基于多個超融合平臺的網絡安全技術規范PAGE\*ROMANPAGE\*ROMANII目 次范圍 1規范性引用文件 1術語、定義和縮略語 1功能要求 1基本數據項 2試驗方法 5PAGEPAGE3基于多個超融合平臺的網絡安全標準范圍融合數據層、網絡層、虛擬資源組件安全、安全監控、安全審計等能力技術規范。本標準適用于超融合系統的研發和部署設計，以及應用中的網絡安全管理。規范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T32400-2015《信息技術云計算概覽與詞匯》GB/T37939-2019《信息安全技術網絡存儲安全技術要求》術語、定義和縮略語GB/T32400-2015GB/T37939-2019超融合系統成能力的不同，可以劃分為基礎級、增強級。功能要求基礎級超融合網絡安全安全、監控安全、審計安全等功能。增強級超融合網絡安全更嚴格。基本數據項管理安全超融合管理安全指標應滿足表1的要求。表1管理安全指標一級指標二級指標指標說明基礎版增強版管理安全物理環境安全應標記并劃分特定區域定向管理超融合設施√√應支持硬件發生變更時提示的能力√√應支持硬件物理損壞情況下高可用、容災及數據恢復的能力√√管理平臺應支持平臺真偽鑒別的能力√√應支持管理平臺WEB訪問連接安全的能力√√應支持2種以上多因子身份鑒別、訪問控制√√應支持最小化安裝原則、且能禁用無用組件功能√√管理業務應支持客戶業務可持續性保護措施、全面保護客戶業務的能力√√應支持各用戶、業務、數據的隔離，不可互訪的能力√√應支持應用粒度訪問控制的能力√管理人員應支持專人專崗，服務器、數據庫、應用程序分權獨立管理的能力；跨崗位協同需2人以上分權操作。√√2力√√管理制度應制定總體安全目標、范圍、原則、安全框架√√應定期對管理人員進行安全防護、防社工知識培訓√√應定期對安全防護措施、安全管理制度進行論證、優化、更新、發布√√應建立崗位責任具體到人的負責制√√系統內核層安全超融合系統內核層應具有自身系統內核的安全自檢、自修復能力，指標應滿足表2的要求。表2系統內核層安全指標一級指標二級指標指標說明基礎版增強版系統內核層底層內核系統安全應支持底層系統完整性破壞、缺失檢測的功能，且能更新或恢復初始的能力√√應支持操作系統包括但不限于LINUX、WINDOWS、第三方等系統底層內核的安全更新漏洞修復能力√√Hypervisor（計算虛擬化軟件）應支持虛擬軟件包括但不限于Hyper-v、KVM、Vmware、CtrixXen等第三方計算虛擬化軟件安全更新√√應支持當前虛擬軟件官方漏洞公布與即時修復的能力√√ServerSAN（分布式存儲軟件）ServerSANCephSwift、VSANNutanixEMCFusionCubeXenUIS新能力√√應支持CVE（CommonVulnerabilitiesandExposures，通用漏洞與披露官網同步響應更新的能力√√0day應支持操作系統平臺、虛擬組件等安全漏洞修補更新的能力：包括操作系統漏洞、虛擬系統漏洞、應用系統漏洞、管理平臺漏洞等√√超融合數據層安全超融合數據層安全指標應滿足表3的要求。表3超融合數據層安全指標一級指標二級指標指標說明（定量、定性指標）基礎版增強版超融合數據層計算數據應支持數據計算交互過程中的保密性、完整性能力，以及閃存數據的防護能力√√傳輸數據應支持數據傳輸過程中的保密性、防竊聽、以及遭受偵聽、嗅探時不可直接重組，重現完整數據的能力√√8K1000050000400M；256KIOPS;讀不少于2千IPOS，帶寬不少于200M√√存儲數據應支持存儲數據的保密性與完整性能力√√應防止數據被非授權的外部掛載行為時，防泄密的能力√√數據副本、CDP業務快速備份與恢復222方式√√應支持數據副本同步或異步備份且可快速恢復√√可支持秒級CDP持續業務保護功能√殘余數據保護應支持虛擬資源CPU、內存、存儲、虛機、網絡、鏡像、快照、備份、遷移、等釋放空間等資源回收時完全清除殘留的能力√√超融合網絡層安全超融合網絡層應具有自身系統網絡邊界、訪問控制、網絡風暴、入侵等網絡攻擊有效進行偵測與防護等功能，指標應滿足表4的要求。表4超融合網絡層安全指標一級指標二級指標指標說明基礎版增強版網絡層網絡隔離、網絡邊界應支持邏輯隔離，細顆粒的SuperPVLAN的能力√√應支持內部用戶或虛擬資源非授權外聯網絡行為的定位、限制、阻斷的能力√√訪問控制應支持角色最小權限劃分，以及清晰的權限分離√√應支持按自定義方式的內容級粒度訪問控制√應支持敏感信息與數據的安全標記，并可控制訪問√√網絡質量、網絡風暴應支持QOS功能，防止網絡蠕蟲、病毒DDOS、網絡風暴的能力√√應支持最大流量與最大連接數的限制能力√√網絡攻擊防護可支持IDSIPS入侵分析、檢測與防護能力√應支持密碼機、遠控、誘探、社工、木馬防護能力√√虛擬化內核防病毒可支持底層嵌入查毒能力，包括不僅限于可支持從虛擬內核磁盤IO、網絡報文、應用交互等底層內核級的查毒能力；√資源組件安全超融合資源組件安全指標應滿足表5的要求。表5資源組建安全指標一級指標二級指標指標說明基礎版增強版虛擬資源組件安全組件完整性檢測與恢復應支持各個虛擬組件完整性與異常自檢測功能：包含計算、存儲、網絡等組件√√應支持虛擬組件基線完整性比對，及組件破壞缺失恢復功能√√組件資源安全訪問應支持用戶之間及與管理員的存儲空間與資源的安全隔離，非授權不可互訪√√應支持組件資源遷移過程機密與完整性保護能力√√監控安全超融合監控安全指標應滿足表6的要求。表6監控安全一級指標二級指標指標說明基礎版增強版安全監控監控范圍應支持各類型的范圍監控:包括資源、管理平臺、技術、人員行為等√√監控反饋應支持至少2種以上的監控反饋方式：短信、應用、郵件、報警音等√√監控聯動應支持按嚴重、中等、一般等分級，且能可視化展示監控結果的能力√√可支持自定義事件發生時，策略聯動的能力√審計安全審計安全指標應滿足表7的要求。表7審計安全指標一級指標二級指標指標說明基礎版增強版安全審計審計范圍應支持多種類型的審計范圍:包含事件、用戶、事件類型、事件進行的狀態等√√審計策略應支持應用級粒度的自定義審計策略√√應支持增、減、刪、讀、寫、執行等敏感操作的自定義審計；包括訪問、行為、系統日志審計√√審計數據自身安全應支持保護審計進程或功能正常，避免中斷的能力√√應支持保護審計數據的獨立完整性，避免破壞，定期的備份的能力√√應支持保護審計記錄留存時間符合法律要求的能力√√試驗方法管理安全5.1生的故障情況下模擬測試環境。最后按正常操作讀寫其數據，以測試其完整與正常讀寫功能。管理平臺、管理業務中的平臺真偽識別、WEBSSL系統內核層安全應按以下方法檢查當前內核版本是否最新:a)采用命令查看內核版本cat/proc/version或uname–ab)lsb_release–acat/etc/issuec)Windowssysteminfo按需要采用內核升級指令，保持與發行版本的即時更新。針對計算虛擬化軟件分布式存儲軟件0daykernel級工具與升級方式保持其最新，且在廠商官網，以及第三方CVE（CommonVulnerabilitiesand超融合數據層安全sniffer、wireshark存儲數據采用拔盤外掛載第三方機器上，嘗試直接讀取其數據、或重組其數據的可能性。數據副本、CDP31試其完整與正常讀寫功能。6.3.3Iometer,FIO3100G，此操作僅為測試前常規操作，不作為測試結果值。再開始正式測試。8K256K（小文件與大文件）28K1IOPS5IOPS400M；256K800IOPS2IPOS200M。超融合網絡層安全2honeydexplorerIP80212223TCPUDPTTLsniffer、wiresharkQOS采用PING網絡攻擊防護采用DDOSCC工具向目標IP發包，模擬DDOS風暴、空連、小包、半連接等攻擊行為時，能記錄并阻斷單點超限連接數的功能；采用遠程登陸程序，連續3次輸入錯誤密碼方式模擬暴力猜解、入侵分析、遠控、等