1、 .wd. .wd. .wd.工程綜述工程背景為了保障基于“安康云、“智慧云的XX數據中心，天融信公司依據公安部?關于開展信息系統等級保護安全建設整改工作的指導意見?公信安20091389號)的要求，貫徹“通過組織開展信息安全等級保護安全管理制度建設、技術措施建設和等級測評，落實等級保護制度的各項要求，使信息系統安全管理水平明顯提高，安全防范能力明顯增強，安全隱患和安全事故明顯減少，有效保障信息化安康開展，維護國家安全、社會秩序和公共利益的方針，為XX數據中心需要在規劃、建設和使用相關信息系統的同時對信息安全也要同步建設，全面開展信息安全等級保護建設整改工作。安全目標XX的信息安全等級保護建設

2、工作的總體目標是：“遵循國家信息安全等級保護有關法規規定和標準標準，通過全面開展信息安全等級保護定級備案、建設整改和等級測評工作，進一步實現對整個新建云平臺的信息系統安全管理體系和技術防護體系，增強信息安全保護意識，明確信息安全保障重點，落實信息安全責任，切實提高系統信息安全防護能力，為整個云平臺的順利建設和信息化安康開展提供可靠保障。具體目標包括1體系建設，實現按需防御。通過體系設計制定等級方案，進展安全技術體系、安全管理體系和安全運維體系建設，實現按需防御。2安全運維，確保持續安全。通過安全監控、安全加固等運維手段，從事前、事中、事后三個方面進展安全運行維護，實現持續性按需防御的安全需求。

3、3通過合規性建設，提升XX云平臺安全防護能力，保障系統信息安全，同時滿足國家等級保護的合規性要求，為信息化工作的推進保駕護航。建設范圍本方案的設計范圍覆蓋XX的新建云平臺基礎設施服務系統。安全對象包括：云內安全：虛擬化環境中的虛擬化平臺及其相關虛擬化網絡、虛擬化主機的安全防護；云外安全：虛擬化環境以外的網絡接入，核心交換，存儲藏份環境。建設依據國家相關政策要求1?中華人民共和國計算機信息系統安全保護條例?國務院147號令；2?國家信息化領導小組關于加強信息安全保障工作的意見?中辦發2003 27號；3?關于信息安全等級保護工作的實施意見?公通字200466號；4?信息安全等級保護管理方法?公通

4、字 200743號；5?信息安全等級保護備案實施細則?公信安20071360號；6?關于加強國家電子政務工程建設工程信息安全風險評估工作的通知?發改高技20082071號；7?關于開展信息安全等級保護安全建設整改工作的指導意見?公信安20091429號。等級保護及信息安全相關國家標準1?計算機信息系統安全保護等級劃分準那么?GB17859-1999；2?信息安全技術 信息系統安全等級保護實施指南?GBT 25058-2010；3?信息安全技術 信息系統安全保護等級定級指南?GB/T22240-2008；4?信息安全技術 信息系統安全等級保護 基本要求?GB/T22239-2008；5?信息安全

5、技術 信息系統等級保護安全設計技術要求?GB/T 25070-2010；6?信息安全技術 信息系統安全等級保護測評要求?；7?信息安全技術 信息系統安全等級保護測評過程指南?；8?信息安全技術 信息安全風險評估標準?GB/T 20984-2007；9?信息安全技術 信息系統安全管理要求?GB/T 20269-2006；10?信息技術 安全技術 信息安全管理體系要求?GB/T 22080-2008idt ISO/IEC 27001:2005；11?信息技術 安全技術 信息安全管理實用準那么?GB/T 22081-2008idt ISO/IEC 27002:2005；12?信息安全技術 信息系統通

6、用安全技術要求?GB/T 20271-2006及相關的一系列具體技術標準。云安全等保風險分析由于本系統是新建設系統，并且尚未部署應用。機房環境目前已經非常完備，具備很好的物理安全措施。因此當前最主要的工作是依據等級保護 基本要求，著重進展網絡層、主機層、數據層等方面的等級保護安全技術建設工作。此外，天融信具有等級保護的專家團隊，深入了解國家等級保護相關政策，熟悉信息系統規劃和整改工作的關鍵點和流程，將通過等級保護差距分析、文檔審核、現場訪談、現場測試等方式，開掘目前云平臺系統與等保技術和管理要求的不符合項。并針對不符合項，進展逐條分析，確認建設方案。在云架構下傳統的保護模式如何建設層次型的防護

7、策略，如何保護共享虛擬化環境下的云平臺建設中需重點考慮的環節；安康云和智慧云將實現基于云的數據存儲和集中管理，必須采用有效措施防止外部入侵和內部用戶濫用權限；在信息安全保障體系實現時仍需滿足國家信息安全等級保護政策要求，同時需要解決信息安全等級保護政策在云計算技術體系下如何落地的重要課題。安康云和智慧云計算平臺引入了虛擬化技術，實現數據資源、服務資源、平臺資源的云共享，計算、網絡、存儲等三類資源是云計算平臺依賴重要的系統資源，平臺的可用性Availability、可靠性Reliability、數據安全性、運維管理能力是安全建設的重要指標，傳統的密碼技術、邊界防護技術、入侵檢測技術、審計技術等在

8、云計算環境下仍然需要，并需要針對云計算給信息安全帶來的新問題，重點解決，虛擬化安全漏洞，以及基于云環境下的安全監控、用戶隔離、行為審計、不同角色的訪問控制、安全策略、安全管理和日志審計等技術難點，這就更加需要借助內外網等級保護的建設構建滿足安康云、智慧云平臺業務需要的安全支撐體系，提高信息化環境的安全性，并通過運維、安全保障等基礎資源的統一建設，有效消除安全保障中的“短板效應，增強整個信息化環境的安全性。合規性風險XX云平臺的安全建設需滿足等級保護三級 基本要求的標準，即需要建設安全技術、管理、運維體系，到達可信、可控、可管的目標。但是目前在云計算環境下的等級保護標準尚未出臺，可能會面臨信息系

9、統可信、可控、可管的巨大挑戰，如以下圖：此外，在今后大量XX自有應用以及通過SaaS方式，縱向引入各下屬單位應用。為了滿足各類不同應用的合規性需求，需要在安全技術、運維、管理等方面進展更加靈活、高可用性的冗余建設。系統建設風險虛擬化平臺架構，品牌的選擇是一個很慎重的問題。其架構依據不同品牌，導致接口開放程度不同，運行機制不同。而與虛擬化平臺相關的如：信息系統應用架構、安全架構、數據存儲架構等，都與虛擬化平臺息息相關，也是后續應用遷入工作的基礎。此外，在后期遷入應用，建設過程中的質量監控，建設方案是否合理可靠等問題，均有可能造成風險。以下為具體的風險：應用遷入阻力風險XX的云平臺規劃愿景包括：應

10、用數據大集中，管理大集中，所以要求今后非云環境的各類應用逐步的遷移入虛擬化環境，各應用的計算環境也需要調整入虛擬化環境。由此可能會引發一些兼容性風險問題，帶來遷入阻力的風險。虛擬化平臺品牌選擇風險因現有虛擬化平臺已經采購完成，是VMware的vSphere虛擬化平臺，因其對國內其他IT平臺，尤其是對國內安全廠商的開放性嚴重缺乏，導致許多安全機制無法兼顧到云平臺內部。因此造成了安全監控、安全管理、安全防護機制在云平臺內外出現斷檔的現象，使現有的自動化安全管理、網絡管理、安全防護等措施無法有效覆蓋虛擬化環境。建設質量計量、監視風險因為本次XX云平臺的建設打算采用市場化建設的方式進展，但是現有云計算

11、平臺是否符合建設要求，是否符合安全需求，如何進展質量的計量，如何進展評審監視，都是亟待解決的問題。安全規劃風險在云平臺的規劃過程中，應同時規劃安全保障體系的；保證在建設過程中，同步實施計算環境和安全保障建設。如出現信息安全建設延后，可能帶來保障體系的脆弱性，放大各其他基礎設施的脆弱性，導致各類安全風險的滋生。建設方案風險云平臺的建設因其復雜性，導致系統投入使用前，需要進展完善詳實的規劃、設計和實施。需協調好各相關部門，以及第三方合作廠商，群策群力的建設云平臺，而建設方案是需要先行一步制定好的，從而可以指導標準整個工程的生命周期。安全技術風險基于虛擬化技術的云平臺帶來了許多優勢，如計算資源按需分

12、配，計算資源利用效率最大化等等。但是，在引入優勢的同時，也會帶來許多新的安全風險。因此對于XX云平臺的信息安全風險分析也應根據實際情況作出調整，考慮虛擬化平臺、虛擬化網絡、虛擬化主機的安全風險。同時，為了滿足等級保護的合規性要求，需要結合等級保護三級的 基本要求中關于安全技術體系的五個層面的安全需求，即：物理安全、網絡安全、主機安全、應用安全及數據安全。雖然目前階段，云平臺尚未引入有效應用和數據，但是在安全規劃中需要為未來出現的情況進展先期預測，將其可能引入的安全風險進展考慮。因此，在經過總結后，可得出八個方面的安全風險。物理安全風險因目前物理機房的基礎設施已完善，在實地考察后，發現XX現有機

13、房已滿足等級保護三級合規性要求，物理安全風險已經得到有效控制。網絡安全風險本節主要討論非虛擬化環境中的傳統網絡安全風險。網絡可用性風險有多種因素會對網絡可用性造成負面影響，主要集中于鏈路流量負載不當，流量分配不當，以及拒絕服務攻擊、蠕蟲類病毒等威脅。此外，對網絡內部流量和協議的審計也非常關鍵，運維人員需要了解這些信息以協調網絡資源，充分保障網絡的可用性，進一步保障應用業務的可用性。網絡邊界完整性風險網絡邊界包含云平臺邊界、內部各安全域的邊界，租戶邊界主機/虛擬主機/業務系統，互聯網接入邊界。在此討論非虛擬化環境下的網絡邊界完整性風險。云平臺網絡邊界、互聯網接入邊界、內部各安全域網絡邊界以及物理

14、主機的網絡邊界可能會因缺乏邊界訪問控制管理，訪問控制策略不當，身份鑒別失效，非法內聯，非法外聯等因素而被突破，導致網絡邊界完整性失去保護，進一步可能會影響信息系統的保密性和可用性。安全通信風險第三方運維人員，采用遠程終端訪問云中的各類應用。如果不對應用數據的遠程通信數據進展加密，那么通信信息就有被竊聽、篡改、泄露的風險，破壞通信信息的完整性和保密性。入侵防護風險網絡入侵可能來自各邊界的外部或內部。如果缺乏行之有效的審計手段和防護手段，那么信息安全無從談起。為防止信息安全保障體系成為了聾子、瞎子，需要審計手段發現入侵威脅，需要防護手段阻斷威脅。惡意代碼風險當網絡邊界被突破后，信息系統會暴露在危險

15、的環境下，最為突出的風險就是惡意代碼的風險，可能會造成系統保密性和可用性的損失。包括端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。系統隨時會面臨各類惡意代碼攻擊的風險，尤其是APT攻擊，即使系統具備較為完善的防御體系，也很難防范此類攻擊。主機安全風險在虛擬化環境下，主機安全也應對物理服務器主機和虛擬化主機進展區別對待，存在的安全風險問題有所不同。本節只討論物理服務器和遠程接入應用的操作終端的安全風險。應用操作終端風險云平臺搭建后，系統資源統一放在云端，而用戶是通過終端遠程接入云中的應用。除了上述的身份鑒別和授權的風險外，終端使用的瀏覽器自身存在漏

16、洞，甚至終端本身的安康狀況不良，都可能會造成云端受到相應的威脅。服務器主機操作系統漏洞風險服務器主機操作系統因自身設計原因，存在固有的漏洞和脆弱性，具有被突破、被潛伏、被利用、被破壞的各類風險。服務器主機平臺風險目前服務器的硬件架構中，采用的CPU、主板、內存等配件的核心技術仍然受制于人，為了業務的性能需求，仍然需要采用國外的技術架構?？赡軙砗箝T入侵的風險。應用安全風險身份鑒別、授權、審計風險應用放置在云端，在實現資源共享的同時，會帶來信息泄漏的風險。由于網絡的不確定性，首要問題就是要確認使用者的身份、確保身份的合法性。由于工作需要，不同部門、不同職責的工作人員應用需求不同，信息使用權限不

17、同，必須要對使用者身份進展統一的認證，統一授權，統一審計。一旦攻擊者獲取使用者的身份驗證信息，假冒合法用戶，用戶數據完全暴露在其面前，其他安全措施都將失效，攻擊者將可以為所欲為，竊取或修改用戶數據。因此，身份假冒是政務云面對的首要安全威脅。應用服務可用性風險任何形式的應用都存在可用性風險，而一旦可用性風險被威脅利用，進一步引發了安全事件，那么會帶來應用的不可用，進而導致業務受阻。缺乏對應用服務的審計也會帶來可用性風險，如果通過審計和分析策略在故障或入侵之前可以覺察到異常信息，可能就防止了事故的發生。而在云計算環境下，因為應用的高度集中和邊界模糊，可能一次單臺主機的不可用，都會帶來多種業務的不可

18、用。因此云計算環境下的應用可用性問題相比傳統計算環境下，具備影響范圍廣，程度深的特點。WEB攻擊風險WEB攻擊主要指針對WEB服務的各類應用惡意代碼攻擊，諸如SQL注入攻擊、XSS攻擊、網頁篡改等，通常是由于對HTTP表單的輸入信息未做嚴格審查，或WEB應用在代碼設計時存在的脆弱性導致的。如果不對這類攻擊進展專門的防護，很容易造成安全保障體系被突破，以WEB服務作為跳板，進一步威脅內部的應用和數據。數據安全風險數據保密性和完整性風險XX云因其業務特點，所處理的數據關乎公眾服務，以及為國家提供輿情服務。雖然會有局部應用會對互聯網用戶提供服務，但只是提供有限的接口，訪問有限的，關乎個人的等非敏感數

19、據。但大局部敏感的，不宜公開的政務云數據還會面臨來自非法入侵后進展竊取或篡改，進而帶來的數據保密性和完整性風險。數據可用性風險當數據的完整性遭受破壞時，數據可用性也會遭受影響，數據失真，尤其是應用的關鍵參數失真最為嚴重。尤其是虛擬化環境下，數據碎片化存儲，在整合時出現問題，導致應用服務中斷，進而造成應用可用性的風險。所以如何進展容災，備份，恢復也是一個嚴峻的問題。數據審計風險因為在云環境中，用戶的數據不再保存在用戶本地，因此目前在云計算環境中，多依靠完整性驗證的方式使用戶確信他們的數據被正確的存儲和處理。為了保證數據可恢復性及冗余性，在云計算環境中，通常會采用冗余存儲的手段。這就需要特定的審計

20、方法保證多個版本數據的一致性和完整性。此外，針對數據的使用者信息，也需要通過審計措施來進展記錄。數據安全檢測風險在政務云環境下，數據往往是離散的分布在“云中不同的位置，用戶無法確定自己的數據終究在哪里，具體是由哪個服務器進展管理。也因此造成當數據出現不可用，破壞，甚至泄露時，很難確定具體的問題點。數據庫安全風險數據庫通常作為非構造化數據的索引，通過構造化表的表現形式，為前端應用和前方數據提供橋梁；同時，對于構造化的數據，數據庫本身就進展了數據存儲。惡意攻擊通常會通過數據庫漏洞或惡意代碼的方式進展非法提權，從而通過數據庫構造化語句竊取、篡改甚至破壞后臺存儲的數據，威脅到數據的保密性、完整性和可用

21、性。虛擬化平臺安全風險虛擬化是云計算最重要的技術支持之一，也是云計算的標志之一。然而，虛擬化的結果，卻使許多傳統的安全防護手段失效。從技術層面上講，云計算與傳統IT環境最大的區別在于其虛擬的計算環境，也正是這一區別導致其安全問題變得異?！凹?。虛擬化平臺自身安全風險虛擬化平臺自身也存在安全漏洞，虛擬主機可能會被作為跳板，通過虛擬化網絡攻擊虛擬化平臺的管理接口；或者由虛擬機通過平臺的漏洞直接攻擊底層的虛擬化平臺，導致基于虛擬化平臺的各類業務均出現不可用或信息泄露。安全可信、可控風險虛擬化平臺技術是從國外引進的，目前常見的主流商用虛擬化平臺被幾個大的國外廠商壟斷，且不對外提供關鍵、核心接口，更不提

22、供源碼，導致在其上構建和部署安全措施困難，可控性差。再加上可能的利益驅使和網絡戰需要，無法判別是否留有控制“后門，可信度有待商榷。虛擬資源池內惡意競爭風險處于虛擬資源池內的多虛擬主時機共享統一硬件環境，經常會出現惡意的搶占資源，影響了平臺資源的可用性，進而影響虛擬化平臺的服務水平。虛擬化網絡安全風險虛擬化的網絡構造，使得傳統的分域防護變得難以實現，虛擬化的服務提供模式，使得對使用者身份、權限和行為鑒別、控制與審計變得更加困難。造成虛擬化網絡不可見風險、網絡邊界動態化風險、多租戶混用安全風險等。虛擬化網絡不可見風險在云環境中，虛擬化資源會放在同一的資源池中，供各應用調配資源來實現業務的運行。在這

23、種情況下，傳統安全防護設備無法深入虛擬化平臺內部進展安全防護，難以到達惡意代碼的防護，流量監控，協議審計等安全要求。網絡邊界動態化風險為了實現虛擬化環境下的動態負載，出現了虛擬機動態漂移技術，導致虛擬化主機的真實位置也會隨之改變，造成邊界的安全策略也需要隨之轉移。假設邊界隔離、安全防護措施與策略不能跟隨虛擬機漂移，會使得邊界防護措施和防護策略難以起效，造成安全漏洞。多租戶混用安全風險在XX云平臺的規劃愿景中，包含對下屬機構提供SaaS類服務，必然會引入其他租戶的應用。這么多的業務系統有著不同的安全等級和訪問控制要求，業務系統自身的安全保障機制也參差不齊。所有業務系統的安全防護策略和需求也是不同

24、的，而安全策略一刀切常常會使整體安全度降低，高安全等級要求的業務系統無法得到應有的安全保障，導致越權訪問、數據泄露。網絡地址沖突風險由于用戶對虛擬機有完全控制權，所以可以隨意修改虛擬機的mac地址，可能造成與其他虛擬機的mac沖突，從而影響虛擬機通信。惡意虛擬機實施攻擊風險虛擬機通信隔離機制不強，惡意虛擬機可能監聽其他虛擬機的運行狀態，實施Dos攻擊，惡意占用資源cpu,內存，網絡帶寬等，影響其他VM的運行。虛擬化主機安全風險虛擬機惡意搶占資源風險虛擬機完全由最終用戶控制，惡意份子和被控制的虛擬機可能惡意搶占網絡、存儲和運算資源，導致整體云平臺資源耗盡，從而影響其他關鍵業務系統的正常運行擾亂正

25、常政務辦公。虛擬機安全審計風險在云平臺構建完成后，將同時運轉數量眾多的虛擬機。并且，對虛擬機的操作人員各異，安全意識和安全防范措施也參差不齊。缺乏安全審計會導致某些虛擬機感染病毒后進展非法操作，甚至可能利用hypervisor的已有漏洞，獲得更高權限，從而實施各種攻擊。虛擬機鏡像安全風險比起物理主機，虛擬機鏡像是以文件形式存在，因此，容易被復制和修改，同時，不同安全級別的版本鏡像可能被替換。虛擬機鏡像文件如缺乏控制措施，可能存在完整性修改，鏡像回滾失敗等風險。安全管理風險當云平臺系統進入上線運行階段后，相關安全管理人員在管理過程中可能會遭遇多種問題，引發安全管理風險。在云計算環境下，應用系統和

26、硬件服務器不再是一一綁定的關系，安全管理職責發生了變化，失去了對基礎設施和應用的絕對管理權和控制權。另外，政務云系統的管理層面發生了變化，XX的云環境運維部門負責管理基礎設施，而應用系統因為租戶眾多，使得應用系統的維護者眾多。也因此管理職責復雜化，需要明晰職權。在多租戶遷入應用和數據的情況下，區別于傳統的私有云，管理人員的隊伍也發生了變化，需要多個部門進展人員的協調。因為人員是由多個部門組成，也因此要求安全管理制度，應急響應的策略和制度依據實際情況作出調整。云環境下的特有安全管理風險在云環境下，“資源池管理技術主要實現對物理資源、虛擬資源的統一管理，并根據用戶需求實現虛擬資源虛擬機、虛擬存儲空

27、間等的自動化生成、分配、回收和遷移，用以支持用戶對資源的彈性需求。這突破了傳統的安全區域，使得傳統基于物理安全邊界的防護機制不能有效地發揮作用，削弱了云平臺上各租戶對重要信息的管理能力。另外，在傳統網絡環境中，網絡中的各類資產通常由不同的管理員進展管理。但在虛擬化環境中，往往都由同一管理員負責，可能會出現管理員權限過于集中的風險。對管理員的操作審計和行為標準都提出了很高的要求。安全組織建設風險要應對云平臺進入運行階段的各類問題，首先對進展安全管理運維的組織保障能力提出了挑戰。沒有依據實際情況建設的安全組織，無法應對云平臺復雜環境下的安全管理要求，無法順利完成安全管理工作，無法保障各類云業務的順

28、利進展。而且鑒于本次云平臺建設的實際情況：即遷入多租戶的大量應用，所以在進展安全管理時，如何劃分管理權限，明晰職責，也成為了需要解決的問題。因此，需求合理的、務實的、專業的多類安全隊伍來應對挑戰，保障云平臺業務順利通暢的進展。人員風險再安全的網絡設備和安全管理系統也離不開人的操作和管理，再好的安全策略也最終要靠人來實現，因此人員也是整個網絡安全中的重要一環。需求具備完備的信息安全意識，專業的信息安全素養，職業化的信息安全態度人才，來管理和維護政務云系統，保障業務。安全策略風險在應對云平臺未來可能遇到的信息安全事件時，除了具備組織、人員外，還需要制定適合云平臺系統復雜環境的安全制度和安全策略，讓

29、組織和人員可以有效的，合規的完成信息安全事件相關的各類工作，以保證信息安全管理可以高效，高質量的進展。安全審計風險在云平臺投入使用后，因業務系統和底層架構較為復雜，需要進展全方位的監控審計，以便及時發現各類可能和信息安全相關、業務狀態相關的信息，并及時作出管理策略的響應和調整。而具體由誰來監控審計，審計結果是否有效而客觀，是否可以及時傳達至相關責任人，這些問題都需要妥善解決，才能夠實現全方位，及時，有效的審計。安全運維風險因為XX的采購方式是通過市場化建設，提供基礎設施平臺，平臺建設完成后，將引入各下屬機構的應用系統。所以在云平臺投入使用后，運維人員、審計監控以及應急響應等都發生了職責、權限、

30、流程的變化，引入了新型的，在云環境下特有的新型風險。此外，還包括一些傳統的安全運維風險，例如：環境與資產，操作與運維，業務連續性，監視和檢查，第三方安全服務等風險。云環境下的特有運維風險運維職權不明風險在云平臺投入使用后，基礎設施由XX進展運維，而基于基礎設施的各類應用由各租戶的相關人員進展運維。但是當發生事故的時候，無法在第一時間確定事故的涉及方；處理事故時，無法分配具體任務；事故追責時，無法確定到底由誰來負責。尤其是在云環境中，資源池內如果發生了安全事故，資源邊界更加模糊。因此確定運維職責非常重要。運維流程不明風險因為運維參與者眾多，屬于不同的參與方，也導致在進展運維過程中，很多流程要涉及

31、到不同參與方的多個部門。因此確定一個統一的，合理的安全運維制度是保障運維工作順利進展的必要條件。虛擬資源運維審計監控風險在安全技術上，傳統的運維審計手段缺乏對虛擬機的運維審計能力。流量不可視也帶來了協議無法審計，虛擬機動態遷移帶來審計策略中斷等問題。突發事件風險再完備的安全保障體系，也無法阻止突然性事件的發生，這種風險也是信息系統固有的屬性，無法防止。尤其是在云環境下，應急響應變得更為復雜，涉及范圍廣，恢復難度大。也因此需求在云平臺系統運行中，有可靠的應急響應隊伍和機制，保障快速、妥善的應對各類突發性問題。環境與資產風險信息系統依托于機房與周邊環境，而業務系統那么直接依托于基礎設施。在云平臺系

32、統投入使用后，面臨的最直接的風險就來自于環境和資產。因為云平臺由XX的運維團隊進展運行維護，為了保證政務云系統的正常運行，所以要求數據中心運維團隊的運維管理能力能夠具備較高的水平。操作與運維風險人員是很難進展控制的，而對業務和基礎設施進展操作和運維的人員，無論是通過現場還是遠程進展操作，都可能因為誤操作，為信息系統帶來損失。如何標準人員的操作、運維流程，如何減少誤操作的可能性，如何提高操作者的職業素養，這些都是需要解決的問題。業務連續性風險信息系統的最終使命是運行業務，但是業務的連續性是否能夠保證，關乎信息系統的多個層面，包括物理、網絡、主機、應用以及數據等。在云平臺環境下，還包括虛擬化平臺，

33、以及運行在其上的虛擬主機、虛擬網絡。其中任何一環如果出現問題，都有可能影響業務的連續性。所以如何保護業務的連續性也給運維團隊提出了難題。監視和檢查風險智慧云系統是多組織，多系統，多業務，多參與者的云計算平臺，為了保障如此復雜的系統，需要許多安全技術、管理和運維的過程。這些過程是否符合法律、符合標準，在發生事故時，如何催促管理者有效跟蹤事故，并快速解除故障。這些都需要進展監視和檢查管理，否那么容易使參與者承擔法律風險。第三方服務風險為保障云平臺的正常運行和不斷完善，需要進展很多運行維護工作，諸如：業務遷入，差距分析，安全加固，滲透測試等。但是這些工作都過于專業化，仍需要專業的第三方安全機構提供相

34、應的服務，才可以有效的進展。因此，如何選擇第三方服務機構，如何監視評價第三方的服務質量，就需要妥善的第三方服務管理。解決方案總體設計設計原那么XX云平臺安全等級保護的建設需要充分考慮長遠開展需求，統一規劃、統一布局、統一設計、標準標準，并根據實際需要及投資金額，突出重點、分步實施，保證系統建設的完整性和投資的有效性。在方案設計和工程建設中應當遵循以下的原那么：統一規劃、分步實施原那么在信息安全等級保護的建設過程中，將首先從一個完整的網絡系統體系構造出發，全方位、多層次的綜合考慮信息網絡的各種實體和各個環節，運用信息系統工程的觀點和方法論進展統一的、整體性的設計，將有限的資源集中解決最緊迫問題，

35、為后繼的安全實施提供基礎保障，通過逐步實施，來到達信息網絡系統的安全強化。從解決主要的問題入手，伴隨信息系統應用的開展，逐步提高和完善信息系統的建設，充分利用現有資源進展合理整合的原那么。故后文中的安全解決方案將進展著眼未來的安全設計，并強調分步走的安全戰略思想，著重描述本期應部署的安全措施，并以開展的眼光闡述今后應部署的安全措施。標準性和標準化原那么信息安全等級保護建設應當嚴格遵循國家和行業有關法律法規和技術標準的要求，從業務、技術、運行管理等方面對工程的整體建設和實施進展設計，充分表達標準化和標準化。重點保護原那么根據信息系統的重要程度、業務特點，通過劃分不同安全保護等級的信息系統，實現不

36、同強度的安全保護，集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。 適度安全原那么任何信息系統都不能做到絕對的安全，在安全規劃過程中，要在安全需求、安全風險和安全本錢之間進展平衡和折中，過多的安全要求必將造成安全本錢的迅速增加和運行的復雜性。適度安全也是等級保護建設的初衷，因此在進展等級保護設計的過程中，一方面要嚴格遵循 基本要求，從物理、網絡、主機、應用、數據等層面加強防護措施，保障信息系統的機密性、完整性和可用性，另外也要綜合考慮業務和本錢的因素，針對信息系統的實際風險，提出對應的保護強度，并按照保護強度進展安全防護系統的設計和建設，從而有效控制本錢。技術管理并重原那么信息安全問題從

37、來就不是單純的技術問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的，僅僅通過部署安全產品很難完全覆蓋所有的信息安全問題，因此必須要把技術措施和管理措施結合起來，更有效的保障信息系統的整體安全性。先進形和成熟性原那么所建設的安全體系應當在設計理念、技術體系、產品選型等方面實現先進性和成熟性的統一。本方案設計采用國際先進實用的安全技術和國產優秀安全產品，選擇目前和未來一定時期內有代表性和先進性的成熟的安全技術，既保證當前系統的高安全可靠，又滿足系統在很長生命周期內有持續的可維護和可擴展性。動態調整原那么信息安全問題不是靜態的。信息系統安全保障體系的設計和建設，必須遵循動態性原那么。必

38、須適應不斷開展的信息技術和不斷改變的脆弱性，必須能夠及時地、不斷地改進和完善系統的安全保障措施。經濟性原那么工程設計和建設過程中，將充分利用現有資源，在可用性的前提條件下充分保證系統建設的經濟性，提高投資效率，防止重復建設。安全保障體系構成XX信息安全等級保護安全方案的設計思想是以等級保護的“一個中心、三重防護為核心指導思想，構建集防護、檢測、響應、恢復于一體的全面的安全保障體系。具體表達為：以全面貫徹落實等級保護制度為核心，打造科學實用的信息安全防護能力、安全風險監測能力、應急響應能力和災難恢復能力，從安全技術、安全管理、安全運維三個角度構建安全防護體系，切實保障信息安全。云環境下的信息安全

39、保障體系模型如以下圖所示：一個指導思想：等級保護思想等級保護是系統設計的核心指導思想，整個方案的技術及管理設計都是圍繞符合等級保護的設計思想和要求展開實現的。三個防御維度：技術、管理、運維全方位的縱深防御1安全技術維度：安全技術是基礎防御的具體實現2安全管理維度：安全管理是總體的策略方針指導3安全運行維度：安全運行體系是支撐和保障安全技術體系參考GB/T25070-2010?信息安全技術 信息系統等級保護安全設計技術要求?以下簡稱?設計技術要求?，安全技術體系設計內容主要涵蓋到“一個中心、三重防護。即安全管理中心、計算環境安全、區域邊界安全、通信網絡安全。圖 33 安全技術體系構成1安全管理中

40、心：構建先進高效的安全管理中心，實現針對系統、產品、設備、信息安全事件、操作流程等的統一管理；2計算環境安全：為XX云平臺打造一個可信、可靠、安全的計算環境。從系統應用級的身份鑒別、訪問控制、安全審計、數據機密性及完整性保護、客體安全重用、系統可執行程序保護等方面，全面提升XX在系統及應用層面的安全；3區域邊界安全：從加強網絡邊界的訪問控制粒度、網絡邊界行為審計以及保護網絡邊界完整等方面，提升網絡邊界的可控性和可審計性；4通信網絡安全：從保護網絡間的數據傳輸安全、網絡行為的安全審計等方面保障網絡通信安全。XX安全技術體系建設的 基本思路是：以保護信息系統為核心，嚴格參考等級保護的思路和標準，從

41、多個層面進展建設，滿足XX云平臺在物理層面、網絡層面、系統層面、應用層面和管理層面的安全需求，建成后的保障體系將充分符合國家標準，能夠為XX業務的開展提供有力保障。安全技術體系建設的要點包括：1、構建分域的控制體系XX信息安全保障體系，在總體架構上將按照分域保護思路進展，本方案參考IATF信息安全技術框架，將XX云平臺從構造上劃分為不同的安全區域，各個安全區域內部的網絡設備、服務器、終端、應用系統形成單獨的計算環境、各個安全區域之間的訪問關系形成邊界、各個安全區域之間的連接鏈路和網絡設備構成了網絡基礎設施；因此方案將從保護計算環境、保護邊界、保護網絡基礎設施三個層面進展設計，并通過統一的基礎支

42、撐平臺這里我們將采用安全信息管理平臺來實現對基礎安全設施的集中管理，構建分域的控制體系。2、構建縱深的防御體系XX信息安全保障體系包括技術和管理兩個局部，本方案針對XX云平臺的通信網絡、區域邊界、計算環境、虛擬化環境，綜合采用身份認證、訪問控制、入侵檢測、惡意代碼防范、安全審計、防病毒、數據加密等多種技術和措施，實現XX業務應用的可用性、完整性和保密性保護，并在此基礎上實現綜合集中的安全管理，并充分考慮各種技術的組合和功能的互補性，合理利用措施，從外到內形成一個縱深的安全防御體系，保障信息系統整體的安全保護能力。3、保證一致的安全強度XX云平臺應采用分級的方法，采取強度一致的安全措施，并采取統

43、一的防護策略，使各安全措施在作用和功能上相互補充，形成動態的防護體系。因此在建設手段上，本方案采取“大平臺的方式進展建設，在平臺上實現各個級別信息系統的 基本保護，比方統一的防病毒系統、統一的審計系統，然后在 基本保護的基礎上，再根據各個信息系統的重要程度，采取高強度的保護措施。4、實現集中的安全管理信息安全管理的目標就是通過采取適當的控制措施來保障信息的保密性、完整性、可用性，從而確保信息系統內不發生安全事件、少發生安全事件、即使發生安全事件也能有效控制事件造成的影響。通過建設集中的安全管理平臺，實現對信息資產、安全事件、安全風險、訪問行為等的統一分析與監管，通過關聯分析技術，使系統管理人員

44、能夠迅速發現問題，定位問題，有效應對安全事件的發生。安全管理體系僅有安全技術防護，無嚴格的安全管理相配合，是難以保障整個系統的穩定安全運行。應該在安全建設、運行、維護、管理都要重視安全管理，嚴格按制度進展辦事，明確責任權力，標準操作，加強人員、設備的管理以及人員的培訓，提高安全管理水平，同時加強對緊急事件的應對能力，通過預防措施和恢復控制相結合的方式，使由意外事故所引起的破壞減小至可承受程度。安全運維體系由于安全技術和管理的復雜性、專業性和動態性，XX云平臺系統安全的規劃、設計、建設、運行維護均需要有較為專業的安全服務團隊支持。安全運維服務包括系統日常維護、安全加固、應急響應、業務持續性管理、

45、安全審計、安全培訓等工作。安全技術方案詳細設計天融信在本工程的整改方案設計中，針對XX的三級等級保護整改建設，依據一個中心三重防護的思路展開詳細設計。具體設計面向以下的幾個方面：信息安全拓撲設計互聯網接入區安全設計互聯網接入區作為云平臺發布門戶網站，用戶接入，以及將來與各下屬單位數據中心通過虛擬專網連接的重要接入區域，是XX的對外唯一通路。擔負著重要的邊界防護使命。本期方案方案部署如下安全產品：抗DDoS系統：部署兩臺千兆級別的抗DDoS系統，以A/S模式，透明方式部署；對入站方向的DDoS攻擊流量進展清洗，保護內網直接對外服務的網站。防病毒過濾網關：部署兩臺千兆級別的防病毒過濾網關，以A/S

46、模式，透明方式部署；對入站方向的HTTP、SMTP、POP3、IMAP等流量進展防病毒過濾清洗，主要保護內網中直接對外提供服務的網站，郵件系統，以及各辦公終端。入侵防御系統：部署兩臺千兆級別的入侵防御系統，以A/S模式，透明方式部署；對入站方向的數據包進展包復原，檢測攻擊行為，攻擊特征，假設發現攻擊行為那么進展阻斷。接入防火墻：利用現有Cisco ASA5555防火墻，以A/S模式，路由方式部署；負責入站方向IP包的訪問控制，對DMZ區的WEB網站進展端口訪問控制；另外開啟VPN功能，對接下屬機構數據中心，進展虛擬專網連接，同時第三方運維人員可借由VPN遠程登入。此處接入防火墻作為縱深防御體系

47、的第一道屏障，與內網各重要邊界防火墻異構。DMZ區安全設計DMZ區承載XX的對外服務網站，擔負著XX門戶的重要使命。本區域中的安全設計主要針對WEB網站防護，網頁防篡改等。本期方案方案部署如下安全產品：WEB應用防火墻：部署兩臺千兆級別的WEB應用防火墻，以A/S模式，反向代理方式部署；對WEB訪問流量進展針對性防護。網頁防篡改系統：部署一套網頁防篡改軟件系統需安裝在一臺服務器中，通過文件驅動級監控+觸發器的方式，監控所有對WEB實體服務器中網頁內容的修改行為，只有來自WEB發布服務器的修改行為會被放行，其他一切修改行為將被阻斷。核心交換區安全設計核心交換區主要由兩臺高性能核心交換機組成，作為

48、整個內網的核心，負責所有內網區域間流量的交換轉發。在此區域主要部署審計類安全產品，對網絡中的流量進展行為審計和入侵檢測。本期方案方案部署如下安全產品：網絡審計系統：部署一臺萬兆級別的網絡審計系統，以旁路方式，對接兩臺核心交換機的鏡像端口；核心交換機需將其他安全域的流量鏡像至網絡審計系統，供網絡審計系統審計記錄；審計記錄可通過報表展示給用戶，并可發送至安全管理平臺，進展綜合的安全態勢分析和展示。入侵檢測系統：部署一臺萬兆級別的入侵檢測系統，以旁路方式，對接兩臺核心交換機的鏡像端口；核心交換機需將其它安全域的流量鏡像至入侵檢測系統，供入侵檢測系統進展入侵行為檢測；審計記錄可通過報表展示給用戶，并可

49、發送至安全管理平臺，進展綜合的安全態勢分析和展示。測試開發區安全設計測試開發區是對自研應用系統和新上線設備進展測試的區域，其中還包含重要的開發文檔，對該區域的安全設計主要表達在邊界訪問控制需篩選可建設連接的條件。本期方案方案部署如下安全產品：測試開發區邊界防火墻：部署兩臺千兆級別的防火墻系統，以A/S模式，透明方式部署；篩選可以建設的連接規定內網中哪些IP地址可以訪問本區域，規定區域內的應用系統端口開放策略，通過策略完成訪問控制。安全管理運維區安全設計安全管理運維區是整個XX內網負責安全管理、安全運維和與之相關的用戶管理、云平臺管理、備份管理等各個組件的集合區域。是維系云平臺正常運轉，制定各類

50、安全策略的核心區域。本期方案方案部署如下安全產品：安全管理運維區邊界防火墻：部署兩臺千兆級別的防火墻系統，以A/S模式，透明方式部署；篩選可以建設的連接規定內網中哪些IP地址可以訪問本區域，規定區域內的應用系統端口開放策略，通過策略完成訪問控制。日志審計系統：需新購置一臺服務器級存儲，安裝日志審計軟件，收集數據中心內其他各類IT組件的日志，并集中存儲；另應提供備份存儲空間，通過備份服務器將日志進展備份。安全管理平臺：需提供一臺服務器，安裝安全管理平臺軟件系統內置數據庫，收集所有審計類安全設備的事件信息，并結合日志審計系統的日志信息，作統一事件關聯分析，以及對內網各類資產進展風險評估。最終以圖形

51、化界面，展示全網安全態勢。堡壘機：部署一臺可管理300臺設備/系統的堡壘主機，將所有IT組件的管理運維端口，通過策略路由的方式，交由堡壘主機代理。實現運維單點登錄，統一管理運維賬號，管理運維授權，并對運維操作進展審計記錄錄屏和鍵盤操作記錄。防病毒系統：需提供兩臺服務器，分別安裝虛擬機防病毒系統，和其他物理主機的防病毒系統；對全網主機虛擬主機和非虛擬主機進展統一的防病毒任務部署，防病毒進程管理，防病毒軟件升級管理，以及中毒主機隔離等工作。終端安全管理系統：需提供一臺服務器，安裝終端安全管理系統，對辦公終端進展安全監控和管理，實現網絡準入，應用發布，補丁管理，移動介質管理，敏感文檔防泄漏審計等功能

52、。漏洞掃描系統：部署一臺可單次任務掃描一個B類網段的漏洞掃描系統，對全網IT組件主機操作系統、網絡設備、安全設備、數據庫、中間件、應用服務等進展脆弱性開掘，并生成檢查報告。結果可通過報表展示給用戶，并可發送至安全管理平臺，從而進展綜合安全態勢分析和展示。vShield組件：應在vCenter服務器中安裝vShiled安全組件，從而實現虛擬機防火墻的功能，可進展VM級別的訪問控制和流量控制，其策略可隨VM動態遷移。vSphere Update Manager服務器：應單獨提供一臺服務器非虛擬機，安裝vSphere Update Manager組件，對vShpere環境進展補丁管理。AD域控及LD

53、AP服務器：應部署AD域控服務器，及LDAP服務器。除了進展全網設備和個人的域登錄管理外，還可結合眾多的安全管理設備如終端安全管理系統，將來的CA數字證書中心，為認證設備提供統一的用戶管理。未來建議部署的安全產品包括：CA數字證書認證中心：在未來多應用遷入后，對應用參與者包括個人終端、其他相關聯主機應進展強訪問控制、身份鑒別以及抗抵賴等保護措施，尤其是符合等級保護的雙因素認證需要基于PKI/CA的認證基礎設施。需要注意：必須部署CA中心，并完成應用認證流程的梳理，使所有應用參與者均通過雙因素認證后才能進入應用環境后，才可滿足等級保護要求，在通過測評前，一定要將PKI/CA基礎設施建設起來。文檔

54、安全管理系統：在應用數據遷入云平臺后，會有專用的NAS類存儲，為業務環境提供非構造化數據主要為文檔、文件的存儲和共享。需要使用文檔安全管理系統對敏感文檔下載后進展加密，并規定合法及非法文件傳輸出口，合法出口文檔為明文，非法出口文檔為密文。辦公終端區安全設計辦公終端區是所有辦公終端的集合區域，是各類業務生產的起點。因其涉及眾多終端使用者的不同安全素養，也因終端級操作系統的較多脆弱性，使個人終端成為了眾多安全事件的起點。因此需要進展較為周全的安全防護。本期方案方案部署如下安全產品：辦公終端區邊界防火墻：部署一臺萬兆級別的防火墻系統作為本區域的邊界防火墻；篩選可以建設的連接規定內網中哪些IP地址可以

55、訪問本區域，規定區域內的應用系統端口開放策略，通過策略完成訪問控制；另外需要加裝IPS、防病毒、應用識別及管控功能組件，使其可應對復雜的個人終端流量。辦公終端需安裝的安全組件：應統一安裝防病毒客戶端，終端安全系統客戶端批量下載安裝，使終端可接收相應安全防護系統的管理。云平臺應用區安全設計云平臺應用區承載著數據中心的核心業務，也是本次建設方案的核心保障區域。云平臺應用區主要通過虛擬化技術實現應用的承載，使用VMware vSphere平臺進展虛擬化環境的建設和管理。內置公共教育云、XX云及科研云，按其提供業務的不同進展區分。建議每個云組成一個Cluster，各自包含多臺ESXi主機，這些ESXi

56、主機上的虛擬機共享Cluster內部的計算資源。VM可在Cluster內部的多臺ESXi主機上進展遷移，通過DRS進展計算資源負載均衡，通過vSphere HA進展高可用性管理。Cluster之間如需進展通信，那么應將同心流量牽引至云平臺的邊界防火墻，進而通過數據安全交換區進展通信信息安全過濾，并完成交換后文將詳述。本區域內的安全設計，主要包括邊界安全，安全審計，虛擬化安全，數據備份等四個局部。本期方案方案部署如下安全產品：云平臺應用區邊界防火墻：部署兩臺萬兆級別的防火墻系統作為本區域的邊界防火墻；篩選可以建設的連接規定內網中哪些IP地址可以訪問本區域，規定區域內的應用系統端口開放策略，通過策

57、略完成訪問控制；另外需要加裝IPS、防病毒、應用識別及管控功能組件，使其可應對復雜的應用流量。安全審計類產品：部署在核心交換區的網絡審計系統和入侵檢測系統，將同時分別提供兩個千兆審計接口，連接本區域的會聚交換機鏡像端口，著重審計云平臺邊界處的流量信息。當多租戶系統遷入后，將把租戶間流量牽引至本區域會聚交換機，進而鏡像至審計設備進展審計記錄。虛擬化安全：vSphere虛擬化平臺，及其相關網絡、VM組件的安全主要靠vSphere提供的安全組件完成。包括vShield提供VM防火墻、防病毒功能，DRS計算資源負載均衡，vMotion虛擬機動態遷移，vShpere HAVM高可用性管理，Snapsho

58、tVM快照備份管理。備份服務器：接收安全管理運維區的備份管理服務器管理，并根據其策略執行具體的備份操作。數據安全交換區安全設計加強型建議規劃數據安全交換區主要負責多個云之間的數據安全隔離和數據交換，以及下屬機構遠程信息交互的工作。因云平臺應用區中的公共教育云、XX云以及科研云中，只應允許有限的信息交互一般為數據庫同步，局部電子XX信息同步。尤其對于科研云，其中的應用數據對于XX至關重要，不容輕易泄露或篡改；其中的數據應以數據庫同步，電子XX同步等方式定期更新至XX云和公共教育云中；而且執行更新操作的起點應通過專有的應用進展，在本方案中，采用云平臺應用區的數據同步管理服務器進展。因此，設立專有的

59、數據安全交換區。此區域僅作為安全加強型的建議規劃，可以考慮在應用及數據遷入后著手進展。安全隔離與信息交換系統：該系統由三局部構成：前置服務器、雙向網閘、后置服務器。前置服務器：數據導入前，對數據的傳輸源進展身份鑒別，確認傳輸源發出的請求可信可通過同步服務器IP/MAC進展確認；認證成功后，對數據進展格式檢查，內容安全過濾IPS、防病毒等，為數據通過雙向網閘做好準備。雙向網閘：網閘也是由三局部組成，一般為“2+1構造。如以下圖：雙向網閘的網絡兩端在無數據傳輸時保持網絡斷路，隔絕了一切網絡傳輸協議。當數據需要傳輸時，那么采用擺渡的方式，將數據通過內部私有傳輸協議逐步導入到對端，在過程中，網絡仍然保

60、持斷路。極高的保護了內部重要網絡的機密性。后置服務器：接收網閘傳輸過來的數據，并進展完整性校驗；假設完整性受損，那么回傳重傳信號；數據校驗合格后，進展日志記錄，并發送至內網。數據存儲區安全設計本區域承載所有應用系統的業務數據，是IT業務使命的根基所在。用戶已經采購了IBM企業級存儲及磁帶庫，具備極高的數據完整性，可用性保護。在此進展的安全設計主要針對數據機密性保護。本期方案方案部署如下安全產品：數據庫防火墻：部署在Oracle數據庫之前，串聯保護4臺數據庫服務器的多個數據庫實例。提供數據庫虛擬補丁庫，針對應用側和運維側的不同數據庫訪問模式，進展具體的SQL語句控制策略；同時針對SQL注入攻擊，