XX云数据中心安全等级保护建设方案.doc

1、1 项目综述 1.1 项目背景 为了保障基于“健康云” 、 “智慧云”的 XX 数据中心，天融信公司依据公安 部关于开展信息系统等级保护安全建设整改工作的指导意见公信安2009 1389 号)的要求，贯彻“通过组织开展信息安全等级保护安全管理制度建设、 技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管 理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有 效保障信息化健康发展，维护国家安全、社会秩序和公共利益”的方针，为 XX 数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建 设，全面开展信息安全等级保护建设整改工作。 1.2 安全目标

2、XX 的信息安全等级保护建设工作的总体目标是： “遵循国家信息安全等级保护有关法规规定和标准规范，通过全面开展信 息安全等级保护定级备案、建设整改和等级测评工作，进一步实现对整个新建 云平台的信息系统安全管理体系和技术防护体系，增强信息安全保护意识，明 确信息安全保障重点，落实信息安全责任，切实提高系统信息安全防护能力， 为整个云平台的顺利建设和信息化健康发展提供可靠保障。” 具体目标包括 （1）体系建设，实现按需防御。通过体系设计制定等级方案，进行安全技 术体系、安全管理体系和安全运维体系建设，实现按需防御。 （2）安全运维，确保持续安全。通过安全监控、安全加固等运维手段，从 事前、事中、事

3、后三个方面进行安全运行维护，实现持续性按需防御的安全需 求。 （3）通过合规性建设，提升 XX 云平台安全防护能力，保障系统信息安全， 同时满足国家等级保护的合规性要求，为信息化工作的推进保驾护航。 1.3 建设范围 本方案的设计范围覆盖 XX 的新建云平台基础设施服务系统。安全对象包 括： 云内安全：虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化 主机的安全防护； 云外安全：虚拟化环境以外的网络接入，核心交换，存储备份环境。 1.4 建设依据 1.4.1 国家相关政策要求 （1） 中华人民共和国计算机信息系统安全保护条例（国务院 147 号 令）； （2） 国家信息化领导小组关于加强信息

4、安全保障工作的意见（中办发 2003 27 号）； （3） 关于信息安全等级保护工作的实施意见（公通字200466 号）； （4） 信息安全等级保护管理办法（公通字 200743 号）； （5） 信息安全等级保护备案实施细则（公信安20071360 号）； （6） 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 （发改高技20082071 号）； （7） 关于开展信息安全等级保护安全建设整改工作的指导意见（公信 安20091429 号）。 1.4.2 等级保护及信息安全相关国家标准 （1） 计算机信息系统安全保护等级划分准则（GB17859-1999）； （2） 信息安全技术 信息

5、系统安全等级保护实施指南（GBT 25058- 2010）； （3） 信息安全技术 信息系统安全保护等级定级指南（GB/T22240- 2008）； （4） 信息安全技术 信息系统安全等级保护基本要求（GB/T22239- 2008）； （5） 信息安全技术 信息系统等级保护安全设计技术要求（GB/T 25070-2010）； （6） 信息安全技术 信息系统安全等级保护测评要求； （7） 信息安全技术 信息系统安全等级保护测评过程指南； （8） 信息安全技术 信息安全风险评估规范（GB/T 20984-2007）； （9） 信息安全技术 信息系统安全管理要求（GB/T 20269-2006）；

6、 （10 ） 信息技术 安全技术 信息安全管理体系要求（GB/T 22080- 2008（ idt ISO/IEC 27001:2005）； （11 ） 信息技术 安全技术 信息安全管理实用准则（GB/T 22081- 2008（ idt ISO/IEC 27002:2005）； （12 ） 信息安全技术 信息系统通用安全技术要求 （GB/T 20271- 2006）及相关的一系列具体技术标准。 2 云安全等保风险分析 由于本系统是新建设系统，并且尚未部署应用。机房环境目前已经非常完 备，具备很好的物理安全措施。 因此当前最主要的工作是依据等级保护基本要求，着重进行网络层、主机 层、数据层等方

7、面的等级保护安全技术建设工作。 此外，天融信具有等级保护的专家团队，深入了解国家等级保护相关政策， 熟悉信息系统规划和整改工作的关键点和流程，将通过等级保护差距分析、文 档审核、现场访谈、现场测试等方式，发掘目前云平台系统与等保技术和管理 要求的不符合项。并针对不符合项，进行逐条分析，确认建设方案。 在云架构下传统的保护模式如何建立层次型的防护策略，如何保护共享虚 拟化环境下的云平台建设中需重点考虑的环节；健康云和智慧云将实现基于云 的数据存储和集中管理，必须采用有效措施防止外部入侵和内部用户滥用权限； 在信息安全保障体系实现时仍需满足国家信息安全等级保护政策要求，同时需 要解决信息安全等级保

8、护政策在云计算技术体系下如何落地的重要课题。 健康云和智慧云计算平台引入了虚拟化技术，实现数据资源、服务资源、 平台资源的云共享，计算、网络、存储等三类资源是云计算平台依赖重要的系 统资源，平台的可用性（Availability ） 、可靠性（Reliability） 、数据安全性、运 维管理能力是安全建设的重要指标，传统的密码技术、边界防护技术、入侵检 测技术、审计技术等在云计算环境下仍然需要，并需要针对云计算给信息安全 带来的新问题，重点解决，虚拟化安全漏洞，以及基于云环境下的安全监控、 用户隔离、行为审计、不同角色的访问控制、安全策略、安全管理和日志审计 等技术难点，这就更加需要借助内外

9、网等级保护的建设构建满足健康云、智慧 云平台业务需要的安全支撑体系，提高信息化环境的安全性，并通过运维、安 全保障等基础资源的统一建设，有效消除安全保障中的“短板效应” ，增强整个 信息化环境的安全性。 2.1 合规性风险 XX 云平台的安全建设需满足等级保护三级基本要求的标准，即需要建设安 全技术、管理、运维体系，达到可信、可控、可管的目标。但是目前在云计算 环境下的等级保护标准尚未出台，可能会面临信息系统可信、可控、可管的巨 大挑战，如下图： 此外，在今后大量 XX 自有应用以及通过 SaaS 方式，纵向引入各下属单位 应用。为了满足各类不同应用的合规性需求，需要在安全技术、运维、管理等

10、方面进行更加灵活、高可用性的冗余建设。 2.2 系统建设风险 虚拟化平台架构，品牌的选择是一个很慎重的问题。其架构依据不同品牌， 导致接口开放程度不同，运行机制不同。而与虚拟化平台相关的如：信息系统 应用架构、安全架构、数据存储架构等，都与虚拟化平台息息相关，也是后续 应用迁入工作的基础。此外，在后期迁入应用，建设过程中的质量监控，建设 计划是否合理可靠等问题，均有可能造成风险。以下为具体的风险： 2.2.1 应用迁入阻力风险 XX 的云平台规划愿景包括：应用数据大集中，管理大集中，所以要求今后 非云环境的各类应用逐步的迁移入虚拟化环境，各应用的计算环境也需要调整 入虚拟化环境。由此可能会引发

11、一些兼容性风险问题，带来迁入阻力的风险。 2.2.2 虚拟化平台品牌选择风险 因现有虚拟化平台已经采购完成，是 VMware 的 vSphere 虚拟化平台，因其 对国内其他 IT 平台，尤其是对国内安全厂商的开放性严重不足，导致许多安全 机制无法兼顾到云平台内部。 因此造成了安全监控、安全管理、安全防护机制在云平台内外出现断档的 现象，使现有的自动化安全管理、网络管理、安全防护等措施无法有效覆盖虚 拟化环境。 2.2.3 建设质量计量、监督风险 因为本次 XX 云平台的建设打算采用市场化建设的方式进行，但是现有云计 算平台是否符合建设要求，是否符合安全需求，如何进行质量的计量，如何进 行评审

12、监督，都是亟待解决的问题。 2.2.4 安全规划风险 在云平台的规划过程中，应同时规划安全保障体系的；保证在建设过程中， 同步实施计算环境和安全保障建设。如出现信息安全建设延后，可能带来保障 体系的脆弱性，放大各其他基础设施的脆弱性，导致各类安全风险的滋生。 2.2.5 建设计划风险 云平台的建设因其复杂性，导致系统投入使用前，需要进行完善详实的规 划、设计和实施。需协调好各相关部门，以及第三方合作厂商，群策群力的建 设云平台，而建设计划是需要先行一步制定好的，从而可以指导规范整个项目 的生命周期。 2.3 安全技术风险 基于虚拟化技术的云平台带来了许多优势，如计算资源按需分配，计算资 源利用

13、效率最大化等等。但是，在引入优势的同时，也会带来许多新的安全风 险。因此对于 XX 云平台的信息安全风险分析也应根据实际情况作出调整，考虑 虚拟化平台、虚拟化网络、虚拟化主机的安全风险。 同时，为了满足等级保护的合规性要求，需要结合等级保护三级的基本要 求中关于安全技术体系的五个层面的安全需求，即：物理安全、网络安全、主 机安全、应用安全及数据安全。 虽然目前阶段，云平台尚未引入有效应用和数据，但是在安全规划中需要 为未来出现的情况进行先期预测，将其可能引入的安全风险进行考虑。 因此，在经过总结后，可得出八个方面的安全风险。 2.3.1 物理安全风险 因目前物理机房的基础设施已完善，在实地考察

14、后，发现 XX 现有机房已满 足等级保护三级合规性要求，物理安全风险已经得到有效控制。 2.3.2 网络安全风险 本节主要讨论非虚拟化环境中的传统网络安全风险。 网络可用性风险 有多种因素会对网络可用性造成负面影响，主要集中于链路流量负载不当， 流量分配不当，以及拒绝服务攻击、蠕虫类病毒等威胁。此外，对网络内部流 量和协议的审计也非常关键，运维人员需要了解这些信息以协调网络资源，充 分保障网络的可用性，进一步保障应用业务的可用性。 网络边界完整性风险 网络边界包含云平台边界、内部各安全域的边界，租户边界（主机/虚拟主 机/业务系统） ，互联网接入边界。在此讨论非虚拟化环境下的网络边界完整性 风

15、险。 云平台网络边界、互联网接入边界、内部各安全域网络边界以及物理主机 的网络边界可能会因缺乏边界访问控制管理，访问控制策略不当，身份鉴别失 效，非法内联，非法外联等因素而被突破，导致网络边界完整性失去保护，进 一步可能会影响信息系统的保密性和可用性。 安全通信风险 第三方运维人员，采用远程终端访问云中的各类应用。如果不对应用数据 的远程通信数据进行加密，则通信信息就有被窃听、篡改、泄露的风险，破坏 通信信息的完整性和保密性。 入侵防护风险 网络入侵可能来自各边界的外部或内部。如果缺乏行之有效的审计手段和 防护手段，则信息安全无从谈起。为避免信息安全保障体系成为了聋子、瞎子， 需要审计手段发现

16、入侵威胁，需要防护手段阻断威胁。 恶意代码风险 当网络边界被突破后，信息系统会暴露在危险的环境下，最为突出的风险 就是恶意代码的风险，可能会造成系统保密性和可用性的损失。包括端口扫描、 强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网 络蠕虫攻击等。系统随时会面临各类恶意代码攻击的风险，尤其是 APT 攻击， 即使系统具备较为完善的防御体系，也很难防范此类攻击。 2.3.3 主机安全风险 在虚拟化环境下，主机安全也应对物理服务器主机和虚拟化主机进行区别 对待，存在的安全风险问题有所不同。 本节只讨论物理服务器和远程接入应用的操作终端的安全风险。 应用操作终端风险 云平台

17、搭建后，系统资源统一放在云端，而用户是通过终端远程接入云中 的应用。除了上述的身份鉴别和授权的风险外，终端使用的浏览器自身存在漏 洞，甚至终端本身的健康状况不良，都可能会造成云端受到相应的威胁。 服务器主机操作系统漏洞风险 服务器主机操作系统因自身设计原因，存在固有的漏洞和脆弱性，具有被 突破、被潜伏、被利用、被破坏的各类风险。 服务器主机平台风险 目前服务器的硬件架构中，采用的 CPU、主板、内存等配件的核心技术仍 然受制于人，为了业务的性能需求，仍然需要采用国外的技术架构。可能会带 来后门入侵的风险。 2.3.4 应用安全风险 身份鉴别、授权、审计风险 应用放置在云端，在实现资源共享的同时

18、，会带来信息泄漏的风险。由于 网络的不确定性，首要问题就是要确认使用者的身份、确保身份的合法性。由 于工作需要，不同部门、不同职责的工作人员应用需求不同，信息使用权限不 同，必须要对使用者身份进行统一的认证，统一授权，统一审计。 一旦攻击者获取使用者的身份验证信息，假冒合法用户，用户数据完全暴 露在其面前，其他安全措施都将失效，攻击者将可以为所欲为，窃取或修改用 户数据。因此，身份假冒是政务云面对的首要安全威胁。 应用服务可用性风险 任何形式的应用都存在可用性风险，而一旦可用性风险被威胁利用，进一 步引发了安全事件，则会带来应用的不可用，进而导致业务受阻。 缺乏对应用服务的审计也会带来可用性风

19、险，如果通过审计和分析策略在 故障或入侵之前可以察觉到异常信息，可能就避免了事故的发生。 而在云计算环境下，因为应用的高度集中和边界模糊，可能一次单台主机 的不可用，都会带来多种业务的不可用。因此云计算环境下的应用可用性问题 相比传统计算环境下，具备影响范围广，程度深的特点。 WEB 攻击风险 WEB 攻击主要指针对 WEB 服务的各类应用恶意代码攻击，诸如 SQL 注入攻 击、XSS 攻击、网页篡改等，通常是由于对 HTTP 表单的输入信息未做严格审查， 或 WEB 应用在代码设计时存在的脆弱性导致的。 如果不对这类攻击进行专门的防护，很容易造成安全保障体系被突破，以 WEB 服务作为跳板，

20、进一步威胁内部的应用和数据。 2.3.5 数据安全风险 数据保密性和完整性风险 XX 云因其业务特点，所处理的数据关乎公众服务，以及为国家提供舆情服 务。虽然会有部分应用会对互联网用户提供服务，但只是提供有限的接口，访 问有限的，关乎个人的等非敏感数据。但大部分敏感的，不宜公开的政务云数 据还会面临来自非法入侵后进行窃取或篡改，进而带来的数据保密性和完整性 风险。 数据可用性风险 当数据的完整性遭受破坏时，数据可用性也会遭受影响，数据失真，尤其 是应用的关键参数失真最为严重。尤其是虚拟化环境下，数据碎片化存储，在 整合时出现问题，导致应用服务中断，进而造成应用可用性的风险。所以如何 进行容灾，

21、备份，恢复也是一个严峻的问题。 数据审计风险 因为在云环境中，用户的数据不再保存在用户本地，因此目前在云计算环 境中，多依靠完整性验证的方式使用户确信他们的数据被正确的存储和处理。 为了保证数据可恢复性及冗余性，在云计算环境中，通常会采用冗余存储的手 段。这就需要特定的审计方法保证多个版本数据的一致性和完整性。 此外，针对数据的使用者信息，也需要通过审计措施来进行记录。 数据安全检测风险 在政务云环境下，数据往往是离散的分布在“云”中不同的位置，用户无 法确定自己的数据究竟在哪里，具体是由哪个服务器进行管理。也因此造成当 数据出现不可用，破坏，甚至泄露时，很难确定具体的问题点。 数据库安全风险

22、 数据库通常作为非结构化数据的索引，通过结构化表的表现形式，为前端 应用和后方数据提供桥梁；同时，对于结构化的数据，数据库本身就进行了数 据存储。 恶意攻击通常会通过数据库漏洞或恶意代码的方式进行非法提权，从而通 过数据库结构化语句窃取、篡改甚至破坏后台存储的数据，威胁到数据的保密 性、完整性和可用性。 2.3.6 虚拟化平台安全风险 虚拟化是云计算最重要的技术支持之一，也是云计算的标志之一。然而， 虚拟化的结果，却使许多传统的安全防护手段失效。从技术层面上讲，云计算 与传统 IT 环境最大的区别在于其虚拟的计算环境，也正是这一区别导致其安全 问题变得异常“棘手” 。 虚拟化平台自身安全风险

23、虚拟化平台自身也存在安全漏洞，虚拟主机可能会被作为跳板，通过虚拟 化网络攻击虚拟化平台的管理接口；或者由虚拟机通过平台的漏洞直接攻击底 层的虚拟化平台，导致基于虚拟化平台的各类业务均出现不可用或信息泄露。 安全可信、可控风险 虚拟化平台技术是从国外引进的，目前常见的主流商用虚拟化平台被几个 大的国外厂商垄断，且不对外提供关键、核心接口，更不提供源码，导致在其 上构建和部署安全措施困难，可控性差。再加上可能的利益驱使和网络战需要， 无法判别是否留有控制“后门” ，可信度有待商榷。 虚拟资源池内恶意竞争风险 处于虚拟资源池内的多虚拟主机会共享统一硬件环境，经常会出现恶意的 抢占资源，影响了平台资源

24、的可用性，进而影响虚拟化平台的服务水平。 2.3.7 虚拟化网络安全风险 虚拟化的网络结构，使得传统的分域防护变得难以实现，虚拟化的服务提 供模式，使得对使用者身份、权限和行为鉴别、控制与审计变得更加困难。造 成虚拟化网络不可见风险、网络边界动态化风险、多租户混用安全风险等。 虚拟化网络不可见风险 在云环境中，虚拟化资源会放在同一的资源池中，供各应用调配资源来实 现业务的运行。在这种情况下，传统安全防护设备无法深入虚拟化平台内部进 行安全防护，难以达到恶意代码的防护，流量监控，协议审计等安全要求。 网络边界动态化风险 为了实现虚拟化环境下的动态负载，出现了虚拟机动态漂移技术，导致虚 拟化主机的

25、真实位置也会随之改变，造成边界的安全策略也需要随之转移。若 边界隔离、安全防护措施与策略不能跟随虚拟机漂移，会使得边界防护措施和 防护策略难以起效，造成安全漏洞。 多租户混用安全风险 在 XX 云平台的规划愿景中，包含对下属机构提供 SaaS 类服务，必然会引 入其他租户的应用。这么多的业务系统有着不同的安全等级和访问控制要求， 业务系统自身的安全保障机制也参差不齐。所有业务系统的安全防护策略和需 求也是不同的，而安全策略一刀切常常会使整体安全度降低，高安全等级要求 的业务系统无法得到应有的安全保障，导致越权访问、数据泄露。 网络地址冲突风险 由于用户对虚拟机有完全控制权，所以可以随意修改虚拟

26、机的 mac 地址， 可能造成与其他虚拟机的 mac 冲突，从而影响虚拟机通信。 恶意虚拟机实施攻击风险 虚拟机通信隔离机制不强，恶意虚拟机可能监听其他虚拟机的运行状态， 实施 Dos 攻击，恶意占用资源（cpu,内存，网络带宽等） ，影响其他 VM 的运行。 2.3.8 虚拟化主机安全风险 虚拟机恶意抢占资源风险 虚拟机完全由最终用户控制，恶意份子和被控制的虚拟机可能恶意抢占网 络、存储和运算资源，导致整体云平台资源耗尽，从而影响其他关键业务系统 的正常运行扰乱正常政务办公。 虚拟机安全审计风险 在云平台构建完成后，将同时运转数量众多的虚拟机。并且，对虚拟机的 操作人员各异，安全意识和安全防

27、范措施也参差不齐。缺乏安全审计会导致某 些虚拟机感染病毒后进行非法操作，甚至可能利用 hypervisor 的已有漏洞，获 得更高权限，从而实施各种攻击。 虚拟机镜像安全风险 比起物理主机，虚拟机镜像是以文件形式存在，因此，容易被复制和修改， 同时，不同安全级别的版本镜像可能被替换。虚拟机镜像文件如缺乏控制措施， 可能存在完整性修改，镜像回滚失败等风险。 2.3.1 安全管理风险 当云平台系统进入上线运行阶段后，相关安全管理人员在管理过程中可能 会遭遇多种问题，引发安全管理风险。 在云计算环境下，应用系统和硬件服务器不再是一一绑定的关系，安全管 理职责发生了变化，失去了对基础设施和应用的绝对管

28、理权和控制权。另外， 政务云系统的管理层面发生了变化，XX 的云环境运维部门负责管理基础设施， 而应用系统因为租户众多，使得应用系统的维护者众多。也因此管理职责复杂 化，需要明晰职权。在多租户迁入应用和数据的情况下，区别于传统的私有云， 管理人员的队伍也发生了变化，需要多个部门进行人员的协调。因为人员是由 多个部门组成，也因此要求安全管理制度，应急响应的策略和制度依据实际情 况作出调整。 2.3.2 云环境下的特有安全管理风险 在云环境下， “资源池”管理技术主要实现对物理资源、虚拟资源的统一管 理，并根据用户需求实现虚拟资源（虚拟机、虚拟存储空间等）的自动化生成、 分配、回收和迁移，用以支持

29、用户对资源的弹性需求。 这突破了传统的安全区域，使得传统基于物理安全边界的防护机制不能有 效地发挥作用，削弱了云平台上各租户对重要信息的管理能力。另外，在传统 网络环境中，网络中的各类资产通常由不同的管理员进行管理。但在虚拟化环 境中，往往都由同一管理员负责，可能会出现管理员权限过于集中的风险。对 管理员的操作审计和行为规范都提出了很高的要求。 2.3.3 安全组织建设风险 要应对云平台进入运行阶段的各类问题，首先对进行安全管理运维的组织 保障能力提出了挑战。 没有依据实际情况建设的安全组织，无法应对云平台复杂环境下的安全管 理要求，无法顺利完成安全管理工作，无法保障各类云业务的顺利进行。而且

30、 鉴于本次云平台建设的实际情况：即迁入多租户的大量应用，所以在进行安全 管理时，如何划分管理权限，明晰职责，也成为了需要解决的问题。 因此，需求合理的、务实的、专业的多类安全队伍来应对挑战，保障云平 台业务顺利通畅的进行。 2.3.4 人员风险 再安全的网络设备和安全管理系统也离不开人的操作和管理，再好的安全 策略也最终要靠人来实现，因此人员也是整个网络安全中的重要一环。需求具 备完备的信息安全意识，专业的信息安全素养，职业化的信息安全态度人才， 来管理和维护政务云系统，保障业务。 2.3.5 安全策略风险 在应对云平台未来可能遇到的信息安全事件时，除了具备组织、人员外， 还需要制定适合云平台

31、系统复杂环境的安全制度和安全策略，让组织和人员可 以有效的，合规的完成信息安全事件相关的各类工作，以保证信息安全管理可 以高效，高质量的进行。 2.3.6 安全审计风险 在云平台投入使用后，因业务系统和底层架构较为复杂，需要进行全方位 的监控审计，以便及时发现各类可能和信息安全相关、业务状态相关的信息， 并及时作出管理策略的响应和调整。 而具体由谁来监控审计，审计结果是否有效而客观，是否可以及时传达至 相关责任人，这些问题都需要妥善解决，才能够实现全方位，及时，有效的审 计。 2.4 安全运维风险 因为 XX 的采购方式是通过市场化建设，提供基础设施平台，平台建设完成 后，将引入各下属机构的应

32、用系统。所以在云平台投入使用后，运维人员、审 计监控以及应急响应等都发生了职责、权限、流程的变化，引入了新型的，在 云环境下特有的新型风险。 此外，还包括一些传统的安全运维风险，例如：环境与资产，操作与运维， 业务连续性，监督和检查，第三方安全服务等风险。 2.4.1 云环境下的特有运维风险 运维职权不明风险 在云平台投入使用后，基础设施由 XX 进行运维，而基于基础设施的各类应 用由各租户的相关人员进行运维。但是当发生事故的时候，无法在第一时间确 定事故的波及方；处理事故时，无法分配具体任务；事故追责时，无法确定到 底由谁来负责。尤其是在云环境中，资源池内如果发生了安全事故，资源边界 更加模

33、糊。因此确定运维职责非常重要。 运维流程不明风险 因为运维参与者众多，属于不同的参与方，也导致在进行运维过程中，很 多流程要涉及到不同参与方的多个部门。因此确定一个统一的，合理的安全运 维制度是保障运维工作顺利进行的必要条件。 虚拟资源运维审计监控风险 在安全技术上，传统的运维审计手段缺乏对虚拟机的运维审计能力。流量 不可视也带来了协议无法审计，虚拟机动态迁移带来审计策略中断等问题。 突发事件风险 再完备的安全保障体系，也无法阻止突然性事件的发生，这种风险也是信 息系统固有的属性，无法避免。尤其是在云环境下，应急响应变得更为复杂， 涉及范围广，恢复难度大。也因此需求在云平台系统运行中，有可靠的

34、应急响 应队伍和机制，保障快速、妥善的应对各类突发性问题。 2.4.2 环境与资产风险 信息系统依托于机房与周边环境，而业务系统则直接依托于基础设施。在 云平台系统投入使用后，面临的最直接的风险就来自于环境和资产。因为云平 台由 XX 的运维团队进行运行维护，为了保证政务云系统的正常运行，所以要求 数据中心运维团队的运维管理能力能够具备较高的水平。 2.4.3 操作与运维风险 人员是很难进行控制的，而对业务和基础设施进行操作和运维的人员，无 论是通过现场还是远程进行操作，都可能因为误操作，为信息系统带来损失。 如何规范人员的操作、运维流程，如何减少误操作的可能性，如何提高操作者 的职业素养，这

35、些都是需要解决的问题。 2.4.4 业务连续性风险 信息系统的最终使命是运行业务，但是业务的连续性是否能够保证，关乎 信息系统的多个层面，包括物理、网络、主机、应用以及数据等。在云平台环 境下，还包括虚拟化平台，以及运行在其上的虚拟主机、虚拟网络。其中任何 一环如果出现问题，都有可能影响业务的连续性。所以如何保护业务的连续性 也给运维团队提出了难题。 2.4.5 监督和检查风险 智慧云系统是多组织，多系统，多业务，多参与者的云计算平台，为了保 障如此复杂的系统，需要许多安全技术、管理和运维的过程。这些过程是否符 合法律、符合标准，在发生事故时，如何督促管理者有效跟踪事故，并快速解 除故障。这些

36、都需要进行监督和检查管理，否则容易使参与者承担法律风险。 2.4.6 第三方服务风险 为保障云平台的正常运行和不断完善，需要进行很多运行维护工作，诸如： 业务迁入，差距分析，安全加固，渗透测试等。但是这些工作都过于专业化， 仍需要专业的第三方安全机构提供相应的服务，才可以有效的进行。 因此，如何选择第三方服务机构，如何监督评价第三方的服务质量，就需 要妥善的第三方服务管理。 3 解决方案总体设计 3.1 设计原则 XX 云平台安全等级保护的建设需要充分考虑长远发展需求，统一规划、统 一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步 实施，保证系统建设的完整性和投资的有效性。

37、在方案设计和项目建设中应当 遵循以下的原则： 统一规划、分步实施原则 在信息安全等级保护的建设过程中，将首先从一个完整的网络系统体系结 构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用信 息系统工程的观点和方法论进行统一的、整体性的设计，将有限的资源集中解 决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息 网络系统的安全强化。从解决主要的问题入手，伴随信息系统应用的开展，逐 步提高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。 故后文中的安全解决方案将进行着眼未来的安全设计，并强调分步走的安 全战略思想，着重描述本期应部署的安全措施，并以发展的

38、眼光阐述今后应部 署的安全措施。 标准性和规范化原则 信息安全等级保护建设应当严格遵循国家和行业有关法律法规和技术规范 的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计， 充分体现标准化和规范化。 重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息 系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息 资产的信息系统。 适度安全原则 任何信息系统都不能做到绝对的安全，在安全规划过程中，要在安全需求、 安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本 的迅速增加和运行的复杂性。 适度安全也是等级保护建设的初衷，因此

39、在进行等级保护设计的过程中， 一方面要严格遵循基本要求，从物理、网络、主机、应用、数据等层面加强防 护措施，保障信息系统的机密性、完整性和可用性，另外也要综合考虑业务和 成本的因素，针对信息系统的实际风险，提出对应的保护强度，并按照保护强 度进行安全防护系统的设计和建设，从而有效控制成本。 技术管理并重原则 信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理 解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有 的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障 信息系统的整体安全性。 先进形和成熟性原则 所建设的安全体系应当在设计理念、技术体系

40、、产品选型等方面实现先进 性和成熟性的统一。本方案设计采用国际先进实用的安全技术和国产优秀安全 产品，选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保 证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可 扩展性。 动态调整原则 信息安全问题不是静态的。信息系统安全保障体系的设计和建设，必须遵 循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性，必须能够 及时地、不断地改进和完善系统的安全保障措施。 经济性原则 项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充 分保证系统建设的经济性，提高投资效率，避免重复建设。 3.2 安全保障体系构成

41、XX 信息安全等级保护安全方案的设计思想是以等级保护的“一个中心、三 重防护”为核心指导思想，构建集防护、检测、响应、恢复于一体的全面的安 全保障体系。具体体现为：以全面贯彻落实等级保护制度为核心，打造科学实 用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力， 从安全技术、安全管理、安全运维三个角度构建安全防护体系，切实保障信息 安全。 云环境下的信息安全保障体系模型如下图所示： 一个指导思想： 等级保护思想 等级保护是系统设计的核心指导思想，整个方案的技术及管理设计都是围 绕符合等级保护的设计思想和要求展开实现的。 三个防御维度：技术、管理、运维全方位的纵深防御 （1）安全

42、技术维度：安全技术是基础防御的具体实现 （2）安全管理维度：安全管理是总体的策略方针指导 （3）安全运行维度：安全运行体系是支撑和保障 3.2.1 安全技术体系 参考 GB/T25070-2010 信息安全技术 信息系统等级保护安全设计技术 要求 （以下简称设计技术要求 ） ，安全技术体系设计内容主要涵盖到 “一 个中心、三重防护”。即安全管理中心、计算环境安全、区域边界安全、通信 网络安全。 图 3-3 安全技术体系构成 （1）安全管理中心：构建先进高效的安全管理中心，实现针对系统、产品、 设备、信息安全事件、操作流程等的统一管理； （2）计算环境安全：为 XX 云平台打造一个可信、可靠、安

43、全的计算环境。 从系统应用级的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、 客体安全重用、系统可执行程序保护等方面，全面提升 XX 在系统及应用层面 的安全； （3）区域边界安全：从加强网络边界的访问控制粒度、网络边界行为审计 以及保护网络边界完整等方面，提升网络边界的可控性和可审计性； （4）通信网络安全：从保护网络间的数据传输安全、网络行为的安全审计 等方面保障网络通信安全。 XX 安全技术体系建设的基本思路是：以保护信息系统为核心，严格参考等 级保护的思路和标准，从多个层面进行建设，满足 XX 云平台在物理层面、网 络层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体

44、系将充 分符合国家标准，能够为 XX 业务的开展提供有力保障。 安全技术体系建设的要点包括： 1、构建分域的控制体系 XX 信息安全保障体系，在总体架构上将按照分域保护思路进行，本方案参 考 IATF 信息安全技术框架，将 XX 云平台从结构上划分为不同的安全区域，各 个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、 各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络 设备构成了网络基础设施；因此方案将从保护计算环境、保护边界、保护网络 基础设施三个层面进行设计，并通过统一的基础支撑平台（这里我们将采用安 全信息管理平台）来实现对基础安全设施的集中管理，构

45、建分域的控制体系。 接 入 域 交 换 域 虚 拟 化 资 源 池 物 理 机 计 算 域 安 全管 理 域 存 储域 云 平 台 管 理 域 2、构建纵深的防御体系 XX 信息安全保障体系包括技术和管理两个部分，本方案针对 XX 云平台的 通信网络、区域边界、计算环境、虚拟化环境，综合采用身份认证、访问控制、 入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施， 实现 XX 业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集 中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施， 从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。 3

46、、保证一致的安全强度 XX 云平台应采用分级的办法，采取强度一致的安全措施，并采取统一的防 护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。 因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实 现各个级别信息系统的基本保护，比如统一的防病毒系统、统一的审计系统， 然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保 护措施。 4、实现集中的安全管理 信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、 完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即 使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平

47、台， 实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过 关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全 事件的发生。 3.2.2 安全管理体系 仅有安全技术防护，无严格的安全管理相配合，是难以保障整个系统的稳 定安全运行。应该在安全建设、运行、维护、管理都要重视安全管理，严格按 制度进行办事，明确责任权力，规范操作，加强人员、设备的管理以及人员的 培训，提高安全管理水平，同时加强对紧急事件的应对能力，通过预防措施和 恢复控制相结合的方式，使由意外事故所引起的破坏减小至可接受程度。 3.2.3 安全运维体系 由于安全技术和管理的复杂性、专业性和动态性，X

48、X 云平台系统安全的规 划、设计、建设、运行维护均需要有较为专业的安全服务团队支持。安全运维 服务包括系统日常维护、安全加固、应急响应、业务持续性管理、安全审计、 安全培训等工作。 3.3 安全技术方案详细设计 天融信在本项目的整改方案设计中，针对 XX 的三级等级保护整改建设，依 据一个中心三重防护的思路展开详细设计。具体设计面向以下的几个方面： 3.3.1 信息安全拓扑设计 3.3.1.1 互联网接入区安全设计 联 通 ISP电 信 ISP 互联 网接 入区 核 心 交 换 区 负 载 均 衡 A/S 防 病 毒 过 滤 网 关 A/S 接 入 路 由 器 入 侵 防 御 系 统A/S 抗

49、 DDoS系 统A/S 防 火 墙（ Cisco） A/S DMZ区 互联网接入区作为云平台发布门户网站，用户接入，以及将来与各下属单 位数据中心通过虚拟专网连接的重要接入区域，是 XX 的对外唯一通路。担负着 重要的边界防护使命。 本期方案计划部署如下安全产品： 抗 DDoS 系统：部署两台千兆级别的抗 DDoS 系统，以 A/S 模式，透明 方式部署；对入站方向的 DDoS 攻击流量进行清洗，保护内网直接对外 服务的网站。 防病毒过滤网关：部署两台千兆级别的防病毒过滤网关，以 A/S 模式， 透明方式部署；对入站方向的 HTTP、SMTP、POP3、IMAP 等流量进行防 病毒过滤清洗，主要保护内网中直接对外提供服务的网站，邮件系统， 以及各办公终端。 入侵防御系统：部署两台千兆级别的入侵防御系统，以 A/S 模式，透 明方式部署；对入站方向的数据包进行包还原，检测攻击行为，攻击 特征，若发现攻击行为则进行阻断。 接入防火墙：利用现有 Cisco ASA5555 防火墙，以 A/S 模式，路由方 式部署