云数据中心安全等级保护建设项目解决方案总体设计.doc

《云数据中心安全等级保护建设项目解决方案总体设计.doc》由会员分享，可在线阅读，更多相关《云数据中心安全等级保护建设项目解决方案总体设计.doc（104页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、云数据中心安全等级保护建设项目解决方案总体设计1.1 设计原则XX云平台安全等级保护的建设需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则：统一规划、分步实施原则在信息安全等级保护的建设过程中，将首先从一个完整的网络系统体系结构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用信息系统工程的观点和方法论进行统一的、整体性的设计，将有限的资源集中解决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息网络系统的安全强化。从解决主要

2、的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。故后文中的安全解决方案将进行着眼未来的安全设计，并强调分步走的安全战略思想，着重描述本期应部署的安全措施，并以发展的眼光阐述今后应部署的安全措施。标准性和规范化原则信息安全等级保护建设应当严格遵循国家和行业有关法律法规和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。 适度安全原则任何

3、信息系统都不能做到绝对的安全，在安全规划过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从物理、网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合考虑业务和成本的因素，针对信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安

4、全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。先进形和成熟性原则所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。本方案设计采用国际先进实用的安全技术和国产优秀安全产品，选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。动态调整原则信息安全问题不是静态的。信息系统安全保障体系的设计和建设，必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性，必须能够及时地、不断地改进和完善系统的安全保障措施。经济性

5、原则项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。1.2 安全保障体系构成XX信息安全等级保护安全方案的设计思想是以等级保护的“一个中心、三重防护”为核心指导思想，构建集防护、检测、响应、恢复于一体的全面的安全保障体系。具体体现为：以全面贯彻落实等级保护制度为核心，打造科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，从安全技术、安全管理、安全运维三个角度构建安全防护体系，切实保障信息安全。云环境下的信息安全保障体系模型如下图所示：l 一个指导思想： 等级保护思想等级保护是系统设计的核心指导思想，整个

6、方案的技术及管理设计都是围绕符合等级保护的设计思想和要求展开实现的。l 三个防御维度：技术、管理、运维全方位的纵深防御（1）安全技术维度：安全技术是基础防御的具体实现（2）安全管理维度：安全管理是总体的策略方针指导（3）安全运行维度：安全运行体系是支撑和保障1.2.1 安全技术体系参考GB/T25070-2010信息安全技术 信息系统等级保护安全设计技术要求（以下简称设计技术要求），安全技术体系设计内容主要涵盖到 “一个中心、三重防护”。即安全管理中心、计算环境安全、区域边界安全、通信网络安全。图 33 安全技术体系构成（1）安全管理中心：构建先进高效的安全管理中心，实现针对系统、产品、设备、

7、信息安全事件、操作流程等的统一管理；（2）计算环境安全：为XX云平台打造一个可信、可靠、安全的计算环境。从系统应用级的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、客体安全重用、系统可执行程序保护等方面，全面提升XX在系统及应用层面的安全；（3）区域边界安全：从加强网络边界的访问控制粒度、网络边界行为审计以及保护网络边界完整等方面，提升网络边界的可控性和可审计性；（4）通信网络安全：从保护网络间的数据传输安全、网络行为的安全审计等方面保障网络通信安全。XX安全技术体系建设的基本思路是：以保护信息系统为核心，严格参考等级保护的思路和标准，从多个层面进行建设，满足XX云平台在物理层面、网络

8、层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体系将充分符合国家标准，能够为XX业务的开展提供有力保障。安全技术体系建设的要点包括：1、构建分域的控制体系XX信息安全保障体系，在总体架构上将按照分域保护思路进行，本方案参考IATF信息安全技术框架，将XX云平台从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计，并通过统一的基础支撑平台（这里我们将采用安全信息管理平台）来实现对

9、基础安全设施的集中管理，构建分域的控制体系。2、构建纵深的防御体系XX信息安全保障体系包括技术和管理两个部分，本方案针对XX云平台的通信网络、区域边界、计算环境、虚拟化环境，综合采用身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施，实现XX业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。3、保证一致的安全强度XX云平台应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互

10、补充，形成动态的防护体系。因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的防病毒系统、统一的审计系统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。4、实现集中的安全管理信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的

11、发生。1.2.2 安全管理体系仅有安全技术防护，无严格的安全管理相配合，是难以保障整个系统的稳定安全运行。应该在安全建设、运行、维护、管理都要重视安全管理，严格按制度进行办事，明确责任权力，规范操作，加强人员、设备的管理以及人员的培训，提高安全管理水平，同时加强对紧急事件的应对能力，通过预防措施和恢复控制相结合的方式，使由意外事故所引起的破坏减小至可接受程度。1.2.3 安全运维体系由于安全技术和管理的复杂性、专业性和动态性，XX云平台系统安全的规划、设计、建设、运行维护均需要有较为专业的安全服务团队支持。安全运维服务包括系统日常维护、安全加固、应急响应、业务持续性管理、安全审计、安全培训等工

12、作。1.3 安全技术方案详细设计天融信在本项目的整改方案设计中，针对XX的三级等级保护整改建设，依据一个中心三重防护的思路展开详细设计。具体设计面向以下的几个方面：1.3.1 信息安全拓扑设计1.3.1.1 互联网接入区安全设计互联网接入区作为云平台发布门户网站，用户接入，以及将来与各下属单位数据中心通过虚拟专网连接的重要接入区域，是XX的对外唯一通路。担负着重要的边界防护使命。 本期方案计划部署如下安全产品：l 抗DDoS系统：部署两台千兆级别的抗DDoS系统，以A/S模式，透明方式部署；对入站方向的DDoS攻击流量进行清洗，保护内网直接对外服务的网站。l 防病毒过滤网关：部署两台千兆级别的

13、防病毒过滤网关，以A/S模式，透明方式部署；对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗，主要保护内网中直接对外提供服务的网站，邮件系统，以及各办公终端。l 入侵防御系统：部署两台千兆级别的入侵防御系统，以A/S模式，透明方式部署；对入站方向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行阻断。l 接入防火墙：利用现有Cisco ASA5555防火墙，以A/S模式，路由方式部署；负责入站方向IP包的访问控制，对DMZ区的WEB网站进行端口访问控制；另外开启VPN功能，对接下属机构数据中心，进行虚拟专网连接，同时第三方运维人员可借由VPN远程登入。此

14、处接入防火墙作为纵深防御体系的第一道屏障，与内网各重要边界防火墙异构。1.3.1.2 DMZ区安全设计DMZ区承载XX的对外服务网站，担负着XX门户的重要使命。本区域中的安全设计主要针对WEB网站防护，网页防篡改等。 本期方案计划部署如下安全产品：l WEB应用防火墙：部署两台千兆级别的WEB应用防火墙，以A/S模式，反向代理方式部署；对WEB访问流量进行针对性防护。l 网页防篡改系统：部署一套网页防篡改软件系统（需安装在一台服务器中），通过文件驱动级监控+触发器的方式，监控所有对WEB实体服务器中网页内容的修改行为，只有来自WEB发布服务器的修改行为会被放行，其他一切修改行为将被阻断。1.3

15、.1.3 核心交换区安全设计核心交换区主要由两台高性能核心交换机组成，作为整个内网的核心，负责所有内网区域间流量的交换转发。在此区域主要部署审计类安全产品，对网络中的流量进行行为审计和入侵检测。 本期方案计划部署如下安全产品：l 网络审计系统：部署一台万兆级别的网络审计系统，以旁路方式，对接两台核心交换机的镜像端口；核心交换机需将其他安全域的流量镜像至网络审计系统，供网络审计系统审计记录；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全态势分析和展示。l 入侵检测系统：部署一台万兆级别的入侵检测系统，以旁路方式，对接两台核心交换机的镜像端口；核心交换机需将其它安全域的流量镜

16、像至入侵检测系统，供入侵检测系统进行入侵行为检测；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全态势分析和展示。1.3.1.4 测试开发区安全设计测试开发区是对自研应用系统和新上线设备进行测试的区域，其中还包含重要的开发文档，对该区域的安全设计主要体现在边界访问控制（需筛选可建立连接的条件）。 本期方案计划部署如下安全产品：l 测试开发区边界防火墙：部署两台千兆级别的防火墙系统，以A/S模式，透明方式部署；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制。1.3.1.5 安全管理运维区安全设计安全管理运维区

17、是整个XX内网负责安全管理、安全运维和与之相关的用户管理、云平台管理、备份管理等各个组件的集合区域。是维系云平台正常运转，制定各类安全策略的核心区域。 本期方案计划部署如下安全产品：l 安全管理运维区边界防火墙：部署两台千兆级别的防火墙系统，以A/S模式，透明方式部署；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制。l 日志审计系统：需新购置一台服务器级存储，安装日志审计软件，收集数据中心内其他各类IT组件的日志，并集中存储；另应提供备份存储空间，通过备份服务器将日志进行备份。l 安全管理平台：需提供一台服务器，安装安全管理平

18、台软件系统（内置数据库），收集所有审计类安全设备的事件信息，并结合日志审计系统的日志信息，作统一事件关联分析，以及对内网各类资产进行风险评估。最终以图形化界面，展示全网安全态势。l 堡垒机：部署一台可管理300台设备/系统的堡垒主机，将所有IT组件的管理运维端口，通过策略路由的方式，交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理运维授权，并对运维操作进行审计记录（录屏和键盘操作记录）。l 防病毒系统：需提供两台服务器，分别安装虚拟机防病毒系统，和其他物理主机的防病毒系统；对全网主机（虚拟主机和非虚拟主机）进行统一的防病毒任务部署，防病毒进程管理，防病毒软件升级管理，以及中毒主机隔离

19、等工作。l 终端安全管理系统：需提供一台服务器，安装终端安全管理系统，对办公终端进行安全监控和管理，实现网络准入，应用发布，补丁管理，移动介质管理，敏感文档防泄漏审计等功能。l 漏洞扫描系统：部署一台可单次任务扫描一个B类网段的漏洞扫描系统，对全网IT组件（主机操作系统、网络设备、安全设备、数据库、中间件、应用服务等）进行脆弱性发掘，并生成检查报告。结果可通过报表展示给用户，并可发送至安全管理平台，从而进行综合安全态势分析和展示。l vShield组件：应在vCenter服务器中安装vShiled安全组件，从而实现虚拟机防火墙的功能，可进行VM级别的访问控制和流量控制，其策略可随VM动态迁移。

20、l vSphere Update Manager服务器：应单独提供一台服务器（非虚拟机），安装vSphere Update Manager组件，对vShpere环境进行补丁管理。l AD域控及LDAP服务器：应部署AD域控服务器，及LDAP服务器。除了进行全网设备和个人的域登录管理外，还可结合众多的安全管理设备（如终端安全管理系统，将来的CA数字证书中心），为认证设备提供统一的用户管理。 未来建议部署的安全产品包括：l CA数字证书认证中心：在未来多应用迁入后，对应用参与者（包括个人终端、其他相关联主机）应进行强访问控制、身份鉴别以及抗抵赖等保护措施，尤其是符合等级保护的双因素认证需要基于PK

21、I/CA的认证基础设施。需要注意：必须部署CA中心，并完成应用认证流程的梳理，使所有应用参与者均通过双因素认证后才能进入应用环境后，才可满足等级保护要求，在通过测评前，一定要将PKI/CA基础设施建立起来。l 文档安全管理系统：在应用数据迁入云平台后，会有专用的NAS类存储，为业务环境提供非结构化数据（主要为文档、文件）的存储和共享。需要使用文档安全管理系统对敏感文档下载后进行加密，并规定合法及非法文件传输出口，合法出口文档为明文，非法出口文档为密文。1.3.1.6 办公终端区安全设计办公终端区是所有办公终端的集合区域，是各类业务生产的起点。因其涉及众多终端使用者的不同安全素养，也因终端级操作

22、系统的较多脆弱性，使个人终端成为了众多安全事件的起点。因此需要进行较为周全的安全防护。 本期方案计划部署如下安全产品：l 办公终端区边界防火墙：部署一台万兆级别的防火墙系统作为本区域的边界防火墙；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功能组件，使其可应对复杂的个人终端流量。l 办公终端需安装的安全组件：应统一安装防病毒客户端，终端安全系统客户端（批量下载安装），使终端可接收相应安全防护系统的管理。1.3.1.7 云平台应用区安全设计云平台应用区承载着数据中心的核心业务，也是本

23、次建设方案的核心保障区域。云平台应用区主要通过虚拟化技术实现应用的承载，使用VMware vSphere平台进行虚拟化环境的建立和管理。内置公共教育云、XX云及科研云，按其提供业务的不同进行区分。建议每个云组成一个Cluster，各自包含多台ESXi主机，这些ESXi主机上的虚拟机共享Cluster内部的计算资源。VM可在Cluster内部的多台ESXi主机上进行迁移，通过DRS进行计算资源负载均衡，通过vSphere HA进行高可用性管理。Cluster之间如需进行通信，则应将同心流量牵引至云平台的边界防火墙，进而通过数据安全交换区进行通信信息安全过滤，并完成交换（后文将详述）。本区域内的安

24、全设计，主要包括边界安全，安全审计，虚拟化安全，数据备份等四个部分。 本期方案计划部署如下安全产品：l 云平台应用区边界防火墙：部署两台万兆级别的防火墙系统作为本区域的边界防火墙；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功能组件，使其可应对复杂的应用流量。l 安全审计类产品：部署在核心交换区的网络审计系统和入侵检测系统，将同时分别提供两个千兆审计接口，连接本区域的汇聚交换机镜像端口，着重审计云平台边界处的流量信息。当多租户系统迁入后，将把租户间流量牵引至本区域汇聚交换机，进而镜

25、像至审计设备进行审计记录。l 虚拟化安全：vSphere虚拟化平台，及其相关网络、VM组件的安全主要靠vSphere提供的安全组件完成。包括vShield（提供VM防火墙、防病毒功能），DRS（计算资源负载均衡），vMotion（虚拟机动态迁移），vShpere HA（VM高可用性管理），Snapshot（VM快照备份管理）。l 备份服务器：接收安全管理运维区的备份管理服务器管理，并根据其策略执行具体的备份操作。1.3.1.8 数据安全交换区安全设计（加强型建议规划）数据安全交换区主要负责多个云之间的数据安全隔离和数据交换，以及下属机构远程信息交互的工作。因云平台应用区中的公共教育云、XX云以

26、及科研云中，只应允许有限的信息交互（一般为数据库同步，部分电子XX信息同步）。尤其对于科研云，其中的应用数据对于XX至关重要，不容轻易泄露或篡改；其中的数据应以数据库同步，电子XX同步等方式定期更新至XX云和公共教育云中；而且执行更新操作的起点应通过专有的应用进行，在本方案中，采用云平台应用区的数据同步管理服务器进行。因此，设立专有的数据安全交换区。此区域仅作为安全加强型的建议规划，可以考虑在应用及数据迁入后着手进行。l 安全隔离与信息交换系统：该系统由三部分构成：前置服务器、双向网闸、后置服务器。 前置服务器：数据导入前，对数据的传输源进行身份鉴别，确认传输源发出的请求可信（可通过同步服务器

27、IP/MAC进行确认）；认证成功后，对数据进行格式检查，内容安全过滤（IPS、防病毒等），为数据通过双向网闸做好准备。 双向网闸：网闸也是由三部分组成，一般为“2+1”结构。如下图：双向网闸的网络两端在无数据传输时保持网络断路，隔绝了一切网络传输协议。当数据需要传输时，则采用摆渡的方式，将数据通过内部私有传输协议逐步导入到对端，在过程中，网络仍然保持断路。极高的保护了内部重要网络的机密性。 后置服务器：接收网闸传输过来的数据，并进行完整性校验；若完整性受损，则回传重传信号；数据校验合格后，进行日志记录，并发送至内网。1.3.1.9 数据存储区安全设计本区域承载所有应用系统的业务数据，是IT业务

28、使命的根基所在。用户已经采购了IBM企业级存储及磁带库，具备极高的数据完整性，可用性保护。在此进行的安全设计主要针对数据机密性保护。 本期方案计划部署如下安全产品：l 数据库防火墙：部署在Oracle数据库之前，串联保护4台数据库服务器的多个数据库实例。提供数据库虚拟补丁库，针对应用侧和运维侧的不同数据库访问模式，进行具体的SQL语句控制策略；同时针对SQL注入攻击，进行SQL语句建模式威胁判别，并进行具体的防护；针对高危SQL语句，如：No Where的批量更新、批量删除语句，可进行策略性阻断。l 数据库加密系统：需提供两台服务器，安装数据库加密与加固系统，形成主备模式。需在对应保护的4台O

29、racle服务器中安装加解密管理控件（部署配置后自动安装），然后配置加密策略，对重要数据库表中的机密数据列进行加密，支持一列一密。应重点保护存放个人信息的数据库表（如身份证号等），实现重点数据列的加密保护。即使出现拖库，盗库等行为，也无法获取明文数据，明文数据的获取仅限授权应用使用。1.3.2 安全计算环境设计系统安全保护环境是基于高等级安全操作系统，推行可信计算技术，实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。高等级安全操作系统由终端操作系统入手，采用安全控制、密码保护和可信计算等

30、安全技术构建操作系统安全内核，针对应用定制安全策略，实施集中式、面向应用的安全管理，达到在终端保证系统环境安全可信，防止病毒、黑客的入侵破坏，以及控制使用者非法操作的目的，并由此全面封堵病毒、黑客和内部恶意用户对系统的攻击，保障整个信息系统的安全。安全计算环境旨在为XX云平台中的应用服务及其参与者提供安全保障环境。鉴于目前的建设进度，安全计算环境的保障主要面向今后应用迁入后的安全环境保障，本期能够进行实施的安全措施较少。1.3.2.1 用户身份鉴别为了保证网络信息的保密性，完整性，可控性，可用性和抗抵赖性，信息系统需要采用多种安全技术，如身份鉴别、信息加密、信息完整性校验、抗抵赖等。而对于XX

31、的云平台，用户种类又分为两种：业务用户，管理员用户。对于不同用户的访问行为，将通过不同的机制实现其身份鉴别。1.3.2.1.1 CA数字证书认证（本期不包含）针对业务用户访问的身份鉴别的实现主要依靠CA系统的数组证书技术及产品。CA数字证书系统应作为今后健康云，智慧云各相关业务应用系统身份管理的基础设施，是信息安全基础平台的基础组成部分。应用及系统的身份认证、授权管理以及责任认定等机制都是依赖与CA认证系统平台。数字证书是基于PKI/CA的认证基础设施，在等级保护三级基本要求中对于应用系统用户鉴别有明确的双因素认证要求：即结合现有应用系统已具备的静态密码账号认证，实现双因素身份验证。达成这种认

32、证方式目前有两种主流方法：l 应用系统身份鉴别机制改造：即将所有应用系统的登录环节进行必要的改造，使之适应双因素认证的要求。此外，在应用系统众多的环境下，可以考虑使用4A系统（统一身份认证管理系统），统一登录门户，统一用户账号管理，统一进行用户角色授权管理，统一进行用户登录应用审计；使用户通过一次单点登录的方式，完成对其授权的应用系统的鉴别机制，使其可以访问任何经过授权的应用系统而无需再次填写登录信息；l 通过身份认证网关：不改变应用系统的登录验证机制，而是在所有应用系统的前端部署身份认证网关，在网关处完成数字证书认证，经过授权管理，展示用户可访问的系统列表。在登入对应系统后，用户再次完成针对

33、该应用的静态账户认证。因目前XX云平台尚无应用，因此以PKI/CA为基础设施的身份鉴别机制目前还无法细化至落地的层面，仅在此提出未来应建设的方向。本期方案中暂不考虑部署PKI/CA基础设施。1.3.2.1.2 堡垒机针对管理用户访问的身份鉴别主要由堡垒机实现，通过将各设备、应用系统的管理接口，通过强制策略路由的方式，转发至堡垒主机，从而完成反向代理的部署模式，实现对管理用户的身份鉴别。目前阶段，可将各类设备（网络设备、安全设备、非虚拟化主机服务器）以及虚拟化平台的vCenter管理接口，对接至堡垒机，由堡垒机完成单点登录、身份鉴别。1.3.2.2 非结构化数据的保护（本期不包含）通过文档安全管

34、理系统对每个受控文件作安全标记，表明该文件的保密性级别和完整性级别，以及与完整性相关的签名，文件在整个生存周期中，除非经管理中心重新定级，否则安全标记全程有效。强制访问控制，是根据安全策略来确定该用户能否对指定的受控文件进行操作。比如安全策略规定，高密级用户可以访问同密级和低密级文件；反之，低密级用户则被强制禁止访问高密级文件。当然，管理中心可以根据实际应用环境制定相应的安全策略。此外，通过文档安全管理系统为每个合法用户自动分配一个私有加密目录自动文件保密柜。所有进入该目录的文件存储时都被自动加密，合法用户打开该目录下的文件时自动脱密。为了保证私有信息的私密性，任何用户都不能查看和操作其他用户

35、自动文件保密柜内的文件。目前数据中心云平台业务数据尚未进入，本期方案不包含对文件的强制访问控制管理。1.3.2.3 结构化数据机密性、完整性、可用性保护结构化数据主要存储在数据库表中，同时也作为非结构化数据的索引。本期方案通过数据库防火墙来对结构化数据进行机密性、完整性的保护。数据库防火墙通过代理方式，接管DBMS的认证过程，在与前台应用对接后，可以实现应用实名认证，实名审计；同时加强对运维侧的访问控制，可以与AD域控结合，进行域登录认证；可以与堡垒机结合，完成代理登录。通过数据库加密与加固系统，对重要数据库表中的机密数据列进行加密保护，仅限授权应用调用明文的数据，其他盗库行为即使成功，也只能

36、获得密文数据。另外，通过数据库防火墙的前置数据库补丁库，使数据库不用停机升级，维护业务的可用性，并综合增强数据库的健壮度。1.3.2.4 虚拟机数据加密虚拟机镜像无论在静止还是运行状态都有被窃取或篡改脆弱漏洞。对应解决方案是在任何时刻对虚拟机镜像（image）进行加密，但这又会导致性能问题。在安全性要求高或有法规要求的环境下，（加密的）性能成本是值得的。加密必须与管理性措施、审计踪迹配合以防止运行中虚拟机的快照（Snapshot）“逃到野外”，从而给攻击者获取快照中数据的机会。vCenter因封闭性较好，已经对VM的文件进行了良好的加密措施。只能通过vCenter平台对虚拟机文件进行明文访问。

37、1.3.2.5 客体安全重用客体安全重用指的是操作系统内核对敏感数据进行完全擦除，在不同的用户登录使用时，将对原使用者的信息进行清除，确保数据不被恶意恢复而造成信息泄露。在vCenter中，已提供了虚拟存储数据清除手段，即：采用Thick Provision的VMFS，在进行删除时，可确保能够在物理存储设备级别上被有效清除。例如镜像文件、快照文件在迁移或删除虚拟机后能被完全清除；租户解除使用的存储资源的所有数据在物理存储设备级别上被有效清除。1.3.2.6 双因素认证（本期不包含）等级保护中要求三级系统应支持用户标识和用户鉴别，确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用

38、强化管理的口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。应要求在应用内部系统对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。在系统中部署双因素认证产品，在使用用户名、密码的同时，再采用物理认证因素，两种认证方式同时采用，由于需要系统用户身份的双重认证，双因素认证技术可抵御非法访问，提高认证的可靠性，降低来自内/外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯，同时也为安全事件的跟踪审计提供一定依据。双因素认证的方式可根据实际情况进行采用，如口令+令牌、口令数字证书、口令+生物识别等。分析几种方式

39、的适用性、可行性、易操作性等方面因素，结合XX系统及用户群的实际情况及特点，建议使用基于数字证书的认证方式。1.3.2.7 办公终端安全审计计算环境的系统审计主要针对系统及应用层面的主机审计。即对上机用户的行为进行监督管理，将使用过程中重要信息记录并发送到审计中心，审计员能掌握全面情况，便于发现“可疑”情况，及时追查安全事故责任。通过网络行为审计系统实时对网络中服务器和用户终端的访问与操作进行监测审计，可以掌握每个主机的资源使用情况，监测主机接入的合法性，记录对文件系统的访问操作行为，记录对各外设的操作，监测加载的程序和进程，监控对外部网络的连接和访问。另外，通过数据库防火墙针对数据库进行保护

40、和审计，通过终端安全管理系统对终端用户操作行为进行审计。1.3.2.8 虚拟化计算环境中的安全审计应设置vCenter的日志外发至日志审计系统，并通过安全管理平台对其日志进行分析和评估。云平台计算环境内的计算组件（ESXi主机、VM、虚拟化网络等）主要审计手段则通过IBM云平台管理系统进行审计。应保证日志保存期至少6个月。1.3.2.9 运维审计建议在安全管理运维区部署运维审计系统（通称堡垒主机），对核心IT设备的管理员用户提供集中登录认证、权限控制和操作监控。被管理资源包括服务器、数据库、交换机、路由器、防火墙及其他安全设备等。通过部署运维审计系统（内控堡垒主机），可以实现以下功能：l 单点

41、登录 内控堡垒主机提供了基于 B/S 的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于 B/S的应用系统。 l 账户管理集中帐号管理包含对所有服务器、网络设备帐号的集中管理，是集中授权、认证和审计的基础。集中帐号管理可以实现将帐号与具体的自然人相关联，从而实现针对自然人的行为审计。 l 身份认证内控堡垒主机为用户提供统一的认证界面。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，包括静态密码、双因素、一次性口令和生物特征等多种认证方式，而且可以方便地与第三方认证服务对接，提高认证的安全性和可靠性，同时又避免了直接在业务服务器上安装认证

42、代理软件所带来的额外开销。集中身份认证建议采用基于静态密码+数字证书的双因素认证方式。l 资源授权内控堡垒主机提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S对服务器主机、网络设备的访问进行审计。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。l 访问控制内控堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，

43、可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。l 操作审计操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。为了对字符终端、图形终端操作行为进行审计和监控，内控堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议，Linux/Unix平台的X

44、 Window图形终端访问协议等。堡垒机的审计数据应提供专有的存储系统，进行集中存储保留，保留期应在6个月以上。1.3.2.10 恶意代码检测针对应用系统的恶意代码检测防护，主要是针对进行服务器终端的病毒防护以及WEB应用木马程序的检测。防护各类常见的WEB应用攻击，如蠕虫、跨站脚本、网页盗链、以及WEB应用挂马等。通过定期的安全防护可以检测WEB应用挂马。具体防护操作包括： 及时下载并安装补丁程序 使用Firefox或Opera 健壮的系统口令 关闭不必要的系统服务 关闭自动运行功能服务器防病毒系统必须重视集中的管理、监控和升级，提高管理效率。同时，因为服务器往往运行重要的应用服务，因此，必

45、须注意防病毒软件对服务器性能、功能以及稳定性的影响。同样，它必须能够提供对集中管理平台的接口，实现整体监控。建立防病毒系统的集中管理平台。通过管理控制台，实现对全网络防病毒系统的安装、配置、管理和监控。加强防病毒系统的管理效果，节约人力资源，提高管理效率。在XX云环境中，对于服务器防病毒系统，应分为两个部分：1) 虚拟化主机防病毒系统：可通过采购vShield防护组件，添加VM的主机防病毒功能，或采购趋势科技，卡巴斯基等得到VMware开放VM接口的防病毒厂商的专有适应vSphere环境的主机防病毒系统；2) 物理主机防病毒系统：对于非虚拟化环境的物理主机（包括服务器主机，终端主机），则采用传

46、统的网络防病毒系统进行恶意代码检测及防护。1.3.2.11 虚拟化主机安全针对vSphere虚拟化环境，主要通过VMware自有的安全机制进行防护。a）通过vCenter提供实时的虚拟机监控机制，通过带内或带外的技术手段对虚拟机的运行状态、资源占用、迁移等信息进行监控。b）通过vCenter制定详细的管理权限设定，确保虚拟机的镜像安全，并保证：1）提供虚拟机镜像文件完整性校验功能，防止虚拟机镜像被恶意，越权篡改。2）采取有关措施保证逻辑卷同一时刻只能被一个虚拟机挂载。c）实现虚拟化平台的资源隔离，并保证：1）应通过vCenter的DRS自动方式（需要开启vShpere HA），对每个虚拟机都能

47、获得相对独立的物理资源，并能屏蔽虚拟资源故障，确保某个虚拟机崩溃后不影响虚拟机监控器（Hypervisor）及其他虚拟机。2）虚拟机只能访问分配给该虚拟机的物理磁盘。3）不同虚拟机之间的虚拟CPU（vCPU）指令实现隔离。4）不同虚拟机之间实现内存隔离。5）虚拟机的内存被释放或再分配给其他虚拟机前得到完全释放。6）保证虚拟机之间采用较为温和的方式（迁移阈值 Migration Threshold可设置为中等级别）进行动态的负载均衡，避免出现资源恶意抢占。d）提供资源隔离失败后的告警措施。e）支持虚拟机安全隔离，在虚拟机监控器（Hypervisor）层提供虚拟机与物理机之间的安全隔离措施，可控制

48、虚拟机之间以及虚拟机和物理机之间所有的数据通信。f）提供虚拟化平台操作管理员权限分离机制，设置网络管理、账户管理、系统管理等不同的管理员账户。g）将虚拟化平台的各类操作和事件作为可审计事件，进行记录和追溯。h）确保虚拟镜像模板的配置正确性，并明确模板的谱系来源。1.3.2.12 虚拟化平台安全 vShpere虚拟化平台需被锁定并参照最佳实践进行加固，具体请参照VMware vSphere 最佳实践建议（vShpere Optimized）进行虚拟化平台的加固。可在最大程度上确保虚拟化平台脆弱性得到抑制。1.3.3 安全区域边界设计安全区域边界方面的安全设计主要从区域边界的访问控制、边界协议过滤、区域边界完整以及安全审计等方面设计。在本期方案中是着重进行设计的方面。1.3.3.1 租户边界访问控制由于多租户共享机制、资源的集中共享可以满足多个客户不同时间段对资源的峰值要求，避免按峰值需求设计容量和性能