云平台安全等级保护建设项目安全技术方案详细设计

云平台安全等级保护建设项目安全技术方案详细设计天融信在本项目的整改方案设计中，针对XX的三级等级保护整改建设，依据一个中心三重防护的思路展开详细设计。具体设计面向以下的几个方面：信息安全拓扑设计互联网接入区安全设计互联网接入区作为云平台发布门户网站，用户接入，以及将来与各下属单位数据中心通过虚拟专网连接的重要接入区域，是XX的对外唯一通路。担负着重要的边界防护使命。本期方案计划部署如下安全产品：抗DDoS系统：部署两台千兆级别的抗DDoS系统，以A/S模式，透明方式部署；对入站方向的DDoS攻击流量进行清洗，保护内网直接对外服务的网站。防病毒过滤网关：部署两台千兆级别的防病毒过滤网关，以A/S模式，透明方式部署；对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗，主要保护内网中直接对外提供服务的网站，邮件系统，以及各办公终端。入侵防御系统：部署两台千兆级别的入侵防御系统，以A/S模式，透明方式部署；对入站方向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行阻断。接入防火墙：利用现有CiscoASA5555防火墙，以A/S模式，路由方式部署；负责入站方向IP包的访问控制，对DMZ区的WEB网站进行端口访问控制；另外开启VPN功能，对接下属机构数据中心，进行虚拟专网连接，同时第三方运维人员可借由VPN远程登入。此处接入防火墙作为纵深防御体系的第一道屏障，与内网各重要边界防火墙异构。DMZ区安全设计DMZ区承载XX的对外服务网站，担负着XX门户的重要使命。本区域中的安全设计主要针对WEB网站防护，网页防篡改等。本期方案计划部署如下安全产品：WEB应用防火墙：部署两台千兆级别的WEB应用防火墙，以A/S模式，反向代理方式部署；对WEB访问流量进行针对性防护。网页防篡改系统：部署一套网页防篡改软件系统（需安装在一台服务器中），通过文件驱动级监控+触发器的方式，监控所有对WEB实体服务器中网页内容的修改行为，只有来自WEB发布服务器的修改行为会被放行，其他一切修改行为将被阻断。核心交换区安全设计核心交换区主要由两台高性能核心交换机组成，作为整个内网的核心，负责所有内网区域间流量的交换转发。在此区域主要部署审计类安全产品，对网络中的流量进行行为审计和入侵检测。本期方案计划部署如下安全产品：网络审计系统：部署一台万兆级别的网络审计系统，以旁路方式，对接两台核心交换机的镜像端口；核心交换机需将其他安全域的流量镜像至网络审计系统，供网络审计系统审计记录；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全态势分析和展示。入侵检测系统：部署一台万兆级别的入侵检测系统，以旁路方式，对接两台核心交换机的镜像端口；核心交换机需将其它安全域的流量镜像至入侵检测系统，供入侵检测系统进行入侵行为检测；审计记录可通过报表展示给用户，并可发送至安全管理平台，进行综合的安全态势分析和展示。测试开发区安全设计测试开发区是对自研应用系统和新上线设备进行测试的区域，其中还包含重要的开发文档，对该区域的安全设计主要体现在边界访问控制（需筛选可建立连接的条件）。本期方案计划部署如下安全产品：测试开发区边界防火墙：部署两台千兆级别的防火墙系统，以A/S模式，透明方式部署；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制。安全管理运维区安全设计安全管理运维区是整个XX内网负责安全管理、安全运维和与之相关的用户管理、云平台管理、备份管理等各个组件的集合区域。是维系云平台正常运转，制定各类安全策略的核心区域。本期方案计划部署如下安全产品：安全管理运维区边界防火墙：部署两台千兆级别的防火墙系统，以A/S模式，透明方式部署；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制。日志审计系统：需新购置一台服务器级存储，安装日志审计软件，收集数据中心内其他各类IT组件的日志，并集中存储；另应提供备份存储空间，通过备份服务器将日志进行备份。安全管理平台：需提供一台服务器，安装安全管理平台软件系统（内置数据库），收集所有审计类安全设备的事件信息，并结合日志审计系统的日志信息，作统一事件关联分析，以及对内网各类资产进行风险评估。最终以图形化界面，展示全网安全态势。堡垒机：部署一台可管理300台设备/系统的堡垒主机，将所有IT组件的管理运维端口，通过策略路由的方式，交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理运维授权，并对运维操作进行审计记录（录屏和键盘操作记录）。防病毒系统：需提供两台服务器，分别安装虚拟机防病毒系统，和其他物理主机的防病毒系统；对全网主机（虚拟主机和非虚拟主机）进行统一的防病毒任务部署，防病毒进程管理，防病毒软件升级管理，以及中毒主机隔离等工作。终端安全管理系统：需提供一台服务器，安装终端安全管理系统，对办公终端进行安全监控和管理，实现网络准入，应用发布，补丁管理，移动介质管理，敏感文档防泄漏审计等功能。漏洞扫描系统：部署一台可单次任务扫描一个B类网段的漏洞扫描系统，对全网IT组件（主机操作系统、网络设备、安全设备、数据库、中间件、应用服务等）进行脆弱性发掘，并生成检查报告。结果可通过报表展示给用户，并可发送至安全管理平台，从而进行综合安全态势分析和展示。vShield组件：应在vCenter服务器中安装vShiled安全组件，从而实现虚拟机防火墙的功能，可进行VM级别的访问控制和流量控制，其策略可随VM动态迁移。vSphereUpdateManager服务器：应单独提供一台服务器（非虚拟机），安装vSphereUpdateManager组件，对vShpere环境进行补丁管理。AD域控及LDAP服务器：应部署AD域控服务器，及LDAP服务器。除了进行全网设备和个人的域登录管理外，还可结合众多的安全管理设备（如终端安全管理系统，将来的CA数字证书中心），为认证设备提供统一的用户管理。未来建议部署的安全产品包括：CA数字证书认证中心：在未来多应用迁入后，对应用参与者（包括个人终端、其他相关联主机）应进行强访问控制、身份鉴别以及抗抵赖等保护措施，尤其是符合等级保护的双因素认证需要基于PKI/CA的认证基础设施。需要注意：必须部署CA中心，并完成应用认证流程的梳理，使所有应用参与者均通过双因素认证后才能进入应用环境后，才可满足等级保护要求，在通过测评前，一定要将PKI/CA基础设施建立起来。文档安全管理系统：在应用数据迁入云平台后，会有专用的NAS类存储，为业务环境提供非结构化数据（主要为文档、文件）的存储和共享。需要使用文档安全管理系统对敏感文档下载后进行加密，并规定合法及非法文件传输出口，合法出口文档为明文，非法出口文档为密文。办公终端区安全设计办公终端区是所有办公终端的集合区域，是各类业务生产的起点。因其涉及众多终端使用者的不同安全素养，也因终端级操作系统的较多脆弱性，使个人终端成为了众多安全事件的起点。因此需要进行较为周全的安全防护。本期方案计划部署如下安全产品：办公终端区边界防火墙：部署一台万兆级别的防火墙系统作为本区域的边界防火墙；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功能组件，使其可应对复杂的个人终端流量。办公终端需安装的安全组件：应统一安装防病毒客户端，终端安全系统客户端（批量下载安装），使终端可接收相应安全防护系统的管理。云平台应用区安全设计云平台应用区承载着数据中心的核心业务，也是本次建设方案的核心保障区域。云平台应用区主要通过虚拟化技术实现应用的承载，使用VMwarevSphere平台进行虚拟化环境的建立和管理。内置公共教育云、XX云及科研云，按其提供业务的不同进行区分。建议每个云组成一个Cluster，各自包含多台ESXi主机，这些ESXi主机上的虚拟机共享Cluster内部的计算资源。VM可在Cluster内部的多台ESXi主机上进行迁移，通过DRS进行计算资源负载均衡，通过vSphereHA进行高可用性管理。Cluster之间如需进行通信，则应将同心流量牵引至云平台的边界防火墙，进而通过数据安全交换区进行通信信息安全过滤，并完成交换（后文将详述）。本区域内的安全设计，主要包括边界安全，安全审计，虚拟化安全，数据备份等四个部分。本期方案计划部署如下安全产品：云平台应用区边界防火墙：部署两台万兆级别的防火墙系统作为本区域的边界防火墙；筛选可以建立的连接（规定内网中哪些IP地址可以访问本区域，规定区域内的应用系统端口开放策略），通过策略完成访问控制；另外需要加装IPS、防病毒、应用识别及管控功能组件，使其可应对复杂的应用流量。安全审计类产品：部署在核心交换区的网络审计系统和入侵检测系统，将同时分别提供两个千兆审计接口，连接本区域的汇聚交换机镜像端口，着重审计云平台边界处的流量信息。当多租户系统迁入后，将把租户间流量牵引至本区域汇聚交换机，进而镜像至审计设备进行审计记录。虚拟化安全：vSphere虚拟化平台，及其相关网络、VM组件的安全主要靠vSphere提供的安全组件完成。包括vShield（提供VM防火墙、防病毒功能），DRS（计算资源负载均衡），vMotion（虚拟机动态迁移），vShpereHA（VM高可用性管理），Snapshot（VM快照备份管理）。备份服务器：接收安全管理运维区的备份管理服务器管理，并根据其策略执行具体的备份操作。数据安全交换区安全设计（加强型建议规划）数据安全交换区主要负责多个云之间的数据安全隔离和数据交换，以及下属机构远程信息交互的工作。因云平台应用区中的公共教育云、XX云以及科研云中，只应允许有限的信息交互（一般为数据库同步，部分电子XX信息同步）。尤其对于科研云，其中的应用数据对于XX至关重要，不容轻易泄露或篡改；其中的数据应以数据库同步，电子XX同步等方式定期更新至XX云和公共教育云中；而且执行更新操作的起点应通过专有的应用进行，在本方案中，采用云平台应用区的数据同步管理服务器进行。因此，设立专有的数据安全交换区。此区域仅作为安全加强型的建议规划，可以考虑在应用及数据迁入后着手进行。安全隔离与信息交换系统：该系统由三部分构成：前置服务器、双向网闸、后置服务器。前置服务器：数据导入前，对数据的传输源进行身份鉴别，确认传输源发出的请求可信（可通过同步服务器IP/MAC进行确认）；认证成功后，对数据进行格式检查，内容安全过滤（IPS、防病毒等），为数据通过双向网闸做好准备。双向网闸：网闸也是由三部分组成，一般为“2+1”结构。如下图：双向网闸的网络两端在无数据传输时保持网络断路，隔绝了一切网络传输协议。当数据需要传输时，则采用摆渡的方式，将数据通过内部私有传输协议逐步导入到对端，在过程中，网络仍然保持断路。极高的保护了内部重要网络的机密性。后置服务器：接收网闸传输过来的数据，并进行完整性校验；若完整性受损，则回传重传信号；数据校验合格后，进行日志记录，并发送至内网。数据存储区安全设计本区域承载所有应用系统的业务数据，是IT业务使命的根基所在。用户已经采购了IBM企业级存储及磁带库，具备极高的数据完整性，可用性保护。在此进行的安全设计主要针对数据机密性保护。本期方案计划部署如下安全产品：数据库防火墙：部署在Oracle数据库之前，串联保护4台数据库服务器的多个数据库实例。提供数据库虚拟补丁库，针对应用侧和运维侧的不同数据库访问模式，进行具体的SQL语句控制策略；同时针对SQL注入攻击，进行SQL语句建模式威胁判别，并进行具体的防护；针对高危SQL语句，如：NoWhere的批量更新、批量删除语句，可进行策略性阻断。数据库加密系统：需提供两台服务器，安装数据库加密与加固系统，形成主备模式。需在对应保护的4台Oracle服务器中安装加解密管理控件（部署配置后自动安装），然后配置加密策略，对重要数据库表中的机密数据列进行加密，支持一列一密。应重点保护存放个人信息的数据库表（如身份证号等），实现重点数据列的加密保护。即使出现拖库，盗库等行为，也无法获取明文数据，明文数据的获取仅限授权应用使用。安全计算环境设计系统安全保护环境是基于高等级安全操作系统，推行可信计算技术，实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。高等级安全操作系统由终端操作系统入手，采用安全控制、密码保护和可信计算等安全技术构建操作系统安全内核，针对应用定制安全策略，实施集中式、面向应用的安全管理，达到在终端保证系统环境安全可信，防止病毒、黑客的入侵破坏，以及控制使用者非法操作的目的，并由此全面封堵病毒、黑客和内部恶意用户对系统的攻击，保障整个信息系统的安全。安全计算环境旨在为XX云平台中的应用服务及其参与者提供安全保障环境。鉴于目前的建设进度，安全计算环境的保障主要面向今后应用迁入后的安全环境保障，本期能够进行实施的安全措施较少。用户身份鉴别为了保证网络信息的保密性，完整性，可控性，可用性和抗抵赖性，信息系统需要采用多种安全技术，如身份鉴别、信息加密、信息完整性校验、抗抵赖等。而对于XX的云平台，用户种类又分为两种：业务用户，管理员用户。对于不同用户的访问行为，将通过不同的机制实现其身份鉴别。CA数字证书认证（本期不包含）针对业务用户访问的身份鉴别的实现主要依靠CA系统的数组证书技术及产品。CA数字证书系统应作为今后健康云，智慧云各相关业务应用系统身份管理的基础设施，是信息安全基础平台的基础组成部分。应用及系统的身份认证、授权管理以及责任认定等机制都是依赖与CA认证系统平台。数字证书是基于PKI/CA的认证基础设施，在等级保护三级基本要求中对于应用系统用户鉴别有明确的双因素认证要求：即结合现有应用系统已具备的静态密码账号认证，实现双因素身份验证。达成这种认证方式目前有两种主流方法：应用系统身份鉴别机制改造：即将所有应用系统的登录环节进行必要的改造，使之适应双因素认证的要求。此外，在应用系统众多的环境下，可以考虑使用4A系统（统一身份认证管理系统），统一登录门户，统一用户账号管理，统一进行用户角色授权管理，统一进行用户登录应用审计；使用户通过一次单点登录的方式，完成对其授权的应用系统的鉴别机制，使其可以访问任何经过授权的应用系统而无需再次填写登录信息；通过身份认证网关：不改变应用系统的登录验证机制，而是在所有应用系统的前端部署身份认证网关，在网关处完成数字证书认证，经过授权管理，展示用户可访问的系统列表。在登入对应系统后，用户再次完成针对该应用的静态账户认证。因目前XX云平台尚无应用，因此以PKI/CA为基础设施的身份鉴别机制目前还无法细化至落地的层面，仅在此提出未来应建设的方向。本期方案中暂不考虑部署PKI/CA基础设施。堡垒机针对管理用户访问的身份鉴别主要由堡垒机实现，通过将各设备、应用系统的管理接口，通过强制策略路由的方式，转发至堡垒主机，从而完成反向代理的部署模式，实现对管理用户的身份鉴别。目前阶段，可将各类设备（网络设备、安全设备、非虚拟化主机服务器）以及虚拟化平台的vCenter管理接口，对接至堡垒机，由堡垒机完成单点登录、身份鉴别。非结构化数据的保护（本期不包含）通过文档安全管理系统对每个受控文件作安全标记，表明该文件的保密性级别和完整性级别，以及与完整性相关的签名，文件在整个生存周期中，除非经管理中心重新定级，否则安全标记全程有效。强制访问控制，是根据安全策略来确定该用户能否对指定的受控文件进行操作。比如安全策略规定，高密级用户可以访问同密级和低密级文件；反之，低密级用户则被强制禁止访问高密级文件。当然，管理中心可以根据实际应用环境制定相应的安全策略。此外，通过文档安全管理系统为每个合法用户自动分配一个私有加密目录——自动文件保密柜。所有进入该目录的文件存储时都被自动加密，合法用户打开该目录下的文件时自动脱密。为了保证私有信息的私密性，任何用户都不能查看和操作其他用户自动文件保密柜内的文件。目前数据中心云平台业务数据尚未进入，本期方案不包含对文件的强制访问控制管理。结构化数据机密性、完整性、可用性保护结构化数据主要存储在数据库表中，同时也作为非结构化数据的索引。本期方案通过数据库防火墙来对结构化数据进行机密性、完整性的保护。数据库防火墙通过代理方式，接管DBMS的认证过程，在与前台应用对接后，可以实现应用实名认证，实名审计；同时加强对运维侧的访问控制，可以与AD域控结合，进行域登录认证；可以与堡垒机结合，完成代理登录。通过数据库加密与加固系统，对重要数据库表中的机密数据列进行加密保护，仅限授权应用调用明文的数据，其他盗库行为即使成功，也只能获得密文数据。另外，通过数据库防火墙的前置数据库补丁库，使数据库不用停机升级，维护业务的可用性，并综合增强数据库的健壮度。虚拟机数据加密虚拟机镜像无论在静止还是运行状态都有被窃取或篡改脆弱漏洞。对应解决方案是在任何时刻对虚拟机镜像（image）进行加密，但这又会导致性能问题。在安全性要求高或有法规要求的环境下，（加密的）性能成本是值得的。加密必须与管理性措施、审计踪迹配合以防止运行中虚拟机的快照（Snapshot）“逃到野外”，从而给攻击者获取快照中数据的机会。vCenter因封闭性较好，已经对VM的文件进行了良好的加密措施。只能通过vCenter平台对虚拟机文件进行明文访问。客体安全重用客体安全重用指的是操作系统内核对敏感数据进行完全擦除，在不同的用户登录使用时，将对原使用者的信息进行清除，确保数据不被恶意恢复而造成信息泄露。在vCenter中，已提供了虚拟存储数据清除手段，即：采用ThickProvision的VMFS，在进行删除时，可确保能够在物理存储设备级别上被有效清除。例如镜像文件、快照文件在迁移或删除虚拟机后能被完全清除；租户解除使用的存储资源的所有数据在物理存储设备级别上被有效清除。双因素认证（本期不包含）等级保护中要求三级系统应支持用户标识和用户鉴别，确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用强化管理的口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。应要求在应用内部系统对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。在系统中部署双因素认证产品，在使用用户名、密码的同时，再采用物理认证因素，两种认证方式同时采用，由于需要系统用户身份的双重认证，双因素认证技术可抵御非法访问，提高认证的可靠性，降低来自内/外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯，同时也为安全事件的跟踪审计提供一定依据。双因素认证的方式可根据实际情况进行采用，如口令+令牌、口令＋数字证书、口令+生物识别等。分析几种方式的适用性、可行性、易操作性等方面因素，结合XX系统及用户群的实际情况及特点，建议使用基于数字证书的认证方式。办公终端安全审计计算环境的系统审计主要针对系统及应用层面的主机审计。即对上机用户的行为进行监督管理，将使用过程中重要信息记录并发送到审计中心，审计员能掌握全面情况，便于发现“可疑”情况，及时追查安全事故责任。通过网络行为审计系统实时对网络中服务器和用户终端的访问与操作进行监测审计，可以掌握每个主机的资源使用情况，监测主机接入的合法性，记录对文件系统的访问操作行为，记录对各外设的操作，监测加载的程序和进程，监控对外部网络的连接和访问。另外，通过数据库防火墙针对数据库进行保护和审计，通过终端安全管理系统对终端用户操作行为进行审计。虚拟化计算环境中的安全审计应设置vCenter的日志外发至日志审计系统，并通过安全管理平台对其日志进行分析和评估。云平台计算环境内的计算组件（ESXi主机、VM、虚拟化网络等）主要审计手段则通过IBM云平台管理系统进行审计。应保证日志保存期至少6个月。运维审计建议在安全管理运维区部署运维审计系统（通称堡垒主机），对核心IT设备的管理员用户提供集中登录认证、权限控制和操作监控。被管理资源包括服务器、数据库、交换机、路由器、防火墙及其他安全设备等。通过部署运维审计系统（内控堡垒主机），可以实现以下功能：单点登录内控堡垒主机提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S的应用系统。账户管理集中帐号管理包含对所有服务器、网络设备帐号的集中管理，是集中授权、认证和审计的基础。集中帐号管理可以实现将帐号与具体的自然人相关联，从而实现针对自然人的行为审计。身份认证内控堡垒主机为用户提供统一的认证界面。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，包括静态密码、双因素、一次性口令和生物特征等多种认证方式，而且可以方便地与第三方认证服务对接，提高认证的安全性和可靠性，同时又避免了直接在业务服务器上安装认证代理软件所带来的额外开销。集中身份认证建议采用基于静态密码+数字证书的双因素认证方式。资源授权内控堡垒主机提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S对服务器主机、网络设备的访问进行审计。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。访问控制内控堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。操作审计操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。为了对字符终端、图形终端操作行为进行审计和监控，内控堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议，Linux/Unix平台的XWindow图形终端访问协议等。堡垒机的审计数据应提供专有的存储系统，进行集中存储保留，保留期应在6个月以上。恶意代码检测针对应用系统的恶意代码检测防护，主要是针对进行服务器终端的病毒防护以及WEB应用木马程序的检测。防护各类常见的WEB应用攻击，如蠕虫、跨站脚本、网页盗链、以及WEB应用挂马等。通过定期的安全防护可以检测WEB应用挂马。具体防护操作包括：及时下载并安装补丁程序使用Firefox或Opera健壮的系统口令关闭不必要的系统服务关闭自动运行功能服务器防病毒系统必须重视集中的管理、监控和升级，提高管理效率。同时，因为服务器往往运行重要的应用服务，因此，必须注意防病毒软件对服务器性能、功能以及稳定性的影响。同样，它必须能够提供对集中管理平台的接口，实现整体监控。建立防病毒系统的集中管理平台。通过管理控制台，实现对全网络防病毒系统的安装、配置、管理和监控。加强防病毒系统的管理效果，节约人力资源，提高管理效率。在XX云环境中，对于服务器防病毒系统，应分为两个部分：虚拟化主机防病毒系统：可通过采购vShield防护组件，添加VM的主机防病毒功能，或采购趋势科技，卡巴斯基等得到VMware开放VM接口的防病毒厂商的专有适应vSphere环境的主机防病毒系统；物理主机防病毒系统：对于非虚拟化环境的物理主机（包括服务器主机，终端主机），则采用传统的网络防病毒系统进行恶意代码检测及防护。虚拟化主机安全针对vSphere虚拟化环境，主要通过VMware自有的安全机制进行防护。a）通过vCenter提供实时的虚拟机监控机制，通过带内或带外的技术手段对虚拟机的运行状态、资源占用、迁移等信息进行监控。b）通过vCenter制定详细的管理权限设定，确保虚拟机的镜像安全，并保证：1）提供虚拟机镜像文件完整性校验功能，防止虚拟机镜像被恶意，越权篡改。2）采取有关措施保证逻辑卷同一时刻只能被一个虚拟机挂载。c）实现虚拟化平台的资源隔离，并保证：1）应通过vCenter的DRS自动方式（需要开启vShpereHA），对每个虚拟机都能获得相对独立的物理资源，并能屏蔽虚拟资源故障，确保某个虚拟机崩溃后不影响虚拟机监控器（Hypervisor）及其他虚拟机。2）虚拟机只能访问分配给该虚拟机的物理磁盘。3）不同虚拟机之间的虚拟CPU（vCPU）指令实现隔离。4）不同虚拟机之间实现内存隔离。5）虚拟机的内存被释放或再分配给其他虚拟机前得到完全释放。6）保证虚拟机之间采用较为温和的方式（迁移阈值MigrationThreshold可设置为中等级别）进行动态的负载均衡，避免出现资源恶意抢占。d）提供资源隔离失败后的告警措施。e）支持虚拟机安全隔离，在虚拟机监控器（Hypervisor）层提供虚拟机与物理机之间的安全隔离措施，可控制虚拟机之间以及虚拟机和物理机之间所有的数据通信。f）提供虚拟化平台操作管理员权限分离机制，设置网络管理、账户管理、系统管理等不同的管理员账户。g）将虚拟化平台的各类操作和事件作为可审计事件，进行记录和追溯。h）确保虚拟镜像模板的配置正确性，并明确模板的谱系来源。虚拟化平台安全vShpere虚拟化平台需被锁定并参照最佳实践进行加固，具体请参照VMwarevSphere最佳实践建议（vShpereOptimized）进行虚拟化平台的加固。可在最大程度上确保虚拟化平台脆弱性得到抑制。安全区域边界设计安全区域边界方面的安全设计主要从区域边界的访问控制、边界协议过滤、区域边界完整以及安全审计等方面设计。在本期方案中是着重进行设计的方面。租户边界访问控制由于多租户共享机制、资源的集中共享可以满足多个客户不同时间段对资源的峰值要求，避免按峰值需求设计容量和性能而造成的资源浪费。因此势必造成不同租户使用同一资源的现象，为了避免不同租户间的资源互访，提出一种灵活的访问控制策略,它一方面保证云端不同企业之间数据的强隔离性，使某租户无法越权访问其他租户数据。另一方面保证云存储内部数据的适度隔离，即可以根据租户自身的安全需求灵活定制内部策略。不同租户之间，应通过VLAN划分进行业务隔离，并强调每一类VLAN业务的VM主机防火墙配属严密的访问控制策略，按照最小授权的原则进行访问控制策略的制定。此外，不同租户系统之间的访问流，应经由云平台的物理汇聚交换机进行转发，而不能仅通过vSwitch级别进行转发，以便安全审计类设备可以对这些通信进行安全监控、访问控制。因为VMware不开发开发接口，导致国内安全厂商对vSwitch流量不可视，只能通过策略路由将租户间流量引导至汇聚交换机，才可实现流量可视，并进行审计。区域边界访问控制网络区域边界通常是整个网络系统中较为容易受到攻击的位置，很多来自外部的攻击都是通过边界的薄弱环节攻击到网络内部的。而安全域的边界也需要做安全防御，以保证安全域内的信息安全以及安全域内与其他安全域间的数据的受控的访问。因此网络及安全域边界需要进行着重的安全防御设计。内部各个安全域的边界主要通过部署防火墙、网络入侵检测产品、病毒防护网关等设备，配以合理的安全防护策略以及考虑到各个安全产品间的联动互补。不用业务应用系统在云平台上的业务边界，采用划分不同的VLAN实现，业务边界的隔离。安全产品的选型除了需要考虑产品自身的功能、性能、价格等因素外，还需要考虑系统的异构性、可管理性等因素。异构性可以提高系统整体的抗攻击能力，防止由于某个产品的脆弱性造成系统整体的安全漏洞；可管理性通过安全管理中心实现系统全网非虚拟化区域设备的集中安全管理。本方案通过在各个安全域边界部署防火墙系统进行区域边界的访问控制。区域边界安全审计区域边界的安全审计主要着重针对网络边界的进出访问进行系统审计。如针对非法外联、违规接入、外部恶意嗅探、DDOS攻击等等。网络边界审计通过对网络进行监测、报警、记录和审计；统计网络各种应用流量和用户IP流量，了解网络带宽和应用的使用，发现存在的问题，提高网络使用效率。通过丰富的审计数据和统计数据，及时发现异常应用，帮助管理者快速分析定位问题对象。本方案中通过在核心交换机，及云平台汇聚交换机上旁路部署网络审计系统和入侵检测系统，对区域边界进行安全审计。区域边界恶意代码防范区域边界的恶意代码防范主要是针对网络数据包中的病毒、木马等恶意程序及代码进行实时的防护，通过部署网络层的防病毒网关手段来实现，本项目中使用了专业的防病毒过滤网关系统来实现互联网接入区域边界的恶意代码防范，通过携带防病毒功能的下一代防火墙系统对云平台边界、办公终端区边界进行恶意代码防范。区域边界完整性保护网络区域边界完整性保护主要内部主机防非法外联以及外部主机防非法接入两个方面考虑。防止由于以上两种行动造成网络边界非法外延，边界不完整。当前，对于防网络非法接入以及非法外联，主要通过终端安全管理系统实现相应功能。终端安全管理系统为了达到安全管理的目标，主要包括如下功能类：1）桌面安全防护2）内网资产管理3）行为管理监控具体功能包括：限制非法外联行为，防止商业机密泄漏；实时监控各种网络连接行为，发现并且阻断可疑上网行为，保护内网资产。网络接入控制，防止外部非授权许可的和主机接入。阻止各种内网攻击防止黑客、木马、间谍软件攻击、蠕虫病毒爆发、非法探测扫描等攻击企图与攻击行为；对终端设备实施强制网络接入控制。提高内网资源使用效率远程策略管理、资产管理与控制、防止内网资源的滥用行为，限制应用软件的滥用（BT、P2P、即时通讯软件）。一、防非法外联设计非法外联作为终端防护的重要技术功能，可以有效的对内部网络环境实施管理，可以对内网外联及非内网主机的接入作监控；对主机开机上线、关机下线信息以及主机名、主机物理地址（MAC地址）改变等信息进行报警。所有事件的详细信息都自动录入数据库，可以提供包括对指定时间段范围、IP地址段范围、事件类型等条件的组合查询，方便网络管理员对安全事件的事后分析。非法外联监控系统应该实时检测内部网络用户通过调制解调器、网卡等设备非法外联互联网行为，并实现远程告警或阻断。二、网络可信接入功能设计能够按照指定的策略控制机器对网络的接入，保证只有认证通过的机器才能够接入网络，防止存在安全隐患或未经授权的机器接入内网，在网络接入层控制非法终端连接，支持IEEE802.1x端口认证的工业标准。对于不支持IEEE802.1x交换环境，采用软件控制的方式实现对终端设备的安全接入控制。根据网络环境，用户可以选择在不同网段分别启用802.1X认证、非802.1X认证、不启用网络准入认证组合。安全通信网络设计网络冗余设计单线路、单设备的结构很容易发生单点故障导致业务中断，因此对于提供关键业务服务的信息系统，应用访问路径上的任何一条通信链路、任何一台网关设备和交换设备，都应当采用可靠的冗余备份机制，以最大化保障数据访问的可用性和业务的连续性。建议对于核心交换、边界防火墙以及内部重要安全域的交换机等系统，均采用冗余热备的部署方式，以提升网络系统的整体容错能力，防止出现单点故障。网络安全审计基于网络的安全审计包括了对网络信息的监控和审计。所谓监控就是实时监控网络上正在发生的事情，而审计则是分析网络内容，以发现可疑的破坏行为和有害信息，并对这些破坏行为采取相应的措施，如进行记录、报警和阻断等。特别是针对虚拟机网络通信的审计，需要虚拟化平台能够将虚拟机的通信流通过流量牵引或者API接口等方式给审计系统。网络的监控与审计是继防火墙、入侵检测之后的又一种网络安全手段。目前很多国际规范以及国内对重要网络的安全规定中都将安全审计放在重要的位置。安全审计有助于对入侵进行评估，是提高安全性的重要工具。审计信息对于确定是否有网络攻击的情况发生，以及确定问题和攻击源都非常重要。通过对安全事件的不断收集与积累并且加以分析，可以为发现可能的破坏性行为提供有力的证据。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。通过它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。审计信息对于确定是否存在网络攻击的情况，以及确定问题源和攻击源，都很重要。同时，安全事件的记录有助于更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证基础。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，为发现或可能产生的破坏性行为提供有力的证据。安全审计系统应该覆盖整个安全系统的重点部分，这样才能保证整体的安全。因此，网络安全审计系统是对网络进行全面审计的系统。该系统能够在网络上建立起一套完整的安全监控体系，如同在网上建立一支网络巡警队伍一样。安全审计也可以利用数据库、操作系统、安全保密产品和应用软件的审计功能。但对于重要的网络信息系统应采用专用设备进行安全审计。安全审计包括监控、管理和审计三大功能。其中，监控功能对需监控的网络及主机进行基于安全策略的监视和控制；管理功能让安全管理人员能够及时了解网络中被监控主机资源与安全事件相关的使用状况，如外设使用、网络应用、进程/应用程序等等，以及对服务器的访问及网络应用行为情况；审计功能能够对监控过程产生的记录进行分析、统计，以便发现安全违规的应用与操作行为。网络数据传输机密性和完整性保护为实现数据在网络间传输过程中的机密性、完整性保护，核心设计思想是以密码技术为核心，对于有传输需求的业务应用和管理，通过在网络边界部署网络加密设备，从而在公共网络平台上构建VPN虚拟通道，将传输的数据包进行加密，保护传输数据的机密性和完整性。通过CiscoASA5555防火墙的VPN功能，构建VPN加密通道。利用VPN技术组建网络安全平台的思想是：在中心节点及各个地方节点网络的出口处，部署网络加密设备，并将所有的VPN设备纳入全网统一的安全管理机构的管理范围，使VPN设备按照设定的安全策略对进出网络的IP数据包进行加/解密，从而在IP层上构建起保障网络安全传输的VPN平台，为不同节点网络内计算机终端之间的连接安全和传输安全提供有力的支撑和保障。由于工作在网络层，则上层的应用系统和业务系统无需做任何更改即可实现安全通信。采用安全保密性很强的VPN技术，利用VPN设备所具有的身份鉴别/认证、数据加/解密以及访问控制等安全保密功能，可以将广域网络中存在的密级较高敏感信息与其他信息进行安全有效地隔离。这样可以有针对性地满足网络传输的安全需求，实现信息的正确流向与安全传输，在提高网络安全风险抵抗能力的基础上实现对网络的整体逻辑屏蔽与隔离。由于VPN技术通过在网络层对IP数据包进行相应安全处理来组建安全传输通道，故采用VPN技术组建的虚拟专用网络无须考虑底层链路传输协议，具有极强的适应性和广泛性。虚拟化网络安全通过vShield安全组件为云中的虚拟网络资源（如VLAN（虚拟局域网）上的VM（虚拟机）