10云平臺信息安全等級保護規(guī)劃方案目錄\l“_TOC_250036“云計算帶來的安全挑戰(zhàn) 4\l“_TOC_250035“整體方案設計 4\l“_TOC_250034“根底安全設計 5\l“_TOC_250033“物理安全 5\l“_TOC_250032“機房選址 5\l“_TOC_250031“機房治理 5\l“_TOC_250030“機房環(huán)境 5\l“_TOC_250029“設備與介質治理 5\l“_TOC_250028“網絡安全 6\l“_TOC_250027“安全域邊界隔離技術 6\l“_TOC_250026“入侵防范技術 6\l“_TOC_250025“網絡防病毒技術 6\l“_TOC_250024“WEB防火墻技術 7\l“_TOC_250023“網頁防篡改技術 7\l“_TOC_250022“流量治理技術 7\l“_TOC_250021“上網行為治理技術 7\l“_TOC_250020“網絡安全審計 8\l“_TOC_250019“主機安全 8\l“_TOC_250018“主機安全加固 8\l“_TOC_250017“運維堡壘主機 9\l“_TOC_250016“數據庫安全審計 10\l“_TOC_250015“主機防病毒技術 10\l“_TOC_250014“漏洞掃描技術 10\l“_TOC_250013“應用安全 11\l“_TOC_250012“安全應用交付 11\l“_TOC_250011“VPN 11\l“_TOC_250010“安全治理中12\l“_TOC_250009“云計算平臺安全設計 12\l“_TOC_250008“強身份認12\l“_TOC_250007“云安全防護系12\l“_TOC_250006“云安全運12\l“_TOC_250005“虛擬機安全設計 13\l“_TOC_250004“虛擬化安全防護要13\l“_TOC_250003“虛擬化安全方14\l“_TOC_250002“方案配置 18\l“_TOC_250001“方案合規(guī)性分18\l“_TOC_250000“三級系統(tǒng)安全產品配置清單19云計算帶來的安全挑戰(zhàn)IDC的調查格外具有代表性75考慮因素。IT資源的大集中，而隨著資源的集中，相應的護要從建設云的階段就開頭規(guī)劃設計，這樣才能做到防患于未然。云計算在技術層面上的核心特點是虛擬化技術的運用帶來的資源彈性和可云計算系統(tǒng)需要重構建安全防護體系。實施方案，以供參考。整體方案設計根底安全設計物理安全物理環(huán)境安全策略的目的是保護網絡中計算機網絡通信有一個良好的電磁機房選址避開設在建筑物的高層或地下室，以及用水設備的下層或隔壁。機房治理機房出入口安排專人值守，掌握、鑒別和記錄進入的人員；需進入機房的來訪人員須經過申請和審批流程，并限制和監(jiān)控其活動范圍；域；重要區(qū)域應配置電子門禁系統(tǒng)，掌握、鑒別和記錄進入的人員。機房環(huán)境房應安裝防靜電活動地板。備和磁介質實施電磁屏蔽。設備與介質治理域監(jiān)控、防盜報警系統(tǒng)，阻擋非法用戶的各種接近攻擊。監(jiān)控系統(tǒng)的有效運行。對介質進展分類標識，存儲在介質庫或檔案室中。利用光、電等技術設置機房防盜報警系統(tǒng)；對機房設置監(jiān)控報警系統(tǒng)。網絡安全安全域邊界隔離技術XX單位各安全域的邊界全防范體系。部署設計：下一代防火墻部署于互聯網出口，串行于網絡中。入侵防范技術有必要。部署設計：下一代防火墻部署于互聯網出口，串行于網絡中。網絡防病毒技術P2P軟件帶寬濫用等各種廣的途徑，凈化網絡流量。部署設計：下一代防火墻部署于互聯網出口，串行于網絡中。WEB防火墻技術XX等重要職責，暴露在互聯網上，隨時會面臨黑客Web攻擊方式多種多樣，包括XSS緩沖區(qū)溢出、名目遍歷、CookieWeb攻擊，Web效勞能夠持續(xù)牢靠的供給效勞WEB防火墻〔WAF設備〕格外有必要。部署設計：設備部署于網站效勞器之前，串行于網絡中。網頁防篡改技術XX等重要職責，暴露在互聯網上，隨時會面臨網頁被Web站點名目WAF上啟用網頁防篡改功能格外有必要。部署設計：設備部署于網站效勞器之前，串行于網絡中。流量治理技術依據等級保護根本要求，三級業(yè)務系統(tǒng)應當在互聯網出口處進展流量控低網絡風險。因此，部署一套專業(yè)的流量治理設備格外有必要。部署設計：流量治理系統(tǒng)部署于互聯網出口，串行于網絡中。上網行為治理技術3〔重要效勞器區(qū)域、外部連接邊界〕需網行為治理系統(tǒng)實現對內部用戶訪問互聯網的行為進展監(jiān)控、日志進展記錄。部署設計：上網行為治理系統(tǒng)部署于互聯網出口，串行于網絡中。網絡安全審計上網記錄，便于信息追蹤、系統(tǒng)安全治理和風險防范。志進展記錄。部署設計：主機安全主機安全加固統(tǒng)的安全性所打算的，沒有安全的操作系統(tǒng)的支持，網絡安全也毫無根基可言。是被攻擊的最終目標。統(tǒng)調用實現對文件系統(tǒng)的訪問掌握，以加強操作系統(tǒng)安全性。可實現：加強認證，承受證書的方式來提高認證和授權的級別和強度對操作系統(tǒng)本身的加固，防止緩沖區(qū)溢出等攻擊保護系統(tǒng)進程穩(wěn)定運行，確保正常效勞的供給對注冊表進展保護，制止非授權修改獨特的授權模式，非授權程序無法運行系統(tǒng)用戶的權限分別，尤其是超級用戶一步對訪問的時間、來源進展掌握部署設計：境，使業(yè)務系統(tǒng)能夠安全、正常的運行。運維堡壘主機面的，總結起來主要有以下幾點：IT設備訪問的混亂。IT理方式造成了業(yè)務治理和安全之間的失衡。帳號、密碼、認證、授權、審計等各方面缺乏有效的集中治理技術手段。目前，XX、運行關鍵業(yè)務、數據庫應用、ERPXX治理，躲避越權訪問或者誤操作等帶來的數據泄密及系統(tǒng)破壞風險。因此XX部署設計：Web方式登錄運維審計系統(tǒng)，然后通過運維審計系統(tǒng)上呈現的訪問資源列表直接訪問授權資源。數據庫安全審計部署設計：數據庫審計部署于數據庫前端交換機上，通過端口鏡像收集信息。主機防病毒技術3層交換機、防火軟件軟件版本以及病毒特征庫。部署設計：征庫、定期全盤掃描病毒。漏洞掃描技術XX單位網絡浩大、構造簡單，部署的設備很多，由于不同部門用戶的計掃描整個網絡內的漏洞格外有必要，對整個網絡的安全體系維護格外重要。部署設計：定期進展漏洞掃描，檢查安全隱患。應用安全安全應用交付動完成切換，提升網絡和應用的可用性，保障業(yè)務連續(xù)性。現優(yōu)先級治理、帶寬保障以及帶寬的公正使用，提升應用體驗。術兼容性，同時具有強大的應用層安全防護功能的安全應用交付產品〔SADC〕也是必不行少的。用場景。部署設計：載分擔。VPNVPN技術實供給端對端、點到端的安全傳輸解決方案。部署設計：VPN設備旁路部署于核心交換機上，實現傳輸鏈路的加密。安全治理中心XX單位隨著網絡安全意識的增加、網絡安全建設工作的推動，等級保護、分級保護和行業(yè)的信息安全治理等標準、標準的實施，越來越多的單位急需構建信息安全治理平臺。鑒于其網絡規(guī)模、業(yè)務應用和安全治理人員的實際狀況，局部SOCXX單位統(tǒng)。部署設計：要部署安全插件。云計算平臺安全設計安全隱患，在消滅安全損失之前進展解決。強身份認證的治理用戶行為審計系統(tǒng)，可確保事后用戶行為可溯源。云安全防護系統(tǒng)基于虛擬化層面的云安全防護用于保證云環(huán)境下虛擬網絡和數據的安全。層防火墻。確保云操作系統(tǒng)自身的強健性，API的安全訪問機制。云安全運維云安全運維用于支撐云數據中心安全運維，功能包括：實現對云環(huán)境中虛擬安全設備的集中治理；對虛擬機進展各種監(jiān)控，并對監(jiān)控數據分析生成報表；對宿主機和虛擬化設備的日志進展安全審計并進展深入分析。虛擬機安全設計來其虛擬系統(tǒng)自身的安全問題。安全威逼的消滅自然就需要方法來處理。虛擬化安全防護要點動態(tài)的安全虛擬機之間產生的攻擊一旦虛擬機被別有認真的破壞人員掌握，受感染的虛擬機將會成為跳板,從虛擬機層面橫向移動，竊取有價值的數據而不被傳統(tǒng)的防護手段所覺察。攻擊在虛擬器之中發(fā)生更高的安全需求用太多的物理資源。傳統(tǒng)網絡劃分不再適合虛擬化環(huán)境很高的操作開銷和影響業(yè)務靈敏性。防護東西向流量的全面防護方案。虛擬化安全方案在虛擬化數據中心的共享域和專有域，其密級、架構、功能都類似，故在設分析不同，虛擬化環(huán)境下同一個物理機當中的多個虛擬機中可能部署多個業(yè)務，vSwitch進展轉發(fā)，不出物理機，Hypervisor深度結合，對進出每一個虛擬機的全部流量進展捕獲、分析及掌握，從而實現虛擬平臺內部東西向流量之間的防護。其具備的具體功能如下：功能強大的威逼防范供給對虛擬化平臺的立體威逼防范，包括：惡意代碼防護件時，可以生成警報日志。防火墻全部端口和協議，降低對效勞器進展未授權訪問的風險。其功能如下：〔租戶〕的虛擬機業(yè)務系統(tǒng)進展隔離，且無需修改虛擬交換機配置即可供給虛擬分段。IPMac規(guī)章過濾通信流。可為每個網絡接口配置不同的策略。IP的協議：通過支持全數據包捕獲簡化了故障排解，并且可TCPUDPICMP等。IPARP通信流。能出于正常狀況，也可能是攻擊的一局部。〔WebLDAPDHCP、FTP和數據庫地部署防火墻策略。可操作的報告：通過具體的日志記錄、警報、儀表板和敏捷的報告，Deep〔如策略更改內容及更改者〕，從而供給具體的審計記錄。入侵檢測和阻擋(IDS/IPS)，使其免受攻擊和零日攻擊。SQL注入、XSS跨站腳本等攻擊，攻擊特征庫可在線更或離線更。特別流量清洗〔DDOS〕進展防范，將特別的流量進展清洗，放行正常流量。WEB應用防護Web應用防護規(guī)章可防范SQL注入攻擊、跨站點腳本攻擊及其他針對Web應用程序漏洞攻擊，在代碼修復完成之前對這些漏洞供給防護，識別并阻Web應用程序攻擊，并可實現網頁防篡改功能。應用程序掌握程序或者惡意軟件，并能夠對網絡中的非業(yè)務流量進展準確的限制。日志審計完整的流量記錄，便于信息追蹤、系統(tǒng)安全治理和風險防范。虛擬機之間的數據流量檢查及掌握Hypervisor深度結合，在治理程序內部無縫實施安全防護措施。IPS等關施。增加動態(tài)虛擬化環(huán)境的安全性板自動實施安全策略。完全虛擬化的安全網關構造，并可降低網絡延時、提升安全檢測提升性能、優(yōu)化部署本錢。者網關等多種部署方式。Web及相互感染，并可通過安全網關模塊對不同業(yè)務進展訪問掌握的隔離。對虛擬機供給即插即用的安全保護VLANvSwitch轉變網路拓撲，削減治理運維本錢。統(tǒng)一治理通過特地的虛擬化安全治理平臺對多個物理機之上的虛擬化安全網關模塊上。根底安全產品功能分析功能防火墻IPSIDS防毒墻

位置業(yè)務網數據中心區(qū)域邊界內部辦公網邊界業(yè)務網核心效勞器區(qū)域邊界網絡邊界

作用對業(yè)務網進展獨立防護，進展訪問掌握、攻擊防范對外部單位接入的各種數據交換進展訪問掌握、入侵防范實時監(jiān)控并阻斷針對數據中心核心業(yè)務效勞器的入侵行為實時監(jiān)控并阻斷網絡層傳輸的，針對數據中心核心業(yè)務的病毒和木馬行為對外網用戶的可信接入進展身份SSLVPN網關 外網邊界

審計等，保護辦公網內部效勞器資源的可用性，保障正常業(yè)務可控的訪問對內部人員網絡行為的約束與審上網行為審計網絡流量掌握網頁防篡改或WAF數據庫審計

外網邊界DMZ部署在效勞器網絡中

計對網絡流量進展整形，保障重要業(yè)務的網絡帶寬符合安全要求WEB被破壞主要是實現全部用戶對數據庫訪問及操作的行為進展審計分析權、命令回放等對內部全部效勞器及應用系統(tǒng)的身份認證系統(tǒng) 部署在云安全治理中心區(qū)業(yè)務網與辦公網邊界安全隔離網閘 將來可用于業(yè)務網與其他機構外聯邊界

登錄、身份識別進展認證及安全識別全面的監(jiān)控和安全的身份認證與辦公網進展適度的、可控的數據交換，同時保持業(yè)務網的高度隔離狀態(tài)，保護核心業(yè)務效勞器的高度安全方案配置方案合規(guī)性分析標和優(yōu)勢，能夠全面滿足云數據中心信息安全建設的要求。三級系統(tǒng)安全產品配置清單序號 工程名稱 配置要求 數量 單價〔一〕網絡安全系統(tǒng)〔邊界安全〕下一代防火墻上網行為治理流量治理WAF網絡安全審計鏈路負載均衡〔二〕主機安全〔內部安全〕

集成防火墻、入侵防御、病毒防護等功能 4內部上網用戶的行為治理和1審計重要信息系統(tǒng)應用的帶寬保1障保障應用系統(tǒng)安全，防止攻1擊，集成網頁防篡改功能對網絡行為及各系統(tǒng)日志進1行審計保證網絡出口鏈路的冗余性、連續(xù)性，以及鏈路選路 2的合理性0.

主機安全加固運維