2024专属云系统网络安全规范

专属云系统网络安全规范专属云系统网络安全规范专属云系统网络安全规范1范围本文件规定了专属云系统网络安全的术语定义、功能要求、基本数据项和试验方法。本文件适用于专属云系统的研发和部署设计，以及应用中的网络安全管理。2规范性引用文件（包括所有的修改单适用于本文件。GB/T32400-2015信息技术云计算概览与词汇GB/T37939-2019信息安全技术网络存储安全技术要求3专属云系统网络安全规范1范围本文件规定了专属云系统网络安全的术语定义、功能要求、基本数据项和试验方法。本文件适用于专属云系统的研发和部署设计，以及应用中的网络安全管理。2规范性引用文件（包括所有的修改单适用于本文件。GB/T32400-2015信息技术云计算概览与词汇GB/T37939-2019信息安全技术网络存储安全技术要求3术语和定义GB/T32400-2015GB/T37939-20193.1dedicatedcloud使用公有云。4功能要求功能。5基本数据项要求5.1管理安全应满足表1的要求。1表1管理安全指标系统内核层安全5.2专属云系统内核层应具有自身系统内核的安全自检、自修复能力，指标应满足表2的要求。表2系统内核层安全指标5.3数据层安全应满足表3的要求。2指标分类指标说明底层内核系统安全应支持底层系统完整性破坏、缺失检测的功能，且能更新或恢复初始的能力应支持操作系统包括LINUX、WINDOWS等第三方等系统底层内核的安全更新漏洞修复能力Hypervisor（计算虚拟化软件）应支持虚拟软件包括KVM、CtrixXen等第三方计算虚拟化软件安全更新应支持当前虚拟软件官方漏洞公布与即时修复的能力ServerSAN（分布式存储软件）应支持ServerSAN软件，包含Ceph、VSAN、思杰XenServer第三方软件漏洞批露与更新能力0day全防护用系统漏洞、管理平台漏洞等指标分类指标说明物理环境安全应标记并划分特定区域定向管理专属云设施应支持硬件发生变更时提示的能力应支持硬件物理损坏情况下高可用、容灾及数据恢复的能力管理平台应支持平台真伪鉴别的能力应支持管理平台WEB访问连接安全的能力应支持2种以上多因子身份鉴别、访问控制应支持最小化安装原则、且能禁用无用组件功能管理业务应支持客户业务可持续性保护措施、全面保护客户业务的能力应支持各用户、业务、数据的隔离，不可互访的能力表1管理安全指标系统内核层安全5.2专属云系统内核层应具有自身系统内核的安全自检、自修复能力，指标应满足表2的要求。表2系统内核层安全指标5.3数据层安全应满足表3的要求。2指标分类指标说明底层内核系统安全应支持底层系统完整性破坏、缺失检测的功能，且能更新或恢复初始的能力应支持操作系统包括LINUX、WINDOWS等第三方等系统底层内核的安全更新漏洞修复能力Hypervisor（计算虚拟化软件）应支持虚拟软件包括KVM、CtrixXen等第三方计算虚拟化软件安全更新应支持当前虚拟软件官方漏洞公布与即时修复的能力ServerSAN（分布式存储软件）应支持ServerSAN软件，包含Ceph、VSAN、思杰XenServer第三方软件漏洞批露与更新能力0day全防护用系统漏洞、管理平台漏洞等指标分类指标说明物理环境安全应标记并划分特定区域定向管理专属云设施应支持硬件发生变更时提示的能力应支持硬件物理损坏情况下高可用、容灾及数据恢复的能力管理平台应支持平台真伪鉴别的能力应支持管理平台WEB访问连接安全的能力应支持2种以上多因子身份鉴别、访问控制应支持最小化安装原则、且能禁用无用组件功能管理业务应支持客户业务可持续性保护措施、全面保护客户业务的能力应支持各用户、业务、数据的隔离，不可互访的能力应支持应用粒度访问控制的能力管理人员应支持专人专岗，服务器、数据库、应用程序分权独立管理的能力；跨岗位协同需2人以上分权操作应支持2种以上多因子身份鉴别、密码安全策略、访问控制的能力管理制度应制定总体安全目标、范围、原则、安全框架应定期对管理人员进行安全防护、防社工知识培训应定期对安全防护措施、安全管理制度进行论证、优化、更新、发布应建立岗位责任具体到人的负责制表3 数据层安全指标5.4网络层安全能，指标应满足表4的要求。表4网络层安全指标5.5资源组件安全资源组件安全指标应满足表5的要求。3一级指标二级指标指标说明网络层网络隔离、网络边界应支持逻辑隔离应支持内部用户或虚拟资源非授权外联网络行为的定位、限制、阻断的能力访问控制应支持角色最小权限划分，以及清晰的权限分离应支持按自定义方式的内容级粒度访问控制应支持敏感信息与数据的安全标记，并可控制访问网络质量、网络风暴应支持QOS功能，防止网络蠕虫、病毒DDOS、网络风暴的能力应支持最大流量与最大连接数的限制能力网络攻击防护可支持IDSIPS入侵分析、检测与防护能力应支持密码机、远控、诱探、社工、木马防护能力虚拟化内核防病毒IO交互等底层内核级的查毒能力指标分类指标说明（定量、定性指标）计算数据表3 数据层安全指标5.4网络层安全能，指标应满足表4的要求。表4网络层安全指标5.5资源组件安全资源组件安全指标应满足表5的要求。3一级指标二级指标指标说明网络层网络隔离、网络边界应支持逻辑隔离应支持内部用户或虚拟资源非授权外联网络行为的定位、限制、阻断的能力访问控制应支持角色最小权限划分，以及清晰的权限分离应支持按自定义方式的内容级粒度访问控制应支持敏感信息与数据的安全标记，并可控制访问网络质量、网络风暴应支持QOS功能，防止网络蠕虫、病毒DDOS、网络风暴的能力应支持最大流量与最大连接数的限制能力网络攻击防护可支持IDSIPS入侵分析、检测与防护能力应支持密码机、远控、诱探、社工、木马防护能力虚拟化内核防病毒IO交互等底层内核级的查毒能力指标分类指标说明（定量、定性指标）计算数据应支持数据计算交互过程中的保密性、完整性能力，以及闪存数据的防护能力传输数据应支持物理故障时，数据仍可保持不低于正常吞吐量的能力。8K短文件随机读写盘应不小于10000IOPS，读不少于50000IOPS，带宽不小于400M；256K长文件随机读写不小于800IOPS；读不少于2千IPOS，带宽不少于200M存储数据应支持存储数据的保密性与完整性能力应防止数据被非授权的外部挂载行为时，防泄密的能力数据副本业务快速备份与恢复应支持2个以上副本（含2个）数据，且支持2种以上备份恢复方式应支持数据副本同步或异步备份且可快速恢复备份时间间隔不大于12h残余数据保护应支持虚拟资源CPU全清除残留的能力表5 资源组建安全指标5.6监控安全监控安全指标应满足表6的要求。表6监控安全指标5.7审计安全审计安全指标应满足表7的要求。表7审计安全指标6试验方法6.1管理安全5.1WEBSSL平台真实性识别。6.2系统内核层安全4一级指标二级指标指标说明安全审计审计范围应支持多种类型的审计范围:包含事件、用户、事件类型、事件进行的状态等审计策略应支持应用级粒度的自定义审计策略应支持增、减、删、读、写、执行等敏感操作的自定义审计；包括访问、行为、系统日志审计审计数据自身安全应支持保护审计进程或功能正常，避免中断的能力应支持保护审计数据的独立完整性，避免破坏，定期的备份的能力应支持保护审计记录留存时间符合法律要求的能力一级指标二级指标表5 资源组建安全指标5.6监控安全监控安全指标应满足表6的要求。表6监控安全指标5.7审计安全审计安全指标应满足表7的要求。表7审计安全指标6试验方法6.1管理安全5.1WEBSSL平台真实性识别。6.2系统内核层安全4一级指标二级指标指标说明安全审计审计范围应支持多种类型的审计范围:包含事件、用户、事件类型、事件进行的状态等审计策略应支持应用级粒度的自定义审计策略应支持增、减、删、读、写、执行等敏感操作的自定义审计；包括访问、行为、系统日志审计审计数据自身安全应支持保护审计进程或功能正常，避免中断的能力应支持保护审计数据的独立完整性，避免破坏，定期的备份的能力应支持保护审计记录留存时间符合法律要求的能力一级指标二级指标指标说明安全监控监控范围应支持各类型的范围监控:包括资源、管理平台、技术、人员行为等监控反馈应支持至少2种以上的监控反馈方式：短信、应用、邮件、报警音等监控联动应支持按严重、中等、一般等分级，且能可视化展示监控结果的能力可支持自定义事件发生时，策略联动的能力一级指标二级指标指标说明虚拟资源组件安全组件完整性检测与恢复应支持各个虚拟组件完整性与异常自检测功能：包含计算、存储、网络等组件应支持虚拟组件基线完整性比对，及组件破坏缺失恢复功能组件资源安全访问应支持用户之间及与管理员的存储空间与资源的安全隔离，非授权不可互访应支持组件资源迁移过程机密与完整性保护能力应按以下方法检查当前内核版本是否最新:cat/proc/versionuname–a；应按以下方法检查当前内核版本是否最新:cat/proc/versionuname–a；lsb_release–acat/etc/issue；Windowssysteminfo按需要采用内核升级指令，保持与发行版本的即时更新。针对计算虚拟化软件分布式存储软件0daykernel具与升级方式保持其最新，且在厂商官网，以及第三方CVE（CommonVulnerabilitiesand6.3数据层安全sniffer、wireshark存储数据采用拔盘外挂载第三方机器上，尝试直接读取其数据、或重组其数据的可能性。数据副本、CDP316.3.3IometerFIO3100G，此操作仅为测试前常规操作，不作为测试结果值。再开始正式测试。8K256K（小文件与大文件）28K1万5万400M；256K800IOPS2千IPOS，带宽不少于200M。6.4网络层安全6.4.1网络隔离、网络边界访问控制测试方法2honeyd、explorerIP80212223TCPUDPTTL值的正常响应，判断边界是否实现了隔离。6.4.2网络质量、网络风暴snifferwiresharkPING6.4.3网络攻击防护DDOSCCIPDDOS3击行为。能实现攻击能被检测记录，能有效阻断等功能；56.4.3.3Web问一句话病毒3次，若无响应则为内核防毒发挥。6.56.4.3.3Web问一句话病毒3次，若无响应则为内核防毒发挥。6.5虚拟资