華為FusionSphere6.0云套件安全技術白皮書（云數據中心）文檔版本V1.0發布日期2016-04-30華為技術有限公司華為FusionSphere6.0云套件安全技術白皮書（云數據中心）DocNumber:OFFE00019187_PMD966ZH

Revision:A擬制/Preparedby：chenfujun90002776;評審/Reviewedby:huangdenghui00283052;zouxiaowei00348656;pengzhaojun00286002;youwenwei00176512;yanzhongwei00232184批準/Approvedby:youwenwei001765122015-12-29HUAWEIHuaweiTechnologiesCo.,Ltd.華為技術有限公司Allrightsreserved版權所有侵權必究華為FusionSphere6.0云套件安全技術白皮書（云數華為FusionSphere6.0云套件安全技術白皮書（云數據中心）內部公開華為專有和保密信息版權所有?華為技術有限公司華為專有和保密信息版權所有?華為技術有限公司文檔版本V1.0(2016-04-304)管理員惡意行為無法監控、回溯；管理員分權分域管理管理員通過Portal登錄管理云系統，包括查看資源、發放虛擬機等。系統支持對Portal用戶進行訪問控制，支持分權分域管理，便于維護團隊內分職責共同有序地維護系統。賬號密碼管理密碼符合為了增強系統安全性，請定期修改用戶密碼，避免密碼泄露等安全風險。密碼長度建議至少為8位。密碼必須為如下4種字符組合的3種：小寫字母、大寫字母、數字、特殊字符：'~!@#$%八&*()-_=+\1[{}];:[<.>/?和空格、密碼不能為帳號或者帳號的倒寫。確保密碼的保密性。例如：可以設置密碼最小長度、密碼是否含特殊字符、密碼有效時長等。密碼在系統中不會明文存儲。日志管理FusionSphere支持以下三類日志：操作日志操作日志記錄操作維護人員的管理維護操作，日志內容詳實，包括用戶、操作類型、客戶端IP、操作時間、操作結果等內容，以支撐審計管理員的行為，能及時發現不當或惡意的操作。操作日志也可作為抗抵賴的證據。運行日志運行日志記錄各節點的運行情況，可由日志級別來控制日志的輸出。各節點的運行日志包括級別、線程名稱、運行信息等內容，維護人員可通過查看運行日志，了解和分析系統的運行狀況，及時發現和處理異常情況。黑匣子日志黑匣子日志記錄系統嚴重故障時的定位信息，主要用于故障定位和故障處理，便于快速恢復業務。其中計算節點產生的黑匣子日志匯總到日志服務器統一存放，而管理節點、存儲節點產生的黑匣子日志本地存放。傳輸加密管理員訪問管理系統，均采用HTTPS方式，傳輸通道采用TLS加密。數據庫備份為保證數據安全，必須對數據庫進行定期的備份，防止重要數據丟失。GaussDB數據庫支持本地在線備份方式和異地備份方式：本地備份：數據庫每天定時執行備份腳本完成備份。異地備份：數據異地備份到第三方備份服務器。2.7基礎設施安全基礎設施安全是指FusionSphere中各設備、節點以及組件的操作系統、數據庫等安全性。例如，云計算系統中大量使用的OS、DB等通用軟件，其軟件自身的漏洞、不安全的賬號和口令、不當的配置和操作、開啟不安全的服務等等為病毒、黑客、蠕蟲、木馬等的入侵提供了方便之門，使得系統容易遭受病毒入侵、漏洞攻擊、拒絕服務等等安全威脅，從而影響系統的運營。保障基礎設施的安全性，是維持系統正常運行、構建網絡安全和應用安全的基礎。操作系統加固FusionSphere中計算節點、管理節點均使用SUSELinux操作系統，為保證此類設備的安全，必須對SUSELinux操作系統進行基礎的安全配置，基礎安全配置的主要內容如下：最小化服務:禁用多余或危險的系統后臺進程和服務，如郵件代理、圖形桌面、telnet、編譯工具等服務加固：對SSH、Xinetd等常用服務進行安全加固內核參數調整：修改內核參數，增強操作系統安全性，如禁用IP轉發、禁止響應廣播請求、禁止接受/轉發ICMP重定向消息文件目錄權限設置：結合業界加固規范及應用要求，保證文件權限最小化。帳號口令安全：啟動口令復雜度檢查、密碼有效期、登錄失敗重試次數等。系統認證和授權：禁止root遠程登錄、盡量不用root賬號安裝運行進程。日志和審計：記錄服務、內核進程運行日志，可以與日志服務器對接Web安全FusionSphere各Web服務具有的安全功能如下：防止SQL注入式攻擊SQL注入式攻擊是指，攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務器執行惡意的SQL命令。防暴力破解暴力破解是指，攻擊者猜想用戶的密碼，然后不斷進行嘗試登陸獲取對應的用戶信息和權限。Web-UI當前對用戶登陸的密碼錯誤進行統計，連續錯誤5次則鎖定該賬號5分鐘口令安全口令復雜度要求：大寫字母、小寫祖母、數字、特殊字符，至少3種組合口令長度要求：至少8個字符數據庫加固FusionSphere中包含的數據庫類型如下:?GaussDB數據庫數據庫必須進行基礎的安全的配置，保證數據庫運行安全，各數據庫的主要安全配置如下：?GaussDB數據庫設置高復雜度的帳戶密碼。記錄數據庫的操作日志。安全補丁軟件因自身設計缺陷而存在很多漏洞，需要定期為系統安裝安全補丁以修補這些漏洞，以防止病毒、蠕蟲和黑客利用操作系統漏洞對系統進行攻擊。華為FusionSphere提供安全補丁方案如下：虛擬化平臺安全補丁用戶可以通過升級工具，將系統安全補丁安裝到虛擬化平臺上。用戶虛擬機安全補丁FusionSphere沒有針對用戶虛擬機提供額外的安全補丁機制。請客戶根據操作系統安全補丁官方的發布情況，結合實際的使用需求，為用戶虛擬機定期安裝安全補丁。防病毒在FusionCompute各管理節點或虛擬機上部署防病毒軟件，防止FusionSphere遭受病毒入侵。管理節點防病毒管理節點提供外部操作維護Portal，與外界存在交互操作，存在病毒感染風險。但管理節點采用加固的Linux操作系統，病毒感染風險低。用戶可以自行選擇為管理節點部署兼容Suselinux11的防病毒軟件。田說明1、用戶為管理節點部署防病毒軟件時，需對該防病毒軟件做兼容性測試。2、管理節點主要指V