云数据中心安全等级保护建设方案.docx

《云数据中心安全等级保护建设方案.docx》由会员分享，可在线阅读，更多相关《云数据中心安全等级保护建设方案.docx（98页珍藏版）》请在咨信网上搜索。

H:\精品资料\建筑精品网原稿ok（删除公文）\建筑精品网5未上传百度 1 项目综述 1.1 项目背景 为了保障基于”健康云”、 ”智慧云”的XX数据中心, 天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[ ]1389号)的要求, 贯彻”经过组织开展信息安全等级保护安全管理制度建设、 技术措施建设和等级测评, 落实等级保护制度的各项要求, 使信息系统安全管理水平明显提高, 安全防范能力明显增强, 安全隐患和安全事故明显减少, 有效保障信息化健康发展, 维护国家安全、 社会秩序和公共利益”的方针, 为XX数据中心需要在规划、 建设和使用相关信息系统的同时对信息安全也要同步建设, 全面开展信息安全等级保护建设整改工作。 1.2 安全目标 XX的信息安全等级保护建设工作的总体目标是: ”遵循国家信息安全等级保护有关法规规定和标准规范, 经过全面开展信息安全等级保护定级备案、 建设整改和等级测评工作, 进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系, 增强信息安全保护意识, 明确信息安全保障重点, 落实信息安全责任, 切实提高系统信息安全防护能力, 为整个云平台的顺利建设和信息化健康发展提供可靠保障。” 具体目标包括 ( 1) 体系建设, 实现按需防御。经过体系设计制定等级方案, 进行安全技术体系、 安全管理体系和安全运维体系建设, 实现按需防御。 ( 2) 安全运维, 确保持续安全。经过安全监控、 安全加固等运维手段, 从事前、 事中、 事后三个方面进行安全运行维护, 实现持续性按需防御的安全需求。 ( 3) 经过合规性建设, 提升XX云平台安全防护能力, 保障系统信息安全, 同时满足国家等级保护的合规性要求, 为信息化工作的推进保驾护航。 1.3 建设范围 本方案的设计范围覆盖XX的新建云平台基础设施服务系统。安全对象包括: l 云内安全: 虚拟化环境中的虚拟化平台及其相关虚拟化网络、 虚拟化主机的安全防护; l 云外安全: 虚拟化环境以外的网络接入, 核心交换, 存储备份环境。 1.4 建设依据 1.4.1 国家相关政策要求 ( 1) 《中华人民共和国计算机信息系统安全保护条例》( 国务院147号令) ; ( 2) 《国家信息化领导小组关于加强信息安全保障工作的意见》( 中办发[ ] 27号) ; ( 3) 《关于信息安全等级保护工作的实施意见》( 公通字[ ]66号) ; ( 4) 《信息安全等级保护管理办法》( 公通字 [ ]43号) ; ( 5) 《信息安全等级保护备案实施细则》( 公信安[ ]1360号) ; ( 6) 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》( 发改高技[ ]2071号) ; ( 7) 《关于开展信息安全等级保护安全建设整改工作的指导意见》( 公信安[ ]1429号) 。 1.4.2 等级保护及信息安全相关国家标准 ( 1) 《计算机信息系统安全保护等级划分准则》( GB17859-1999) ; ( 2) 《信息安全技术 信息系统安全等级保护实施指南》( GBT 25058- ) ; ( 3) 《信息安全技术 信息系统安全保护等级定级指南》( GB/T22240- ) ; ( 4) 《信息安全技术 信息系统安全等级保护基本要求》( GB/T22239- ) ; ( 5) 《信息安全技术 信息系统等级保护安全设计技术要求》( GB/T 25070- ) ; ( 6) 《信息安全技术 信息系统安全等级保护测评要求》; ( 7) 《信息安全技术 信息系统安全等级保护测评过程指南》; ( 8) 《信息安全技术 信息安全风险评估规范》( GB/T 20984- ) ; ( 9) 《信息安全技术 信息系统安全管理要求》( GB/T 20269- ) ; ( 10) 《信息技术 安全技术 信息安全管理体系要求》( GB/T 22080- ( idt ISO/IEC 27001: ) ) ; ( 11) 《信息技术 安全技术 信息安全管理实用准则》( GB/T 22081- ( idt ISO/IEC 27002: ) ) ; ( 12) 《信息安全技术 信息系统通用安全技术要求》( GB/T 20271- ) 及相关的一系列具体技术标准。 2 云安全等保风险分析 由于本系统是新建设系统, 而且尚未部署应用。机房环境当前已经非常完备, 具备很好的物理安全措施。 因此当前最主要的工作是依据等级保护基本要求, 着重进行网络层、 主机层、 数据层等方面的等级保护安全技术建设工作。 另外, 天融信具有等级保护的专家团队, 深入了解国家等级保护相关政策, 熟悉信息系统规划和整改工作的关键点和流程, 将经过等级保护差距分析、 文档审核、 现场访谈、 现场测试等方式, 发掘当前云平台系统与等保技术和管理要求的不符合项。并针对不符合项, 进行逐条分析, 确认建设方案。 在云架构下传统的保护模式如何建立层次型的防护策略, 如何保护共享虚拟化环境下的云平台建设中需重点考虑的环节; 健康云和智慧云将实现基于云的数据存储和集中管理, 必须采用有效措施防止外部入侵和内部用户滥用权限; 在信息安全保障体系实现时仍需满足国家信息安全等级保护政策要求, 同时需要解决信息安全等级保护政策在云计算技术体系下如何落地的重要课题。 健康云和智慧云计算平台引入了虚拟化技术, 实现数据资源、 服务资源、 平台资源的云共享, 计算、 网络、 存储等三类资源是云计算平台依赖重要的系统资源, 平台的可用性( Availability) 、 可靠性( Reliability) 、 数据安全性、 运维管理能力是安全建设的重要指标, 传统的密码技术、 边界防护技术、 入侵检测技术、 审计技术等在云计算环境下依然需要, 并需要针对云计算给信息安全带来的新问题, 重点解决, 虚拟化安全漏洞, 以及基于云环境下的安全监控、 用户隔离、 行为审计、 不同角色的访问控制、 安全策略、 安全管理和日志审计等技术难点, 这就更加需要借助内外网等级保护的建设构建满足健康云、 智慧云平台业务需要的安全支撑体系, 提高信息化环境的安全性, 并经过运维、 安全保障等基础资源的统一建设, 有效消除安全保障中的”短板效应”, 增强整个信息化环境的安全性。 2.1 合规性风险 XX云平台的安全建设需满足等级保护三级基本要求的标准, 即需要建设安全技术、 管理、 运维体系, 达到可信、 可控、 可管的目标。可是当前在云计算环境下的等级保护标准尚未出台, 可能会面临信息系统可信、 可控、 可管的巨大挑战, 如下图: 另外, 在今后大量XX自有应用以及经过SaaS方式, 纵向引入各下属单位应用。为了满足各类不同应用的合规性需求, 需要在安全技术、 运维、 管理等方面进行更加灵活、 高可用性的冗余建设。 2.2 系统建设风险 虚拟化平台架构, 品牌的选择是一个很慎重的问题。其架构依据不同品牌, 导致接口开放程度不同, 运行机制不同。而与虚拟化平台相关的如: 信息系统应用架构、 安全架构、 数据存储架构等, 都与虚拟化平台息息相关, 也是后续应用迁入工作的基础。另外, 在后期迁入应用, 建设过程中的质量监控, 建设计划是否合理可靠等问题, 均有可能造成风险。以下为具体的风险: 2.2.1 应用迁入阻力风险 XX的云平台规划愿景包括: 应用数据大集中, 管理大集中, 因此要求今后非云环境的各类应用逐步的迁移入虚拟化环境, 各应用的计算环境也需要调整入虚拟化环境。由此可能会引发一些兼容性风险问题, 带来迁入阻力的风险。 2.2.2 虚拟化平台品牌选择风险 因现有虚拟化平台已经采购完成, 是VMware的vSphere虚拟化平台, 因其对国内其它IT平台, 特别是对国内安全厂商的开放性严重不足, 导致许多安全机制无法兼顾到云平台内部。 因此造成了安全监控、 安全管理、 安全防护机制在云平台内外出现断档的现象, 使现有的自动化安全管理、 网络管理、 安全防护等措施无法有效覆盖虚拟化环境。 2.2.3 建设质量计量、 监督风险 因为本次XX云平台的建设打算采用市场化建设的方式进行, 可是现有云计算平台是否符合建设要求, 是否符合安全需求, 如何进行质量的计量, 如何进行评审监督, 都是亟待解决的问题。 2.2.4 安全规划风险 在云平台的规划过程中, 应同时规划安全保障体系的; 保证在建设过程中, 同步实施计算环境和安全保障建设。如出现信息安全建设延后, 可能带来保障体系的脆弱性, 放大各其它基础设施的脆弱性, 导致各类安全风险的滋生。 2.2.5 建设计划风险 云平台的建设因其复杂性, 导致系统投入使用前, 需要进行完善详实的规划、 设计和实施。需协调好各相关部门, 以及第三方合作厂商, 群策群力的建设云平台, 而建设计划是需要先行一步制定好的, 从而能够指导规范整个项目的生命周期。 2.3 安全技术风险 基于虚拟化技术的云平台带来了许多优势, 如计算资源按需分配, 计算资源利用效率最大化等等。可是, 在引入优势的同时, 也会带来许多新的安全风险。因此对于XX云平台的信息安全风险分析也应根据实际情况作出调整, 考虑虚拟化平台、 虚拟化网络、 虚拟化主机的安全风险。 同时, 为了满足等级保护的合规性要求, 需要结合等级保护三级的基本要求中关于安全技术体系的五个层面的安全需求, 即: 物理安全、 网络安全、 主机安全、 应用安全及数据安全。 虽然当前阶段, 云平台尚未引入有效应用和数据, 可是在安全规划中需要为未来出现的情况进行先期预测, 将其可能引入的安全风险进行考虑。 因此, 在经过总结后, 可得出八个方面的安全风险。 2.3.1 物理安全风险 因当前物理机房的基础设施已完善, 在实地考察后, 发现XX现有机房已满足等级保护三级合规性要求, 物理安全风险已经得到有效控制。 2.3.2 网络安全风险 本节主要讨论非虚拟化环境中的传统网络安全风险。 l 网络可用性风险 有多种因素会对网络可用性造成负面影响, 主要集中于链路流量负载不当, 流量分配不当, 以及拒绝服务攻击、 蠕虫类病毒等威胁。另外, 对网络内部流量和协议的审计也非常关键, 运维人员需要了解这些信息以协调网络资源, 充分保障网络的可用性, 进一步保障应用业务的可用性。 l 网络边界完整性风险 网络边界包含云平台边界、 内部各安全域的边界, 租户边界( 主机/虚拟主机/业务系统) , 互联网接入边界。在此讨论非虚拟化环境下的网络边界完整性风险。 云平台网络边界、 互联网接入边界、 内部各安全域网络边界以及物理主机的网络边界可能会因缺乏边界访问控制管理, 访问控制策略不当, 身份鉴别失效, 非法内联, 非法外联等因素而被突破, 导致网络边界完整性失去保护, 进一步可能会影响信息系统的保密性和可用性。 l 安全通信风险 第三方运维人员, 采用远程终端访问云中的各类应用。如果不对应用数据的远程通信数据进行加密, 则通信信息就有被窃听、 篡改、 泄露的风险, 破坏通信信息的完整性和保密性。 l 入侵防护风险 网络入侵可能来自各边界的外部或内部。如果缺乏行之有效的审计手段和防护手段, 则信息安全无从谈起。为避免信息安全保障体系成为了聋子、 瞎子, 需要审计手段发现入侵威胁, 需要防护手段阻断威胁。 l 恶意代码风险 当网络边界被突破后, 信息系统会暴露在危险的环境下, 最为突出的风险就是恶意代码的风险, 可能会造成系统保密性和可用性的损失。包括端口扫描、 强力攻击、 木马后门攻击、 拒绝服务攻击、 缓冲区溢出攻击、 IP碎片攻击和网络蠕虫攻击等。系统随时会面临各类恶意代码攻击的风险, 特别是APT攻击, 即使系统具备较为完善的防御体系, 也很难防范此类攻击。 2.3.3 主机安全风险 在虚拟化环境下, 主机安全也应对物理服务器主机和虚拟化主机进行区别对待, 存在的安全风险问题有所不同。 本节只讨论物理服务器和远程接入应用的操作终端的安全风险。 l 应用操作终端风险 云平台搭建后, 系统资源统一放在云端, 而用户是经过终端远程接入云中的应用。除了上述的身份鉴别和授权的风险外, 终端使用的浏览器自身存在漏洞, 甚至终端本身的健康状况不良, 都可能会造成云端受到相应的威胁。 l 服务器主机操作系统漏洞风险 服务器主机操作系统因自身设计原因, 存在固有的漏洞和脆弱性, 具有被突破、 被潜伏、 被利用、 被破坏的各类风险。 l 服务器主机平台风险 当前服务器的硬件架构中, 采用的CPU、 主板、 内存等配件的核心技术依然受制于人, 为了业务的性能需求, 依然需要采用国外的技术架构。可能会带来后门入侵的风险。 2.3.4 应用安全风险 l 身份鉴别、 授权、 审计风险 应用放置在云端, 在实现资源共享的同时, 会带来信息泄漏的风险。由于网络的不确定性, 首要问题就是要确认使用者的身份、 确保身份的合法性。由于工作需要, 不同部门、 不同职责的工作人员应用需求不同, 信息使用权限不同, 必须要对使用者身份进行统一的认证, 统一授权, 统一审计。 一旦攻击者获取使用者的身份验证信息, 假冒合法用户, 用户数据完全暴露在其面前, 其它安全措施都将失效, 攻击者将能够为所欲为, 窃取或修改用户数据。因此, 身份假冒是政务云面正确首要安全威胁。 l 应用服务可用性风险 任何形式的应用都存在可用性风险, 而一旦可用性风险被威胁利用, 进一步引发了安全事件, 则会带来应用的不可用, 进而导致业务受阻。 缺乏对应用服务的审计也会带来可用性风险, 如果经过审计和分析策略在故障或入侵之前能够察觉到异常信息, 可能就避免了事故的发生。 而在云计算环境下, 因为应用的高度集中和边界模糊, 可能一次单台主机的不可用, 都会带来多种业务的不可用。因此云计算环境下的应用可用性问题相比传统计算环境下, 具备影响范围广, 程度深的特点。 l WEB攻击风险 WEB攻击主要指针对WEB服务的各类应用恶意代码攻击, 诸如SQL注入攻击、 XSS攻击、 网页篡改等, 一般是由于对HTTP表单的输入信息未做严格审查, 或WEB应用在代码设计时存在的脆弱性导致的。 如果不对这类攻击进行专门的防护, 很容易造成安全保障体系被突破, 以WEB服务作为跳板, 进一步威胁内部的应用和数据。 2.3.5 数据安全风险 l 数据保密性和完整性风险 XX云因其业务特点, 所处理的数据关乎公众服务, 以及为国家提供舆情服务。虽然会有部分应用会对互联网用户提供服务, 但只是提供有限的接口, 访问有限的, 关乎个人的等非敏感数据。但大部分敏感的, 不宜公开的政务云数据还会面临来自非法入侵后进行窃取或篡改, 进而带来的数据保密性和完整性风险。 l 数据可用性风险 当数据的完整性遭受破坏时, 数据可用性也会遭受影响, 数据失真, 特别是应用的关键参数失真最为严重。特别是虚拟化环境下, 数据碎片化存储, 在整合时出现问题, 导致应用服务中断, 进而造成应用可用性的风险。因此如何进行容灾, 备份, 恢复也是一个严峻的问题。 l 数据审计风险 因为在云环境中, 用户的数据不再保存在用户本地, 因此当前在云计算环境中, 多依靠完整性验证的方式使用户确信她们的数据被正确的存储和处理。为了保证数据可恢复性及冗余性, 在云计算环境中, 一般会采用冗余存储的手段。这就需要特定的审计方法保证多个版本数据的一致性和完整性。 另外, 针对数据的使用者信息, 也需要经过审计措施来进行记录。 l 数据安全检测风险 在政务云环境下, 数据往往是离散的分布在”云”中不同的位置, 用户无法确定自己的数据究竟在哪里, 具体是由哪个服务器进行管理。也因此造成当数据出现不可用, 破坏, 甚至泄露时, 很难确定具体的问题点。 l 数据库安全风险 数据库一般作为非结构化数据的索引, 经过结构化表的表现形式, 为前端应用和后方数据提供桥梁; 同时, 对于结构化的数据, 数据库本身就进行了数据存储。 恶意攻击一般会经过数据库漏洞或恶意代码的方式进行非法提权, 从而经过数据库结构化语句窃取、 篡改甚至破坏后台存储的数据, 威胁到数据的保密性、 完整性和可用性。 2.3.6 虚拟化平台安全风险 虚拟化是云计算最重要的技术支持之一, 也是云计算的标志之一。然而, 虚拟化的结果, 却使许多传统的安全防护手段失效。从技术层面上讲, 云计算与传统IT环境最大的区别在于其虚拟的计算环境, 也正是这一区别导致其安全问题变得异常”棘手”。 l 虚拟化平台自身安全风险 虚拟化平台自身也存在安全漏洞, 虚拟主机可能会被作为跳板, 经过虚拟化网络攻击虚拟化平台的管理接口; 或者由虚拟机经过平台的漏洞直接攻击底层的虚拟化平台, 导致基于虚拟化平台的各类业务均出现不可用或信息泄露。 l 安全可信、 可控风险 虚拟化平台技术是从国外引进的, 当前常见的主流商用虚拟化平台被几个大的国外厂商垄断, 且不对外提供关键、 核心接口, 更不提供源码, 导致在其上构建和部署安全措施困难, 可控性差。再加上可能的利益驱使和网络战需要, 无法判别是否留有控制”后门”, 可信度有待商榷。 l 虚拟资源池内恶意竞争风险 处于虚拟资源池内的多虚拟主机会共享统一硬件环境, 经常会出现恶意的抢占资源, 影响了平台资源的可用性, 进而影响虚拟化平台的服务水平。 2.3.7 虚拟化网络安全风险 虚拟化的网络结构, 使得传统的分域防护变得难以实现, 虚拟化的服务提供模式, 使得对使用者身份、 权限和行为鉴别、 控制与审计变得更加困难。造成虚拟化网络不可见风险、 网络边界动态化风险、 多租户混用安全风险等。 l 虚拟化网络不可见风险 在云环境中, 虚拟化资源会放在同一的资源池中, 供各应用调配资源来实现业务的运行。在这种情况下, 传统安全防护设备无法深入虚拟化平台内部进行安全防护, 难以达到恶意代码的防护, 流量监控, 协议审计等安全要求。 l 网络边界动态化风险 为了实现虚拟化环境下的动态负载, 出现了虚拟机动态漂移技术, 导致虚拟化主机的真实位置也会随之改变, 造成边界的安全策略也需要随之转移。若边界隔离、 安全防护措施与策略不能跟随虚拟机漂移, 会使得边界防护措施和防护策略难以起效, 造成安全漏洞。 l 多租户混用安全风险 在XX云平台的规划愿景中, 包含对下属机构提供SaaS类服务, 必然会引入其它租户的应用。这么多的业务系统有着不同的安全等级和访问控制要求, 业务系统自身的安全保障机制也参差不齐。所有业务系统的安全防护策略和需求也是不同的, 而安全策略一刀切常常会使整体安全度降低, 高安全等级要求的业务系统无法得到应有的安全保障, 导致越权访问、 数据泄露。 l 网络地址冲突风险 由于用户对虚拟机有完全控制权, 因此能够随意修改虚拟机的mac地址, 可能造成与其它虚拟机的mac冲突, 从而影响虚拟机通信。 l 恶意虚拟机实施攻击风险 虚拟机通信隔离机制不强, 恶意虚拟机可能监听其它虚拟机的运行状态, 实施Dos攻击, 恶意占用资源( cpu,内存, 网络带宽等) , 影响其它VM的运行。 2.3.8 虚拟化主机安全风险 l 虚拟机恶意抢占资源风险 虚拟机完全由最终用户控制, 恶意份子和被控制的虚拟机可能恶意抢占网络、 存储和运算资源, 导致整体云平台资源耗尽, 从而影响其它关键业务系统的正常运行扰乱正常政务办公。 l 虚拟机安全审计风险 在云平台构建完成后, 将同时运转数量众多的虚拟机。而且, 对虚拟机的操作人员各异, 安全意识和安全防范措施也参差不齐。缺乏安全审计会导致某些虚拟机感染病毒后进行非法操作, 甚至可能利用hypervisor的已有漏洞, 获得更高权限, 从而实施各种攻击。 l 虚拟机镜像安全风险 比起物理主机, 虚拟机镜像是以文件形式存在, 因此, 容易被复制和修改, 同时, 不同安全级别的版本镜像可能被替换。虚拟机镜像文件如缺乏控制措施, 可能存在完整性修改, 镜像回滚失败等风险。 2.3.1 安全管理风险 当云平台系统进入上线运行阶段后, 相关安全管理人员在管理过程中可能会遭遇多种问题, 引发安全管理风险。 在云计算环境下, 应用系统和硬件服务器不再是一一绑定的关系, 安全管理职责发生了变化, 失去了对基础设施和应用的绝对管理权和控制权。另外, 政务云系统的管理层面发生了变化, XX的云环境运维部门负责管理基础设施, 而应用系统因为租户众多, 使得应用系统的维护者众多。也因此管理职责复杂化, 需要明晰职权。在多租户迁入应用和数据的情况下, 区别于传统的私有云, 管理人员的队伍也发生了变化, 需要多个部门进行人员的协调。因为人员是由多个部门组成, 也因此要求安全管理制度, 应急响应的策略和制度依据实际情况作出调整。 2.3.2 云环境下的特有安全管理风险 在云环境下, ”资源池”管理技术主要实现对物理资源、 虚拟资源的统一管理, 并根据用户需求实现虚拟资源( 虚拟机、 虚拟存储空间等) 的自动化生成、 分配、 回收和迁移, 用以支持用户对资源的弹性需求。 这突破了传统的安全区域, 使得传统基于物理安全边界的防护机制不能有效地发挥作用, 削弱了云平台上各租户对重要信息的管理能力。另外, 在传统网络环境中, 网络中的各类资产一般由不同的管理员进行管理。但在虚拟化环境中, 往往都由同一管理员负责, 可能会出现管理员权限过于集中的风险。对管理员的操作审计和行为规范都提出了很高的要求。 2.3.3 安全组织建设风险 要应对云平台进入运行阶段的各类问题, 首先对进行安全管理运维的组织保障能力提出了挑战。 没有依据实际情况建设的安全组织, 无法应对云平台复杂环境下的安全管理要求, 无法顺利完成安全管理工作, 无法保障各类云业务的顺利进行。而且鉴于本次云平台建设的实际情况: 即迁入多租户的大量应用, 因此在进行安全管理时, 如何划分管理权限, 明晰职责, 也成为了需要解决的问题。 因此, 需求合理的、 务实的、 专业的多类安全队伍来应对挑战, 保障云平台业务顺利通畅的进行。 2.3.4 人员风险 再安全的网络设备和安全管理系统也离不开人的操作和管理, 再好的安全策略也最终要靠人来实现, 因此人员也是整个网络安全中的重要一环。需求具备完备的信息安全意识, 专业的信息安全素养, 职业化的信息安全态度人才, 来管理和维护政务云系统, 保障业务。 2.3.5 安全策略风险 在应对云平台未来可能遇到的信息安全事件时, 除了具备组织、 人员外, 还需要制定适合云平台系统复杂环境的安全制度和安全策略, 让组织和人员能够有效的, 合规的完成信息安全事件相关的各类工作, 以保证信息安全管理能够高效, 高质量的进行。 2.3.6 安全审计风险 在云平台投入使用后, 因业务系统和底层架构较为复杂, 需要进行全方位的监控审计, 以便及时发现各类可能和信息安全相关、 业务状态相关的信息, 并及时作出管理策略的响应和调整。 而具体由谁来监控审计, 审计结果是否有效而客观, 是否能够及时传达至相关责任人, 这些问题都需要妥善解决, 才能够实现全方位, 及时, 有效的审计。 2.4 安全运维风险 因为XX的采购方式是经过市场化建设, 提供基础设施平台, 平台建设完成后, 将引入各下属机构的应用系统。因此在云平台投入使用后, 运维人员、 审计监控以及应急响应等都发生了职责、 权限、 流程的变化, 引入了新型的, 在云环境下特有的新型风险。 另外, 还包括一些传统的安全运维风险, 例如: 环境与资产, 操作与运维, 业务连续性, 监督和检查, 第三方安全服务等风险。 2.4.1 云环境下的特有运维风险 l 运维职权不明风险 在云平台投入使用后, 基础设施由XX进行运维, 而基于基础设施的各类应用由各租户的相关人员进行运维。可是当发生事故的时候, 无法在第一时间确定事故的波及方; 处理事故时, 无法分配具体任务; 事故追责时, 无法确定到底由谁来负责。特别是在云环境中, 资源池内如果发生了安全事故, 资源边界更加模糊。因此确定运维职责非常重要。 l 运维流程不明风险 因为运维参与者众多, 属于不同的参与方, 也导致在进行运维过程中, 很多流程要涉及到不同参与方的多个部门。因此确定一个统一的, 合理的安全运维制度是保障运维工作顺利进行的必要条件。 l 虚拟资源运维审计监控风险 在安全技术上, 传统的运维审计手段缺乏对虚拟机的运维审计能力。流量不可视也带来了协议无法审计, 虚拟机动态迁移带来审计策略中断等问题。 l 突发事件风险 再完备的安全保障体系, 也无法阻止突然性事件的发生, 这种风险也是信息系统固有的属性, 无法避免。特别是在云环境下, 应急响应变得更为复杂, 涉及范围广, 恢复难度大。也因此需求在云平台系统运行中, 有可靠的应急响应队伍和机制, 保障快速、 妥善的应对各类突发性问题。 2.4.2 环境与资产风险 信息系统依托于机房与周边环境, 而业务系统则直接依托于基础设施。在云平台系统投入使用后, 面临的最直接的风险就来自于环境和资产。因为云平台由XX的运维团队进行运行维护, 为了保证政务云系统的正常运行, 因此要求数据中心运维团队的运维管理能力能够具备较高的水平。 2.4.3 操作与运维风险 人员是很难进行控制的, 而对业务和基础设施进行操作和运维的人员, 无论是经过现场还是远程进行操作, 都可能因为误操作, 为信息系统带来损失。如何规范人员的操作、 运维流程, 如何减少误操作的可能性, 如何提高操作者的职业素养, 这些都是需要解决的问题。 2.4.4 业务连续性风险 信息系统的最终使命是运行业务, 可是业务的连续性是否能够保证, 关乎信息系统的多个层面, 包括物理、 网络、 主机、 应用以及数据等。在云平台环境下, 还包括虚拟化平台, 以及运行在其上的虚拟主机、 虚拟网络。其中任何一环如果出现问题, 都有可能影响业务的连续性。因此如何保护业务的连续性也给运维团队提出了难题。 2.4.5 监督和检查风险 智慧云系统是多组织, 多系统, 多业务, 多参与者的云计算平台, 为了保障如此复杂的系统, 需要许多安全技术、 管理和运维的过程。这些过程是否符合法律、 符合标准, 在发生事故时, 如何督促管理者有效跟踪事故, 并快速解除故障。这些都需要进行监督和检查管理, 否则容易使参与者承担法律风险。 2.4.6 第三方服务风险 为保障云平台的正常运行和不断完善, 需要进行很多运行维护工作, 诸如: 业务迁入, 差距分析, 安全加固, 渗透测试等。可是这些工作都过于专业化, 仍需要专业的第三方安全机构提供相应的服务, 才能够有效的进行。 因此, 如何选择第三方服务机构, 如何监督评价第三方的服务质量, 就需要妥善的第三方服务管理。 3 解决方案总体设计 3.1 设计原则 XX云平台安全等级保护的建设需要充分考虑长远发展需求, 统一规划、 统一布局、 统一设计、 规范标准, 并根据实际需要及投资金额, 突出重点、 分步实施, 保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则: 统一规划、 分步实施原则 在信息安全等级保护的建设过程中, 将首先从一个完整的网络系统体系结构出发, 全方位、 多层次的综合考虑信息网络的各种实体和各个环节, 运用信息系统工程的观点和方法论进行统一的、 整体性的设计, 将有限的资源集中解决最紧迫问题, 为后继的安全实施提供基础保障, 经过逐步实施, 来达到信息网络系统的安全强化。从解决主要的问题入手, 伴随信息系统应用的开展, 逐步提高和完善信息系统的建设, 充分利用现有资源进行合理整合的原则。 故后文中的安全解决方案将进行着眼未来的安全设计, 并强调分步走的安全战略思想, 着重描述本期应部署的安全措施, 并以发展的眼光阐述今后应部署的安全措施。 标准性和规范化原则 信息安全等级保护建设应当严格遵循国家和行业有关法律法规和技术规范的要求, 从业务、 技术、 运行管理等方面对项目的整体建设和实施进行设计, 充分体现标准化和规范化。 重点保护原则 根据信息系统的重要程度、 业务特点, 经过划分不同安全保护等级的信息系统, 实现不同强度的安全保护, 集中资源优先保护涉及核心业务或关键信息资产的信息系统。 适度安全原则 任何信息系统都不能做到绝正确安全, 在安全规划过程中, 要在安全需求、 安全风险和安全成本之间进行平衡和折中, 过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。 适度安全也是等级保护建设的初衷, 因此在进行等级保护设计的过程中, 一方面要严格遵循基本要求, 从物理、 网络、 主机、 应用、 数据等层面加强防护措施, 保障信息系统的机密性、 完整性和可用性, 另外也要综合考虑业务和成本的因素, 针对信息系统的实际风险, 提出对应的保护强度, 并按照保护强度进行安全防护系统的设计和建设, 从而有效控制成本。 技术管理并重原则 信息安全问题从来就不是单纯的技术问题, 把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的, 仅仅经过部署安全产品很难完全覆盖所有的信息安全问题, 因此必须要把技术措施和管理措施结合起来, 更有效的保障信息系统的整体安全性。 先进形和成熟性原则 所建设的安全体系应当在设计理念、 技术体系、 产品选型等方面实现先进性和成熟性的统一。本方案设计采用国际先进实用的安全技术和国产优秀安全产品, 选择当前和未来一定时期内有代表性和先进性的成熟的安全技术, 既保证当前系统的高安全可靠, 又满足系统在很长生命周期内有持续的可维护和可扩展性。 动态调整原则 信息安全问题不是静态的。信息系统安全保障体系的设计和建设, 必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性, 必须能够及时地、 不断地改进和完善系统的安全保障措施。 经济性原则 项目设计和建设过程中, 将充分利用现有资源, 在可用性的前提条件下充分保证系统建设的经济性, 提高投资效率, 避免重复建设。 3.2 安全保障体系构成 XX信息安全等级保护安全方案的设计思想是以等级保护的”一个中心、 三重防护”为核心指导思想, 构建集防护、 检测、 响应、 恢复于一体的全面的安全保障体系。具体体现为: 以全面贯彻落实等级保护制度为核心, 打造科学实用的信息安全防护能力、 安全风险监测能力、 应急响应能力和灾难恢复能力, 从安全技术、 安全管理、 安全运维三个角度构建安全防护体系, 切实保障信息安全。 云环境下的信息安全保障体系模型如下图所示: l 一个指导思想: 等级保护思想 等级保护是系统设计的核心指导思想, 整个方案的技术及管理设计都是围绕符合等级保护的设计思想和要求展开实现的。 l 三个防御维度: 技术、 管理、 运维全方位的纵深防御 ( 1) 安全技术维度: 安全技术是基础防御的具体实现 ( 2) 安全管理维度: 安全管理是总体的策略方针指导 ( 3) 安全运行维度: 安全运行体系是支撑和保障 3.2.1 安全技术体系 参考GB/T25070- 《信息安全技术 信息系统等级保护安全设计技术要求》( 以下简称《设计技术要求》) , 安全技术体系设计内容主要涵盖到 ”一个中心、 三重防护”。即安全管理中心、 计算环境安全、 区域边界安全、 通信网络安全。 图 33 安全技术体系构成 ( 1) 安全管理中心: 构建先进高效的安全管理中心, 实现针对系统、 产品、 设备、 信息安全事件、 操作流程等的统一管理; ( 2) 计算环境安全: 为XX云平台打造一个可信、 可靠、 安全的计算环境。从系统应用级的身份鉴别、 访问控制、 安全审计、 数据机密性及完整性保护、 客体安全重用、 系统可执行程序保护等方面, 全面提升XX在系统及应用层面的安全; ( 3) 区域边界安全: 从加强网络边界的访问控制粒度、 网络边界行为审计以及保护网络边界完整等方面, 提升网络边界的可控性和可审计性; ( 4) 通信网络安全: 从保护网络间的数据传输安全、 网络行为的安全审计等方面保障网络通信安全。 XX安全技术体系建设的基本思路是: 以保护信息系统为核心, 严格参考等级保护的思路和标准, 从多个层面进行建设, 满足XX云平台在物理层面、 网络层面、 系统层面、 应用层面和管理层面的安全需求, 建成后的保障体系将充分符合国家标准, 能够为XX业务的开展提供有力保障。 安全技术体系建设的要点包括: 1、 构建分域的控制体系 XX信息安全保障体系, 在总体架构上将按照分域保护思路进行, 本方案参考IATF信息安全技术框架, 将XX云平台从结构上划分为不同的安全区域, 各个安全区域内部的网络设备、 服务器、 终端、 应用系统形成单独的计算环境、 各个安全区域之间的访问关系形成边界、 各个安全区域之间的连接链路和网络设备构成了网络基础设施; 因此方案将从保护计算环境、 保护边界、 保护网络基础设施三个层面进行设计, 并经过统一的基础支撑平台( 这里我们将采用安全信息管理平台) 来实现对基础安全设施的集中管理, 构建分域的控制体系。 2、 构建纵深的防御体系 XX信息安全保障体系包括技术和管理两个部分, 本方案针对XX云平台的通信网络、 区域边界、 计算环境、 虚拟化环境, 综合采用身份认证、 访问控制、 入侵检测、 恶意代码防范、 安全审计、 防病毒、 数据加密等多种技术和措施, 实现XX业务应用的可用性、 完整性和保密性保护, 并在此基础上实现综合集中的安全管理, 并充分考虑各种技术的组合和功能的互补性, 合理利用措施, 从外到内形成一个纵深的安全防御体系, 保障信息系统整体的安全保护能力。 3、 保证一致的安全强度 XX云平台应采用分级的办法, 采取强度一致的安全措施, 并采取统一的防护策略, 使各安全措施在作用和功能上相互补充, 形成动态的防护体系。 因此在建设手段上, 本方案采取”大平台”的方式进行建设, 在平台上实现各个级别信息系统的基本保护, 比如统一的防病毒系统、 统一的审计系统, 然后在基本保护的基础上, 再根据各个信息系统的重要程度, 采取高强度的保护措施。 4、 实现集中的安全管理 信息安全管理的目标就是经过采取适当的控制措施来保障信息的保密性、 完整性、 可用性, 从而确保信息系统内不发生安全事件、 少发生安全事件、 即使发生安全事件也能有效控制事件造成的影响。经过建设集中的安全管理平台, 实现对信息资产、 安全事件、 安全风险、 访问行为等的统一分析与监管, 经过关联分析技术, 使系统管理人员能够迅速发现问题, 定位问题, 有效应对安全事件的发生。 3.2.2 安全管理体系 仅有安全技术防护, 无严格的安全管理相配合, 是难以保障整个系统的稳定安全运行。应该在安全建设、 运行、 维护、 管理都要重视安全管理, 严格按制度进行办事, 明确责任权力, 规范操作, 加强人员、 设备的管理以及人员的培训, 提高安全管理水平, 同时加强对紧急事件的应对能力, 经过预防措施和恢复控制相结合的方式, 使由意外事故所引起的破坏减小至可接受程度。 3.2.3 安全运维体系 由于安全技术和管理的复杂性、 专业性和动态性, XX云平台系统安全的规划、 设计、 建设、 运行维护均需要有较为专业的安全服务团队支持。安全运维服务包括系统日常维护、 安全加固、 应急响应、 业务持续性管理、 安全审计、 安全培训等工作。 3.3 安全技术方案详细设计 天融信在本项目的整改方案设计中, 针对XX的三级等级保护整改建设, 依据一个中心三重防护的