云平台安全等保三级规划方案

10云平台信息安全等级保护规划方案目录\l“_TOC_250036“云计算带来的安全挑战 4\l“_TOC_250035“整体方案设计 4\l“_TOC_250034“根底安全设计 5\l“_TOC_250033“物理安全 5\l“_TOC_250032“机房选址 5\l“_TOC_250031“机房治理 5\l“_TOC_250030“机房环境 5\l“_TOC_250029“设备与介质治理 5\l“_TOC_250028“网络安全 6\l“_TOC_250027“安全域边界隔离技术 6\l“_TOC_250026“入侵防范技术 6\l“_TOC_250025“网络防病毒技术 6\l“_TOC_250024“WEB防火墙技术 7\l“_TOC_250023“网页防篡改技术 7\l“_TOC_250022“流量治理技术 7\l“_TOC_250021“上网行为治理技术 7\l“_TOC_250020“网络安全审计 8\l“_TOC_250019“主机安全 8\l“_TOC_250018“主机安全加固 8\l“_TOC_250017“运维堡垒主机 9\l“_TOC_250016“数据库安全审计 10\l“_TOC_250015“主机防病毒技术 10\l“_TOC_250014“漏洞扫描技术 10\l“_TOC_250013“应用安全 11\l“_TOC_250012“安全应用交付 11\l“_TOC_250011“VPN 11\l“_TOC_250010“安全治理中12\l“_TOC_250009“云计算平台安全设计 12\l“_TOC_250008“强身份认12\l“_TOC_250007“云安全防护系12\l“_TOC_250006“云安全运12\l“_TOC_250005“虚拟机安全设计 13\l“_TOC_250004“虚拟化安全防护要13\l“_TOC_250003“虚拟化安全方14\l“_TOC_250002“方案配置 18\l“_TOC_250001“方案合规性分18\l“_TOC_250000“三级系统安全产品配置清单19云计算带来的安全挑战IDC的调查格外具有代表性75考虑因素。IT资源的大集中，而随着资源的集中，相应的护要从建设云的阶段就开头规划设计，这样才能做到防患于未然。云计算在技术层面上的核心特点是虚拟化技术的运用带来的资源弹性和可云计算系统需要重构建安全防护体系。实施方案，以供参考。整体方案设计根底安全设计物理安全物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁机房选址避开设在建筑物的高层或地下室，以及用水设备的下层或隔壁。机房治理机房出入口安排专人值守，掌握、鉴别和记录进入的人员；需进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围；域；重要区域应配置电子门禁系统，掌握、鉴别和记录进入的人员。机房环境房应安装防静电活动地板。备和磁介质实施电磁屏蔽。设备与介质治理域监控、防盗报警系统，阻挡非法用户的各种接近攻击。监控系统的有效运行。对介质进展分类标识，存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。网络安全安全域边界隔离技术XX单位各安全域的边界全防范体系。部署设计：下一代防火墙部署于互联网出口，串行于网络中。入侵防范技术有必要。部署设计：下一代防火墙部署于互联网出口，串行于网络中。网络防病毒技术P2P软件带宽滥用等各种广的途径，净化网络流量。部署设计：下一代防火墙部署于互联网出口，串行于网络中。WEB防火墙技术XX等重要职责，暴露在互联网上，随时会面临黑客Web攻击方式多种多样，包括XSS缓冲区溢出、名目遍历、CookieWeb攻击，Web效劳能够持续牢靠的供给效劳WEB防火墙〔WAF设备〕格外有必要。部署设计：设备部署于网站效劳器之前，串行于网络中。网页防篡改技术XX等重要职责，暴露在互联网上，随时会面临网页被Web站点名目WAF上启用网页防篡改功能格外有必要。部署设计：设备部署于网站效劳器之前，串行于网络中。流量治理技术依据等级保护根本要求，三级业务系统应当在互联网出口处进展流量控低网络风险。因此，部署一套专业的流量治理设备格外有必要。部署设计：流量治理系统部署于互联网出口，串行于网络中。上网行为治理技术3〔重要效劳器区域、外部连接边界〕需网行为治理系统实现对内部用户访问互联网的行为进展监控、日志进展记录。部署设计：上网行为治理系统部署于互联网出口，串行于网络中。网络安全审计上网记录，便于信息追踪、系统安全治理和风险防范。志进展记录。部署设计：主机安全主机安全加固统的安全性所打算的，没有安全的操作系统的支持，网络安全也毫无根基可言。是被攻击的最终目标。统调用实现对文件系统的访问掌握，以加强操作系统安全性。可实现：加强认证，承受证书的方式来提高认证和授权的级别和强度对操作系统本身的加固，防止缓冲区溢出等攻击保护系统进程稳定运行，确保正常效劳的供给对注册表进展保护，制止非授权修改独特的授权模式，非授权程序无法运行系统用户的权限分别，尤其是超级用户一步对访问的时间、来源进展掌握部署设计：境，使业务系统能够安全、正常的运行。运维堡垒主机面的，总结起来主要有以下几点：IT设备访问的混乱。IT理方式造成了业务治理和安全之间的失衡。帐号、密码、认证、授权、审计等各方面缺乏有效的集中治理技术手段。目前，XX、运行关键业务、数据库应用、ERPXX治理，躲避越权访问或者误操作等带来的数据泄密及系统破坏风险。因此XX部署设计：Web方式登录运维审计系统，然后通过运维审计系统上呈现的访问资源列表直接访问授权资源。数据库安全审计部署设计：数据库审计部署于数据库前端交换机上，通过端口镜像收集信息。主机防病毒技术3层交换机、防火软件软件版本以及病毒特征库。部署设计：征库、定期全盘扫描病毒。漏洞扫描技术XX单位网络浩大、构造简单，部署的设备很多，由于不同部门用户的计扫描整个网络内的漏洞格外有必要，对整个网络的安全体系维护格外重要。部署设计：定期进展漏洞扫描，检查安全隐患。应用安全安全应用交付动完成切换，提升网络和应用的可用性，保障业务连续性。现优先级治理、带宽保障以及带宽的公正使用，提升应用体验。术兼容性，同时具有强大的应用层安全防护功能的安全应用交付产品〔SADC〕也是必不行少的。用场景。部署设计：载分担。VPNVPN技术实供给端对端、点到端的安全传输解决方案。部署设计：VPN设备旁路部署于核心交换机上，实现传输链路的加密。安全治理中心XX单位随着网络安全意识的增加、网络安全建设工作的推动，等级保护、分级保护和行业的信息安全治理等标准、标准的实施，越来越多的单位急需构建信息安全治理平台。鉴于其网络规模、业务应用和安全治理人员的实际状况，局部SOCXX单位统。部署设计：要部署安全插件。云计算平台安全设计安全隐患，在消灭安全损失之前进展解决。强身份认证的治理用户行为审计系统，可确保事后用户行为可溯源。云安全防护系统基于虚拟化层面的云安全防护用于保证云环境下虚拟网络和数据的安全。层防火墙。确保云操作系统自身的强健性，API的安全访问机制。云安全运维云安全运维用于支撑云数据中心安全运维，功能包括：实现对云环境中虚拟安全设备的集中治理；对虚拟机进展各种监控，并对监控数据分析生成报表；对宿主机和虚拟化设备的日志进展安全审计并进展深入分析。虚拟机安全设计来其虚拟系统自身的安全问题。安全威逼的消灭自然就需要方法来处理。虚拟化安全防护要点动态的安全虚拟机之间产生的攻击一旦虚拟机被别有认真的破坏人员掌握，受感染的虚拟机将会成为跳板,从虚拟机层面横向移动，窃取有价值的数据而不被传统的防护手段所觉察。攻击在虚拟器之中发生更高的安全需求用太多的物理资源。传统网络划分不再适合虚拟化环境很高的操作开销和影响业务灵敏性。防护东西向流量的全面防护方案。虚拟化安全方案在虚拟化数据中心的共享域和专有域，其密级、架构、功能都类似，故在设分析不同，虚拟化环境下同一个物理机当中的多个虚拟机中可能部署多个业务，vSwitch进展转发，不出物理机，Hypervisor深度结合，对进出每一个虚拟机的全部流量进展捕获、分析及掌握，从而实现虚拟平台内部东西向流量之间的防护。其具备的具体功能如下：功能强大的威逼防范供给对虚拟化平台的立体威逼防范，包括：恶意代码防护件时，可以生成警报日志。防火墙全部端口和协议，降低对效劳器进展未授权访问的风险。其功能如下：〔租户〕的虚拟机业务系统进展隔离，且无需修改虚拟交换机配置即可供给虚拟分段。IPMac规章过滤通信流。可为每个网络接口配置不同的策略。IP的协议：通过支持全数据包捕获简化了故障排解，并且可TCPUDPICMP等。IPARP通信流。能出于正常状况，也可能是攻击的一局部。〔WebLDAPDHCP、FTP和数据库地部署防火墙策略。可操作的报告：通过具体的日志记录、警报、仪表板和敏捷的报告，Deep〔如策略更改内容及更改者〕，从而供给具体的审计记录。入侵检测和阻挡(IDS/IPS)，使其免受攻击和零日攻击。SQL注入、XSS跨站脚本等攻击，攻击特征库可在线更或离线更。特别流量清洗〔DDOS〕进展防范，将特别的流量进展清洗，放行正常流量。WEB应用防护Web应用防护规章可防范SQL注入攻击、跨站点脚本攻击及其他针对Web应用程序漏洞攻击，在代码修复完成之前对这些漏洞供给防护，识别并阻Web应用程序攻击，并可实现网页防篡改功能。应用程序掌握程序或者恶意软件，并能够对网络中的非业务流量进展准确的限制。日志审计完整的流量记录，便于信息追踪、系统安全治理和风险防范。虚拟机之间的数据流量检查及掌握Hypervisor深度结合，在治理程序内部无缝实施安全防护措施。IPS等关施。增加动态虚拟化环境的安全性板自动实施安全策略。完全虚拟化的安全网关构造，并可降低网络延时、提升安全检测提升性能、优化部署本钱。者网关等多种部署方式。Web及相互感染，并可通过安全网关模块对不同业务进展访问掌握的隔离。对虚拟机供给即插即用的安全保护VLANvSwitch转变网路拓扑，削减治理运维本钱。统一治理通过特地的虚拟化安全治理平台对多个物理机之上的虚拟化安全网关模块上。根底安全产品功能分析功能防火墙IPSIDS防毒墙

位置业务网数据中心区域边界内部办公网边界业务网核心效劳器区域边界网络边界

作用对业务网进展独立防护，进展访问掌握、攻击防范对外部单位接入的各种数据交换进展访问掌握、入侵防范实时监控并阻断针对数据中心核心业务效劳器的入侵行为实时监控并阻断网络层传输的，针对数据中心核心业务的病毒和木马行为对外网用户的可信接入进展身份SSLVPN网关 外网边界

审计等，保护办公网内部效劳器资源的可用性，保障正常业务可控的访问对内部人员网络行为的约束与审上网行为审计网络流量掌握网页防篡改或WAF数据库审计

外网边界DMZ部署在效劳器网络中

计对网络流量进展整形，保障重要业务的网络带宽符合安全要求WEB被破坏主要是实现全部用户对数据库访问及操作的行为进展审计分析权、命令回放等对内部全部效劳器及应用系统的身份认证系统 部署在云安全治理中心区业务网与办公网边界安全隔离网闸 将来可用于业务网与其他机构外联边界

登录、身份识别进展认证及安全识别全面的监控和安全的身份认证与办公网进展适度的、可控的数据交换，同时保持业务网的高度隔离状态，保护核心业务效劳器的高度安全方案配置方案合规性分析标和优势，能够全面满足云数据中心信息安全建设的要求。三级系统安全产品配置清单序号 工程名称 配置要求 数量 单价〔一〕网络安全系统〔边界安全〕下一代防火墙上网行为治理流量治理WAF网络安全审计链路负载均衡〔二〕主机安全〔内部安全〕

集成防火墙、入侵防御、病毒防护等功能 4内部上网用户的行为治理和1审计重要信息系统应用的带宽保1障保障应用系统安全，防止攻1击，集成网页防篡改功能对网络行为及各系统日志进1行审计保证网络出口链路的冗余性、连续性，以及链路选路 2的合理性0.

主机安全加固运维