XX云数据中心安全等级保护建设方案

1 项目综述

1.1 项目背景

为了保障基于“健康云”、“智慧云”的XX数据中心，天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设，全面开展信息安全等级保护建设整改工作。

1.2 安全目标

XX的信息安全等级保护建设工作的总体目标是：

“遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力，为整个云平台的顺利建设和信息化健康发展提供可靠保障。”

具体目标包括

（1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技术体系、安全管理体系和安全运维体系建设，实现按需防御。

（2）安全运维，确保持续安全。通过安全监控、安全加固等运维手段，从事前、事中、事后三个方面进行安全运行维护，实现持续性按需防御的安全需求。

（3）通过合规性建设，提升XX云平台安全防护能力，保障系统信息安全，同时满足国家等级保护的合规性要求，为信息化工作的推进保驾护航。

1.3 建设范围

本方案的设计范围覆盖XX的新建云平台基础设施服务系统。安全对象包括： ? 云内安全：虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主

机的安全防护；

? 云外安全：虚拟化环境以外的网络接入，核心交换，存储备份环境。

1.4 建设依据

1.4.1 国家相关政策要求

（1）《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）； （2）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003] 27号）；

（3）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）； （4）《信息安全等级保护管理办法》（公通字 [2007]43号）； （5）《信息安全等级保护备案实施细则》（公信安[2007]1360号）； （6）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）；

（7）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）。

1.4.2 等级保护及信息安全相关国家标准

（1）《计算机信息系统安全保护等级划分准则》（GB17859-1999）； （2）《信息安全技术 信息系统安全等级保护实施指南》（GBT 25058-2010）； （3）《信息安全技术 信息系统安全保护等级定级指南》

（GB/T22240-2008）；

（4）《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008）；

（5）《信息安全技术 信息系统等级保护安全设计技术要求》（GB/T 25070-2010）；

（6）《信息安全技术 信息系统安全等级保护测评要求》； （7）《信息安全技术 信息系统安全等级保护测评过程指南》；

（8）《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）； （9）《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）； （10）《信息技术 安全技术 信息安全管理体系要求》（GB/T 22080-2008（idt ISO/IEC 27001:2005））；

（11）《信息技术 安全技术 信息安全管理实用准则》（GB/T 22081-2008（idt ISO/IEC 27002:2005））；

（12）《信息安全技术 信息系统通用安全技术要求》（GB/T 20271-2006）及相关的一系列具体技术标准。

2 云安全等保风险分析

由于本系统是新建设系统，并且尚未部署应用。机房环境目前已经非常完备，具备很好的物理安全措施。

因此当前最主要的工作是依据等级保护基本要求，着重进行网络层、主机层、数据层等方面的等级保护安全技术建设工作。

此外，天融信具有等级保护的专家团队，深入了解国家等级保护相关政策，

熟悉信息系统规划和整改工作的关键点和流程，将通过等级保护差距分析、文档审核、现场访谈、现场测试等方式，发掘目前云平台系统与等保技术和管理要求的不符合项。并针对不符合项，进行逐条分析，确认建设方案。

在云架构下传统的保护模式如何建立层次型的防护策略，如何保护共享虚拟化环境下的云平台建设中需重点考虑的环节；健康云和智慧云将实现基于云的数据存储和集中管理，必须采用有效措施防止外部入侵和内部用户滥用权限；在信息安全保障体系实现时仍需满足国家信息安全等级保护政策要求，同时需要解决信息安全等级保护政策在云计算技术体系下如何落地的重要课题。

健康云和智慧云计算平台引入了虚拟化技术，实现数据资源、服务资源、平台资源的云共享，计算、网络、存储等三类资源是云计算平台依赖重要的系统资源，平台的可用性（Availability）、可靠性（Reliability）、数据安全性、运维管理能力是安全建设的重要指标，传统的密码技术、边界防护技术、入侵检测技术、审计技术等在云计算环境下仍然需要，并需要针对云计算给信息安全带来的新问题，重点解决，虚拟化安全漏洞，以及基于云环境下的安全监控、用户隔离、行为审计、不同角色的访问控制、安全策略、安全管理和日志审计等技术难点，这就更加需要借助内外网等级保护的建设构建满足健康云、智慧云平台业务需要的安全支撑体系，提高信息化环境的安全性，并通过运维、安全保障等基础资源的统一建设，有效消除安全保障中的“短板效应”，增强整个信息化环境的安全性。

2.1 合规性风险

XX云平台的安全建设需满足等级保护三级基本要求的标准，即需要建设安全技术、管理、运维体系，达到可信、可控、可管的目标。但是目前在云计算环境下的等级保护标准尚未出台，可能会面临信息系统可信、可控、可管的巨大挑战，如下图：

此外，在今后大量XX自有应用以及通过SaaS方式，纵向引入各下属单位应用。为了满足各类不同应用的合规性需求，需要在安全技术、运维、管理等方面进行更加灵活、高可用性的冗余建设。

2.2 系统建设风险

虚拟化平台架构，品牌的选择是一个很慎重的问题。其架构依据不同品牌，导致接口开放程度不同，运行机制不同。而与虚拟化平台相关的如：信息系统应用架构、安全架构、数据存储架构等，都与虚拟化平台息息相关，也是后续应用迁入工作的基础。此外，在后期迁入应用，建设过程中的质量监控，建设计划是否合理可靠等问题，均有可能造成风险。以下为具体的风险：

2.2.1 应用迁入阻力风险

XX的云平台规划愿景包括：应用数据大集中，管理大集中，所以要求今后

非云环境的各类应用逐步的迁移入虚拟化环境，各应用的计算环境也需要调整入虚拟化环境。由此可能会引发一些兼容性风险问题，带来迁入阻力的风险。

2.2.2 虚拟化平台品牌选择风险

因现有虚拟化平台已经采购完成，是VMware的vSphere虚拟化平台，因其对国内其他IT平台，尤其是对国内安全厂商的开放性严重不足，导致许多安全机制无法兼顾到云平台内部。

因此造成了安全监控、安全管理、安全防护机制在云平台内外出现断档的现象，使现有的自动化安全管理、网络管理、安全防护等措施无法有效覆盖虚拟化环境。

2.2.3 建设质量计量、监督风险

因为本次XX云平台的建设打算采用市场化建设的方式进行，但是现有云计算平台是否符合建设要求，是否符合安全需求，如何进行质量的计量，如何进行评审监督，都是亟待解决的问题。

2.2.4 安全规划风险

在云平台的规划过程中，应同时规划安全保障体系的；保证在建设过程中，同步实施计算环境和安全保障建设。如出现信息安全建设延后，可能带来保障体系的脆弱性，放大各其他基础设施的脆弱性，导致各类安全风险的滋生。

2.2.5 建设计划风险

云平台的建设因其复杂性，导致系统投入使用前，需要进行完善详实的规划、设计和实施。需协调好各相关部门，以及第三方合作厂商，群策群力的建设云平台，而建设计划是需要先行一步制定好的，从而可以指导规范整个项目的生命周期。

2.3 安全技术风险

基于虚拟化技术的云平台带来了许多优势，如计算资源按需分配，计算资源利用效率最大化等等。但是，在引入优势的同时，也会带来许多新的安全风险。因此对于XX云平台的信息安全风险分析也应根据实际情况作出调整，考虑虚拟化平台、虚拟化网络、虚拟化主机的安全风险。

同时，为了满足等级保护的合规性要求，需要结合等级保护三级的基本要求中关于安全技术体系的五个层面的安全需求，即：物理安全、网络安全、主机安全、应用安全及数据安全。

虽然目前阶段，云平台尚未引入有效应用和数据，但是在安全规划中需要为未来出现的情况进行先期预测，将其可能引入的安全风险进行考虑。

因此，在经过总结后，可得出八个方面的安全风险。

2.3.1 物理安全风险

因目前物理机房的基础设施已完善，在实地考察后，发现XX现有机房已满足等级保护三级合规性要求，物理安全风险已经得到有效控制。

2.3.2 网络安全风险

本节主要讨论非虚拟化环境中的传统网络安全风险。 ? 网络可用性风险

有多种因素会对网络可用性造成负面影响，主要集中于链路流量负载不当，流量分配不当，以及拒绝服务攻击、蠕虫类病毒等威胁。此外，对网络内部流量和协议的审计也非常关键，运维人员需要了解这些信息以协调网络资源，充分保障网络的可用性，进一步保障应用业务的可用性。

? 网络边界完整性风险

网络边界包含云平台边界、内部各安全域的边界，租户边界（主机/虚拟主机/业务系统），互联网接入边界。在此讨论非虚拟化环境下的网络边界完整性风险。

云平台网络边界、互联网接入边界、内部各安全域网络边界以及物理主机的

网络边界可能会因缺乏边界访问控制管理，访问控制策略不当，身份鉴别失效，非法内联，非法外联等因素而被突破，导致网络边界完整性失去保护，进一步可能会影响信息系统的保密性和可用性。

? 安全通信风险

第三方运维人员，采用远程终端访问云中的各类应用。如果不对应用数据的远程通信数据进行加密，则通信信息就有被窃听、篡改、泄露的风险，破坏通信信息的完整性和保密性。

? 入侵防护风险

网络入侵可能来自各边界的外部或内部。如果缺乏行之有效的审计手段和防护手段，则信息安全无从谈起。为避免信息安全保障体系成为了聋子、瞎子，需要审计手段发现入侵威胁，需要防护手段阻断威胁。

? 恶意代码风险

当网络边界被突破后，信息系统会暴露在危险的环境下，最为突出的风险就是恶意代码的风险，可能会造成系统保密性和可用性的损失。包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统随时会面临各类恶意代码攻击的风险，尤其是APT攻击，即使系统具备较为完善的防御体系，也很难防范此类攻击。

2.3.3 主机安全风险

在虚拟化环境下，主机安全也应对物理服务器主机和虚拟化主机进行区别对待，存在的安全风险问题有所不同。

本节只讨论物理服务器和远程接入应用的操作终端的安全风险。 ? 应用操作终端风险

云平台搭建后，系统资源统一放在云端，而用户是通过终端远程接入云中的应用。除了上述的身份鉴别和授权的风险外，终端使用的浏览器自身存在漏洞，甚至终端本身的健康状况不良，都可能会造成云端受到相应的威胁。

? 服务器主机操作系统漏洞风险

服务器主机操作系统因自身设计原因，存在固有的漏洞和脆弱性，具有被突破、被潜伏、被利用、被破坏的各类风险。

? 服务器主机平台风险

目前服务器的硬件架构中，采用的CPU、主板、内存等配件的核心技术仍然受制于人，为了业务的性能需求，仍然需要采用国外的技术架构。可能会带来后门入侵的风险。

2.3.4 应用安全风险

? 身份鉴别、授权、审计风险

应用放置在云端，在实现资源共享的同时，会带来信息泄漏的风险。由于网络的不确定性，首要问题就是要确认使用者的身份、确保身份的合法性。由于工作需要，不同部门、不同职责的工作人员应用需求不同，信息使用权限不同，必须要对使用者身份进行统一的认证，统一授权，统一审计。

一旦攻击者获取使用者的身份验证信息，假冒合法用户，用户数据完全暴露在其面前，其他安全措施都将失效，攻击者将可以为所欲为，窃取或修改用户数据。因此，身份假冒是政务云面对的首要安全威胁。

? 应用服务可用性风险

任何形式的应用都存在可用性风险，而一旦可用性风险被威胁利用，进一步引发了安全事件，则会带来应用的不可用，进而导致业务受阻。

缺乏对应用服务的审计也会带来可用性风险，如果通过审计和分析策略在故障或入侵之前可以察觉到异常信息，可能就避免了事故的发生。

而在云计算环境下，因为应用的高度集中和边界模糊，可能一次单台主机的不可用，都会带来多种业务的不可用。因此云计算环境下的应用可用性问题相比传统计算环境下，具备影响范围广，程度深的特点。

? WEB攻击风险

WEB攻击主要指针对WEB服务的各类应用恶意代码攻击，诸如SQL注入攻击、XSS攻击、网页篡改等，通常是由于对HTTP表单的输入信息未做严格审查，或WEB应用在代码设计时存在的脆弱性导致的。

如果不对这类攻击进行专门的防护，很容易造成安全保障体系被突破，以WEB服务作为跳板，进一步威胁内部的应用和数据。

2.3.5 数据安全风险

? 数据保密性和完整性风险

XX云因其业务特点，所处理的数据关乎公众服务，以及为国家提供舆情服务。虽然会有部分应用会对互联网用户提供服务，但只是提供有限的接口，访问有限的，关乎个人的等非敏感数据。但大部分敏感的，不宜公开的政务云数据还会面临来自非法入侵后进行窃取或篡改，进而带来的数据保密性和完整性风险。

? 数据可用性风险

当数据的完整性遭受破坏时，数据可用性也会遭受影响，数据失真，尤其是应用的关键参数失真最为严重。尤其是虚拟化环境下，数据碎片化存储，在整合时出现问题，导致应用服务中断，进而造成应用可用性的风险。所以如何进行容灾，备份，恢复也是一个严峻的问题。

? 数据审计风险

因为在云环境中，用户的数据不再保存在用户本地，因此目前在云计算环境中，多依靠完整性验证的方式使用户确信他们的数据被正确的存储和处理。为了保证数据可恢复性及冗余性，在云计算环境中，通常会采用冗余存储的手段。这就需要特定的审计方法保证多个版本数据的一致性和完整性。

此外，针对数据的使用者信息，也需要通过审计措施来进行记录。 ? 数据安全检测风险

在政务云环境下，数据往往是离散的分布在“云”中不同的位置，用户无法确定自己的数据究竟在哪里，具体是由哪个服务器进行管理。也因此造成当数据出现不可用，破坏，甚至泄露时，很难确定具体的问题点。

? 数据库安全风险

数据库通常作为非结构化数据的索引，通过结构化表的表现形式，为前端应用和后方数据提供桥梁；同时，对于结构化的数据，数据库本身就进行了数据存储。

恶意攻击通常会通过数据库漏洞或恶意代码的方式进行非法提权，从而通过数据库结构化语句窃取、篡改甚至破坏后台存储的数据，威胁到数据的保密性、完整性和可用性。

2.3.6 虚拟化平台安全风险

虚拟化是云计算最重要的技术支持之一，也是云计算的标志之一。然而，虚拟化的结果，却使许多传统的安全防护手段失效。从技术层面上讲，云计算与传统IT环境最大的区别在于其虚拟的计算环境，也正是这一区别导致其安全问题变得异常“棘手”。

? 虚拟化平台自身安全风险

虚拟化平台自身也存在安全漏洞，虚拟主机可能会被作为跳板，通过虚拟化网络攻击虚拟化平台的管理接口；或者由虚拟机通过平台的漏洞直接攻击底层的虚拟化平台，导致基于虚拟化平台的各类业务均出现不可用或信息泄露。

? 安全可信、可控风险

虚拟化平台技术是从国外引进的，目前常见的主流商用虚拟化平台被几个大的国外厂商垄断，且不对外提供关键、核心接口，更不提供源码，导致在其上构建和部署安全措施困难，可控性差。再加上可能的利益驱使和网络战需要，无法判别是否留有控制“后门”，可信度有待商榷。

? 虚拟资源池内恶意竞争风险

处于虚拟资源池内的多虚拟主机会共享统一硬件环境，经常会出现恶意的抢占资源，影响了平台资源的可用性，进而影响虚拟化平台的服务水平。

2.3.7 虚拟化网络安全风险

虚拟化的网络结构，使得传统的分域防护变得难以实现，虚拟化的服务提供模式，使得对使用者身份、权限和行为鉴别、控制与审计变得更加困难。造成虚拟化网络不可见风险、网络边界动态化风险、多租户混用安全风险等。

? 虚拟化网络不可见风险

在云环境中，虚拟化资源会放在同一的资源池中，供各应用调配资源来实现业务的运行。在这种情况下，传统安全防护设备无法深入虚拟化平台内部进行安全防护，难以达到恶意代码的防护，流量监控，协议审计等安全要求。

? 网络边界动态化风险

为了实现虚拟化环境下的动态负载，出现了虚拟机动态漂移技术，导致虚拟

化主机的真实位置也会随之改变，造成边界的安全策略也需要随之转移。若边界隔离、安全防护措施与策略不能跟随虚拟机漂移，会使得边界防护措施和防护策略难以起效，造成安全漏洞。

? 多租户混用安全风险

在XX云平台的规划愿景中，包含对下属机构提供SaaS类服务，必然会引入其他租户的应用。这么多的业务系统有着不同的安全等级和访问控制要求，业务系统自身的安全保障机制也参差不齐。所有业务系统的安全防护策略和需求也是不同的，而安全策略一刀切常常会使整体安全度降低，高安全等级要求的业务系统无法得到应有的安全保障，导致越权访问、数据泄露。

? 网络地址冲突风险

由于用户对虚拟机有完全控制权，所以可以随意修改虚拟机的mac地址，可能造成与其他虚拟机的mac冲突，从而影响虚拟机通信。

? 恶意虚拟机实施攻击风险

虚拟机通信隔离机制不强，恶意虚拟机可能监听其他虚拟机的运行状态，实施Dos攻击，恶意占用资源（cpu,内存，网络带宽等），影响其他VM的运行。

2.3.8 虚拟化主机安全风险

? 虚拟机恶意抢占资源风险

虚拟机完全由最终用户控制，恶意份子和被控制的虚拟机可能恶意抢占网络、存储和运算资源，导致整体云平台资源耗尽，从而影响其他关键业务系统的正常运行扰乱正常政务办公。

? 虚拟机安全审计风险

在云平台构建完成后，将同时运转数量众多的虚拟机。并且，对虚拟机的操作人员各异，安全意识和安全防范措施也参差不齐。缺乏安全审计会导致某些虚拟机感染病毒后进行非法操作，甚至可能利用hypervisor的已有漏洞，获得更高权限，从而实施各种攻击。

? 虚拟机镜像安全风险

比起物理主机，虚拟机镜像是以文件形式存在，因此，容易被复制和修改，同时，不同安全级别的版本镜像可能被替换。虚拟机镜像文件如缺乏控制措施，

可能存在完整性修改，镜像回滚失败等风险。

2.3.1 安全管理风险

当云平台系统进入上线运行阶段后，相关安全管理人员在管理过程中可能会遭遇多种问题，引发安全管理风险。

在云计算环境下，应用系统和硬件服务器不再是一一绑定的关系，安全管理职责发生了变化，失去了对基础设施和应用的绝对管理权和控制权。另外，政务云系统的管理层面发生了变化，XX的云环境运维部门负责管理基础设施，而应用系统因为租户众多，使得应用系统的维护者众多。也因此管理职责复杂化，需要明晰职权。在多租户迁入应用和数据的情况下，区别于传统的私有云，管理人员的队伍也发生了变化，需要多个部门进行人员的协调。因为人员是由多个部门组成，也因此要求安全管理制度，应急响应的策略和制度依据实际情况作出调整。

2.3.2 云环境下的特有安全管理风险

在云环境下，“资源池”管理技术主要实现对物理资源、虚拟资源的统一管理，并根据用户需求实现虚拟资源（虚拟机、虚拟存储空间等）的自动化生成、分配、回收和迁移，用以支持用户对资源的弹性需求。

这突破了传统的安全区域，使得传统基于物理安全边界的防护机制不能有效地发挥作用，削弱了云平台上各租户对重要信息的管理能力。另外，在传统网络环境中，网络中的各类资产通常由不同的管理员进行管理。但在虚拟化环境中，往往都由同一管理员负责，可能会出现管理员权限过于集中的风险。对管理员的操作审计和行为规范都提出了很高的要求。

2.3.3 安全组织建设风险

要应对云平台进入运行阶段的各类问题，首先对进行安全管理运维的组织保障能力提出了挑战。

没有依据实际情况建设的安全组织，无法应对云平台复杂环境下的安全管理要求，无法顺利完成安全管理工作，无法保障各类云业务的顺利进行。而且鉴于本次云平台建设的实际情况：即迁入多租户的大量应用，所以在进行安全管理时，

如何划分管理权限，明晰职责，也成为了需要解决的问题。

因此，需求合理的、务实的、专业的多类安全队伍来应对挑战，保障云平台业务顺利通畅的进行。

2.3.4 人员风险

再安全的网络设备和安全管理系统也离不开人的操作和管理，再好的安全策略也最终要靠人来实现，因此人员也是整个网络安全中的重要一环。需求具备完备的信息安全意识，专业的信息安全素养，职业化的信息安全态度人才，来管理和维护政务云系统，保障业务。

2.3.5 安全策略风险

在应对云平台未来可能遇到的信息安全事件时，除了具备组织、人员外，还需要制定适合云平台系统复杂环境的安全制度和安全策略，让组织和人员可以有效的，合规的完成信息安全事件相关的各类工作，以保证信息安全管理可以高效，高质量的进行。

2.3.6 安全审计风险

在云平台投入使用后，因业务系统和底层架构较为复杂，需要进行全方位的监控审计，以便及时发现各类可能和信息安全相关、业务状态相关的信息，并及时作出管理策略的响应和调整。

而具体由谁来监控审计，审计结果是否有效而客观，是否可以及时传达至相关责任人，这些问题都需要妥善解决，才能够实现全方位，及时，有效的审计。

2.4 安全运维风险

因为XX的采购方式是通过市场化建设，提供基础设施平台，平台建设完成后，将引入各下属机构的应用系统。所以在云平台投入使用后，运维人员、审计监控以及应急响应等都发生了职责、权限、流程的变化，引入了新型的，在云环境下特有的新型风险。

此外，还包括一些传统的安全运维风险，例如：环境与资产，操作与运维，业务连续性，监督和检查，第三方安全服务等风险。

2.4.1 云环境下的特有运维风险

? 运维职权不明风险

在云平台投入使用后，基础设施由XX进行运维，而基于基础设施的各类应用由各租户的相关人员进行运维。但是当发生事故的时候，无法在第一时间确定事故的波及方；处理事故时，无法分配具体任务；事故追责时，无法确定到底由谁来负责。尤其是在云环境中，资源池内如果发生了安全事故，资源边界更加模糊。因此确定运维职责非常重要。

? 运维流程不明风险

因为运维参与者众多，属于不同的参与方，也导致在进行运维过程中，很多流程要涉及到不同参与方的多个部门。因此确定一个统一的，合理的安全运维制度是保障运维工作顺利进行的必要条件。

? 虚拟资源运维审计监控风险

在安全技术上，传统的运维审计手段缺乏对虚拟机的运维审计能力。流量不可视也带来了协议无法审计，虚拟机动态迁移带来审计策略中断等问题。

? 突发事件风险

再完备的安全保障体系，也无法阻止突然性事件的发生，这种风险也是信息系统固有的属性，无法避免。尤其是在云环境下，应急响应变得更为复杂，涉及范围广，恢复难度大。也因此需求在云平台系统运行中，有可靠的应急响应队伍和机制，保障快速、妥善的应对各类突发性问题。

2.4.2 环境与资产风险

信息系统依托于机房与周边环境，而业务系统则直接依托于基础设施。在云平台系统投入使用后，面临的最直接的风险就来自于环境和资产。因为云平台由XX的运维团队进行运行维护，为了保证政务云系统的正常运行，所以要求数据中心运维团队的运维管理能力能够具备较高的水平。

2.4.3 操作与运维风险

人员是很难进行控制的，而对业务和基础设施进行操作和运维的人员，无论是通过现场还是远程进行操作，都可能因为误操作，为信息系统带来损失。如何规范人员的操作、运维流程，如何减少误操作的可能性，如何提高操作者的职业素养，这些都是需要解决的问题。

2.4.4 业务连续性风险

信息系统的最终使命是运行业务，但是业务的连续性是否能够保证，关乎信息系统的多个层面，包括物理、网络、主机、应用以及数据等。在云平台环境下，还包括虚拟化平台，以及运行在其上的虚拟主机、虚拟网络。其中任何一环如果出现问题，都有可能影响业务的连续性。所以如何保护业务的连续性也给运维团队提出了难题。

2.4.5 监督和检查风险

智慧云系统是多组织，多系统，多业务，多参与者的云计算平台，为了保障如此复杂的系统，需要许多安全技术、管理和运维的过程。这些过程是否符合法律、符合标准，在发生事故时，如何督促管理者有效跟踪事故，并快速解除故障。这些都需要进行监督和检查管理，否则容易使参与者承担法律风险。

2.4.6 第三方服务风险

为保障云平台的正常运行和不断完善，需要进行很多运行维护工作，诸如：业务迁入，差距分析，安全加固，渗透测试等。但是这些工作都过于专业化，仍需要专业的第三方安全机构提供相应的服务，才可以有效的进行。

因此，如何选择第三方服务机构，如何监督评价第三方的服务质量，就需要妥善的第三方服务管理。

3 解决方案总体设计

3.1 设计原则

XX云平台安全等级保护的建设需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则：

统一规划、分步实施原则 在信息安全等级保护的建设过程中，将首先从一个完整的网络系统体系结构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用信息系统工程的观点和方法论进行统一的、整体性的设计，将有限的资源集中解决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息网络系统的安全强化。从解决主要的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。

故后文中的安全解决方案将进行着眼未来的安全设计，并强调分步走的安全战略思想，着重描述本期应部署的安全措施，并以发展的眼光阐述今后应部署的安全措施。

标准性和规范化原则 信息安全等级保护建设应当严格遵循国家和行业有关法律法规和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。

重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

适度安全原则 任何信息系统都不能做到绝对的安全，在安全规划过程中，要在安全需求、

安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从物理、网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合考虑业务和成本的因素，针对信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

技术管理并重原则 信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。

先进形和成熟性原则 所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。本方案设计采用国际先进实用的安全技术和国产优秀安全产品，选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。

动态调整原则 信息安全问题不是静态的。信息系统安全保障体系的设计和建设，必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性，必须能够及时地、不断地改进和完善系统的安全保障措施。

经济性原则 项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。

3.2 安全保障体系构成

XX信息安全等级保护安全方案的设计思想是以等级保护的“一个中心、三重防护”为核心指导思想，构建集防护、检测、响应、恢复于一体的全面的安全

保障体系。具体体现为：以全面贯彻落实等级保护制度为核心，打造科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，从安全技术、安全管理、安全运维三个角度构建安全防护体系，切实保障信息安全。

云环境下的信息安全保障体系模型如下图所示：

? 一个指导思想： 等级保护思想

等级保护是系统设计的核心指导思想，整个方案的技术及管理设计都是围绕符合等级保护的设计思想和要求展开实现的。

? 三个防御维度：技术、管理、运维全方位的纵深防御 （1）安全技术维度：安全技术是基础防御的具体实现 （2）安全管理维度：安全管理是总体的策略方针指导 （3）安全运行维度：安全运行体系是支撑和保障

3.2.1 安全技术体系

参考GB/T25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》（以下简称《设计技术要求》），安全技术体系设计内容主要涵盖到 “一个中心、三重防护”。即安全管理中心、计算环境安全、区域边界安全、通信网络安

全。

图 3-3 安全技术体系构成

（1）安全管理中心：构建先进高效的安全管理中心，实现针对系统、产品、设备、信息安全事件、操作流程等的统一管理；

（2）计算环境安全：为XX云平台打造一个可信、可靠、安全的计算环境。从系统应用级的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、客体安全重用、系统可执行程序保护等方面，全面提升XX在系统及应用层面的安全；

（3）区域边界安全：从加强网络边界的访问控制粒度、网络边界行为审计以及保护网络边界完整等方面，提升网络边界的可控性和可审计性；

（4）通信网络安全：从保护网络间的数据传输安全、网络行为的安全审计等方面保障网络通信安全。

XX安全技术体系建设的基本思路是：以保护信息系统为核心，严格参考等级保护的思路和标准，从多个层面进行建设，满足XX云平台在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体系将充分符

合国家标准，能够为XX业务的开展提供有力保障。

安全技术体系建设的要点包括： 1、构建分域的控制体系

XX信息安全保障体系，在总体架构上将按照分域保护思路进行，本方案参考IATF信息安全技术框架，将XX云平台从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计，并通过统一的基础支撑平台（这里我们将采用安全信息管理平台）来实现对基础安全设施的集中管理，构建分域的控制体系。

接入域交换域存储域安全管理域物理机计算域云平台管理域虚拟化资源池

2、构建纵深的防御体系

XX信息安全保障体系包括技术和管理两个部分，本方案针对XX云平台的通信网络、区域边界、计算环境、虚拟化环境，综合采用身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施，实现XX业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。

3、保证一致的安全强度

XX云平台应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。

因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的防病毒系统、统一的审计系统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。

4、实现集中的安全管理

信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。

3.2.2 安全管理体系

仅有安全技术防护，无严格的安全管理相配合，是难以保障整个系统的稳定安全运行。应该在安全建设、运行、维护、管理都要重视安全管理，严格按制度进行办事，明确责任权力，规范操作，加强人员、设备的管理以及人员的培训，提高安全管理水平，同时加强对紧急事件的应对能力，通过预防措施和恢复控制相结合的方式，使由意外事故所引起的破坏减小至可接受程度。

3.2.3 安全运维体系

由于安全技术和管理的复杂性、专业性和动态性，XX云平台系统安全的规划、设计、建设、运行维护均需要有较为专业的安全服务团队支持。安全运维服务包括系统日常维护、安全加固、应急响应、业务持续性管理、安全审计、安全培训等工作。

3.3 安全技术方案详细设计

天融信在本项目的整改方案设计中，针对XX的三级等级保护整改建设，依据一个中心三重防护的思路展开详细设计。具体设计面向以下的几个方面：

3.3.1 信息安全拓扑设计

3.3.1.1 互联网接入区安全设计

电信ISP联通ISP互联网接入区接入路由器抗DDoS系统A/S负载均衡 A/S防病毒过滤网关 A/S入侵防御系统A/S防火墙（Cisco）A/SDMZ区核心交换区 互联网接入区作为云平台发布门户网站，用户接入，以及将来与各下属单位数据中心通过虚拟专网连接的重要接入区域，是XX的对外唯一通路。担负着重要的边界防护使命。

? 本期方案计划部署如下安全产品：

? 抗DDoS系统：部署两台千兆级别的抗DDoS系统，以A/S模式，透明方

式部署；对入站方向的DDoS攻击流量进行清洗，保护内网直接对外服务的网站。

? 防病毒过滤网关：部署两台千兆级别的防病毒过滤网关，以A/S模式，

透明方式部署；对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗，主要保护内网中直接对外提供服务的网站，邮件系统，以及各办公终端。

? 入侵防御系统：部署两台千兆级别的入侵防御系统，以A/S模式，透明

方式部署；对入站方向的数据包进行包还原，检测攻击行为，攻击特征，

若发现攻击行为则进行阻断。

? 接入防火墙：利用现有Cisco ASA5555防火墙，以A/S模式，路由方式

部署；负责入站方向IP包的访问控制，对DMZ区的WEB网站进行端口访问控制；另外开启VPN功能，对接下属机构数据中心，进行虚拟专网连接，同时第三方运维人员可借由VPN远程登入。此处接入防火墙作为纵深防御体系的第一道屏障，与内网各重要边界防火墙异构。

3.3.1.2 DMZ区安全设计

DMZ区WEB实体服务器WEB发布服务器网页防篡改系统WEB应用防火墙A/S互联网接入区 DMZ区承载XX的对外服务网站，担负着XX门户的重要使命。本区域中的安全设计主要针对WEB网站防护，网页防篡改等。 ? 本期方案计划部署如下安全产品：

? WEB应用防火墙：部署两台千兆级别的WEB应用防火墙，以A/S模式，

反向代理方式部署；对WEB访问流量进行针对性防护。

? 网页防篡改系统：部署一套网页防篡改软件系统（需安装在一台服务器

中），通过文件驱动级监控+触发器的方式，监控所有对WEB实体服务器中网页内容的修改行为，只有来自WEB发布服务器的修改行为会被放行，其他一切修改行为将被阻断。

3.3.1.3 核心交换区安全设计

网络审计系统 入侵检测系统核心交换区核心交换机A/S 核心交换区主要由两台高性能核心交换机组成，作为整个内网的核心，负责所有内网区域间流量的交换转发。在此区域主要部署审计类安全产品，对网络中的流量进行行为审计和入侵检测。 ? 本期方案计划部署如下安全产品：

? 网络审计系统：部署一台万兆级别的网络审计系统，以旁路方式，对接

两台核心交换机的镜像端口；核心交换机需将其他安全域的流量镜像至网络审计系统，供网络审计系统审计记录；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全态势分析和展示。 ? 入侵检测系统：部署一台万兆级别的入侵检测系统，以旁路方式，对接

两台核心交换机的镜像端口；核心交换机需将其它安全域的流量镜像至入侵检测系统，供入侵检测系统进行入侵行为检测；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全态势分析和展示。

3.3.1.4 测试开发区安全设计

测试开发区V7000/V7000U培训服务器测试开发区边界防火墙汇聚交换机测试服务器开发服务器核心交换区

测试开发区是对自研应用系统和新上线设备进行测试的区域，其中还包含重要的开发文档，对该区域的安全设计主要体现在边界访问控制（需筛选可建立连接的条件）。

? 本期方案计划部署如下安全产品：

? 测试开发区边界防火墙：部署两台千兆级别的防火墙系统，以A/S模式，

透明方式部署；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制。

3.3.1.5 安全管理运维区安全设计

安全管理运维区日志审安全管计系统理平台防病毒系统堡垒机数字证书认证中心安全管理运维区边界防火墙云平台管理系统终端安全管理系统漏洞扫描系统文档安全管理系统核心交换区备份管理服务器AD域控服务器LDAP服务器vCenter服务器vSphereUpdate Manager服务器管理运维终端

安全管理运维区是整个XX内网负责安全管理、安全运维和与之相关的用户管理、云平台管理、备份管理等各个组件的集合区域。是维系云平台正常运转，制定各类安全策略的核心区域。 ? 本期方案计划部署如下安全产品：

? 安全管理运维区边界防火墙：部署两台千兆级别的防火墙系统，以A/S

模式，透明方式部署；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完

成访问控制。

? 日志审计系统：需新购置一台服务器级存储，安装日志审计软件，收集

数据中心内其他各类IT组件的日志，并集中存储；另应提供备份存储空间，通过备份服务器将日志进行备份。

? 安全管理平台：需提供一台服务器，安装安全管理平台软件系统（内置

数据库），收集所有审计类安全设备的事件信息，并结合日志审计系统的日志信息，作统一事件关联分析，以及对内网各类资产进行风险评估。最终以图形化界面，展示全网安全态势。

? 堡垒机：部署一台可管理300台设备/系统的堡垒主机，将所有IT组件

的管理运维端口，通过策略路由的方式，交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理运维授权，并对运维操作进行审计记录（录屏和键盘操作记录）。

? 防病毒系统：需提供两台服务器，分别安装虚拟机防病毒系统，和其他

物理主机的防病毒系统；对全网主机（虚拟主机和非虚拟主机）进行统一的防病毒任务部署，防病毒进程管理，防病毒软件升级管理，以及中毒主机隔离等工作。

? 终端安全管理系统：需提供一台服务器，安装终端安全管理系统，对办

公终端进行安全监控和管理，实现网络准入，应用发布，补丁管理，移动介质管理，敏感文档防泄漏审计等功能。

? 漏洞扫描系统：部署一台可单次任务扫描一个B类网段的漏洞扫描系统，

对全网IT组件（主机操作系统、网络设备、安全设备、数据库、中间件、应用服务等）进行脆弱性发掘，并生成检查报告。结果可通过报表展示给用户，并可发送至安全管理平台，从而进行综合安全态势分析和展示。

? vShield组件：应在vCenter服务器中安装vShiled安全组件，从而实

现虚拟机防火墙的功能，可进行VM级别的访问控制和流量控制，其策略可随VM动态迁移。

? vSphere Update Manager服务器：应单独提供一台服务器（非虚拟机），

安装vSphere Update Manager组件，对vShpere环境进行补丁管理。

? AD域控及LDAP服务器：应部署AD域控服务器，及LDAP服务器。除了

进行全网设备和个人的域登录管理外，还可结合众多的安全管理设备（如终端安全管理系统，将来的CA数字证书中心），为认证设备提供统一的用户管理。

? 未来建议部署的安全产品包括：

? CA数字证书认证中心：在未来多应用迁入后，对应用参与者（包括个人

终端、其他相关联主机）应进行强访问控制、身份鉴别以及抗抵赖等保护措施，尤其是符合等级保护的双因素认证需要基于PKI/CA的认证基础设施。需要注意：必须部署CA中心，并完成应用认证流程的梳理，使所有应用参与者均通过双因素认证后才能进入应用环境后，才可满足等级保护要求，在通过测评前，一定要将PKI/CA基础设施建立起来。 ? 文档安全管理系统：在应用数据迁入云平台后，会有专用的NAS类存储，

为业务环境提供非结构化数据（主要为文档、文件）的存储和共享。需要使用文档安全管理系统对敏感文档下载后进行加密，并规定合法及非法文件传输出口，合法出口文档为明文，非法出口文档为密文。

3.3.1.6 办公终端区安全设计

办公终端区办公终端区边界防火墙所有办公终端需统一部署防病毒软件、终端安全管理客户端核心交换区 办公终端区是所有办公终端的集合区域，是各类业务生产的起点。因其涉及众多终端使用者的不同安全素养，也因终端级操作系统的较多脆弱性，使个人终端成为了众多安全事件的起点。因此需要进行较为周全的安全防护。 ? 本期方案计划部署如下安全产品：

? 办公终端区边界防火墙：部署一台万兆级别的防火墙系统作为本区域的

边界防火墙；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功能组件，使其可应

对复杂的个人终端流量。

? 办公终端需安装的安全组件：应统一安装防病毒客户端，终端安全系统

客户端（批量下载安装），使终端可接收相应安全防护系统的管理。

3.3.1.7 云平台应用区安全设计

云平台应用区承载着数据中心的核心业务，也是本次建设方案的核心保障区域。云平台应用区主要通过虚拟化技术实现应用的承载，使用VMware vSphere平台进行虚拟化环境的建立和管理。内置公共教育云、XX云及科研云，按其提供业务的不同进行区分。

建议每个云组成一个Cluster，各自包含多台ESXi主机，这些ESXi主机上的虚拟机共享Cluster内部的计算资源。VM可在Cluster内部的多台ESXi主机上进行迁移，通过DRS进行计算资源负载均衡，通过vSphere HA进行高可用性管理。

Cluster之间如需进行通信，则应将同心流量牵引至云平台的边界防火墙，进而通过数据安全交换区进行通信信息安全过滤，并完成交换（后文将详述）。

本区域内的安全设计，主要包括边界安全，安全审计，虚拟化安全，数据备份等四个部分。

? 本期方案计划部署如下安全产品：

? 云平台应用区边界防火墙：部署两台万兆级别的防火墙系统作为本区域

的边界防火墙；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功能组件，使其可应对复杂的应用流量。

? 安全审计类产品：部署在核心交换区的网络审计系统和入侵检测系统，

将同时分别提供两个千兆审计接口，连接本区域的汇聚交换机镜像端口，着重审计云平台边界处的流量信息。当多租户系统迁入后，将把租户间流量牵引至本区域汇聚交换机，进而镜像至审计设备进行审计记录。 ? 虚拟化安全：vSphere虚拟化平台，及其相关网络、VM组件的安全主要

靠vSphere提供的安全组件完成。包括vShield（提供VM防火墙、防病毒功能），DRS（计算资源负载均衡），vMotion（虚拟机动态迁移），vShpere HA（VM高可用性管理），Snapshot（VM快照备份管理）。

? 备份服务器：接收安全管理运维区的备份管理服务器管理，并根据其策

略执行具体的备份操作。

3.3.1.8 数据安全交换区安全设计（加强型建议规划）

数据安全交换区安全隔离与信息交换系统汇聚交换机云平台边界防火墙A/S数据同步管理服务器云平台应用区 数据安全交换区主要负责多个云之间的数据安全隔离和数据交换，以及下属机构远程信息交互的工作。因云平台应用区中的公共教育云、XX云以及科研云中，只应允许有限的信息交互（一般为数据库同步，部分电子XX信息同步）。尤其对于科研云，其中的应用数据对于XX至关重要，不容轻易泄露或篡改；其中的数据应以数据库同步，电子XX同步等方式定期更新至XX云和公共教育云中；而且执行更新操作的起点应通过专有的应用进行，在本方案中，采用云平台应用区的数据同步管理服务器进行。

因此，设立专有的数据安全交换区。此区域仅作为安全加强型的建议规划，可以考虑在应用及数据迁入后着手进行。

? 安全隔离与信息交换系统：该系统由三部分构成：前置服务器、双向网闸、

后置服务器。

? 前置服务器：数据导入前，对数据的传输源进行身份鉴别，确认传输源

发出的请求可信（可通过同步服务器IP/MAC进行确认）；认证成功后，对数据进行格式检查，内容安全过滤（IPS、防病毒等），为数据通过双

向网闸做好准备。

? 双向网闸：网闸也是由三部分组成，一般为“2+1”结构。如下图：

安全隔离与信息交换系统外部网络外网处理单元隔离安全交换单元内网处理单元内部网络

双向网闸的网络两端在无数据传输时保持网络断路，隔绝了一切网络传输协议。当数据需要传输时，则采用摆渡的方式，将数据通过内部私有传输协议逐步导入到对端，在过程中，网络仍然保持断路。极高的保护了内部重要网络的机密性。

? 后置服务器：接收网闸传输过来的数据，并进行完整性校验；若完整性

受损，则回传重传信号；数据校验合格后，进行日志记录，并发送至内网。

3.3.1.9 数据存储区安全设计

数据存储区IP-SAN存储数据库加密系统数据库服务器数据库防火墙IP交换机云平台应用区FC-SAN存储磁带库SAN交换机 本区域承载所有应用系统的业务数据，是IT业务使命的根基所在。用户已

经采购了IBM企业级存储及磁带库，具备极高的数据完整性，可用性保护。在此进行的安全设计主要针对数据机密性保护。 ? 本期方案计划部署如下安全产品：

? 数据库防火墙：部署在Oracle数据库之前，串联保护4台数据库服务

器的多个数据库实例。提供数据库虚拟补丁库，针对应用侧和运维侧的不同数据库访问模式，进行具体的SQL语句控制策略；同时针对SQL注入攻击，进行SQL语句建模式威胁判别，并进行具体的防护；针对高危SQL语句，如：No Where的批量更新、批量删除语句，可进行策略性阻断。

? 数据库加密系统：需提供两台服务器，安装数据库加密与加固系统，形

成主备模式。需在对应保护的4台Oracle服务器中安装加解密管理控件（部署配置后自动安装），然后配置加密策略，对重要数据库表中的机密数据列进行加密，支持一列一密。应重点保护存放个人信息的数据库表（如身份证号等），实现重点数据列的加密保护。即使出现拖库，盗库等行为，也无法获取明文数据，明文数据的获取仅限授权应用使用。

3.3.2 安全计算环境设计

系统安全保护环境是基于高等级安全操作系统，推行可信计算技术，实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。

高等级安全操作系统由终端操作系统入手，采用安全控制、密码保护和可信计算等安全技术构建操作系统安全内核，针对应用定制安全策略，实施集中式、面向应用的安全管理，达到在终端保证系统环境安全可信，防止病毒、黑客的入侵破坏，以及控制使用者非法操作的目的，并由此全面封堵病毒、黑客和内部恶意用户对系统的攻击，保障整个信息系统的安全。

安全计算环境旨在为XX云平台中的应用服务及其参与者提供安全保障环境。鉴于目前的建设进度，安全计算环境的保障主要面向今后应用迁入后的安全环境

保障，本期能够进行实施的安全措施较少。

3.3.2.1 用户身份鉴别

为了保证网络信息的保密性，完整性，可控性，可用性和抗抵赖性，信息系统需要采用多种安全技术，如身份鉴别、信息加密、信息完整性校验、抗抵赖等。

而对于XX的云平台，用户种类又分为两种：业务用户，管理员用户。对于不同用户的访问行为，将通过不同的机制实现其身份鉴别。

3.3.2.1.1 CA数字证书认证（本期不包含）

针对业务用户访问的身份鉴别的实现主要依靠CA系统的数组证书技术及产品。

CA数字证书系统应作为今后健康云，智慧云各相关业务应用系统身份管理的基础设施，是信息安全基础平台的基础组成部分。应用及系统的身份认证、授权管理以及责任认定等机制都是依赖与CA认证系统平台。

数字证书是基于PKI/CA的认证基础设施，在等级保护三级基本要求中对于应用系统用户鉴别有明确的双因素认证要求：即结合现有应用系统已具备的静态密码账号认证，实现双因素身份验证。达成这种认证方式目前有两种主流方法：

? 应用系统身份鉴别机制改造：即将所有应用系统的登录环节进行必要的

改造，使之适应双因素认证的要求。此外，在应用系统众多的环境下，可以考虑使用4A系统（统一身份认证管理系统），统一登录门户，统一用户账号管理，统一进行用户角色授权管理，统一进行用户登录应用审计；使用户通过一次单点登录的方式，完成对其授权的应用系统的鉴别机制，使其可以访问任何经过授权的应用系统而无需再次填写登录信息； ? 通过身份认证网关：不改变应用系统的登录验证机制，而是在所有应用

系统的前端部署身份认证网关，在网关处完成数字证书认证，经过授权管理，展示用户可访问的系统列表。在登入对应系统后，用户再次完成针对该应用的静态账户认证。

因目前XX云平台尚无应用，因此以PKI/CA为基础设施的身份鉴别机制目前还无法细化至落地的层面，仅在此提出未来应建设的方向。本期方案中暂不考虑

部署PKI/CA基础设施。

3.3.2.1.2 堡垒机

针对管理用户访问的身份鉴别主要由堡垒机实现，通过将各设备、应用系统的管理接口，通过强制策略路由的方式，转发至堡垒主机，从而完成反向代理的部署模式，实现对管理用户的身份鉴别。

目前阶段，可将各类设备（网络设备、安全设备、非虚拟化主机服务器）以及虚拟化平台的vCenter管理接口，对接至堡垒机，由堡垒机完成单点登录、身份鉴别。

3.3.2.2 非结构化数据的保护（本期不包含）

通过文档安全管理系统对每个受控文件作安全标记，表明该文件的保密性级别和完整性级别，以及与完整性相关的签名，文件在整个生存周期中，除非经管理中心重新定级，否则安全标记全程有效。强制访问控制，是根据安全策略来确定该用户能否对指定的受控文件进行操作。比如安全策略规定，高密级用户可以访问同密级和低密级文件；反之，低密级用户则被强制禁止访问高密级文件。当然，管理中心可以根据实际应用环境制定相应的安全策略。

此外，通过文档安全管理系统为每个合法用户自动分配一个私有加密目录——自动文件保密柜。所有进入该目录的文件存储时都被自动加密，合法用户打开该目录下的文件时自动脱密。为了保证私有信息的私密性，任何用户都不能查看和操作其他用户自动文件保密柜内的文件。

目前数据中心云平台业务数据尚未进入，本期方案不包含对文件的强制访问控制管理。

3.3.2.3 结构化数据机密性、完整性、可用性保护

结构化数据主要存储在数据库表中，同时也作为非结构化数据的索引。本期方案通过数据库防火墙来对结构化数据进行机密性、完整性的保护。

数据库防火墙通过代理方式，接管DBMS的认证过程，在与前台应用对接后，可以实现应用实名认证，实名审计；同时加强对运维侧的访问控制，可以与AD

域控结合，进行域登录认证；可以与堡垒机结合，完成代理登录。

通过数据库加密与加固系统，对重要数据库表中的机密数据列进行加密保护，仅限授权应用调用明文的数据，其他盗库行为即使成功，也只能获得密文数据。

另外，通过数据库防火墙的前置数据库补丁库，使数据库不用停机升级，维护业务的可用性，并综合增强数据库的健壮度。

3.3.2.4 虚拟机数据加密

虚拟机镜像无论在静止还是运行状态都有被窃取或篡改脆弱漏洞。对应解决方案是在任何时刻对虚拟机镜像（image）进行加密，但这又会导致性能问题。在安全性要求高或有法规要求的环境下，（加密的）性能成本是值得的。加密必须与管理性措施、审计踪迹配合以防止运行中虚拟机的快照（Snapshot）“逃到野外”，从而给攻击者获取快照中数据的机会。

vCenter因封闭性较好，已经对VM的文件进行了良好的加密措施。只能通过vCenter平台对虚拟机文件进行明文访问。

3.3.2.5 客体安全重用

客体安全重用指的是操作系统内核对敏感数据进行完全擦除，在不同的用户登录使用时，将对原使用者的信息进行清除，确保数据不被恶意恢复而造成信息泄露。

在vCenter中，已提供了虚拟存储数据清除手段，即：采用Thick Provision的VMFS，在进行删除时，可确保能够在物理存储设备级别上被有效清除。例如镜像文件、快照文件在迁移或删除虚拟机后能被完全清除；租户解除使用的存储资源的所有数据在物理存储设备级别上被有效清除。

3.3.2.6 双因素认证（本期不包含）

等级保护中要求三级系统应支持用户标识和用户鉴别，确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用强化管理的口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。

应要求在应用内部系统对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。在系统中部署双因素认证产品，在使用用户名、密码的同时，再采用物理认证因素，两种认证方式同时采用，由于需要系统用户身份的双重认证，双因素认证技术可抵御非法访问，提高认证的可靠性，降低来自内/外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯，同时也为安全事件的跟踪审计提供一定依据。

双因素认证的方式可根据实际情况进行采用，如口令+令牌、口令＋数字证书、口令+生物识别等。分析几种方式的适用性、可行性、易操作性等方面因素，结合XX系统及用户群的实际情况及特点，建议使用基于数字证书的认证方式。

3.3.2.7 办公终端安全审计

计算环境的系统审计主要针对系统及应用层面的主机审计。即对上机用户的行为进行监督管理，将使用过程中重要信息记录并发送到审计中心，审计员能掌握全面情况，便于发现“可疑”情况，及时追查安全事故责任。

通过网络行为审计系统实时对网络中服务器和用户终端的访问与操作进行监测审计，可以掌握每个主机的资源使用情况，监测主机接入的合法性，记录对文件系统的访问操作行为，记录对各外设的操作，监测加载的程序和进程，监控对外部网络的连接和访问。

另外，通过数据库防火墙针对数据库进行保护和审计，通过终端安全管理系统对终端用户操作行为进行审计。

3.3.2.8 虚拟化计算环境中的安全审计

应设置vCenter的日志外发至日志审计系统，并通过安全管理平台对其日志进行分析和评估。

云平台计算环境内的计算组件（ESXi主机、VM、虚拟化网络等）主要审计手段则通过IBM云平台管理系统进行审计。

应保证日志保存期至少6个月。

3.3.2.9 运维审计

建议在安全管理运维区部署运维审计系统（通称堡垒主机），对核心IT设备的管理员用户提供集中登录认证、权限控制和操作监控。被管理资源包括服务器、数据库、交换机、路由器、防火墙及其他安全设备等。

通过部署运维审计系统（内控堡垒主机），可以实现以下功能： ? 单点登录

内控堡垒主机提供了基于 B/S 的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于 B/S的应用系统。

? 账户管理

集中帐号管理包含对所有服务器、网络设备帐号的集中管理，是集中授权、认证和审计的基础。集中帐号管理可以实现将帐号与具体的自然人相关联，从而实现针对自然人的行为审计。

? 身份认证

内控堡垒主机为用户提供统一的认证界面。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，包括静态密码、双因素、一次性口令和生物特征等多种认证方式，而且可以方便地与第三方认证服务对接，提高认证的安全性和可靠性，同时又避免了直接在业务服务器上安装认证代理软件所带来的额外开销。集中身份认证建议采用基于静态密码+数字证书的双因素认证方式。

? 资源授权

内控堡垒主机提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S对服务器主机、网络设备的访问进行审计。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。

? 访问控制

内控堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安

全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

? 操作审计

操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。为了对字符终端、图形终端操作行为进行审计和监控，内控堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议，Linux/Unix平台的X Window图形终端访问协议等。

堡垒机的审计数据应提供专有的存储系统，进行集中存储保留，保留期应在6个月以上。

3.3.2.10 恶意代码检测

针对应用系统的恶意代码检测防护，主要是针对进行服务器终端的病毒防护以及WEB应用木马程序的检测。

防护各类常见的WEB应用攻击，如蠕虫、跨站脚本、网页盗链、以及WEB应用挂马等。通过定期的安全防护可以检测WEB应用挂马。具体防护操作包括：

? 及时下载并安装补丁程序 ? 使用Firefox或Opera ? 健壮的系统口令 ? 关闭不必要的系统服务 ? 关闭自动运行功能

服务器防病毒系统必须重视集中的管理、监控和升级，提高管理效率。同时，因为服务器往往运行重要的应用服务，因此，必须注意防病毒软件对服务器性能、功能以及稳定性的影响。同样，它必须能够提供对集中管理平台的接口，实现整体监控。建立防病毒系统的集中管理平台。通过管理控制台，实现对全网络防病毒系统的安装、配置、管理和监控。加强防病毒系统的管理效果，节约人力资源，

提高管理效率。

在XX云环境中，对于服务器防病毒系统，应分为两个部分：

1) 虚拟化主机防病毒系统：可通过采购vShield防护组件，添加VM的主

机防病毒功能，或采购趋势科技，卡巴斯基等得到VMware开放VM接口的防病毒厂商的专有适应vSphere环境的主机防病毒系统；

2) 物理主机防病毒系统：对于非虚拟化环境的物理主机（包括服务器主机，

终端主机），则采用传统的网络防病毒系统进行恶意代码检测及防护。

3.3.2.11 虚拟化主机安全

针对vSphere虚拟化环境，主要通过VMware自有的安全机制进行防护。 a）通过vCenter提供实时的虚拟机监控机制，通过带内或带外的技术手段对虚拟机的运行状态、资源占用、迁移等信息进行监控。

b）通过vCenter制定详细的管理权限设定，确保虚拟机的镜像安全，并保证：

1）提供虚拟机镜像文件完整性校验功能，防止虚拟机镜像被恶意，越权篡改。

2）采取有关措施保证逻辑卷同一时刻只能被一个虚拟机挂载。 c）实现虚拟化平台的资源隔离，并保证：

1）应通过vCenter的DRS自动方式（需要开启vShpere HA），对每个虚拟机都能获得相对独立的物理资源，并能屏蔽虚拟资源故障，确保某个虚拟机崩溃后不影响虚拟机监控器（Hypervisor）及其他虚拟机。

2）虚拟机只能访问分配给该虚拟机的物理磁盘。 3）不同虚拟机之间的虚拟CPU（vCPU）指令实现隔离。 4）不同虚拟机之间实现内存隔离。

5）虚拟机的内存被释放或再分配给其他虚拟机前得到完全释放。 6）保证虚拟机之间采用较为温和的方式（迁移阈值 Migration Threshold可设置为中等级别）进行动态的负载均衡，避免出现资源恶意抢占。

d）提供资源隔离失败后的告警措施。

e）支持虚拟机安全隔离，在虚拟机监控器（Hypervisor）层提供虚拟机与

物理机之间的安全隔离措施，可控制虚拟机之间以及虚拟机和物理机之间所有的数据通信。

f）提供虚拟化平台操作管理员权限分离机制，设置网络管理、账户管理、系统管理等不同的管理员账户。

g）将虚拟化平台的各类操作和事件作为可审计事件，进行记录和追溯。 h）确保虚拟镜像模板的配置正确性，并明确模板的谱系来源。

3.3.2.12 虚拟化平台安全

vShpere虚拟化平台需被锁定并参照最佳实践进行加固，具体请参照VMware vSphere 最佳实践建议（vShpere Optimized）进行虚拟化平台的加固。可在最大程度上确保虚拟化平台脆弱性得到抑制。

3.3.3 安全区域边界设计

安全区域边界方面的安全设计主要从区域边界的访问控制、边界协议过滤、区域边界完整以及安全审计等方面设计。

在本期方案中是着重进行设计的方面。

3.3.3.1 租户边界访问控制

由于多租户共享机制、资源的集中共享可以满足多个客户不同时间段对资源的峰值要求，避免按峰值需求设计容量和性能而造成的资源浪费。因此势必造成不同租户使用同一资源的现象，为了避免不同租户间的资源互访，提出一种灵活的访问控制策略,它一方面保证云端不同企业之间数据的强隔离性，使某租户无法越权访问其他租户数据。另一方面保证云存储内部数据的适度隔离，即可以根据租户自身的安全需求灵活定制内部策略。

不同租户之间，应通过VLAN划分进行业务隔离，并强调每一类VLAN业务的VM主机防火墙配属严密的访问控制策略，按照最小授权的原则进行访问控制策略的制定。

此外，不同租户系统之间的访问流，应经由云平台的物理汇聚交换机进行转发，而不能仅通过vSwitch级别进行转发，以便安全审计类设备可以对这些通信

进行安全监控、访问控制。因为VMware不开发开发接口，导致国内安全厂商对vSwitch流量不可视，只能通过策略路由将租户间流量引导至汇聚交换机，才可实现流量可视，并进行审计。

3.3.3.2 区域边界访问控制

网络区域边界通常是整个网络系统中较为容易受到攻击的位置，很多来自外部的攻击都是通过边界的薄弱环节攻击到网络内部的。而安全域的边界也需要做安全防御，以保证安全域内的信息安全以及安全域内与其他安全域间的数据的受控的访问。因此网络及安全域边界需要进行着重的安全防御设计。

内部各个安全域的边界主要通过部署防火墙、网络入侵检测产品、病毒防护网关等设备，配以合理的安全防护策略以及考虑到各个安全产品间的联动互补。

不用业务应用系统在云平台上的业务边界，采用划分不同的VLAN实现，业务边界的隔离。

安全产品的选型除了需要考虑产品自身的功能、性能、价格等因素外，还需要考虑系统的异构性、可管理性等因素。异构性可以提高系统整体的抗攻击能力，防止由于某个产品的脆弱性造成系统整体的安全漏洞；可管理性通过安全管理中心实现系统全网非虚拟化区域设备的集中安全管理。

本方案通过在各个安全域边界部署防火墙系统进行区域边界的访问控制。

3.3.3.3 区域边界安全审计

区域边界的安全审计主要着重针对网络边界的进出访问进行系统审计。如针对非法外联、违规接入、外部恶意嗅探、DDOS攻击等等。

网络边界审计通过对网络进行监测、报警、记录和审计；统计网络各种应用流量和用户IP流量，了解网络带宽和应用的使用，发现存在的问题，提高网络使用效率。通过丰富的审计数据和统计数据，及时发现异常应用，帮助管理者快速分析定位问题对象。

本方案中通过在核心交换机，及云平台汇聚交换机上旁路部署网络审计系统和入侵检测系统，对区域边界进行安全审计。

3.3.3.4 区域边界恶意代码防范

区域边界的恶意代码防范主要是针对网络数据包中的病毒、木马等恶意程序及代码进行实时的防护，通过部署网络层的防病毒网关手段来实现，本项目中使用了专业的防病毒过滤网关系统来实现互联网接入区域边界的恶意代码防范，通过携带防病毒功能的下一代防火墙系统对云平台边界、办公终端区边界进行恶意代码防范。

3.3.3.5 区域边界完整性保护

网络区域边界完整性保护主要内部主机防非法外联以及外部主机防非法接入两个方面考虑。防止由于以上两种行动造成网络边界非法外延，边界不完整。

当前，对于防网络非法接入以及非法外联，主要通过终端安全管理系统实现相应功能。终端安全管理系统为了达到安全管理的目标，主要包括如下功能类：

1）桌面安全防护 2）内网资产管理 3）行为管理监控 具体功能包括：

限制非法外联行为，防止商业机密泄漏；实时监控各种网络连接行为，发现并且阻断可疑上网行为，保护内网资产。

网络接入控制，防止外部非授权许可的和主机接入。 阻止各种内网攻击

防止黑客、木马、间谍软件攻击、蠕虫病毒爆发、非法探测扫描等攻击企图与攻击行为；对终端设备实施强制网络接入控制。

提高内网资源使用效率

远程策略管理、资产管理与控制、防止内网资源的滥用行为，限制应用软件的滥用（BT、P2P、即时通讯软件）。

一、防非法外联设计

非法外联作为终端防护的重要技术功能，可以有效的对内部网络环境实施管理，可以对内网外联及非内网主机的接入作监控；对主机开机上线、关机下线信

息以及主机名、主机物理地址（MAC地址）改变等信息进行报警。所有事件的详细信息都自动录入数据库，可以提供包括对指定时间段范围、IP地址段范围、事件类型等条件的组合查询，方便网络管理员对安全事件的事后分析。

非法外联监控系统应该实时检测内部网络用户通过调制解调器、网卡等设备非法外联互联网行为，并实现远程告警或阻断。

二、网络可信接入功能设计

能够按照指定的策略控制机器对网络的接入，保证只有认证通过的机器才能够接入网络，防止存在安全隐患或未经授权的机器接入内网，在网络接入层控制非法终端连接，支持IEEE802.1x端口认证的工业标准。对于不支持IEEE802.1x交换环境，采用软件控制的方式实现对终端设备的安全接入控制。根据网络环境，用户可以选择在不同网段分别启用802.1X认证、非802.1X认证、不启用网络准入认证组合。

3.3.4 安全通信网络设计

3.3.4.1 网络冗余设计

单线路、单设备的结构很容易发生单点故障导致业务中断，因此对于提供关键业务服务的信息系统，应用访问路径上的任何一条通信链路、任何一台网关设备和交换设备，都应当采用可靠的冗余备份机制，以最大化保障数据访问的可用性和业务的连续性。

建议对于核心交换、边界防火墙以及内部重要安全域的交换机等系统，均采用冗余热备的部署方式，以提升网络系统的整体容错能力，防止出现单点故障。

3.3.4.2 网络安全审计

基于网络的安全审计包括了对网络信息的监控和审计。所谓监控就是实时监控网络上正在发生的事情，而审计则是分析网络内容，以发现可疑的破坏行为和有害信息，并对这些破坏行为采取相应的措施，如进行记录、报警和阻断等。特别是针对虚拟机网络通信的审计，需要虚拟化平台能够将虚拟机的通信流通过流量牵引或者API接口等方式给审计系统。

网络的监控与审计是继防火墙、入侵检测之后的又一种网络安全手段。目前很多国际规范以及国内对重要网络的安全规定中都将安全审计放在重要的位置。

安全审计有助于对入侵进行评估，是提高安全性的重要工具。审计信息对于确定是否有网络攻击的情况发生，以及确定问题和攻击源都非常重要。通过对安全事件的不断收集与积累并且加以分析，可以为发现可能的破坏性行为提供有力的证据。

审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。通过它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。审计信息对于确定是否存在网络攻击的情况，以及确定问题源和攻击源，都很重要。

同时，安全事件的记录有助于更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证基础。

另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，为发现或可能产生的破坏性行为提供有力的证据。

安全审计系统应该覆盖整个安全系统的重点部分，这样才能保证整体的安全。因此，网络安全审计系统是对网络进行全面审计的系统。该系统能够在网络上建立起一套完整的安全监控体系，如同在网上建立一支网络巡警队伍一样。

安全审计也可以利用数据库、操作系统、安全保密产品和应用软件的审计功能。但对于重要的网络信息系统应采用专用设备进行安全审计。

安全审计包括监控、管理和审计三大功能。其中，监控功能对需监控的网络及主机进行基于安全策略的监视和控制；管理功能让安全管理人员能够及时了解网络中被监控主机资源与安全事件相关的使用状况，如外设使用、网络应用、进程/应用程序等等，以及对服务器的访问及网络应用行为情况；审计功能能够对监控过程产生的记录进行分析、统计，以便发现安全违规的应用与操作行为。

3.3.4.3 网络数据传输机密性和完整性保护

为实现数据在网络间传输过程中的机密性、完整性保护，核心设计思想是以密码技术为核心，对于有传输需求的业务应用和管理，通过在网络边界部署网络

加密设备，从而在公共网络平台上构建VPN虚拟通道，将传输的数据包进行加密，保护传输数据的机密性和完整性。

通过Cisco ASA5555防火墙的VPN功能，构建VPN加密通道。

利用VPN技术组建网络安全平台的思想是：在中心节点及各个地方节点网络的出口处，部署网络加密设备，并将所有的VPN设备纳入全网统一的安全管理机构的管理范围，使VPN设备按照设定的安全策略对进出网络的IP数据包进行加/解密，从而在IP层上构建起保障网络安全传输的VPN平台，为不同节点网络内计算机终端之间的连接安全和传输安全提供有力的支撑和保障。由于工作在网络层，则上层的应用系统和业务系统无需做任何更改即可实现安全通信。

采用安全保密性很强的VPN技术，利用VPN设备所具有的身份鉴别/认证、数据加/解密以及访问控制等安全保密功能，可以将广域网络中存在的密级较高敏感信息与其他信息进行安全有效地隔离。这样可以有针对性地满足网络传输的安全需求，实现信息的正确流向与安全传输，在提高网络安全风险抵抗能力的基础上实现对网络的整体逻辑屏蔽与隔离。

由于VPN技术通过在网络层对IP数据包进行相应安全处理来组建安全传输通道，故采用VPN技术组建的虚拟专用网络无须考虑底层链路传输协议，具有极强的适应性和广泛性。

3.3.4.1 虚拟化网络安全

通过vShield安全组件为云中的虚拟网络资源（如VLAN（虚拟局域网）上的VM（虚拟机））间的访问实施网络逻辑隔离，并提供访问控制手段。

提供虚拟机迁移后，网络安全策略随着虚拟机的迁移而迁移。 提供不同租户间的网络和数据资源的隔离。

在访问云服务的网络和内部管理云的网络之间采取隔离和访问控制措施。 对虚拟机的网络接口的带宽进行管理。

3.3.5 安全管理中心设计

安全管理中心（以下简称“安管中心”），是为等级保护安全应用环境提供集中安全管理功能的系统，是安全应用系统安全策略部署和控制的中心，对安全策

略和安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理，安管中心为各级系统管理员、安全管理员和安全审计员提供身份鉴别和权限管理的集成平台，实施系统管理、安全管理和审计管理，其部署的安全策略则是连接各安全部件和各安全保障层面的纽带。该体系的结构如下图所示。

计算环境计算节点n区域边界通信网络计算节点2-LIN计算节点1-WIN局域网交换机安全管理体系结构区域边界子系统专用接口通信网络子系统路由器策略服务审计服务系统管理服务安全管理中心标记管理授权管理安全管理策略管理审计管理用户身份管理资源管理系统管理应急处理安全管理子系统审计子系统系统管理子系统跨域安全管理中心 图1. 一个中心三重管理的安全体系

安全管理中心是按照三权分立的管理思想进行设计的，实现包含用户认证、授权、访问控制、系统资源、访问审计、安全管理等管理过程的统一平台。其中系统管理、安全管理和审计管理分述如下。

3.3.5.1 系统管理设计

系统管理子系统用于对节点子系统、边界子系统、网络子系统的软硬件进行管理和维护，发行用户硬件令牌，对系统异常行为做应急处理。

系统管理子系统功能如下：

1. 资源配置管理，采集节点、边界和网络子系统上报的软硬件信息，包括软件安装、硬件资源、网络状态等信息，上报到安全管理中心。

2、实现对安全事件的综合收集和分析，收集如：防火墙、入侵检测、网络审计、漏洞扫描等设备的事件信息和日志，并进行综合事件关联分析，发掘其中可能存在的安全隐患和安全事件，并进行图形化展示。

3、应急处理，实时发现节点、边界和网络子系统的软硬件变更等异常情况，并做应急处理工作。

3.3.5.2 安全管理设计

安全管理子系统策略配置包括：主体标识配置、客体标识配置、安全策略的生成和下发、策略申请处理等。 ? 安全管理子系统标记管理功能如下：

1. 提供用户标记管理功能，为系统中的各用户,配置安全级别和安全范畴。 2．提供客体标记管理功能，为系统中各与安全业务相关的客体设定安全标记，安全标识包括与文件名直接相关的安全标识、目录安全标识、通配符格式的安全标识等类型。同时提供安全标识中安全级别的修改接口，供人工参与安全级别的制定和更改。

? 安全管理子系统策略管理功能如下：

1. 生成访问策略库。访问策略库是将用户与用户能够访问的客体资源结合起来所形成的一个访问控制策略表，安全管理子系统根据应用的安全策略配置，生成访问策略设置，并将访问策略设置与策略配置功能所生成的用户身份配置、文件标识配置以及可信接入策略和可信进程名单等组装发送到各安全部件中。

2. 策略请求处理和下发。策略请求和处理是将设定客体安全级别的特权和

该特权所授予的用户身份结合起来所形成的一个权限列表，该列表项目来源于各用户提出的主客体安全级别修改请求和自主访问控制策略申请，反应客体资源属性和主体的权限范围，并将该列表发送给相应主体所在的平台。

3. 策略的维护。策略的维护功能为安全管理员的策略查找、策略更新等操作提供支持，并能够实现策略文件的导入和导出操作，支持离线状态下的策略管理，提高安全管理员的策略管理操作的方便性和易用性。

3.3.5.3 审计管理设计

审计子系统用于存储和处理整个系统中的所有审计信息。节点子系统、边界子系统、网络子系统和安全管理中心子系统等获得审计信息后形成文件，上传到审计服务器进行存储和处理，审计员可以在安全管理中心上查看审计信息。

审计子系统功能如下：

1. 生成审计策略并发放。使用安全管理中心提供的审计策略设置界面，使审计管理员可以选择三级安全应用支撑平台不同范畴中主客体访问的审计级别，并与访问策略、等级检查策略相配合，生成具体的审计策略，并将该策略发放给对应的安全部件。

2. 接收、存储审计信息。接收从安全部件传来的审计信息，并进行存储和处理。

3．查询审计信息。使用安全管理中心提供审计界面，通过审计界面将审计信息直观地提供给安全审计员，并提供审计信息分类查询功能。

3.4 安全管理体系详细设计

天融信根据XX现有的组织机构框架，借鉴已有的信息安全管理制度，并依据其他类似大型项目的丰富经验，采用先进成熟的理念，帮助明确信息安全工作在整个信息化工作中的地位、目标、原则以及策略，并协助XX梳理安全组织架构和安全职责、完善安全策略，真正形成一套切实可行，具有指导意义且符合实际需求的信息安全管理体系，包括安全策略、安全标准规范、安全管理制度和日常管理操作规程等。

本文来源：https://www.bwwdw.com/article/ju5r.html