同的服务优先级；b)应根据用户的优先级高低安排服务，不应跨优先级服务；c)应能对用户的优先级进行实时控制和管理。6.2.2业务系统安全业务系统安全应符合以下要求：a)业务系统试运行前应经过安全检查与安全扫描，通过后再接入云平台；b)业务系统应优先部署在虚拟机环境中；c)业务迁移应事先做迁移方案，根据业务特点选择安全域内受控迁移、安全域内自由迁移和安全域间受控迁移等不同安全级别的迁移方案，并对风险和资源做评估；d)不同安全级别的资源池之间禁止业务迁移；e)应对业务系统运行过程进行监控，详细记录系统运行过程中网络通信、资源请求和使用等信息，并进行审计。6.2.3业务资源安全业务资源安全应符合以下要求：a)应能对业务应用系统的最大并发会话数进行限制；b)应能对单个账户的并发会话进行限制；c)应提供服务优先级设定功能，可根据安全策略设定访问账户或请求进程的优先级，进而根据优先级分配系统资源；d)业务资源应用应安全可控，资源的接入应提供身份认证和访问控制措施。6.3业务与数据隔离为实现不同用户间数据信息的隔离，可根据应用具体需求，采用物理隔离、虚拟化和多租户等方案实现不同租户之间数据和配置信息的安全隔离，以保护每个租户数据的安全与隐私。对不同安全级别的数据进行物理隔离存储，高安全级别的数据应进行加密后存储。业务与数据隔离应满足以下要求：6a)应对虚拟机进行加固，保证不同主机之间的数据处理隔离；b)应对新上线应用和已有应用提供数据层的数据隔离，并通过配置虚拟资源隔离系统实现；c)应提供有效的虚拟机间内存隔离等机制，避免来自同一宿主机上的其他虚拟机破坏数据完整性；d)不同用户数据应采用不同密钥进行加密隔离，应对云平台所部署的应用建立针对安全域之间、应用服务器之间通信的密钥服务管理系统；e)不同安全域及部门专属业务域之间应实现配置化的跨域认证与授权。7云平台安全服务7.1身份认证服务身份认证服务应满足以下条件：a)应提供统一身份认证服务，为业务应用用户分配不同的资源及操作权限访问云平台资源；b)应提供用户注册服务：用户在统一身份认证服务中注册账号，这个账号可在所有使用统一身份认证服务的应用系统中使用；c)应提供账号关联服务：如果用户之前已经在相关的应用系统中拥有账号，同时也已经设置了相应的权限，用户能够将这些应用系统的账号与统一身份认证服务的账号进行关联；d)应提供用户认证服务，为应用系统提供用户身份认证。7.2访问控制服务云平台应根据不同的平台资源，提供不同的访问控制服务，包括自主访问控制、强制访问控制和基于角色的访问控制。访问控制服务应满足以下要求：a)自主访问控制安全策略应实现对主体与客体间操作的控制。可以有多个自主访问控制安全策略，它们应独立命名，且不应相互冲突。b)强制访问控制策略应包括策略控制下的主体、客体，及主体与客体间的操作，按照多级安全模型策略进行访问控制授权管理。c)基于角色的访问控制应实现按角色进行权限的分配和管理。通过对主体进行角色授予，使主体获得相应角色的权限；通过撤消主体的角色授予，取消主体所获得的相应角色权限。7.3数据安全性服务云平台应根据云资源的不同，提供不同的数据安全服务，包括数据完整性安全服务、数据机密性安全服务和数据备份恢复服务。主要服务应满足以下要求：a)应能对存储在安全域内的用户数据进行完整性检测；应能对被传输的用户数据进行完整性检测，及时发现用户数据被篡改、删除、插入等情况发生；b)应能对存储在安全域内的用户数据进行保密性保护；应能对在安全域内传输的用户数据进行保密性保护；c)应提供数据本地备份与恢复功能，数据备份至少每天一次，备份介质场外存放。7.4数据获取服务7.4.1laaS模式下数据获取服务laaS模式所使用的云平台的物理资源应和其他模式的物理资源进行隔离，以控制风险范围。主要步骤如下：a)用户身份认证通过后，提交laaS云服务请求申请；b)审核人员验证通过后，分配用户使用特定云平台的权限，通过授权限制用户接触的数据范围和资源范围，然后为用户分配虚拟主机；c)用户通过门户网站登录到虚拟主机，通过虚拟主机启动云服务；d)云服务在云平台里自动运行，把运算结果反馈到下载服务器，管理员审核后，用户才能下载；e)用户通过下载服务器获取云服务的产品。7.4.2PaaS模式下数据获取服务PaaS模式下用户使用的是系统提供的API开发应用程序，把程