XX云数据中心安全等级保护建设方案（DOC71页）6002.docx

《XX云数据中心安全等级保护建设方案（DOC71页）6002.docx》由会员分享，可在线阅读，更多相关《XX云数据中心安全等级保护建设方案（DOC71页）6002.docx（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 项目综述述1.1 项目背景景为了保障障基于“健健康云”、“智慧云”的XX数据中心，天融信公司依据公安部关于开展信息系统等级保护安全建设整改工作的指导意见公信安20091389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。1.2 安全目标标XX的信信息安全全等级保

2、保护建设设工作的的总体目标标是：“遵循国国家信息息安全等等级保护护有关法法规规定定和标准准规范，通通过全面面开展信信息安全全等级保保护定级级备案、建建设整改改和等级级测评工工作，进进一步实实现对整整个新建建云平台台的信息息系统安安全管理理体系和和技术防防护体系系，增强强信息安安全保护护意识，明明确信息息安全保保障重点点，落实实信息安安全责任任，切实实提高系系统信息息安全防防护能力力，为整整个云平平台的顺顺利建设设和信息息化健康康发展提提供可靠靠保障。”具体目标标包括（1）体体系建设设，实现现按需防防御。通通过体系系设计制制定等级级方案，进进行安全全技术体体系、安安全管理理体系和和安全运运维体系

3、系建设，实实现按需需防御。（2）安安全运维维，确保保持续安安全。通通过安全全监控、安安全加固固等运维维手段，从从事前、事事中、事事后三个个方面进进行安全全运行维维护，实实现持续续性按需需防御的的安全需需求。（3）通通过合规规性建设设，提升升XX云平平台安全全防护能能力，保保障系统统信息安安全，同同时满足足国家等等级保护护的合规规性要求求，为信信息化工工作的推推进保驾驾护航。1.3 建设范围围本方案的的设计范范围覆盖盖XX的新建云云平台基基础设施施服务系系统。安安全对象象包括：l 云内安全全：虚拟化化环境中中的虚拟拟化平台台及其相关关虚拟化化网络、虚拟化化主机的的安全防防护；l 云外安全全：虚拟

4、化化环境以以外的网网络接入入，核心心交换，存存储备份份环境。1.4 建设依据据1.4.1 国家相关关政策要要求（1）中中华人民民共和国国计算机机信息系系统安全全保护条条例（国国务院1147号号令）；（2）国国家信息息化领导导小组关关于加强强信息安安全保障障工作的的意见（中办发2003 27号）；（3）关于信息息安全等等级保护护工作的的实施意意见（公公通字20004666号）；（4）信信息安全全等级保保护管理理办法（公公通字 2000743号号）；（5）信信息安全全等级保保护备案案实施细细则（公公信安20007113600号）；（6）关关于加强强国家电电子政务务工程建建设项目目信息安安全风险险评

5、估工工作的通通知（发改高技20082071号）；（7）关关于开展展信息安安全等级级保护安安全建设设整改工工作的指指导意见见（公公信安20009114299号）。1.4.2 等级保护护及信息息安全相相关国家家标准（1）计计算机信信息系统统安全保保护等级级划分准准则（GB17859-1999）；（2）信信息安全全技术信信息系统统安全等等级保护护实施指指南（GBT 25058-2010）；（3）信信息安全全技术信信息系统统安全保保护等级级定级指指南（GB/T22240-2008）；（4）信息息安全技技术信息息系统安安全等级级保护基基本要求求（GGB/TT222239-20008）；（5）信信息安全全

6、技术信信息系统统等级保保护安全全设计技技术要求求（GGB/T 2250770-220100）；（6）信信息安全全技术信信息系统统安全等等级保护护测评要要求；（7）信信息安全全技术信信息系统统安全等等级保护护测评过过程指南南；（8）信信息安全全技术信信息安全全风险评评估规范范（GGB/TT 2009844-20007）；（9）信信息安全全技术信信息系统统安全管管理要求求（GGB/TT 2002699-20006）；（10）信信息技术术安全技技术信息息安全管管理体系系要求（GB/T 22080-2008（idt ISO/IEC 27001:2005）；（11）信息技技术安全全技术信信息安全全管理实

7、实用准则则（GB/T 2220881-20008（idtt ISSO/IIEC 270002:20005）；（12）信信息安全全技术信信息系统统通用安安全技术术要求（GB/T 20271-2006）及相关的一系列具体技术标准。2 云安全等等保风险险分析由于本系系统是新新建设系系统，并并且尚未未部署应应用。机机房环境境目前已已经非常常完备，具具备很好好的物理理安全措措施。因此当前前最主要要的工作作是依据据等级保保护基本本要求，着着重进行行网络层层、主机机层、数数据层等方面面的等级级保护安安全技术术建设工作作。此外，天天融信具具有等级级保护的的专家团团队，深深入了解解国家等等级保护护相关政政策，熟

8、熟悉信息息系统规规划和整整改工作作的关键键点和流流程，将将通过等等级保护护差距分分析、文文档审核核、现场场访谈、现现场测试试等方式式，发掘掘目前云平平台系统统与等保保技术和和管理要要求的不不符合项项。并针针对不符符合项，进进行逐条条分析，确确认建设设方案。在云架构构下传统统的保护护模式如如何建立立层次型型的防护护策略，如如何保护护共享虚虚拟化环环境下的的云平台建建设中需需重点考考虑的环环节；健健康云和和智慧云将实现现基于云云的数据据存储和和集中管管理，必必须采用用有效措措施防止止外部入入侵和内内部用户户滥用权权限；在在信息安安全保障障体系实实现时仍仍需满足足国家信信息安全全等级保保护政策策要求

9、，同同时需要要解决信信息安全全等级保保护政策策在云计计算技术术体系下下如何落落地的重重要课题题。健康云和和智慧云计算平台台引入了虚拟化化技术，实实现数据据资源、服服务资源源、平台台资源的的云共享享，计算算、网络络、存储储等三类资资源是云计算算平台依依赖重要要的系统统资源，平平台的可可用性（Availability）、可靠性（Reliability）、数据安全性、运维管理能力是安全建设的重要指标，传统的密码技术、边界防护技术、入侵检测技术、审计技术等在云计算环境下仍然需要，并需要针对云计算给信息安全带来的新问题，重点解决，虚拟化安全漏洞，以及基于云环境下的安全监控、用户隔离、行为审计、不同角色的

10、访问控制、安全策略、安全管理和日志审计等技术难点，这就更加需要借助内外网等级保护的建设构建满足健康云、智慧云平台业务需要的安全支撑体系，提高信息化环境的安全性，并通过运维、安全保障等基础资源的统一建设，有效消除安全保障中的“短板效应”，增强整个信息化环境的安全性。2.1 合规性风风险XX云平平台的安安全建设设需满足足等级保保护三级级基本要要求的标标准，即即需要建建设安全全技术、管管理、运运维体系系，达到到可信、可可控、可可管的目标。但是目前前在云计算算环境下下的等级保保护标准准尚未出出台，可可能会面面临信息息系统可可信、可可控、可可管的巨巨大挑战战，如下下图：此外，在在今后大大量XXX自有应应

11、用以及及通过SSaaSS方式，纵向引入入各下属属单位应用用。为了满满足各类类不同应应用的合合规性需求求，需要要在安全全技术、运运维、管管理等方方面进行行更加灵灵活、高高可用性性的冗余余建设。2.2 系统建设设风险虚拟化平平台架构构，品牌牌的选择择是一个个很慎重重的问题题。其架架构依据据不同品品牌，导导致接口口开放程程度不同同，运行行机制不不同。而与虚拟化化平台相相关的如如：信息息系统应应用架构构、安全全架构、数数据存储储架构等等，都与与虚拟化化平台息息息相关关，也是是后续应应用迁入入工作的的基础。此外，在后期迁入应用，建设过程中的质量监控，建设计划是否合理可靠等问题，均有可能造成风险。以下为具

12、体的风险：2.2.1 应用迁入入阻力风风险XX的云云平台规规划愿景景包括：应用数数据大集集中，管管理大集集中，所所以要求求今后非云环境境的各类应用用逐步的迁迁移入虚拟化化环境，各应用的计算环境也需要调整入虚拟化环境。由此可能会引发一些兼容性风险问题，带来迁入阻力的风险。2.2.2 虚拟化平平台品牌牌选择风风险因现有虚虚拟化平平台已经经采购完完成，是是VMwwaree的vSSpheere虚虚拟化平平台，因因其对国国内其他他IT平平台，尤尤其是对对国内安安全厂商商的开放放性严重重不足，导导致许多多安全机机制无法法兼顾到到云平台台内部。因此造成成了安全全监控、安安全管理理、安全全防护机机制在云云平台

13、内内外出现现断档的的现象，使现有有的自动动化安全全管理、网网络管理理、安全防防护等措措施无法法有效覆覆盖虚拟拟化环境境。2.2.3 建设质量量计量、监监督风险险因为本次次XX云平平台的建建设打算算采用市市场化建建设的方方式进行行，但是是现有云计计算平台台是否符符合建设设要求，是是否符合合安全需需求，如如何进行行质量的计计量，如如何进行行评审监监督，都都是亟待待解决的的问题。2.2.4 安全规划划风险在云平台台的规划划过程中中，应同同时规划划安全保保障体系系的；保证在在建设过过程中，同同步实施施计算环环境和安安全保障障建设。如出现信息息安全建建设延后后，可能能带来保保障体系系的脆弱弱性，放放大各

14、其他基础础设施的的脆弱性性，导致致各类安安全风险险的滋生生。2.2.5 建设计划划风险云平台的的建设因因其复杂杂性，导导致系统统投入使使用前，需需要进行行完善详详实的规规划、设设计和实实施。需需协调好好各相关关部门，以以及第三三方合作作厂商，群群策群力力的建设设云平台台，而建建设计划划是需要要先行一一步制定定好的，从从而可以以指导规规范整个个项目的的生命周周期。2.3 安全技术术风险基于虚拟拟化技术术的云平平台带来来了许多多优势，如计算资源按需分配，计算资源利用效率最大化等等。但是，在引入优势的同时，也会带来许多新的安全风险。因此对于XX云平台的信息安全风险分析也应根据实际情况作出调整，考虑虚

15、拟化平台、虚拟化网络、虚拟化主机的安全风险。同时，为为了满足足等级保保护的合合规性要求求，需要要结合等等级保护护三级的的基本要要求中关关于安全全技术体体系的五五个层面面的安全全需求，即：物理理安全、网网络安全全、主机机安全、应应用安全全及数据据安全。虽然目前前阶段，云云平台尚尚未引入入有效应应用和数数据，但但是在安安全规划划中需要要为未来来出现的的情况进进行先期期预测，将将其可能能引入的的安全风风险进行行考虑。因此，在在经过总总结后，可可得出八八个方面面的安全全风险。2.3.1 物理安全全风险因目前物物理机房房的基础础设施已已完善，在在实地考考察后，发发现XXX现有机机房已满足等等级保护护三级

16、合合规性要求求，物理理安全风风险已经经得到有有效控制制。2.3.2 网络安全全风险本节主要要讨论非非虚拟化化环境中中的传统统网络安安全风险险。l 网络可用用性风险险有多种因因素会对对网络可可用性造造成负面面影响，主要集集中于链链路流量量负载不不当，流流量分配配不当，以及拒拒绝服务务攻击、蠕蠕虫类病毒等等威胁。此此外，对对网络内部部流量和协协议的审审计也非非常关键键，运维维人员需要要了解这这些信息息以协调调网络资资源，充充分保障障网络的的可用性性，进一一步保障障应用业业务的可可用性。l 网络边界界完整性性风险网络边界界包含云平平台边界界、内部部各安全全域的边界，租租户边界界（主机机/虚拟拟主机/

17、业业务系统统），互联联网接入入边界。在在此讨论论非虚拟拟化环境境下的网网络边界界完整性性风险。云平台网网络边界界、互联联网接入入边界、内部各安安全域网网络边界界以及物物理主机机的网络络边界可可能会因因缺乏边界界访问控控制管理理，访问控控制策略略不当，身身份鉴别别失效，非非法内联联，非法法外联等等因素而而被突破破，导致致网络边边界完整整性失去去保护，进进一步可可能会影影响信息息系统的的保密性性和可用用性。l 安全通信信风险第三方运运维人员员，采用用远程终终端访问问云中的的各类应应用。如如果不对对应用数数据的远远程通信信数据进进行加密密，则通信信信息就有有被窃听听、篡改改、泄露露的风险险，破坏坏通

18、信信信息的完完整性和和保密性性。l 入侵防护护风险网络入侵侵可能来来自各边边界的外外部或内内部。如果缺缺乏行之之有效的的审计手手段和防护手段，则则信息安全全无从谈谈起。为为避免信信息安全全保障体体系成为为了聋子子、瞎子子，需要要审计手手段发现现入侵威威胁，需要防防护手段段阻断威威胁。l 恶意代码码风险当网络边边界被突突破后，信信息系统统会暴露露在危险险的环境境下，最最为突出出的风险险就是恶恶意代码码的风险险，可能能会造成成系统保保密性和和可用性性的损失失。包括括端口扫扫描、强强力攻击击、木马马后门攻攻击、拒拒绝服务务攻击、缓缓冲区溢溢出攻击击、IPP碎片攻攻击和网网络蠕虫虫攻击等等。系统统随时

19、会会面临各各类恶意意代码攻攻击的风风险，尤其是是APTT攻击，即使系统具备较为完善的防御体系，也很难防范此类攻击。2.3.3 主机安全全风险在虚拟化化环境下下，主机机安全也也应对物物理服务务器主机机和虚拟化化主机进进行区别别对待，存存在的安安全风险险问题有有所不同同。本节只讨讨论物理理服务器器和远程程接入应用用的操作作终端的安安全风险险。l 应用操作作终端风风险云平台搭搭建后，系统资资源统一一放在云云端，而而用户是通过终终端远程程接入云云中的应应用。除除了上述述的身份份鉴别和和授权的风险外外，终端端使用的的浏览器器自身存存在漏洞洞，甚至至终端本本身的健健康状况况不良，都都可能会会造成云云端受到

20、到相应的的威胁。l 服务器主主机操作作系统漏漏洞风险险服务器主主机操作作系统因因自身设设计原因因，存在在固有的的漏洞和和脆弱性性，具有有被突破破、被潜潜伏、被被利用、被破坏坏的各类类风险。l 服务器主主机平台台风险目前服务务器的硬件架架构中，采采用的CCPU、主板、内存等配件的核心技术仍然受制于人，为了业务的性能需求，仍然需要采用国外的技术架构。可能会带来后门入侵的风险。2.3.4 应用安全全风险l 身份鉴别别、授权、审计风险险应用放置置在云端端，在实实现资源源共享的的同时，会会带来信信息泄漏漏的风险险。由于于网络的的不确定定性，首首要问题题就是要要确认使使用者的的身份、确确保身份份的合法法性

21、。由由于工作作需要，不不同部门门、不同同职责的的工作人人员应用用需求不不同，信信息使用用权限不不同，必必须要对对使用者者身份进进行统一一的认证证，统一一授权，统一审计。一旦攻击击者获取取使用者者的身份份验证信信息，假假冒合法法用户，用用户数据据完全暴暴露在其其面前，其其他安全全措施都都将失效效，攻击击者将可可以为所所欲为，窃窃取或修修改用户户数据。因因此，身身份假冒冒是政务务云面对对的首要要安全威威胁。l 应用服务务可用性性风险任何形式式的应用用都存在在可用性性风险，而而一旦可可用性风风险被威胁利利用，进进一步引引发了安安全事件件，则会会带来应应用的不不可用，进而导导致业务务受阻。缺乏对应应用

22、服务务的审计计也会带来可可用性风风险，如果通通过审计计和分析析策略在在故障或或入侵之之前可以以察觉到到异常信信息，可可能就避避免了事事故的发发生。而在云计计算环境境下，因因为应用用的高度度集中和和边界模模糊，可可能一次次单台主主机的不不可用，都都会带来来多种业业务的不不可用。因此云计计算环境境下的应应用可用用性问题题相比传传统计算算环境下下，具备备影响范范围广，程程度深的的特点。l WEB攻攻击风险险WEB攻攻击主要要指针对对WEBB服务的的各类应应用恶意意代码攻攻击，诸诸如SQQL注入入攻击、XXSS攻攻击、网网页篡改改等，通通常是由由于对HHTTPP表单的的输入信信息未做做严格审审查，或或

23、WEBB应用在在代码设设计时存存在的脆脆弱性导导致的。如果不对对这类攻攻击进行行专门的的防护，很很容易造造成安全全保障体体系被突突破，以以WEBB服务作作为跳板板，进一一步威胁胁内部的的应用和和数据。2.3.5 数据安全全风险l 数据保密密性和完完整性风风险XX云因因其业务务特点，所所处理的的数据关关乎公众服务务，以及及为国家家提供舆舆情服务务。虽然然会有部部分应用用会对互互联网用用户提供供服务，但但只是提提供有限限的接口口，访问有有限的，关关乎个人人的等非敏敏感数据据。但大大部分敏敏感的，不不宜公开开的政务务云数据还会会面临来来自非法法入侵后后进行窃窃取或篡改，进进而带来来的数据据保密性性和

24、完整整性风险险。l 数据可用用性风险险当数据的的完整性性遭受破破坏时，数数据可用用性也会会遭受影影响，数数据失真真，尤其其是应用用的关键键参数失失真最为为严重。尤尤其是虚虚拟化环环境下，数据碎片化存储，在整合时出现问题，导致应用服务中断，进而造成应用可用性的风险。所以如何进行容灾，备份，恢复也是一个严峻的问题。l 数据审计计风险因为在云云环境中，用用户的数数据不再再保存在在用户本本地，因因此目前前在云计算算环境中中，多依依靠完整整性验证证的方式式使用户户确信他他们的数数据被正正确的存存储和处处理。为为了保证证数据可可恢复性性及冗余性性，在云云计算环环境中，通通常会采采用冗余余存储的的手段。这就

25、需需要特定定的审计计方法保证证多个版版本数据据的一致致性和完完整性。此外，针针对数据据的使用者者信息，也也需要通通过审计计措施来来进行记记录。l 数据安全全检测风风险在政务云云环境下，数数据往往往是离散散的分布布在“云云”中不不同的位位置，用用户无法法确定自自己的数数据究竟竟在哪里里，具体体是由哪哪个服务务器进行行管理。也也因此造造成当数数据出现现不可用，破破坏，甚甚至泄露露时，很很难确定定具体的的问题点点。l 数据库安安全风险险数据库通通常作为为非结构构化数据据的索引引，通过过结构化化表的表现形形式，为为前端应应用和后后方数据据提供桥桥梁；同时，对对于结构构化的数数据，数数据库本本身就进进行

26、了数数据存储储。恶意攻击击通常会会通过数数据库漏漏洞或恶恶意代码码的方式式进行非非法提权权，从而通过过数据库库结构化化语句窃窃取、篡改甚甚至破坏坏后台存存储的数数据，威胁到到数据的的保密性性、完整整性和可可用性。2.3.6 虚拟化平平台安全全风险虚拟化是是云计算算最重要要的技术术支持之之一，也也是云计计算的标标志之一一。然而而，虚拟拟化的结结果，却却使许多多传统的的安全防防护手段段失效。从从技术层层面上讲讲，云计计算与传传统ITT环境最最大的区区别在于于其虚拟拟的计算算环境，也也正是这这一区别别导致其其安全问问题变得得异常“棘棘手”。l 虚拟化平平台自身身安全风风险虚拟化平平台自身身也存在在安

27、全漏漏洞，虚虚拟主机机可能会被被作为跳跳板，通通过虚拟拟化网络络攻击虚虚拟化平平台的管管理接口口；或者由由虚拟机机通过平平台的漏漏洞直接接攻击底底层的虚虚拟化平平台，导致基基于虚拟拟化平台台的各类类业务均均出现不不可用或或信息泄泄露。l 安全可信信、可控控风险虚拟化平平台技术术是从国外外引进的的，目前前常见的的主流商用用虚拟化化平台被被几个大大的国外厂厂商垄断断，且不不对外提提供关键键、核心心接口，更不提供源码，导致在其上构建和部署安全措施困难，可控性差。再加上可能的利益驱使和网络战需要，无法判别是否留有控制“后门”，可信度有待商榷。l 虚拟资源源池内恶恶意竞争争风险处于虚拟拟资源池池内的多多

28、虚拟主主机会共共享统一一硬件环环境，经经常会出出现恶意意的抢占占资源，影影响了平平台资源源的可用用性，进进而影响响虚拟化化平台的的服务水水平。2.3.7 虚拟化网网络安全全风险虚拟化的的网络结结构，使使得传统统的分域域防护变变得难以以实现，虚虚拟化的的服务提提供模式式，使得得对使用用者身份份、权限限和行为为鉴别、控控制与审审计变得得更加困困难。造造成虚拟拟化网络络不可见见风险、网络边界动态化风险、多租户混用安全风险等。l 虚拟化网网络不可见风险险在云环境境中，虚拟化资源会放放在同一一的资源源池中，供供各应用用调配资资源来实实现业务务的运行行。在这这种情况况下，传传统安全全防护设设备无法法深入虚

29、虚拟化平平台内部部进行安全全防护，难难以达到到恶意代代码的防防护，流流量监控控，协议议审计等等安全要要求。l 网络边界界动态化化风险为了实现现虚拟化化环境下下的动态态负载，出出现了虚虚拟机动动态漂移移技术，导导致虚拟拟化主机机的真实实位置也也会随之之改变，造造成边界界的安全全策略也也需要随随之转移移。若边界隔隔离、安全防防护措施施与策略不不能跟随随虚拟机机漂移，会会使得边边界防护护措施和和防护策策略难以以起效，造造成安全全漏洞。l 多租户混混用安全全风险在XX云云平台的的规划愿愿景中，包包含对下下属机构构提供SSaaSS类服务，必然会会引入其其他租户户的应用用。这么么多的业业务系统统有着不同同

30、的安全全等级和和访问控控制要求求，业务务系统自自身的安安全保障障机制也也参差不不齐。所所有业务务系统的的安全防防护策略略和需求求也是不不同的，而安全策策略一刀刀切常常常会使整整体安全全度降低低，高安全等等级要求求的业务务系统无无法得到到应有的的安全保保障，导致越权权访问、数数据泄露露。l 网络地址址冲突风风险由于用户户对虚拟拟机有完完全控制制权，所所以可以以随意修修改虚拟拟机的mmac地地址，可可能造成成与其他他虚拟机机的maac冲突突，从而而影响虚虚拟机通通信。l 恶意虚拟拟机实施施攻击风风险虚拟机通通信隔离离机制不不强，恶恶意虚拟拟机可能能监听其其他虚拟拟机的运运行状态态，实施DDos攻攻

31、击，恶恶意占用用资源（ccpu,内存，网网络带宽宽等），影影响其他他VM的的运行。2.3.8 虚拟化主主机安全全风险l 虚拟机恶恶意抢占占资源风风险虚拟机完完全由最最终用户户控制，恶意份子和被控制的虚拟机可能恶意抢占网络、存储和运算资源，导致整体云平台资源耗尽，从而影响其他关键业务系统的正常运行扰乱正常政务办公。l 虚拟机安安全审计计风险在云平台台构建完完成后，将将同时运运转数量量众多的的虚拟机机。并且且，对虚虚拟机的的操作人人员各异异，安全全意识和和安全防防范措施施也参差差不齐。缺缺乏安全全审计会会导致某某些虚拟拟机感染染病毒后后进行非非法操作作，甚至至可能利利用hyyperrvissor的

32、的已有漏漏洞，获获得更高高权限，从从而实施施各种攻攻击。l 虚拟机镜镜像安全全风险比起物理理主机，虚虚拟机镜镜像是以以文件形形式存在在，因此此，容易易被复制制和修改改，同时时，不同同安全级级别的版版本镜像像可能被被替换。虚虚拟机镜镜像文件件如缺乏控控制措施施，可能存在在完整性性修改，镜镜像回滚滚失败等风风险。2.3.1 安全管理理风险当云平台台系统进进入上线线运行阶阶段后，相关安全管理人员在管理过程中可能会遭遇多种问题，引发安全管理风险。在云计算算环境下下，应用用系统和和硬件服服务器不不再是一一一绑定定的关系系，安全全管理职职责发生生了变化化，失去去了对基基础设施施和应用的的绝对管管理权和和控

33、制权权。另外外，政务务云系统统的管理理层面发发生了变变化，XXX的云环境境运维部部门负责责管理基基础设施施，而应用系系统因为为租户众众多，使使得应用用系统的的维护者者众多。也因此此管理职职责复杂杂化，需需要明晰晰职权。在多租户迁入应用和数据的情况下，区别于传统的私有云，管理人员的队伍也发生了变化，需要多个部门进行人员的协调。因为人员是由多个部门组成，也因此要求安全管理制度，应急响应的策略和制度依据实际情况作出调整。2.3.2 云环境下下的特有有安全管管理风险险在云环境境下，“资资源池”管管理技术术主要实实现对物物理资源源、虚拟拟资源的的统一管管理，并并根据用用户需求求实现虚虚拟资源源（虚拟拟机

34、、虚虚拟存储储空间等等）的自自动化生生成、分分配、回回收和迁迁移，用用以支持持用户对对资源的的弹性需需求。这突破了了传统的的安全区区域，使使得传统统基于物物理安全全边界的的防护机机制不能能有效地地发挥作作用，削削弱了云云平台上上各租户户对重要要信息的的管理能能力。另另外，在在传统网网络环境境中，网网络中的的各类资资产通常常由不同同的管理理员进行行管理。但但在虚拟拟化环境境中，往往都都由同一一管理员员负责，可能会会出现管管理员权权限过于于集中的的风险。对管理员的操作审计和行为规范都提出了很高的要求。2.3.3 安全组织织建设风风险要应对云云平台进进入运行行阶段的的各类问问题，首首先对进行安安全管

35、理理运维的的组织保障障能力提提出了挑挑战。没有依据据实际情情况建设设的安全全组织，无法应应对云平平台复杂杂环境下下的安全全管理要要求，无无法顺利利完成安安全管理理工作，无无法保障障各类云业务的顺顺利进行行。而且且鉴于本本次云平平台建设设的实际际情况：即迁入入多租户户的大量应用用，所以以在进行行安全管管理时，如何划划分管理理权限，明晰职责，也成为了需要解决的问题。因此，需需求合理理的、务实实的、专专业的多多类安全队队伍来应应对挑战战，保障障云平台台业务顺顺利通畅畅的进行行。2.3.4 人员风险险再安全的的网络设设备和安安全管理理系统也也离不开开人的操操作和管管理，再再好的安安全策略略也最终终要靠

36、人人来实现现，因此此人员也也是整个个网络安安全中的的重要一一环。需需求具备备完备的的信息安安全意识识，专业业的信息息安全素素养，职职业化的的信息安安全态度度人才，来来管理和维维护政务务云系统统，保障障业务。2.3.5 安全策略略风险在应对云云平台未未来可能能遇到的的信息安安全事件件时，除了了具备组组织、人人员外，还还需要制制定适合合云平台台系统复杂杂环境的的安全制制度和安安全策略略，让组织织和人员员可以有有效的，合合规的完成成信息安安全事件件相关的的各类工工作，以保证证信息安安全管理理可以高高效，高质量量的进行行。2.3.6 安全审计计风险在云平台台投入使使用后，因业务系统和底层架构较为复杂，

37、需要进行全方位的监控审计，以便及时发现各类可能和信息安全相关、业务状态相关的信息，并及时作出管理策略的响应和调整。而具体由由谁来监监控审计计，审计计结果是是否有效效而客观观，是否否可以及及时传达达至相关关责任人人，这些些问题都都需要妥妥善解决决，才能能够实现现全方位位，及时时，有效效的审计计。2.4 安全运维维风险因为XXX的采购方方式是通通过市场场化建设设，提供供基础设设施平台台，平台建建设完成成后，将将引入各各下属机构构的应用用系统。所以在云平台投入使用后，运维人员、审计监控以及应急响应等都发生了职责、权限、流程的变化，引入了新型的，在云环境下特有的新型风险。此外，还还包括一一些传统统的安

38、全运运维风险险，例如如：环境境与资产产，操作作与运维维，业务务连续性性，监督和和检查，第第三方安安全服务务等风险。2.4.1 云环境下下的特有有运维风风险l 运维职权权不明风风险在云平台台投入使使用后，基基础设施施由XXX进行运运维，而而基于基基础设施施的各类类应用由由各租户户的相关关人员进进行运维维。但是当当发生事事故的时时候，无无法在第第一时间间确定事故故的波及及方；处处理事故故时，无无法分配配具体任任务；事事故追责责时，无无法确定定到底由由谁来负负责。尤尤其是在在云环境境中，资资源池内内如果发发生了安安全事故故，资源源边界更加加模糊。因因此确定定运维职职责非常常重要。l 运维流程程不明风

39、风险因为运维维参与者者众多，属属于不同同的参与与方，也也导致在在进行运运维过程中，很多多流程要要涉及到到不同参参与方的的多个部门门。因此此确定一一个统一一的，合合理的安安全运维维制度是是保障运运维工作作顺利进进行的必必要条件件。l 虚拟资源源运维审审计监控控风险在安全技技术上，传传统的运运维审计计手段缺缺乏对虚虚拟机的的运维审审计能力力。流量量不可视也带带来了协协议无法法审计，虚拟机动态迁移带来审计策略中断等问题。l 突发事件件风险再完备的的安全保保障体系系，也无法法阻止突突然性事事件的发发生，这这种风险险也是信息息系统固固有的属属性，无无法避免免。尤其其是在云云环境下下，应急急响应变变得更为

40、为复杂，涉及范围广，恢复难度大。也因此需求在云平台系统运行中，有可靠的应急响应队伍和机制，保障快速、妥善的应对各类突发性问题。2.4.2 环境与资资产风险险信息系统统依托于于机房与与周边环环境，而而业务系系统则直直接依托托于基础础设施。在在云平台台系统投入入使用后后，面临临的最直直接的风风险就来来自于环环境和资资产。因因为云平台由由XX的运维团团队进行行运行维维护，为了保保证政务务云系统统的正常常运行，所以要求数据中心运维团队的运维管理能力能够具备较高的水平。2.4.3 操作与运运维风险险人员是很很难进行行控制的的，而对对业务和和基础设设施进行行操作和和运维的的人员，无无论是通通过现场场还是远

41、远程进行行操作，都都可能因为误误操作，为为信息系系统带来来损失。如何规范人员的操作、运维流程，如何减少误操作的可能性，如何提高操作者的职业素养，这些都是需要解决的问题。2.4.4 业务连续续性风险险信息系统统的最终终使命是是运行业业务，但但是业务务的连续续性是否否能够保保证，关关乎信息息系统的的多个层层面，包包括物理理、网络络、主机机、应用用以及数据据等。在云平台台环境下下，还包包括虚拟拟化平台台，以及运运行在其其上的虚虚拟主机机、虚拟拟网络。其中任何一环如果出现问题，都有可能影响业务的连续性。所以如何保护业务的连续性也给运维团队提出了难题。2.4.5 监督和检检查风险险智慧云系系统是多组织织

42、，多系系统，多多业务，多参与与者的云云计算平平台，为为了保障障如此复复杂的系系统，需需要许多多安全技术术、管理理和运维维的过程程。这些过程程是否符符合法律律、符合合标准，在发生事故时，如何督促管理者有效跟踪事故，并快速解除故障。这些都需要进行监督和检查管理，否则容易使参与者承担法律风险。2.4.6 第三方服服务风险险为保障云云平台的的正常运运行和不断完完善，需需要进行行很多运运行维护护工作，诸诸如：业业务迁入入，差距距分析，安安全加固固，渗透透测试等等。但是这些些工作都都过于专专业化，仍需需要专业业的第三三方安全全机构提提供相应应的服务务，才可可以有效效的进行行。因此，如如何选择择第三方方服务

43、机机构，如如何监督督评价第第三方的的服务质质量，就就需要妥妥善的第第三方服务管理理。3 解决方案案总体设设计3.1 设计原则则XX云平平台安全全等级保保护的建建设需要要充分考考虑长远远发展需需求，统统一规划划、统一一布局、统统一设计计、规范范标准，并并根据实实际需要要及投资资金额，突突出重点点、分步步实施，保保证系统统建设的的完整性性和投资资的有效效性。在在方案设设计和项项目建设设中应当当遵循以以下的原原则：统一规划划、分步步实施原原则在信息安安全等级级保护的的建设过过程中，将将首先从从一个完完整的网网络系统统体系结结构出发发，全方方位、多多层次的的综合考考虑信息息网络的的各种实实体和各各个环

44、节节，运用用信息系系统工程程的观点点和方法法论进行行统一的的、整体体性的设设计，将将有限的的资源集集中解决决最紧迫迫问题，为为后继的的安全实实施提供供基础保保障，通通过逐步步实施，来来达到信信息网络络系统的的安全强强化。从从解决主主要的问问题入手手，伴随随信息系系统应用用的开展展，逐步步提高和和完善信信息系统统的建设设，充分分利用现现有资源源进行合合理整合合的原则则。故后文中中的安全全解决方方案将进进行着眼眼未来的的安全设设计，并并强调分分步走的的安全战战略思想想，着重重描述本本期应部署的的安全措措施，并并以发展展的眼光光阐述今今后应部部署的安安全措施施。标准性和和规范化化原则信息安全全等级保

45、保护建设设应当严严格遵循循国家和和行业有有关法律律法规和和技术规规范的要要求，从从业务、技技术、运运行管理理等方面面对项目目的整体体建设和和实施进进行设计计，充分分体现标标准化和和规范化化。重点保护护原则根据信息息系统的的重要程程度、业业务特点点，通过过划分不不同安全全保护等等级的信信息系统统，实现现不同强强度的安安全保护护，集中中资源优优先保护护涉及核核心业务务或关键键信息资资产的信信息系统统。适度安全全原则任何信息息系统都都不能做做到绝对对的安全全，在安安全规划划过程中中，要在在安全需需求、安安全风险险和安全全成本之之间进行行平衡和和折中，过过多的安安全要求求必将造造成安全全成本的的迅速增

46、增加和运运行的复复杂性。适度安全全也是等等级保护护建设的的初衷，因因此在进进行等级级保护设设计的过过程中，一一方面要要严格遵遵循基本本要求，从从物理、网网络、主主机、应应用、数数据等层层面加强强防护措措施，保保障信息息系统的的机密性性、完整整性和可可用性，另另外也要要综合考考虑业务务和成本本的因素素，针对对信息系系统的实实际风险险，提出出对应的的保护强强度，并并按照保保护强度度进行安安全防护护系统的的设计和和建设，从从而有效效控制成成本。技术管理理并重原原则信息安全全问题从从来就不不是单纯纯的技术术问题，把把防范黑黑客入侵侵和病毒毒感染理理解为信信息安全全问题的的全部是是片面的的，仅仅仅通过部

47、部署安全全产品很很难完全全覆盖所所有的信信息安全全问题，因因此必须须要把技技术措施施和管理理措施结结合起来来，更有有效的保保障信息息系统的的整体安安全性。先进形和和成熟性性原则所建设的的安全体体系应当当在设计计理念、技技术体系系、产品品选型等等方面实实现先进进性和成成熟性的的统一。本本方案设设计采用用国际先先进实用用的安全全技术和和国产优优秀安全全产品，选选择目前前和未来来一定时时期内有有代表性性和先进进性的成成熟的安安全技术术，既保保证当前前系统的的高安全全可靠，又又满足系系统在很很长生命命周期内内有持续续的可维维护和可可扩展性性。动态调整整原则信息安全全问题不不是静态态的。信信息系统统安全

48、保保障体系系的设计计和建设设，必须须遵循动动态性原原则。必必须适应应不断发发展的信信息技术术和不断断改变的的脆弱性性，必须须能够及及时地、不不断地改改进和完完善系统统的安全全保障措措施。经济性原原则项目设计计和建设设过程中中，将充充分利用用现有资资源，在在可用性性的前提提条件下下充分保保证系统统建设的的经济性性，提高高投资效效率，避避免重复复建设。3.2 安全保障障体系构构成XX信息息安全等等级保护护安全方方案的设设计思想想是以等等级保护护的“一一个中心心、三重重防护”为为核心指指导思想想，构建建集防护护、检测测、响应应、恢复复于一体体的全面面的安全全保障体体系。具具体体现现为：以以全面贯贯彻落实实等级保保护制度度为核心心，打造造科学实实用的信信息安全全防护能能力、安安全风险险监测能能力、应应急响应应能力和和灾难恢恢复能力力，从安安全技术术、安全全管理、安全运维三个角度构建安全防护体系，切实保障信息安全。