云数据中心安全等级保护建设方案模板

项目综述项目背景为了保障基于“健康云”、“智慧云”XX数据中心，天融信企业依据公安部《相关开展信息系统等级保护安全建设整改工作指导意见》公信安[]1389号)要求，落实“经过组织开展信息安全等级保护安全管理制度建设、技术方法建设和等级测评，落实等级保护制度各项要求，使信息系统安全管理水平显著提升，安全防范能力显著增强，安全隐患和安全事故显著降低，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”方针，为XX数据中心需要在计划、建设和使用相关信息系统同时对信息安全也要同时建设，全方面开展信息安全等级保护建设整改工作。安全目标XX信息安全等级保护建设工作总体目标是：“遵照国家信息安全等级保护相关法规要求和标准规范，经过全方面开展信息安全等级保护定级立案、建设整改和等级测评工作，深入实现对整个新建云平台信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障关键，落实信息安全责任，切实提升系统信息安全防护能力，为整个云平台顺利建设和信息化健康发展提供可靠保障。”具体目标包含（1）体系建设，实现按需防御。经过体系设计制订等级方案，进行安全技术体系、安全管理体系和安全运维体系建设，实现按需防御。（2）安全运维，确保连续安全。经过安全监控、安全加固等运维手段，从事前、事中、事后三个方面进行安全运行维护，实现连续性按需防御安全需求。（3）经过合规性建设，提升XX云平台安全防护能力，保障系统信息安全，同时满足国家等级保护合规性要求，为信息化工作推进保驾护航。建设范围本方案设计范围覆盖XX新建云平台基础设施服务系统。安全对象包含：云内安全：虚拟化环境中虚拟化平台及其相关虚拟化网络、虚拟化主机安全防护；云外安全：虚拟化环境以外网络接入，关键交换，存放备份环境。建设依据国家相关政策要求（1）《中国计算机信息系统安全保护条例》（国务院147号令）；（2）《国家信息化领导小组相关加强信息安全保障工作意见》（中办发[]27号）；（3）《相关信息安全等级保护工作实施意见》（公通字[]66号）；（4）《信息安全等级保护管理措施》（公通字[]43号）；（5）《信息安全等级保护立案实施细则》（公信安[]1360号）；（6）《相关加强国家电子政务工程建设项目信息安全风险评定工作通知》（发改高技[]2071号）；（7）《相关开展信息安全等级保护安全建设整改工作指导意见》（公信安[]1429号）。等级保护及信息安全相关国家标准（1）《计算机信息系统安全保护等级划分准则》（GB17859-1999）；（2）《信息安全技术信息系统安全等级保护实施指南》（GBT25058-）；（3）《信息安全技术信息系统安全保护等级定级指南》（GB/T22240-）；（4）《信息安全技术信息系统安全等级保护基础要求》（GB/T22239-）；（5）《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-）；（6）《信息安全技术信息系统安全等级保护测评要求》；（7）《信息安全技术信息系统安全等级保护测评过程指南》；（8）《信息安全技术信息安全风险评定规范》（GB/T20984-）；（9）《信息安全技术信息系统安全管理要求》（GB/T20269-）；（10）《信息技术安全技术信息安全管理体系要求》（GB/T22080-（idtISO/IEC27001:））；（11）《信息技术安全技术信息安全管理实用准则》（GB/T22081-（idtISO/IEC27002:））；（12）《信息安全技术信息系统通用安全技术要求》（GB/T20271-）及相关一系列具体技术标准。云安全等保风险分析 因为本系统是新建设系统，而且还未布署应用。机房环境现在已经很完备，含有很好物理安全方法。所以目前最关键工作是依据等级保护基础要求，着重进行网络层、主机层、数据层等方面等级保护安全技术建设工作。另外，天融信含有等级保护教授团体，深入了解国家等级保护相关政策，熟悉信息系统计划和整改工作关键点和步骤，将经过等级保护差距分析、文档审核、现场访谈、现场测试等方法，发掘现在云平台系统和等保技术和管理要求不符合项。并针对不符合项，进行逐条分析，确定建设方案。在云架构下传统保护模式怎样建立层次型防护策略，怎样保护共享虚拟化环境下云平台建设中需关键考虑步骤；健康云和智慧云将实现基于云数据存放和集中管理，必需采取有效方法预防外部入侵和内部用户滥用权限；在信息安全保障体系实现时仍需满足国家信息安全等级保护政策要求，同时需要处理信息安全等级保护政策在云计算技术体系下怎样落地关键课题。健康云和智慧云计算平台引入了虚拟化技术，实现数据资源、服务资源、平台资源云共享，计算、网络、存放等三类资源是云计算平台依靠关键系统资源，平台可用性（Availability）、可靠性（Reliability）、数据安全性、运维管理能力是安全建设关键指标，传统密码技术、边界防护技术、入侵检测技术、审计技术等在云计算环境下仍然需要，并需要针对云计算给信息安全带来新问题，关键处理，虚拟化安全漏洞，和基于云环境下安全监控、用户隔离、行为审计、不一样角色访问控制、安全策略、安全管理和日志审计等技术难点，这就愈加需要借助内外网等级保护建设构建满足健康云、智慧云平台业务需要安全支撑体系，提升信息化环境安全性，并经过运维、安全保障等基础资源统一建设，有效消除安全保障中“短板效应”，增强整个信息化环境安全性。

合规性风险XX云平台安全建设需满足等级保护三级基础要求标准，即需要建设安全技术、管理、运维体系，达成可信、可控、可管目标。不过现在在云计算环境下等级保护标准还未出台，可能见面临信息系统可信、可控、可管巨大挑战，以下图：另外，在以后大量XX自有应用和经过SaaS方法，纵向引入各下属单位应用。为了满足各类不一样应用合规性需求，需要在安全技术、运维、管理等方面进行愈加灵活、高可用性冗余建设。系统建设风险虚拟化平台架构，品牌选择是一个很慎重问题。其架构依据不一样品牌，造成接口开放程度不一样，运行机制不一样。而和虚拟化平台相关如：信息系统应用架构、安全架构、数据存放架构等，全部和虚拟化平台息息相关，也是后续应用迁入工作基础。另外，在后期迁入应用，建设过程中质量监控，建设计划是否合理可靠等问题，全部有可能造成风险。以下为具体风险：应用迁入阻力风险XX云平台计划愿景包含：应用数据大集中，管理大集中，所以要求以后非云环境各类应用逐步迁移入虚拟化环境，各应用计算环境也需要调整入虚拟化环境。由此可能会引发部分兼容性风险问题，带来迁入阻力风险。虚拟化平台品牌选择风险因现有虚拟化平台已经采购完成，是VMwarevSphere虚拟化平台，因其对中国其它IT平台，尤其是对中国安全厂商开放性严重不足，造成很多安全机制无法兼顾到云平台内部。所以造成了安全监控、安全管理、安全防护机制在云平台内外出现断档现象，使现有自动化安全管理、网络管理、安全防护等方法无法有效覆盖虚拟化环境。建设质量计量、监督风险因为此次XX云平台建设计划采取市场化建设方法进行，不过现有云计算平台是否符合建设要求，是否符合安全需求，怎样进行质量计量，怎样进行评审监督，全部是亟待处理问题。安全计划风险在云平台计划过程中，应同时计划安全保障体系；确保在建设过程中，同时实施计算环境和安全保障建设。如出现信息安全建设延后，可能带来保障体系脆弱性，放大各其它基础设施脆弱性，造成各类安全风险滋生。建设计划风险云平台建设因其复杂性，造成系统投入使用前，需要进行完善详实计划、设计和实施。需协调好各相关部门，和第三方合作厂商，群策群力建设云平台，而建设计划是需要先行一步制订好，从而能够指导规范整个项目标生命周期。

安全技术风险基于虚拟化技术云平台带来了很多优势，如计算资源按需分配，计算资源利用效率最大化等等。不过，在引入优势同时，也会带来很多新安全风险。所以对于XX云平台信息安全风险分析也应依据实际情况作出调整，考虑虚拟化平台、虚拟化网络、虚拟化主机安全风险。同时，为了满足等级保护合规性要求，需要结合等级保护三级基础要求中相关安全技术体系五个层面安全需求，即：物理安全、网络安全、主机安全、应用安全及数据安全。即使现在阶段，云平台还未引入有效应用和数据，不过在安全计划中需要为未来出现情况进行先期估计，将其可能引入安全风险进行考虑。所以，在经过总结后，可得出八个方面安全风险。物理安全风险因现在物理机房基础设施已完善，在实地考察后，发觉XX现有机房已满足等级保护三级合规性要求，物理安全风险已经得到有效控制。网络安全风险本节关键讨论非虚拟化环境中传统网络安全风险。网络可用性风险有多个原因会对网络可用性造成负面影响，关键集中于链路流量负载不妥，流量分配不妥，和拒绝服务攻击、蠕虫类病毒等威胁。另外，对网络内部流量和协议审计也很关键，运维人员需要了解这些信息以协调网络资源，充足保障网络可用性，深入保障应用业务可用性。网络边界完整性风险网络边界包含云平台边界、内部各安全域边界，租户边界（主机/虚拟主机/业务系统），互联网接入边界。在此讨论非虚拟化环境下网络边界完整性风险。云平台网络边界、互联网接入边界、内部各安全域网络边界和物理主机网络边界可能会因缺乏边界访问控制管理，访问控制策略不妥，身份判别失效，非法内联，非法外联等原因而被突破，造成网络边界完整性失去保护，深入可能会影响信息系统保密性和可用性。安全通信风险第三方运维人员，采取远程终端访问云中各类应用。假如不对应用数据远程通信数据进行加密，则通信信息就有被窃听、篡改、泄露风险，破坏通信信息完整性和保密性。入侵防护风险网络入侵可能来自各边界外部或内部。假如缺乏行之有效审计手段和防护手段，则信息安全无从谈起。为避免信息安全保障体系成为了聋子、瞎子，需要审计手段发觉入侵威胁，需要防护手段阻断威胁。恶意代码风险当网络边界被突破后，信息系统会暴露在危险环境下，最为突出风险就是恶意代码风险，可能会造成系统保密性和可用性损失。包含端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统随时见面临各类恶意代码攻击风险，尤其是APT攻击，即使系统含有较为完善防御体系，也极难防范这类攻击。主机安全风险在虚拟化环境下，主机安全也应对物理服务器主机和虚拟化主机进行区分对待，存在安全风险问题有所不一样。本节只讨论物理服务器和远程接入应用操作终端安全风险。应用操作终端风险云平台搭建后，系统资源统一放在云端，而用户是经过终端远程接入云中应用。除了上述身份判别和授权风险外，终端使用浏览器本身存在漏洞，甚至终端本身健康情况不良，全部可能会造成云端受到对应威胁。服务器主机操作系统漏洞风险服务器主机操作系统因本身设计原因，存在固有漏洞和脆弱性，含有被突破、被潜伏、被利用、被破坏各类风险。服务器主机平台风险现在服务器硬件架构中，采取CPU、主板、内存等配件关键技术仍然受制于人，为了业务性能需求，仍然需要采取国外技术架构。可能会带来后门入侵风险。应用安全风险身份判别、授权、审计风险应用放置在云端，在实现资源共享同时，会带来信息泄漏风险。因为网络不确定性，首要问题就是要确定使用者身份、确保身份正当性。因为工作需要，不一样部门、不一样职责工作人员应用需求不一样，信息使用权限不一样，必需要对使用者身份进行统一认证，统一授权，统一审计。一旦攻击者获取使用者身份验证信息，假冒正当用户，用户数据完全暴露在其面前，其它安全方法全部将失效，攻击者将能够为所欲为，窃取或修改用户数据。所以，身份假冒是政务云面正确首要安全威胁。应用服务可用性风险任何形式应用全部存在可用性风险，而一旦可用性风险被威胁利用，深入引发了安全事件，则会带来应用不可用，进而造成业务受阻。缺乏对应用服务审计也会带来可用性风险，假如经过审计和分析策略在故障或入侵之前能够觉察到异常信息，可能就避免了事故发生。而在云计算环境下，因为应用高度集中和边界模糊，可能一次单台主机不可用，全部会带来多个业务不可用。所以云计算环境下应用可用性问题相比传统计算环境下，含有影响范围广，程度深特点。WEB攻击风险WEB攻击关键指针对WEB服务各类应用恶意代码攻击，诸如SQL注入攻击、XSS攻击、网页篡改等，通常是因为对HTTP表单输入信息未做严格审查，或WEB应用在代码设计时存在脆弱性造成。假如不对这类攻击进行专门防护，很轻易造成安全保障体系被突破，以WEB服务作为跳板，深入威胁内部应用和数据。数据安全风险数据保密性和完整性风险XX云因其业务特点，所处理数据关乎公众服务，和为国家提供舆情服务。即使会有部分应用会对互联网用户提供服务，但只是提供有限接口，访问有限，关乎个人等非敏感数据。但大部分敏感，不宜公开政务云数据还见面临来自非法入侵后进行窃取或篡改，进而带来数据保密性和完整性风险。数据可用性风险当数据完整性遭受破坏时，数据可用性也会遭受影响，数据失真，尤其是应用关键参数失真最为严重。尤其是虚拟化环境下，数据碎片化存放，在整合时出现问题，造成应用服务中止，进而造成应用可用性风险。所以怎样进行容灾，备份，恢复也是一个严峻问题。数据审计风险因为在云环境中，用户数据不再保留在用户当地，所以现在在云计算环境中，多依靠完整性验证方法使用户确信她们数据被正确存放和处理。为了确保数据可恢复性及冗余性，在云计算环境中，通常会采取冗余存放手段。这就需要特定审计方法确保多个版本数据一致性和完整性。另外，针对数据使用者信息，也需要经过审计方法来进行统计。数据安全检测风险在政务云环境下，数据往往是离散分布在“云”中不一样位置，用户无法确定自己数据到底在哪里，具体是由哪个服务器进行管理。也所以造成当数据出现不可用，破坏，甚至泄露时，极难确定具体问题点。数据库安全风险数据库通常作为非结构化数据索引，经过结构化表表现形式，为前端应用和后方数据提供桥梁；同时，对于结构化数据，数据库本身就进行了数据存放。恶意攻击通常会经过数据库漏洞或恶意代码方法进行非法提权，从而经过数据库结构化语句窃取、篡改甚至破坏后台存放数据，威胁到数据保密性、完整性和可用性。虚拟化平台安全风险虚拟化是云计算最关键技术支持之一，也是云计算标志之一。然而，虚拟化结果，却使很多传统安全防护手段失效。从技术层面上讲，云计算和传统IT环境最大区分在于其虚拟计算环境，也正是这一区分造成其安全问题变得异常“棘手”。虚拟化平台本身安全风险虚拟化平台本身也存在安全漏洞，虚拟主机可能会被作为跳板，经过虚拟化网络攻击虚拟化平台管理接口；或由虚拟机经过平台漏洞直接攻击底层虚拟化平台，造成基于虚拟化平台各类业务均出现不可用或信息泄露。安全可信、可控风险虚拟化平台技术是从国外引进，现在常见主流商用虚拟化平台被多个大国外厂商垄断，且不对外提供关键、关键接口，更不提供源码，造成在其上构建和布署安全方法困难，可控性差。再加上可能利益驱使和网络战需要，无法判别是否留有控制“后门”，可信度有待商榷。虚拟资源池内恶意竞争风险处于虚拟资源池内多虚拟主机会共享统一硬件环境，常常会出现恶意抢占资源，影响了平台资源可用性，进而影响虚拟化平台服务水平。虚拟化网络安全风险虚拟化网络结构，使得传统分域防护变得难以实现，虚拟化服务提供模式，使得对使用者身份、权限和行为判别、控制和审计变得愈加困难。造成虚拟化网络不可见风险、网络边界动态化风险、多租户混用安全风险等。虚拟化网络不可见风险在云环境中，虚拟化资源会放在同一资源池中，供各应用调配资源来实现业务运行。在这种情况下，传统安全防护设备无法深入虚拟化平台内部进行安全防护，难以达成恶意代码防护，流量监控，协议审计等安全要求。网络边界动态化风险为了实现虚拟化环境下动态负载，出现了虚拟机动态漂移技术，造成虚拟化主机真实位置也会随之改变，造成边界安全策略也需要随之转移。若边界隔离、安全防护方法和策略不能跟随虚拟机漂移，会使得边界防护方法和防护策略难以起效，造成安全漏洞。多租户混用安全风险在XX云平台计划愿景中，包含对下属机构提供SaaS类服务，肯定会引入其它租户应用。这么多业务系统有着不一样安全等级和访问控制要求，业务系统本身安全保障机制也参差不齐。全部业务系统安全防护策略和需求也是不一样，而安全策略一刀切常常会使整体安全度降低，高安全等级要求业务系统无法得到应有安全保障，造成越权访问、数据泄露。网络地址冲突风险因为用户对虚拟机有完全控制权，所以能够随意修改虚拟机mac地址，可能造成和其它虚拟机mac冲突，从而影响虚拟机通信。恶意虚拟机实施攻击风险虚拟机通信隔离机制不强，恶意虚拟机可能监听其它虚拟机运行状态，实施Dos攻击，恶意占用资源（cpu,内存，网络带宽等），影响其它VM运行。虚拟化主机安全风险虚拟机恶意抢占资源风险虚拟机完全由最终用户控制，恶意份子和被控制虚拟机可能恶意抢占网络、存放和运算资源，造成整体云平台资源耗尽，从而影响其它关键业务系统正常运行扰乱正常政务办公。虚拟机安全审计风险在云平台构建完成后，将同时运转数量众多虚拟机。而且，对虚拟机操作人员各异，安全意识和安全防范方法也参差不齐。缺乏安全审计会造成一些虚拟机感染病毒后进行非法操作，甚至可能利用hypervisor已经有漏洞，取得更高权限，从而实施多种攻击。虚拟机镜像安全风险比起物理主机，虚拟机镜像是以文件形式存在，所以，轻易被复制和修改，同时，不一样安全等级版本镜像可能被替换。虚拟机镜像文件如缺乏控制方法，可能存在完整性修改，镜像回滚失败等风险。安全管理风险当云平台系统进入上线运行阶段后，相关安全管理人员在管理过程中可能会遭遇多个问题，引发安全管理风险。在云计算环境下，应用系统和硬件服务器不再是一一绑定关系，安全管理职责发生了改变，失去了对基础设施和应用绝对管理权和控制权。另外，政务云系统管理层面发生了改变，XX云环境运维部门负责管理基础设施，而应用系统因为租户众多，使得应用系统维护者众多。也所以管理职责复杂化，需要明晰职权。在多租户迁入应用和数据情况下，区分于传统私有云，管理人员队伍也发生了改变，需要多个部门进行人员协调。因为人员是由多个部门组成，也所以要求安全管理制度，应急响应策略和制度依据实际情况作出调整。云环境下特有安全管理风险在云环境下，“资源池”管理技术关键实现对物理资源、虚拟资源统一管理，并依据用户需求实现虚拟资源（虚拟机、虚拟存放空间等）自动化生成、分配、回收和迁移，用以支持用户对资源弹性需求。这突破了传统安全区域，使得传统基于物理安全边界防护机制不能有效地发挥作用，减弱了云平台上各租户对关键信息管理能力。另外，在传统网络环境中，网络中各类资产通常由不一样管理员进行管理。但在虚拟化环境中，往往全部由同一管理员负责，可能会出现管理员权限过于集中风险。对管理员操作审计和行为规范全部提出了很高要求。安全组织建设风险要应对云平台进入运行阶段各类问题，首先对进行安全管理运维组织保障能力提出了挑战。没有依据实际情况建设安全组织，无法应对云平台复杂环境下安全管理要求，无法顺利完成安全管理工作，无法保障各类云业务顺利进行。而且鉴于此次云平台建设实际情况：即迁入多租户大量应用，所以在进行安全管理时，怎样划分管理权限，明晰职责，也成为了需要处理问题。所以，需求合理、务实、专业多类安全队伍来应对挑战，保障云平台业务顺利通畅进行。人员风险再安全网络设备和安全管理系统也离不开人操作和管理，再好安全策略也最终要靠人来实现，所以人员也是整个网络安全中关键一环。需求含有完备信息安全意识，专业信息安全素养，职业化信息安全态度人才，来管理和维护政务云系统，保障业务。安全策略风险在应对云平台未来可能碰到信息安全事件时，除了含有组织、人员外，还需要制订适合云平台系统复杂环境安全制度和安全策略，让组织和人员能够有效，合规完成信息安全事件相关各类工作，以确保信息安全管理能够高效，高质量进行。安全审计风险在云平台投入使用后，因业务系统和底层架构较为复杂，需要进行全方位监控审计，方便立即发觉各类可能和信息安全相关、业务状态相关信息，并立即作出管理策略响应和调整。而具体由谁来监控审计，审计结果是否有效而客观，是否能够立即传达至相关责任人，这些问题全部需要妥善处理，才能够实现全方位，立即，有效审计。安全运维风险因为XX采购方法是经过市场化建设，提供基础设施平台，平台建设完成后，将引入各下属机构应用系统。所以在云平台投入使用后，运维人员、审计监控和应急响应等全部发生了职责、权限、步骤改变，引入了新型，在云环境下特有新型风险。另外，还包含部分传统安全运维风险，比如：环境和资产，操作和运维，业务连续性，监督和检验，第三方安全服务等风险。云环境下特有运维风险运维职权不明风险在云平台投入使用后，基础设施由XX进行运维，而基于基础设施各类应用由各租户相关人员进行运维。不过当发生事故时候，无法在第一时间确定事故波及方；处理事故时，无法分配具体任务；事故追责时，无法确定到底由谁来负责。尤其是在云环境中，资源池内假如发生了安全事故，资源边界愈加模糊。所以确定运维职责很关键。运维步骤不明风险因为运维参与者众多，属于不一样参与方，也造成在进行运维过程中，很多步骤要包含到不一样参与方多个部门。所以确定一个统一，合理安全运维制度是保障运维工作顺利进行必需条件。虚拟资源运维审计监控风险在安全技术上，传统运维审计手段缺乏对虚拟机运维审计能力。流量不可视也带来了协议无法审计，虚拟机动态迁移带来审计策略中止等问题。突发事件风险再完备安全保障体系，也无法阻止忽然性事件发生，这种风险也是信息系统固有属性，无法避免。尤其是在云环境下，应急响应变得更为复杂，包含范围广，恢复难度大。也所以需求在云平台系统运行中，有可靠应急响应队伍和机制，保障快速、妥善应对各类突发性问题。环境和资产风险信息系统依靠于机房和周围环境，而业务系统则直接依靠于基础设施。在云平台系统投入使用后，面临最直接风险就来自于环境和资产。因为云平台由XX运维团体进行运行维护，为了确保政务云系统正常运行，所以要求数据中心运维团体运维管理能力能够含有较高水平。操作和运维风险人员是极难进行控制，而对业务和基础设施进行操作和运维人员，不管是经过现场还是远程进行操作，全部可能因为误操作，为信息系统带来损失。怎样规范人员操作、运维步骤，怎样降低误操作可能性，怎样提升操作者职业素养，这些全部是需要处理问题。业务连续性风险信息系统最终使命是运行业务，不过业务连续性是否能够确保，关乎信息系统多个层面，包含物理、网络、主机、应用和数据等。在云平台环境下，还包含虚拟化平台，和运行在其上虚拟主机、虚拟网络。其中任何一环假如出现问题，全部有可能影响业务连续性。所以怎样保护业务连续性也给运维团体提出了难题。监督和检验风险智慧云系统是多组织，多系统，多业务，多参与者云计算平台，为了保障如此复杂系统，需要很多安全技术、管理和运维过程。这些过程是否符正当律、符合标准，在发生事故时，怎样督促管理者有效跟踪事故，并快速解除故障。这些全部需要进行监督和检验管理，不然轻易使参与者负担法律风险。第三方服务风险为保障云平台正常运行和不停完善，需要进行很多运行维护工作，诸如：业务迁入，差距分析，安全加固，渗透测试等。不过这些工作全部过于专业化，仍需要专业第三方安全机构提供对应服务，才能够有效进行。所以，怎样选择第三方服务机构，怎样监督评价第三方服务质量，就需要妥善第三方服务管理。

处理方案总体设计设计标准XX云平台安全等级保护建设需要充足考虑长远发展需求，统一计划、统一布局、统一设计、规范标准，并依据实际需要及投资金额，突出关键、分步实施，确保系统建设完整性和投资有效性。在方案设计和项目建设中应该遵照以下标准：统一计划、分步实施标准在信息安全等级保护建设过程中，将首先从一个完整网络系统体系结构出发，全方位、多层次综合考虑信息网络多种实体和各个步骤，利用信息系统工程见解和方法论进行统一、整体性设计，将有限资源集中处理最紧迫问题，为后继安全实施提供基础保障，经过逐步实施，来达成信息网络系统安全强化。从处理关键问题入手，伴随信息系统应用开展，逐步提升和完善信息系统建设，充足利用现有资源进行合理整合标准。故后文中安全处理方案将进行着眼未来安全设计，并强调分步走安全战略思想，着重描述本期应布署安全方法，并以发展眼光叙述以后应布署安全方法。标准性和规范化标准信息安全等级保护建设应该严格遵照国家和行业相关法律法规和技术规范要求，从业务、技术、运行管理等方面对项目标整体建设和实施进行设计，充足表现标准化和规范化。关键保护标准依据信息系统关键程度、业务特点，经过划分不一样安全保护等级信息系统，实现不一样强度安全保护，集中资源优先保护包含关键业务或关键信息资产信息系统。适度安全标准任何信息系统全部不能做到绝正确安全，在安全计划过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多安全要求必将造成安全成本快速增加和运行复杂性。适度安全也是等级保护建设初衷，所以在进行等级保护设计过程中，首先要严格遵照基础要求，从物理、网络、主机、应用、数据等层面加强防护方法，保障信息系统机密性、完整性和可用性，另外也要综合考虑业务和成本原因，针对信息系统实际风险，提出对应保护强度，并根据保护强度进行安全防护系统设计和建设，从而有效控制成本。技术管理并重标准信息安全问题历来就不是单纯技术问题，把防范黑客入侵和病毒感染了解为信息安全问题全部是片面，仅仅经过布署安全产品极难完全覆盖全部信息安全问题，所以必需要把技术方法和管理方法结合起来，更有效保障信息系统整体安全性。优异形和成熟性标准所建设安全体系应该在设计理念、技术体系、产品选型等方面实现优异性和成熟性统一。本方案设计采取国际优异实用安全技术和国产优异安全产品，选择现在和未来一定时期内有代表性和优异性成熟安全技术，既确保目前系统高安全可靠，又满足系统在很长生命周期内有连续可维护和可扩展性。动态调整标准信息安全问题不是静态。信息系统安全保障体系设计和建设，必需遵照动态性标准。必需适应不停发展信息技术和不停改变脆弱性，必需能够立即地、不停地改善和完善系统安全保障方法。经济性标准项目设计和建设过程中，将充足利用现有资源，在可用性前提条件下充足确保系统建设经济性，提升投资效率，避免反复建设。安全保障体系组成XX信息安全等级保护安全方案设计思想是以等级保护“一个中心、三重防护”为关键指导思想，构建集防护、检测、响应、恢复于一体全方面安全保障体系。具体表现为：以全方面落实落实等级保护制度为关键，打造科学实用信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，从安全技术、安全管理、安全运维三个角度构建安全防护体系，切实保障信息安全。云环境下信息安全保障体系模型以下图所表示：一个指导思想：等级保护思想等级保护是系统设计关键指导思想，整个方案技术及管理设计全部是围绕符合等级保护设计思想和要求展开实现。三个防御维度：技术、管理、运维全方位纵深防御（1）安全技术维度：安全技术是基础防御具体实现（2）安全管理维度：安全管理是总体策略方针指导（3）安全运行维度：安全运行体系是支撑和保障安全技术体系参考GB/T25070-《信息安全技术信息系统等级保护安全设计技术要求》（以下简称《设计技术要求》），安全技术体系设计内容关键涵盖到“一个中心、三重防护”。即安全管理中心、计算环境安全、区域边界安全、通信网络安全。图33安全技术体系组成（1）安全管理中心：构建优异高效安全管理中心，实现针对系统、产品、设备、信息安全事件、操作步骤等统一管理；（2）计算环境安全：为XX云平台打造一个可信、可靠、安全计算环境。从系统应用级身份判别、访问控制、安全审计、数据机密性及完整性保护、客体安全重用、系统可实施程序保护等方面，全方面提升XX在系统及应用层面安全；（3）区域边界安全：从加强网络边界访问控制粒度、网络边界行为审计和保护网络边界完整等方面，提升网络边界可控性和可审计性；（4）通信网络安全：从保护网络间数据传输安全、网络行为安全审计等方面保障网络通信安全。XX安全技术体系建设基础思绪是：以保护信息系统为关键，严格参考等级保护思绪和标准，从多个层面进行建设，满足XX云平台在物理层面、网络层面、系统层面、应用层面和管理层面安全需求，建成后保障体系将充足符合国家标准，能够为XX业务开展提供有力保障。安全技术体系建设关键点包含：1、构建分域控制体系XX信息安全保障体系，在总体架构上将根据分域保护思绪进行，本方案参考IATF信息安全技术框架，将XX云平台从结构上划分为不一样安全区域，各个安全区域内部网络设备、服务器、终端、应用系统形成单独计算环境、各个安全区域之间访问关系形成边界、各个安全区域之间连接链路和网络设备组成了网络基础设施；所以方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计，并经过统一基础支撑平台（这里我们将采取安全信息管理平台）来实现对基础安全设施集中管理，构建分域控制体系。2、构建纵深防御体系XX信息安全保障体系包含技术和管理两个部分，本方案针对XX云平台通信网络、区域边界、计算环境、虚拟化环境，综合采取身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多个技术和方法，实现XX业务应用可用性、完整性和保密性保护，并在此基础上实现综合集中安全管理，并充足考虑多种技术组合和功效互补性，合理利用方法，从外到内形成一个纵深安全防御体系，保障信息系统整体安全保护能力。3、确保一致安全强度XX云平台应采取分级措施，采取强度一致安全方法，并采取统一防护策略，使各安全方法在作用和功效上相互补充，形成动态防护体系。所以在建设手段上，本方案采取“大平台”方法进行建设，在平台上实现各个等级信息系统基础保护，比如统一防病毒系统、统一审计系统，然后在基础保护基础上，再依据各个信息系统关键程度，采取高强度保护方法。4、实现集中安全管理信息安全管理目标就是经过采取合适控制方法来保障信息保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成影响。经过建设集中安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等统一分析和监管，经过关联分析技术，使系统管理人员能够快速发觉问题，定位问题，有效应对安全事件发生。安全管理体系仅有安全技术防护，无严格安全管理相配合，是难以保障整个系统稳定安全运行。应该在安全建设、运行、维护、管理全部要重视安全管理，严格按制度进行办事，明确责任权力，规范操作，加强人员、设备管理和人员培训，提升安全管理水平，同时加强对紧急事件应对能力，经过预防方法和恢复控制相结合方法，使由意外事故所引发破坏减小至可接收程度。安全运维体系因为安全技术和管理复杂性、专业性和动态性，XX云平台系统安全计划、设计、建设、运行维护均需要有较为专业安全服务团体支持。安全运维服务包含系统日常维护、安全加固、应急响应、业务连续性管理、安全审计、安全培训等工作。

安全技术方案具体设计天融信在本项目标整改方案设计中，针对XX三级等级保护整改建设，依据一个中心三重防护思绪展开具体设计。具体设计面向以下多个方面：信息安全拓扑设计互联网接入区安全设计互联网接入区作为云平台公布门户网站，用户接入，和未来和各下属单位数据中心经过虚拟专网连接关键接入区域，是XX对外唯一通路。担负着关键边界防护使命。本期方案计划布署以下安全产品：抗DDoS系统：布署两台千兆等级抗DDoS系统，以A/S模式，透明方法布署；对入站方向DDoS攻击流量进行清洗，保护内网直接对外服务网站。防病毒过滤网关：布署两台千兆等级防病毒过滤网关，以A/S模式，透明方法布署；对入站方向HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗，关键保护内网中直接对外提供服务网站，邮件系统，和各办公终端。入侵防御系统：布署两台千兆等级入侵防御系统，以A/S模式，透明方法布署；对入站方向数据包进行包还原，检测攻击行为，攻击特征，若发觉攻击行为则进行阻断。接入防火墙：利用现有CiscoASA5555防火墙，以A/S模式，路由方法布署；负责入站方向IP包访问控制，对DMZ区WEB网站进行端口访问控制；另外开启VPN功效，对接下属机构数据中心，进行虚拟专网连接，同时第三方运维人员可借由VPN远程登入。此处接入防火墙作为纵深防御体系第一道屏障，和内网各关键边界防火墙异构。DMZ区安全设计DMZ区承载XX对外服务网站，担负着XX门户关键使命。本区域中安全设计关键针对WEB网站防护，网页防篡改等。本期方案计划布署以下安全产品：WEB应用防火墙：布署两台千兆等级WEB应用防火墙，以A/S模式，反向代理方法布署；对WEB访问流量进行针对性防护。网页防篡改系统：布署一套网页防篡改软件系统（需安装在一台服务器中），经过文件驱动级监控+触发器方法，监控全部对WEB实体服务器中网页内容修改行为，只有来自WEB公布服务器修改行为会被放行，其它一切修改行为将被阻断。关键交换区安全设计关键交换区关键由两台高性能关键交换机组成，作为整个内网关键，负责全部内网区域间流量交换转发。在此区域关键布署审计类安全产品，对网络中流量进行行为审计和入侵检测。本期方案计划布署以下安全产品：网络审计系统：布署一台万兆等级网络审计系统，以旁路方法，对接两台关键交换机镜像端口；关键交换机需将其它安全域流量镜像至网络审计系统，供网络审计系统审计统计；审计统计可经过报表展示给用户，并可发送至安全管理平台，进行综合安全态势分析和展示。入侵检测系统：布署一台万兆等级入侵检测系统，以旁路方法，对接两台关键交换机镜像端口；关键交换机需将其它安全域流量镜像至入侵检测系统，供入侵检测系统进行入侵行为检测；审计统计可经过报表展示给用户，并可发送至安全管理平台，进行综合安全态势分析和展示。测试开发区安全设计测试开发区是对自研应用系统和新上线设备进行测试区域，其中还包含关键开发文档，对该区域安全设计关键表现在边界访问控制（需筛选可建立连接条件）。本期方案计划布署以下安全产品：测试开发区边界防火墙：布署两台千兆等级防火墙系统，以A/S模式，透明方法布署；筛选能够建立连接（要求内网中哪些IP地址能够访问本区域，要求区域内应用系统端口开放策略），经过策略完成访问控制。安全管理运维区安全设计安全管理运维区是整个XX内网负责安全管理、安全运维和和之相关用户管理、云平台管理、备份管理等各个组件集合区域。是维系云平台正常运转，制订各类安全策略关键区域。本期方案计划布署以下安全产品：安全管理运维区边界防火墙：布署两台千兆等级防火墙系统，以A/S模式，透明方法布署；筛选能够建立连接（要求内网中哪些IP地址能够访问本区域，要求区域内应用系统端口开放策略），经过策略完成访问控制。日志审计系统：需新购置一台服务器级存放，安装日志审计软件，搜集数据中心内其它各类IT组件日志，并集中存放；另应提供备份存放空间，经过备份服务器将日志进行备份。安全管理平台：需提供一台服务器，安装安全管理平台软件系统（内置数据库），搜集全部审计类安全设备事件信息，并结合日志审计系统日志信息，作统一事件关联分析，和对内网各类资产进行风险评定。最终以图形化界面，展示全网安全态势。堡垒机：布署一台可管理300台设备/系统堡垒主机，将全部IT组件管理运维端口，经过策略路由方法，交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理运维授权，并对运维操作进行审计统计（录屏和键盘操作统计）。防病毒系统：需提供两台服务器，分别安装虚拟机防病毒系统，和其它物理主机防病毒系统；对全网主机（虚拟主机和非虚拟主机）进行统一防病毒任务布署，防病毒进程管理，防病毒软件升级管理，和中毒主机隔离等工作。终端安全管理系统：需提供一台服务器，安装终端安全管理系统，对办公终端进行安全监控和管理，实现网络准入，应用公布，补丁管理，移动介质管理，敏感文档防泄漏审计等功效。漏洞扫描系统：布署一台可单次任务扫描一个B类网段漏洞扫描系统，对全网IT组件（主机操作系统、网络设备、安全设备、数据库、中间件、应用服务等）进行脆弱性发掘，并生成检验汇报。结果可经过报表展示给用户，并可发送至安全管理平台，从而进行综合安全态势分析和展示。vShield组件：应在vCenter服务器中安装vShiled安全组件，从而实现虚拟机防火墙功效，可进行VM等级访问控制和流量控制，其策略可随VM动态迁移。vSphereUpdateManager服务器：应单独提供一台服务器（非虚拟机），安装vSphereUpdateManager组件，对vShpere环境进行补丁管理。AD域控及LDAP服务器：应布署AD域控服务器，及LDAP服务器。除了进行全网设备和个人域登录管理外，还可结合众多安全管理设备（如终端安全管理系统，未来CA数字证书中心），为认证设备提供统一用户管理。未来提议布署安全产品包含：CA数字证书认证中心：在未来多应用迁入后，对应用参与者（包含个人终端、其它相关联主机）应进行强访问控制、身份判别和抗抵赖等保护方法，尤其是符合等级保护双原因认证需要基于PKI/CA认证基础设施。需要注意：必需布署CA中心，并完成应用认证步骤梳理，使全部应用参与者均经过双原因认证后才能进入应用环境后，才可满足等级保护要求，在经过测评前，一定要将PKI/CA基础设施建立起来。文档安全管理系统：在应用数据迁入云平台后，会有专用NAS类存放，为业务环境提供非结构化数据（关键为文档、文件）存放和共享。需要使用文档安全管理系统对敏感文档下载后进行加密，并要求正当及非法文件传输出口，正当出口文档为明文，非法出口文档为密文。办公终端区安全设计办公终端区是全部办公终端集合区域，是各类业务生产起点。因其包含众多终端使用者不一样安全素养，也因终端级操作系统较多脆弱性，使个人终端成为了众多安全事件起点。所以需要进行较为周全安全防护。本期方案计划布署以下安全产品：办公终端区边界防火墙：布署一台万兆等级防火墙系统作为本区域边界防火墙；筛选能够建立连接（要求内网中哪些IP地址能够访问本区域，要求区域内应用系统端口开放策略），经过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功效组件，使其可应对复杂个人终端流量。办公终端需安装安全组件：应统一安装防病毒用户端，终端安全系统用户端（批量下载安装），使终端可接收对应安全防护系统管理。云平台应用区安全设计云平台应用区承载着数据中心关键业务，也是此次建设方案关键保障区域。云平台应用区关键经过虚拟化技术实现应用承载，使用VMwarevSphere平台进行虚拟化环境建立和管理。内置公共教育云、XX云及科研云，按其提供业务不一样进行区分。提议每个云组成一个Cluster，各自包含多台ESXi主机，这些ESXi主机上虚拟机共享Cluster内部计算资源。VM可在Cluster内部多台ESXi主机上进行迁移，经过DRS进行计算资源负载均衡，经过vSphereHA进行高可用性管理。Cluster之间如需进行通信，则应将同心流量牵引至云平台边界防火墙，进而经过数据安全交换区进行通信信息安全过滤，并完成交换（后文将详述）。本区域内安全设计，关键包含边界安全，安全审计，虚拟化安全，数据备份等四个部分。本期方案计划布署以下安全产品：云平台应用区边界防火墙：布署两台万兆等级防火墙系统作为本区域边界防火墙；筛选能够建立连接（要求内网中哪些IP地址能够访问本区域，要求区域内应用系统端口开放策略），经过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功效组件，使其可应对复杂应用流量。安全审计类产品：布署在关键交换区网络审计系统和入侵检测系统，将同时分别提供两个千兆审计接口，连接本区域汇聚交换机镜像端口，着重审计云平台边界处流量信息。当多租户系统迁入后，将把租户间流量牵引至本区域汇聚交换机，进而镜像至审计设备进行审计统计。虚拟化安全：vSphere虚拟化平台，及其相关网络、VM组件安全关键靠vSphere提供安全组件完成。包含vShield（提供VM防火墙、防病毒功效），DRS（计算资源负载均衡），vMotion（虚拟机动态迁移），vShpereHA（VM高可用性管理），Snapshot（VM快照备份管理）。备份服务器：接收安全管理运维区备份管理服务器管理，并依据其策略实施具体备份操作。数据安全交换区安全设计（加强型提议计划）数据安全交换区关键负责多个云之间数据安全隔离和数据交换，和下属机构远程信息交互工作。因云平台应用区中公共教育云、XX云和科研云中，只应许可有限信息交互（通常为数据库同时，部分电子XX信息同时）。尤其对于科研云，其中应用数据对于XX至关关键，不容轻易泄露或篡改；其中数据应以数据库同时，电子XX同时等方法定时更新至XX云和公共教育云中；而且实施更新操作起点应经过专有应用进行，在本方案中，采取云平台应用区数据同时管理服务器进行。所以，设置专有数据安全交换区。此区域仅作为安全加强型提议计划，能够考虑在应用及数据迁入后着手进行。安全隔离和信息交换系统：该系统由三部分组成：前置服务器、双向网闸、后置服务器。前置服务器：数据导入前，对数据传输源进行身份判别，确定传输源发出请求可信（可经过同时服务器IP/MAC进行确定）；认证成功后，对数据进行格式检验，内容安全过滤（IPS、防病毒等），为数据经过双向网闸做好准备。双向网闸：网闸也是由三部分组成，通常为“2+1”结构。以下图：双向网闸网络两端在无数据传输时保持网络断路，隔绝了一切网络传输协议。当数据需要传输时，则采取摆渡方法，将数据经过内部私有传输协议逐步导入到对端，在过程中，网络仍然保持断路。极高保护了内部关键网络机密性。后置服务器：接收网闸传输过来数据，并进行完整性校验；若完整性受损，则回传重传信号；数据校验合格后，进行日志统计，并发送至内网。数据存放区安全设计本区域承载全部应用系统业务数据，是IT业务使命根基所在。用户已经采购了IBM企业级存放及磁带库，含有极高数据完整性，可用性保护。在此进行安全设计关键针对数据机密性保护。本期方案计划布署以下安全产品：数据库防火墙：布署在Oracle数据库之前，串联保护4台数据库服务器多个数据库实例。提供数据库虚拟补丁库，针对应用侧和运维侧不一样数据库访问模式，进行具体SQL语句控制策略；同时针对SQL注入攻击，进行SQL语句建模式威胁判别，并进行具体防护；针对高危SQL语句，如：NoWhere批量更新、批量删除语句，可进行策略性阻断。数据库加密系统：需提供两台服务器，安装数据库加密和加固系统，形成主备模式。需在对应保护4台Oracle服务器中安装加解密管理控件（布署配置后自动安装），然后配置加密策略，对关键数据库表中机密数据列进行加密，支持一列一密。应关键保护存放个人信息数据库表（如身份证号等），实现关键数据列加密保护。即使出现拖库，盗库等行为，也无法获取明文数据，明文数据获取仅限授权应用使用。安全计算环境设计系统安全保护环境是基于高等级安全操作系统，推行可信计算技术，实现基于安全策略模型和标识强制访问控制和增强系统审计机制，其目标是在计算和通信系统中广泛使用基于硬件安全模块支持下可信计算平台，以提升整体安全性。高等级安全操作系统由终端操作系统入手，采取安全控制、密码保护和可信计算等安全技术构建操作系统安全内核，针对应用定制安全策略，实施集中式、面向应用安全管理，达成在终端确保系统环境安全可信，预防病毒、黑客入侵破坏，和控制使用者非法操作目标，并由此全方面封堵病毒、黑客和内部恶意用户对系统攻击，保障整个信息系统安全。安全计算环境意在为XX云平台中应用服务及其参与者提供安全保障环境。鉴于现在建设进度，安全计算环境保障关键面向以后应用迁入后安全环境保障，本期能够进行实施安全方法较少。用户身份判别为了确保网络信息保密性，完整性，可控性，可用性和抗抵赖性，信息系统需要采取多个安全技术，如身份判别、信息加密、信息完整性校验、抗抵赖等。而对于XX云平台，用户种类又分为两种：业务用户，管理员用户。对于不一样用户访问行为，将经过不一样机制实现其身份判别。CA数字证书认证（本期不包含）针对业务用户访问身份判别实现关键依靠CA系统数组证书技术及产品。CA数字证书系统应作为以后健康云，智慧云各相关业务应用系统身份管理基础设施，是信息安全基础平台基础组成部分。应用及系统身份认证、授权管理和责任认定等机制全部是依靠和CA认证系统平台。数字证书是基于PKI/CA认证基础设施，在等级保护三级基础要求中对于应用系统用户判别有明确双原因认证要求：即结合现有应用系统已含有静态密码账号认证，实现双原因身份验证。达成这种认证方法现在有两种主流方法：应用系统身份判别机制改造：立即全部应用系统登录步骤进行必需改造，使之适应双原因认证要求。另外，在应用系统众多环境下，能够考虑使用4A系统（统一身份认证管理系统），统一登录门户，统一用户账号管理，统一进行用户角色授权管理，统一进行用户登录应用审计；使用户经过一次单点登录方法，完成对其授权应用系统判别机制，使其能够访问任何经过授权应用系统而无需再次填写登录信息；经过身份认证网关：不改变应用系统登录验证机制，而是在全部应用系统前端布署身份认证网关，在网关处完成数字证书认证，经过授权管理，展示用户可访问系统列表。在登入对应系统后，用户再次完成针对该应用静态账户认证。因现在XX云平台尚无应用，所以以PKI/CA为基础设施身份判别机制现在还无法细化至落地层面，仅在此提出未来应建设方向。本期方案中暂不考虑布署PKI/CA基础设施。堡垒机针对管理用户访问身份判别关键由堡垒机实现，经过将各设备、应用系统管理接口，经过强制策略路由方法，转发至堡垒主机，从而完成反向代理布署模式，实现对管理用户身份判别。现在阶段，可将各类设备（网络设备、安全设备、非虚拟化主机服务器）和虚拟化平台vCenter管理接口，对接至堡垒机，由堡垒机完成单点登录、身份判别。非结构化数据保护（本期不包含）经过文档安全管理系统对每个受控文件作安全标识，表明该文件保密性等级和完整性等级，和和完整性相关署名，文件在整个生存周期中，除非经管理中心重新定级，不然安全标识全程有效。强制访问控制，是依据安全策略来确定该用户能否对指定受控文件进行操作。比如安全策略要求，高密级用户能够访问同密级和低密级文件；反之，低密级用户则被强制严禁访问高密级文件。当然，管理中心能够依据实际应用环境制订对应安全策略。另外，经过文档安全管理系统为每个正当用户自动分配一个私有加密目录——自动文件保密柜。全部进入该目录文件存放时全部被自动加密，正当用户打开该目录下文件时自动脱密。为了确保私有信息私密性，任何用户全部不能查看和操作其它用户自动文件保密柜内文件。现在数据中心云平台业务数据还未进入，本期方案不包含对文件强制访问控制管理。结构化数据机密性、完整性、可用性保护结构化数据关键存放在数据库表中，同时也作为非结构化数据索引。本期方案经过数据库防火墙来对结构化数据进行机密性、完整性保护。数据库防火墙经过代理方法，接管DBMS认证过程，在和前台应用对接后，能够实现应用实名认证，实名审计；同时加强对运维侧访问控制，能够和AD域控结合，进行域登录认证；能够和堡垒机结合，完成代理登录。经过数据库加密和加固系统，对关键数据库表中机密数据列进行加密保护，仅限授权应用调用明文数据，其它盗库行为即使成功，也只能取得密文数据。另外，经过数据库防火墙前置数据库补丁库，使数据库不用停机升级，维护业务可用性，并综合增强数据库健壮度。虚拟机数据加密虚拟机镜像不管在静止还是运行状态全部有被窃取或篡改脆弱漏洞。对应处理方案是在任何时刻对虚拟机镜像（image）进行加密，但这又会造成性能问题。在安全性要求高或有法规要求环境下，（加密）性能成本是值得。加密必需和管理性方法、审计踪迹配合以预防运行中虚拟机快照（Snapshot）“逃到野外”，从而给攻击者获取快照中数据机会。vCenter因封闭性很好，已经对VM文件进行了良好加密方法。只能经过vCenter平台对虚拟机文件进行明文访问。客体安全重用客体安全重用指是操作系统内查对敏感数据进行完全擦除，在不一样用户登录使用时，将对原使用者信息进行清除，确保数据不被恶意恢复而造成信息泄露。在vCenter中，已提供了虚拟存放数据清除手段，即：采取ThickProvisionVMFS，在进行删除时，可确保能够在物理存放设备等级上被有效清除。比如镜像文件、快照文件在迁移或删除虚拟机后能被完全清除；租户解除使用存放资源全部数据在物理存放设备等级上被有效清除。双原因认证（本期不包含）等级保护中要求三级系统应支持用户标识和用户判别，确保在系统整个生存周期用户标识唯一性；在每次用户登录系统时，采取强化管理口令、基于生物特征、数字证书和其它含有对应安全强度两种或两种以上组合机制进行用户身份判别，并对判别数据进行保密性和完整性保护。应要求在应用内部系统对同一用户选择两种或两种以上组合判别技术来进行身份判别。在系统中布署双原因认证产品，在使用用户名、密码同时，再采取物理认证原因，两种认证方法同时采取，因为需要系统用户身份双重认证，双原因认证技术可抵御非法访问，提升认证可靠性，降低来自内/外部非法访问者身份欺诈和来自内部更隐蔽网络侵犯，同时也为安全事件跟踪审计提供一定依据。双原因认证方法可依据实际情况进行采取，如口令+令牌、口令＋数字证书、口令+生物识别等。分析多个方法适用性、可行性、易操作性等方面原因，结合XX系统及用户群实际情况及特点，提议使用基于数字证书认证方法。办公终端安全审计计算环境系统审计关键针对系统及应用层面主机审计。即对上机用户行为进行监督管理，将使用过程中关键信息统计并发送到审计中心，审计员能掌握全方面情况，便于发觉“可疑”情况，立即追查安全事故责任。经过网络行为审计系统实时对网络中服务器和用户终端访问和操作进行监测审计，能够掌握每个主机资源使用情况，监测主机接入正当性，统计对文件系统访问操作行为，统计对各外设操作，监测加载程序和进程，监控对外部网络连接和访问。另外，经过数据库防火墙针对数据库进行保护和审计，经过终端安全管理系统对终端用户操作行为进行审计。虚拟化计算环境中安全审计应设置vCenter日志外发至日志审计系统，并经过安全管理平台对其日志进行分析和评定。云平台计算环境内计算组件（ESXi主机、VM、虚拟化网络等）关键审计手段则经过IBM云平台管理系统进行审计。应确保日志保留期最少6个月。运维审计提议在安全管理运维区布署运维审计系统（通称堡垒主机），对关键IT设备管理员用户提供集中登录认证、权限控制和操作监控。被管理资源包含服务器、数据库、交换机、路由器、防火墙及其它安全设备等。经过布署运维审计系统（内控堡垒主机），能够实现以下功效：单点登录内控堡垒主机提供了基于B/S单点登录系统，用户经过一次登录系统后，就能够无需认证访问包含被授权多个基于B/S应用系统。账户管理集中帐号管理包含对全部服务器、网络设备帐号集中管理，是集中授权、认证和审计基础。集中帐号管理能够实现将帐号和具体自然人相关联，从而实现针对自然人行为审计。身份认证内控堡垒主机为用户提供统一认证界面。采取统一认证接口不仅便于对用户认证管理，而且能够采取愈加安全认证模式，包含静态密码、双原因、一次性口令和生物特征等多个认证方法，而且能够方便地和第三方认证服务对接，提升认证安全性和可靠性，同时又避免了直接在业务服务器上安装认证代理软件所带来额外开销。集中身份认证提议采取基于静态密码+数字证书双原因认证方法。资源授权内控堡垒主机提供统一界面，对用户、角色及行为和资源进行授权，以达成对权限细粒度控制，最大程度保护用户资源安全。经过集中访问授权和访问控制能够对用户经过B/S对服务器主机、网络设备访问进行审计。授权对象包含用户、用户角色、资源和用户行为。系统不仅能够授权用户能够经过什么角色访问资源这么基于应用边界粗粒度授权，对一些应用还能够限制用户操作，和在什么时间进行操作等细粒度授权。访问控制内控堡垒主机系统能够提供细粒度访问控制，最大程度保护用户资源安全。细粒度命令策略是命令集合，能够是一组可实施命令，也能够是一组非可实施命令，该命令集适用来分配给具体用户，来限制其系统行为，管理员会依据其本身角色为其指定对应控制策略来限定用户。操作审计操作审计管理关键审计操作人员帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备访问日志统计全部采取统一帐号、资源进行标识后，操作审计能愈加好地对帐号完整使用过程进行追踪。为了对字符终端、图形终端操作行为进行审计和监控，内控堡垒主机对多种字符终端和图形终端使用协议进行代理，实现多平台操作支持和审计，比如Telnet、SSH、FTP、Windows平台RDP远程桌面协议，Linux/Unix平台XWindow图形终端访问协议等。堡垒机审计数据应提供专有存放系统，进行集中存放保留，保留期应在6个月以上。恶意代码检测针对应用系统恶意代码检测防护，关键是针对进行服务器终端病毒防护和WEB应用木马程序检测。防护各类常见WEB应用攻击，如蠕虫、跨站脚本、网页盗链、和WEB应用挂马等。经过定时安全防护能够检测WEB应用挂马。具体防护操作包含：立即下载并安装补丁程序使用Firefox或Opera健壮系统口令关闭无须要系统服务关闭自动运行功效服务器防病毒系统必需重视集中管理、监控和升级，提升管理效率。同时，因为服务器往往运行关键应用服务，所以，必需注意防病毒软件对服务器性能、功效和稳定性影响。一样，它必需能够提供对集中管理平台接口，实现整体监控。建立防病毒系统集中管理平台。经过管理控制台，实现对全网络防病毒系统安装、配置、管理和监控。加强防病毒系统管理效果，节省人力资源，提升管理效率。在XX云环境中，对于服务器防病毒系统，应分为两个部分：虚拟化主机防病毒系统：可经过采购vShield防护组件，添加VM主机防病毒功效，或采购趋势科技，卡巴斯基等得到VMware开放VM接口防病毒厂商专有适应vSphere环境主机防病毒系统；物理主机防病毒系统：对于非虚拟化环境物理主机（包含服务器主机，终端主机），则采取传统网络防病毒系统进行恶意代码检测及防护。虚拟化主机安全针对vSphere虚拟化环境，关键经过VMware自有安全机制进行防护。a）经过vCenter提供实时虚拟机监控机制，经过带内或带外技术手段对虚拟机运行状态、资源占用、迁移等信息进行监控。b）经过vCenter制订具体管理权限设定，确保虚拟机镜像安全，并确保：1）提供虚拟机镜像文件完整性校验功效，预防虚拟机镜像被恶意，越权篡改。2）采取相关方法确保逻辑卷同一时刻只能被一个虚拟机挂载。c）实现虚拟化平台资源隔离，并确保：1）应经过vCenterDRS自动方法（需要开启vShpereHA），对每个虚拟机全部能取得相对独立物理资源，并能屏蔽虚拟资源故障，确保某个虚拟机瓦解后不影响虚拟机监控器（Hypervisor）及其它虚拟机。2）虚拟机只能访问分配给该虚拟机物理磁盘。3）不一样虚拟机之间虚拟CPU（vCPU）指令实现隔离。4）不一样虚拟机之间实现内存隔离。5）虚拟机内存被释放或再分配给其它虚拟机前得到完全释放。6）确保虚拟机之间采取较为温和方法（迁移阈值MigrationThreshold可设置为中等等级）进行动态负载均衡，避免出现资源恶意抢占。d）提供资源隔离失败后告警方法。e）支持虚拟机安全隔离，在虚拟机监控器（Hypervisor）层提供虚拟机和物理机之间安全隔离方法，可控制虚拟机之间和虚拟机和物理机之间全部数据通信。f）提供虚拟化平台操作管理员权限分离机制，设置网络管理、账户管理、系统管理等不一样管理员账户。g）将虚拟化平台各类操作和事件作为可审计事件，进行统计和追溯。h）确保虚拟镜像模板配置正确性，并明确模板谱系起源。虚拟化平台安全vShpere虚拟化平台需被锁定并参考最好实践进行加固，具体请参考VMwarevSphere最好实践提议（vShpereOptimized）进行虚拟化平台加固。可在最大程度上确保虚拟化平台脆弱性得到抑制。安全区域边界设计安全区域边界方面安全设计关键从区域边界访问控制、边界协议过滤、区域边界完整和安全审计等方面设计。在本期方案中是着重进行设计方面。租户边界访问控制因为多租户共享机制、资源集中共享能够满足多个用户不一样时间段对资源峰值要求，避免按峰值需求设计容量和性能而造成资源浪费。所以势必造成不一样租户使用同一资源现象，为了避免不一样租户间资源互访，提出一个灵活访问控制策略,它首先确保云端不一样企业之间数据强隔离性，使某租户无法越权访问其它租户数据。其次确保云存放内部数据适度隔离，即能够依据租户本身安全需求灵活定制内部策略。不一样租户之间，应经过VLAN划分进行业务隔离，并强调每一类VLAN业务VM主机防火墙配属严密访问控制策略，根据最小授权标准进行访问控制策略制订。另外，不一样租户系统之间访问流，应经由云平台物理汇聚交换机进行转发，而不能仅经过vSwitch等级进行转发，方便安全审计类设备能够对这些通信进行安全监控、访问控制。因为VMware不开发开发接口，造成中国安全厂商对vSwitch流量不可视，只能经过策略路由将租户间流量引导至汇聚交换机，才可实现流量可视，并进行审计。区域边界访问控制网络区域边界通常是整个网络系统中较为轻易受到攻击位置，很多来自外部攻击全部是经过边界微弱步骤攻击到网络内部。而安全域边界也需要做安全防御，以确保安全域内信息安全和安全域内和其它安全域间数据受控访问。所以网络及安全域边界需要进行着重安全防御设计。内部各个安全域边界关键经过布署防火墙、网络入侵检测产品、病毒防护网关等设备，配以合理安全防护策略和考虑到各个安全产品间联动互补。不用业务应用系统在云平台上业务边界，采取划分不一样VLAN实现，业务边界隔离。安全产品选型除了需要考虑产品本身功效、性能、价格等原因外，还需要考虑系统异构性、可管理性等原因。异构性能够提升系统整体抗攻击能力，预防因为某个产品脆弱性造成系统整体安全漏洞；可管理性经过安全管理中心实现系统全网非虚拟化区域设备集中安全管理。本方案经过在各个安全域边界布署防火墙系统进行区域边界访问控制。区域边界安全审计区域边界安全审计关键着重针对网络边界进出访问进行系统审计。如针对非法外联、违规接入、外部恶意嗅探、DDOS攻击等等。网络边界审计经过对网络进行监测、报警、统计和审计；统计网络多种应用流量和用户IP流量，了解网络带宽和应用使用，发觉存在问题，提升网络使用效率。经过丰富审计数据和统计数据，立即发觉异常应用，帮助管理者快速分析定位问题对象。本方案中经过在关键交换机，及云平台汇聚交换机上旁路布署网络审计系统和入侵检测系统，对区域边界进行安全审计。区域边界恶意代码防范区域边界恶意代码防范关键是针对网络数据包中病毒、木马等恶意程序及代码进行实时防护，经过布署网络层防病毒网关手段来实现，本项目中使用了专业防病毒过滤网关系统来实现互联网接入区域边界恶意代码防范，经过携带防病毒功效下一代防火墙系统对云平台边界、办公终端区边界进行恶意代码防范。区域边界完整性保护网络区域边界完整性保护关键内部主机防非法外联和外部主机防非法接入两个方面考虑。预防因为以上两种行动造成网络边界非法外延，边界不完整。目前，对于防网络非法接入和非法外联，关键经过终端安全管理系统实现对应功效。终端安全管理系统为了达成安全管理目标，关键包含以下功效类：1）桌面安全防护2）内网资产管理3）行为管理监控具体功效包含：限制非法外联行为，预防商业机密泄漏；实时监控多种网络连接行为，发觉而且阻断可疑上网行为，保护内网资产。网络接入控制，预防外部非授权许可和主机接入。阻止多种内网攻击预防黑客、木马、间谍软件攻击、蠕虫病毒爆发、非法探测扫描等攻击企图和攻击行为；对终端设备实施强制网络接入控制。提升内网资源使用效率远程策略管理、资产管理和控制、预防内网资源滥用行为，限制应用软件滥用（BT、P2P、即时通讯软件）。一、防非法外联设计非法外联作为终端防护关键技术功效，能够有效对内部网络环境实施管理，能够对内网外联及非内网主机接入作监控；对主机开机上线、关机下线信息和主机名、主机物理地址（MAC地址）改变等信息进行报警。全部事件具体信息全部自动录入数据库，能够提供包含对指定时间段范围、IP地址段范围、事件类型等条件组合查询，方便网络管理员对安全事件事后分析。非法外联监控系统应该实时检测内部网络用户经过调制解调器、网卡等设备非法外联互联网行为，并实现远程告警或阻断。二、网络可信接入功效设计能够根据指定策略控制机器对网络接入，确保只有认证经过机器才能够接入网络，预防存在安全隐患或未经授权机器接入内网，在网络接入层控制非法终端连接，支持IEEE802.1x端口认证工业标准。对于不支持IEEE802.1x交换环境，采取软件控制方法实现对终端设备安全接入控制。依据网络环境，用户能够选择在不一样网段分别启用802.1X认证、非802.1X认证、不启用网络准入认证组合。安全通信网络设计网络冗余设计单线路、单设备结构很轻易发生单点故障造成业务中止，所以对于提供关键业务服务信息系统，应用访问路径上任何一条通信链路、任何一台网关设备和交换设备，全部应该采取可靠冗余备份机制，以最大化保障数据访问可用性和业务连续性。提议对于关键交换、边界防火墙和内部关键安全域交换机等系统，均采取冗余热备布署方法，以提升网络系统整体容错能力，预防出现单点故障。网络安全审计基于网络安全审计包含了对网络信息监控和审计。所谓监控就是实时监控网络上正在发生事情，而审计则是分析网络内容，以发觉可疑破坏行为和有害信息，并对这些破坏行为采取对应方法，如进行统计、报警和阻断等。尤其是针对虚拟机网络通信审计，需要虚拟化平台能够将虚拟机通信流经过流量牵引或API接口等方法给审计系统。网络监控和审计是继防火墙、入侵检测以后又一个网络安全手段。现在很多国际规范和中国对关键网络安全要求中全部将安全审计放在关键位置。安全审计有利于对入侵进行评定，是提升安全性关键工具。审计信息对于确定是否有网络攻击情况发生，和确定问题和攻击源全部很关键。经过对安全事件不停搜集和积累而且加以分析，能够为发觉可能破坏性行为提供有力证据。审计是统计用户使用计算机网络系统进行全部活动过程，它是提升安全性关键工具。经过它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。审计信息对于确定是否存在网络攻击情况，和确定问题源和攻击源，全部很关键。同时，安全事件统计有利于更快速和系统地识别问题，而且它是后面阶段事故处理关键依据，为网络犯罪行为及泄密行为提供取证基础。另外，经过对安全事件不停搜集和积累而且加以分析，有选择性地对其中一些站点或用户进行审计跟踪，为发觉或可能产生破坏性行为提供有力证据。安全审计系统应该覆盖整个安全系统关键部分，这么才能确保整体安全。所以，网络安全审计系统是对网络进行全方面审计系统。该系统能够在网络上建立起一套完整安全监控体系，如同在网上建立一支网络巡警队伍一样。安全审计也能够利用数据库、操作系统、安全保密产品和应用软件审计功效。但对于关键网络信息系统应采取专用设备进行安全审计。安全审计包含监控、管理和审计三大功效。其中，监控功效对需监控网络及主机进行基于安全策略监视和控制；管理功效让安全管理人员能够立即了解网络中被监控主机资源和安全事件相关使用情况，如外设使用、网络应用、进程/应用程序等等，和对服务器访问及网络应用行为情况；审计功效能够对监控过程产生统计进行分析、统计，方便发觉安全违规应用和操作行为。网络数据传输机密性和完整性保护为实现数据在网络间传输过程中机密性、完整性保护，关键设计思想是以密码技术为关键，对于有传输需求业务应用和管理，经过在网络边界布署网络加密设备，从而在公共网络平台上构建VPN虚拟通道，将传输数据包进行加密，保护传输数据机密性和完整性。经过CiscoASA5555防火墙VPN功效，构建VPN加密通道。利用VPN技术组建网络安全平台思想是：在中心节点及各个地方节点网络出口处，布署网络加密设备，并将全部VPN设备纳入全网统一安全管理机构管理范围，使VPN设备根据设定安全策略对进出网络IP数据包进行加/解密，从而在IP层上构建起保障网络安全传输VPN平台，为不一样节点网络内计算机终端之间连接安全和传输安全提供有力支撑和保障。因为工作在网络层，则上层应用系统和业务系统无需做任何更改即可实现安全通信。采取安全保密性很强VPN技术，利用VPN设备所含有身份判别/认证、数据加/解密和访问控制等安全保密功效，能够将广域网络中存在密级较高敏感信息和其它信息进行安全有效地隔离。这么能够有针对性地满足网络传输安全需求，实现信息正确流向和安全传输，在提升网络安全风险抵御能力基础上实现对网络整体逻辑屏蔽和隔离。因为VPN技术经过在网络层对IP数据包进行对应安全处理来组建安全传输通道，故采取VPN技术组建虚拟专用网络无须考虑底层链路传输协议，含有极强适应性和广泛性。虚拟化网络安全经过vShield安全组件为云中虚拟网络资源（如VLAN（虚拟局域网）上VM（虚拟机））间访问实施网络逻辑隔离，并提供访问控制手段。提供虚拟机迁移后，网络