海洋信息云計算服務平臺安全規范Securityspecificationsoplatformforoceaninfo中華人民共和國自然資源部發布HY/T240—2018 I 2規范性引用文件 14體系框架 5云平臺基礎環境安全保障 26云平臺業務和數據安全保障 57云平臺安全服務 6I本標準按照GB/T1.1—2009給出的規則起草。本標準由中華人民共和國自然資源部提出。本標準由全國海洋標準化技術委員會(SAC/TC283)歸口。本標準起草單位：國家海洋信息中心、中國海洋大學、東北大學、上海大學。本標準主要起草人：石綏祥、李占斌、秦勃、王波濤、徐凌宇、劉培順、曲海鵬、林喜軍、魏紅宇、1海洋信息云計算服務平臺安全規范本標準規定了海洋信息云計算服務平臺的安全體系框架，以及海洋信息云計算服務平臺的基礎環境安全保障、業務和數據支撐安全保障、安全服務。本標準適用于海洋信息云計算服務平臺的安全使用，也可以作為第三方服務機構開展海洋信息云計算服務平臺安全保障服務的指導。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22239—2008信息安全技術信息系統安全等級保護基本要求3術語、定義和縮略語3.1術語和定義下列術語和定義適用于本文件。統籌利用已有的網絡、存儲、計算、數據等信息資源，為涉海領域提供基礎設施、支撐軟件、應用系統、數據資源、運行保障和信息安全等服務的海洋綜合業務信息化系統。3.2縮略語下列縮略語適用于本文件。laaS:基礎設施即服務(InfrastructureasaService)PaaS:平臺即服務(PlatformasaService)SaaS:軟件即服務(SoftwareasaService)VPN:虛擬專用網絡(VirtualPrivateNetworks)VLAN:虛擬局域網(VirtualLocalAreaNetwork)USB:通用串行總線(UniversalSerialBus)CPU:中央處理單元(CentralProcessingUnit)API:應用程序接口(ApplicationProgrammingInterface)4體系框架4.1安全架構海洋信息云計算服務平臺(以下簡稱“云平臺”)的安全保障范疇涵蓋laaS安全、PaaS安全、SaaS安2全，其安全架構見圖1。具體內容如下：a)laaS安全指云平臺的物理環境、網絡、主機(物理主機和虛擬主機)、云平臺所承載數據和云平臺支撐業務軟件等安全；b)PaaS安全指云平臺內存儲的數據、計算模型、計算資源以及海洋數據產品等資源的安全和云平臺內海洋業務的安全；c)SaaS安全指云平臺的安全服務，包括網絡安全服務、業務支撐安全服務、系統安全服務、認證服務和數據安全服務等。網絡安全服務身份認證服務業務支撐按服務網絡安全服務身份認證服務業務支撐按服務服務安全隔離加密及密鑰管理訪問控制身份鑒別業務連續性圖1云平臺安全架構示意圖4.2安全要求云平臺安全的總體要求應根據平臺內業務和數據的安全等級，平臺的建設安全標準與平臺服務的最高安全標準一致，按照GB/T22239—2008安全要求進行建設和運維。5云平臺基礎環境安全保障5.1網絡資源安全5.1.1網絡身份標識和認證網絡身份標識和認證應符合以下要求：a)應對云服務用戶進行標識，確保所標識用戶在云平臺系統生存周期內的唯一性，并將用戶標識與安全審計相關聯；b)應在云用戶實施動作之前，先對提出該動作要求的用戶成功進行鑒別。35.1.2網絡訪問控制網絡訪問控制應符合以下要求：a)應在網絡內劃分不同的域，不同的域之間啟用邊界訪問控制，應設置對應的網絡訪問策略，按照安全域安全級別進行訪問控制；b)應利用虛擬防火墻功能，實現虛擬環境下的邏輯分區邊界防護和分段的集中管理與配置；c)應在創建客戶虛擬機的同時，根據具體的拓撲和可能的通信模式，在虛擬網卡和虛擬交換機上配置防火墻；d)虛擬交換機應啟用虛擬端口的限速功能，通過定義平均帶寬、峰值帶寬和流量突發大小，實現端口級別的流量控制，同時應禁止虛擬機端口使用混雜模式進行網絡通信嗅探；e)外部用戶通過互聯網訪問云平臺中設備時，應設置訪問控制機制，且提供相對安全的訪問通道，例如通過VPN方式。5.1.3網絡安全隔離網絡安全隔離應符合以下要求：a)應提供基于虛擬機安全組的網絡隔離，虛擬機之間應采用VLAN和不同的IP網段的方式進行邏輯上的隔離；b)應在防火墻配置中對每臺虛擬設備做相應的安全設置；c)相互隔離的虛擬機之間通信應根據需要采用安全通信。5.1.4網絡安全審計網絡安全審計應符合以下要求：a)應對網絡系統中的網絡設備的運行狀況、網絡流量、用戶行為、用戶操作、系統管理等進行日志記錄，包括：事件發生的時間、地點、用戶、事件類型、事件是否成功及其他審計相關信息；b)應對日志記錄進行保護，不應受到未預期的刪除、修改或覆蓋，審計記錄應至少保存6個月。5.1.5網絡入侵防范網絡入侵防范應符合以下要求：a)應具有抵御常見網絡攻擊的設計，在網絡邊界部署和啟用入侵防范技術手段，禁用不需要的服務和端口；應定期對系統和服務軟件進行漏洞檢查，及時安裝補丁，至少每周進行一次檢查，消除可能隱患；在安裝系統補丁前，首先在測試環境中測試通過，并對重要文件進行備份后，方可實施系統補丁程序的安裝；b)云平臺應防止同一平臺內的租戶竊取關鍵數據；c)云平臺應提供監控系統、審計系統、行為分析系統對內部入侵行為進行防范。5.2虛擬化安全5.2.1虛擬機基礎安全虛擬機基礎安全應符合以下要求：a)應實現云平臺虛擬主機的訪問控制和身份鑒別；b)應在本地或外部設備上對虛擬機的日志記錄進行存儲備份、定期審計；c)應提供實時的虛擬機監控機制，對虛擬機的運行狀態、資源占用、遷移等信息進行監控；d)應確保虛擬機的鏡像安全，并保證提供虛擬機鏡像文件完整性校驗功能；4e)應提供存儲空間級安全隔離。5.2.2虛擬機配置與加固虛擬機配置與加固應符合以下要求：a)應通過及時更新虛擬化軟件補丁，提供虛擬化主機的安全；應考慮對非工作狀態的虛擬機鏡像或者對剛剛運行的虛擬機采取保護措施，直到它們被打上補丁；b)應通過對云平臺的資源監控管理，控制虛擬機所消耗的服務器資源，保障受到攻擊的虛擬機不會對在同一臺物理主機運行的其他虛擬機造成影響，應限制虛擬機到物理主機的通信，防止拒絕服務攻擊。5.2.3虛擬機安全防護虛擬機安全防護應符合以下要求：a)應實現常見針對虛擬機的惡意攻擊的安全防護；b)應避免虛擬機共同體之間通過共同訪問資源進行惡意攻擊；c)應提供虛擬機跨物理機遷移過程中的保護措施；d)應提供虛擬機鏡像文件加密功能，防止虛擬機鏡像文件數據被非授權訪問；e)應能對虛擬機模版文件、配置文件等重要數據進行完整性檢測。5.2.4虛擬主機隔離虛擬主機隔離應符合以下要求：a)物理主機上的多個虛擬主機應隸屬同一個安全區域，禁止跨安全域部署，應提供虛擬主機之間隔離服務；b)應根據安全等級，關閉或拆除主機的光盤驅動、USB接口、串口等接口；c)應設置隔離措施實現虛擬機資源之間的安全隔離，包括：CPU調度隔離、內部網絡隔離、內存隔離、存儲隔離；d)應只允許符合安全策略的虛擬機之間實現相互訪問資源；e)虛擬主機之間的信息交互應按其安全屬性要求選擇建立安全通道、身份認證或訪問控制。5.2.5虛擬主機的遠程管理虛擬主機的遠程訪問應采用網絡安全傳輸安全協議；宜采用堡壘機加強遠程管理安全。5.3接口安全接口安全應滿足以下要求：a)接口使用端使用接口應提供身份認證信息，身份認證信息需要進行保護，應能抵御假冒、篡改、重放等攻擊行為；b)接口提供端對使用端的請求進行認證，使用端每一次請求都應包含認證信息，認證信息應能抵御假冒，篡改，重放等攻擊行為；c)接口提供端應對使用端的請求進行權限管理，根據用戶的權限判斷是否執行用戶的請求；d)接口提供端應對使用端的請求進行資源控制，防止用戶占用過多資源。56云平臺業務和數據安全保障6.1數據安全數據安全應符合以下要求：a)應采用加密技術或其他措施保證數據的完整性，應采用加密技術對存儲和傳輸中的敏感數據進行機密性保護；b)應提供云平臺間的數據遷移能力，數據遷移應制定遷移方案，并進行遷移方案可行性評估與風險評估，確定數據遷移風險控制措施，做好數據備份以及恢復相關工作，應保證數據遷移不影響業務應用的連續性；c)應采用訪問控制技術對數據進行分類保護，應提供數據備份與恢復功能；d)應能清除因數據在不同物理服務器上遷移、業務終止、自然災害、合同終止等遺留的數據。6.2業務安全6.2.1業務調度安全業務調度安全應符合以下要求：a)應賦予用戶不同的服務優先級；b)應根據用戶的優先級高低安排服務，不應跨優先級服務；c)應能對用戶的優先級進行實時控制和管理。6.2.2業務系統安全業務系統安全應符合以下要求：a)業務系統試運行前應經過安全檢查與安全掃描，通過后再接入云平臺；b)業務系統應優先部署在虛擬機環境中；c)業務遷移應事先做遷移方案，根據業務特點選擇安全域內受控遷移、安全域內自由遷移和安全域間受控遷移等不同安全級別的遷移方案，并對風險和資源做評估；d)不同安全級別的資源池之間禁止業務遷移；e)應對業務系統運行過程進行監控，詳細記錄系統運行過程中網絡通信、資源請求和使用等信息，并進行審計。6.2.3業務資源安全業務資源安全應符合以下要求：a)應能對業務應用系統的最大并發會話數進行限制；b)應能對單個賬戶的并發會話進行限制；c)應提供服務優先級設定功能，可根據安全策略設定訪問賬戶或請求進程的優先級，進而根據優先級分配系統資源；d)業務資源應用應安全可控，資源的接入應提供身份認證和訪問控制措施。6.3業務與數據隔離為實現不同用戶間數據信息的隔離，可根據應用具體需求，采用物理隔離、虛擬化和多租戶等方案實現不同租戶之間數據和配置信息的安全隔離，以保護每個租戶數據的安全與隱私。對不同安全級別的數據進行物理隔離存儲，高安全級別的數據應進行加密后存儲。業務與數據隔離應滿足以下要求：6a)應對虛擬機進行加固，保證不同主機之間的數據處理隔離；b)應對新上線應用和已有應用提供數據層的數據隔離，并通過配置虛擬資源隔離系統實現；c)應提供有效的虛擬機間內存隔離等機制，避免來自同一宿主機上的其他虛擬機破壞數據完整性；d)不同用戶數據應采用不同密鑰進行加密隔離，應對云平臺所部署的應用建立針對安全域之間、應用服務器之間通信的密鑰服務管理系統；e)不同安全域及部門專屬業務域之間應實現配置化的跨域認證與授權。7云平臺安全服務7.1身份認證服務身份認證服務應滿足以下條件：a)應提供統一身份認證服務，為業務應用用戶分配不同的資源及操作權限訪問云平臺資源；b)應提供用戶注冊服務：用戶在統一身份認證服務中注冊賬號，這個賬號可在所有使用統一身份認證服務的應用系統中使用；c)應提供賬號關聯服務：如果用戶之前已經在相關的應用系統中擁有賬號，同時也已經設置了相應的權限，用戶能夠將這些應用系統的賬號與統一身份認證服務的賬號進行關聯；d)應提供用戶認證服務，為應用系統提供用戶身份認證。7.2訪問控制服務云平臺應根據不同的平臺資源，提供不同的訪問控制服務，包括自主訪問控制、強制訪問控制和基于角色的訪問控制。訪問控制服務應滿足以下要求：a)自主訪問控制安全策略應實現對主體與客體間操作的控制。可以有多個自主訪問控制安全策略，它們應獨立命名，且不應相互沖突。b)強制訪問控制策略應包括策略控制下的主體、客體，及主體與客體間的操作，按照多級安全模型策略進行訪問控制授權管理。c)基于角色的訪問控制應實現按角色進行權限的分配和管理。通過對主體進行角色授予，使主體獲得相應角色的權限；通過撤消主體的角色授予，取消主體所獲得的相應角色權限。7.3數據安全性服務云平臺應根據云資源的不同，提供不同的數據安全服務，包括數據完整性安全服務、數據機密性安全服務和數據備份恢復服務。主要服務應滿足以下要求：a)應能對存儲在安全域內的用戶數據進行完整性檢測；應能對被傳輸的用戶數據進行完整性檢測，及時發現用戶數據被篡改、刪除、插入等情況發生；b)應能對存儲在安全域內的用戶數據進行保密性保護；應能對在安全域內傳輸的用戶數據進行保密性保護；c)應提供數據本地備份與恢復功能，數據備份至少每天一次，備份介質場外存放。7.4數據獲取服務7.4.1laaS模式下數據獲取服務laaS模式所使用的云平臺的物理資源應和其他模式的物理資源進行隔離，以控制風險范圍。主要步驟如下：a)用戶身份認證通過后，提交laaS云服務請求申請；b)審核人員驗證通過后，分配用戶使用特定云平臺的權限，通過授權限制用戶接觸的數據范圍和資源范圍，然后為用戶分配虛擬主機；c)用戶通過門戶網站登錄到虛擬主機，通過虛擬主機啟動云服務；d)云服務在云平臺里自動運行，把運算結果反饋到下載服務器，管理員審核后，用戶才能下載；e)用戶通過下載服務器獲取云服務的產品。7.4.2PaaS模式下數據獲取服務PaaS模式下用戶使用的是系統提供的API開發應用程序，把程