DL∕T 2612-2023 电力云基础设施安全技术要求

电力云基础设施安全技术要求2023-05-26发布2023-11-26实施国家能源局发布DL/DL/T2612—2023口版售后电话 Ⅱ 12规范性引用文件 13术语和定义 14缩略语 25电力云基础设施安全构成 25.1基本要求 25.2基本构成 36安全通信网络要求 46.1网络构架要求 46.2通信传输要求 46.3设备安全要求 56.4负载均衡 56.5网络防护 57安全区域边界要求 57.1边界防护 57.2访问控制 57.3入侵防范 57.4安全审计 67.5无线网络安全 68安全计算环境要求 68.1物理资源安全 68.2资源虚拟化安全 78.3云服务管理安全 99安全管理中心要求 9.1系统管理 9.2审计管理 9.3安全管理 9.4集中管控 10安全物理环境要求 附录A(规范性)共性安全功能要求 附录B(资料性)云基础设施构成要求 附录C(资料性)电力云平台类型及安全构成 IDL/T2612—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定刘为、田小蕾、吴赫、尹琴、李宁、罗富财、赵博、程杰、吕旭明、金成明、张文杰、王飞、曹智、胥冠军、张扬、崔洁、韩云鹏、林婷婷、薛兵兵、李威、杨壮观、李东洋、王慧颖、李云鹏、李冲、孙俊伟、刘颖、于亮亮、孙宝华、陈硕、夏菲、谭彦鹏、韦明、赵景1电力云基础设施安全技术要求1范围2规范性引用文件仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本信息技术软件工程术语GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T31167--2014信息安全技术云计算服务安全指南GB/T32400--2015信息技术云计算概览与词汇GB/T51399-2019YD/T3892—2021虚拟私有云与本地计算环境互联服务能力要求3术语和定义GB/T32400—2015界定的以及下列术语和定义适用于本文件。云计算cloudcomputing一种通过网络将可伸缩、弹性的共享物理和虚拟资源池云服务客户cloudservicecustomer简称云平台，云服务商(3.2)提供的云计算基础设施及其之上的服务软件的集合。电力行业广泛应用的云平台包括：生产大区云、管理信息内网云、互联网[来源：GB/T22239—2019,定义3.6,有修改]2[来源：GB/T31167—2014,定义3.6,有修改][来源：GB/T31167—2014,定义3.6,有修改][来源：GB/T11457—2006,定义2.261,或ISO20000—2018,3.2.18,有修改][来源：YD/T3892—2021,定义3.1.2]4缩略语DDoS分布式拒绝服务(DistributedDenialofService)IP网际互连协议(InternetProtocol)IT信息技术(InformationTechnology)MAC媒体存取控制位址(MediaAccessControlAddress)OS操作系统(operatingsystem)SLA服务级别协议(ServiceLevelAgreement)SLC服务生命周期(ServiceLifeCycle)VLAN虚拟局域网(VirtualLocalAreaNetwork)VPC虚拟私有云(VirtualPrivateCloud)VPN虚拟专用网络(VirtualPrivateNetwork)VxLAN虚拟扩展局域网(VirtualeXtensibleLocalAreaNetwork)WAFWeb应用防火墙(WebApplicationFirewall)3DL/T2612—2023b)云基础设施安全应涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管c)基于云平台构成(参见附录B),云基础设施安全应包括物理资源安全、资源虚拟化安全和云服e)使用的密码技术、服务和产品，应符合国家和电力行业相关规定。云基础设施安全构成见图1。a)安全物理环境：云数据中心机房设施、物理设备设施、物理环境等措施。b)安全通信网络：云数据中心通信传输、网络架构、网络设备安全、负载均衡、网络防护、无线局域网安全等c)安全区域边界：云数据中心边界防护、访问控制、入侵检测、安全审计等措施。d)安全计算环境：物理资源安全、资源虚拟化安全、云服务管理安全三部分，对每部分根据其功能状况提出身份鉴别、访问控制、安全审计、入侵检测等要求。e)安全管理中心：安全计算环境安全区域边界安全管理中心a)云基础设施运行产生的数据(简称云基础设施数据):DL/T2612—2023所有物理资源的功能(含安全功能)配置数据、运行数据；b)云服务运行产生的数据(简称云服务数据):服务目录与客户账户数据、服务生命周期过程与状态、服务运行数据、服务计量和计费数c)云客户业务系统运行产生的数据(简称云客户数据):客户业务系统功能(含安全功能)配置数据、业务系统运行环境数据、业务数据等。d)支持VxLAN技术。b)对云基础设施数据、云服务数据，应采用符合网络安全等级要求或国家/行业密码规定加密技c)对确有保护保护需求的云服务客户数据，应基于SLA采用符合云服务客户要求的完整性检测d)对确有保护保护需求的云服务客户数据，应基于SLA采用符合云服务客户要求的网络链路层5DL/T2612—2023b)部署web防护设备WAF;a)支持网络边界处检测，防止或限制从外部发起的攻击行为，以及从内部发起的网络攻击6安全审计应符合本文件附录A.3中的规定。7.5无线网络安全a)应在指定的网络边界处部署无线接入设备；c)限制接入终端访问内部网络、内部设备；d)支持电力行业规定的无线网络协议。8安全计算环境要求身份鉴别应符合本文件附录A.1中的规定。访问控制应符合本文件附录A.2中的规定。安全审计应符合本文件附录A.3中的规定。a)具备将内存、存储空间等回收或再分配时的完全清除能力；b)具备根据云服务客户需求，对其重要数据的存储空间回收或再分配时的完全清除能力。a)部署恶意代码防范工具，及时升级特征库；b)及时阻断恶意代码攻击行为。a)安装所需的组件和应用程序，并部署安全加固组件；b)定期开展漏洞扫描，及时修补漏洞；c)部署入侵防范措施，及时升级规则库；d)及时阻断入侵行为。7DL/T2612—2023身份鉴别应符合本文件附录A.1中的规定。a)访问控制遵循附录A.2中的规定；b)支持对物理存储设备的统一账号与权限管理，如支持跨物理集群的账号与权限管理；c)支持分布式存储的数据副本分别存储于不同的物理存储设备；d)存储管理员未授权不应操作云服务客户数据。a)云服务客户数据对物理存储的存储需求、安全需求，由云服务客户通过服务SLA决定；b)对云基础设施数据、云服务数据，采用符合相应安全等级要求的校验技术，确保数据完整性，c)云服务客户确有数据保护需求，应通过服务SLA要求，采用符合云服务客户要求的校检技术，确保数据的完整性，采用符合云服务客户要求的加密产品，确保数据的保密性；d)支持云服务客户以安全的方式访问存储资源；e)支持云服务客户自行部署、云服务商提供或第三方机构提供存储加密产品；f)确保物理存储中的数据(含个人信息)等部署于中国境内，确需出境的数据，应遵循国家、行业相关规定，开展出境安全风险评估，并采取针对性措施。安全审计应符合本文件附录A.3中的规定。a)确保虚拟机迁移过程中重要数据的完整性、保密性，并在检测到完整性受到破坏时，采取必要b)云基础设施数据提供备份与恢复的措施；c)另外两类数据根据SLA提供必要的措施。8.2资源虚拟化安全身份鉴别应符合本文件附录A.1中的规定。a)限制对虚拟资源访问与管理权限，包括预估、申请、分配、调度、扩容、回收等；8b)控制访问权限，对回收的虚拟资源，应明确其中包含的敏感资源；e)控制对虚拟机模板的创建、删f)控制对云服务客户虚拟资源、数据的访问权限；g)其他要求应遵循本文件附录A.2中的规定。a)实现虚拟机隔离(包括分配给虚拟机的CPU、内存等资源),确保虚拟机可以独立运行；c)提供虚拟机热迁移所需的镜像和模板，并实现目标虚拟机的创建与启动；d)确保虚拟机迁移过程中重要数据的完整性、保密性，并在检测到完整性受到破坏时采取必要的f)按照云服务客户要求提供加固的操作系统镜像；g)具备虚拟机镜像备份在不同物理设备上的功能。a)对分配给虚拟机的存储资源实现隔离；b)实现不同云服务客户的数据隔离；d)确保数据迁移过程不影响其他虚拟存储的高可用性。在网卡虚拟化、网络设备虚拟化、网络功能虚拟化基础上，应提供实现如下安全功能的能力：e)实现虚拟防火墙、虚拟负载均衡等网络安全措施；f)支持接入第三方网络安全产品。c)提供容器镜像完整性检查、扫描功能，以及支持提供加固的镜像；9e)提供流量监控、分析与控制。a)监控虚拟机生命周期过程，包括创建、启动、关闭、重启、挂起、休眠、恢复、删除等；b)监控虚拟磁盘生命周期过程，包括创建、删除、挂起、卸载；c)监控虚拟机的资源使用情况，包括CPU利用率、带宽利用率、存储利用率等；d)监控虚拟机/数据的迁移过程，包括各部分迁移进展、是否异常、成功与否等；e)支持设定性能指标及阈值，并进行汇总分析，及时发现异常，及时告警；f)支持云服务客户对监控数据的需求。身份鉴别应符合本文件附录A.1中的规定。a)在虚拟机生命周期过程中，根据云服务客户需求，由云服务管理员对虚拟机执行创建和物理删b)确保仅在云服务客户授权下，云服务管理员等相关云服务商人员才能访问云服务客户数据；c)控制对虚拟机快照中可能存在的敏感数据的访问权限；d)其他要求应遵循本文件附录A.2中的规定。a)根据云服务商和云服务客户的职责划分，实现各自控制部分的审计；b)云服务商为云服务客户进行审计提供支持；a)支持云服务客户设置对虚拟机的访问控制策略；b)支持云服务客户对服务部件自行实现冗余部署；c)云服务出现硬件故障、负载均衡需求、安装和维护需求，应支持环境参数、访问控制策略、资源运行状态(CPU、内存等)、存储与网络配置等与服务部件同步热迁移，实现服务平滑运行；d)支持云服务客户自行选择服务部件的快照、克隆、备份等功能，并提供对快照、克隆、备份的完整性校检，以确保部件的快速恢复。应提供建立虚拟网络架构的能力，由云服务客户自行配置实现以下安全功能：a)支持分配和隐藏内部IP地址；b)支持开展虚拟网络全冗余设计，避免单点故障；c)支持配置实现VPC;e)支持配置VLAN、VxLANa)支持数据敏感(含个人信息)识别功能；d)支持所有存储副本的删除。本项要求应包括：a)支持数据备份与恢复所需的物理资源安全、虚拟化安全、云服务管理安全等措施；b)支持数据保存若干个可用的副本，各副本之间的内容应保持一致；d)支持云服务客户查询备份数据存储位置。b)支持虚拟机迁移时原存储空间回收或再分配时的完全清除能力；d)清除并回收云服务管理系统运行过程中产生的剩余信息。a)入侵检测应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流b)入侵检测应能检测到虚拟机与宿主机的异常流量。本项要求包括以下内容。a)应根据云服务客户