1、1 项目综述1.1 项目背景为了保障基于“健康云” 、 “智慧云”的 XX 数据中心,天融信公司依据公安部关于开展信息系统等级保护安全建设整改工作的指导意见公信安20091389 号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为 XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。1.2 安全目标XX 的信息安全等级保
2、护建设工作的总体目标是:“遵循国家信息安全等级保护有关法规规定和标准规范,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。”具体目标包括(1)体系建设,实现按需防御。通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。(2)安全运维,确保持续安全。通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需
3、防御的安全需求。(3)通过合规性建设,提升 XX 云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。1.3 建设范围本方案的设计范围覆盖 XX 的新建云平台基础设施服务系统。安全对象包括: 云内安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机的安全防护; 云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。1.4 建设依据1.4.1 国家相关政策要求(1) 中华人民共和国计算机信息系统安全保护条例(国务院 147 号令);(2) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发2003 27 号);(3) 关于信息安
4、全等级保护工作的实施意见(公通字200466 号);(4) 信息安全等级保护管理办法(公通字 200743 号);(5) 信息安全等级保护备案实施细则(公信安20071360 号);(6) 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071 号);(7) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429 号)。1.4.2 等级保护及信息安全相关国家标准(1) 计算机信息系统安全保护等级划分准则(GB17859-1999);(2) 信息安全技术 信息系统安全等级保护实施指南(GBT 25058-2010);(3) 信息安全技术 信息系统
5、安全保护等级定级指南(GB/T22240-2008);(4) 信息安全技术 信息系统安全等级保护基本要求(GB/T22239-2008);(5) 信息安全技术 信息系统等级保护安全设计技术要求(GB/T 25070-2010);(6) 信息安全技术 信息系统安全等级保护测评要求;(7) 信息安全技术 信息系统安全等级保护测评过程指南;(8) 信息安全技术 信息安全风险评估规范(GB/T 20984-2007);(9) 信息安全技术 信息系统安全管理要求(GB/T 20269-2006);(10 ) 信息技术 安全技术 信息安全管理体系要求(GB/T 22080-2008( idt ISO/IE
6、C 27001:2005);(11 ) 信息技术 安全技术 信息安全管理实用准则(GB/T 22081-2008( idt ISO/IEC 27002:2005);(12 ) 信息安全技术 信息系统通用安全技术要求 (GB/T 20271-2006)及相关的一系列具体技术标准。2 云安全等保风险分析由于本系统是新建设系统,并且尚未部署应用。机房环境目前已经非常完备,具备很好的物理安全措施。因此当前最主要的工作是依据等级保护基本要求,着重进行网络层、主机层、数据层等方面的等级保护安全技术建设工作。此外,天融信具有等级保护的专家团队,深入了解国家等级保护相关政策,熟悉信息系统规划和整改工作的关键点
7、和流程,将通过等级保护差距分析、文档审核、现场访谈、现场测试等方式,发掘目前云平台系统与等保技术和管理要求的不符合项。并针对不符合项,进行逐条分析,确认建设方案。在云架构下传统的保护模式如何建立层次型的防护策略,如何保护共享虚拟化环境下的云平台建设中需重点考虑的环节;健康云和智慧云将实现基于云的数据存储和集中管理,必须采用有效措施防止外部入侵和内部用户滥用权限;在信息安全保障体系实现时仍需满足国家信息安全等级保护政策要求,同时需要解决信息安全等级保护政策在云计算技术体系下如何落地的重要课题。健康云和智慧云计算平台引入了虚拟化技术,实现数据资源、服务资源、平台资源的云共享,计算、网络、存储等三类
8、资源是云计算平台依赖重要的系统资源,平台的可用性(Availability ) 、可靠性(Reliability) 、数据安全性、运维管理能力是安全建设的重要指标,传统的密码技术、边界防护技术、入侵检测技术、审计技术等在云计算环境下仍然需要,并需要针对云计算给信息安全带来的新问题,重点解决,虚拟化安全漏洞,以及基于云环境下的安全监控、用户隔离、行为审计、不同角色的访问控制、安全策略、安全管理和日志审计等技术难点,这就更加需要借助内外网等级保护的建设构建满足健康云、智慧云平台业务需要的安全支撑体系,提高信息化环境的安全性,并通过运维、安全保障等基础资源的统一建设,有效消除安全保障中的“短板效应”
9、 ,增强整个信息化环境的安全性。2.1 合规性风险XX 云平台的安全建设需满足等级保护三级基本要求的标准,即需要建设安全技术、管理、运维体系,达到可信、可控、可管的目标。但是目前在云计算环境下的等级保护标准尚未出台,可能会面临信息系统可信、可控、可管的巨大挑战,如下图:此外,在今后大量 XX 自有应用以及通过 SaaS 方式,纵向引入各下属单位应用。为了满足各类不同应用的合规性需求,需要在安全技术、运维、管理等方面进行更加灵活、高可用性的冗余建设。2.2 系统建设风险虚拟化平台架构,品牌的选择是一个很慎重的问题。其架构依据不同品牌,导致接口开放程度不同,运行机制不同。而与虚拟化平台相关的如:信
10、息系统应用架构、安全架构、数据存储架构等,都与虚拟化平台息息相关,也是后续应用迁入工作的基础。此外,在后期迁入应用,建设过程中的质量监控,建设计划是否合理可靠等问题,均有可能造成风险。以下为具体的风险:2.2.1 应用迁入阻力风险XX 的云平台规划愿景包括:应用数据大集中,管理大集中,所以要求今后非云环境的各类应用逐步的迁移入虚拟化环境,各应用的计算环境也需要调整入虚拟化环境。由此可能会引发一些兼容性风险问题,带来迁入阻力的风险。2.2.2 虚拟化平台品牌选择风险因现有虚拟化平台已经采购完成,是 VMware 的 vSphere 虚拟化平台,因其对国内其他 IT 平台,尤其是对国内安全厂商的开
11、放性严重不足,导致许多安全机制无法兼顾到云平台内部。因此造成了安全监控、安全管理、安全防护机制在云平台内外出现断档的现象,使现有的自动化安全管理、网络管理、安全防护等措施无法有效覆盖虚拟化环境。2.2.3 建设质量计量、监督风险因为本次 XX 云平台的建设打算采用市场化建设的方式进行,但是现有云计算平台是否符合建设要求,是否符合安全需求,如何进行质量的计量,如何进行评审监督,都是亟待解决的问题。2.2.4 安全规划风险在云平台的规划过程中,应同时规划安全保障体系的;保证在建设过程中,同步实施计算环境和安全保障建设。如出现信息安全建设延后,可能带来保障体系的脆弱性,放大各其他基础设施的脆弱性,导
12、致各类安全风险的滋生。2.2.5 建设计划风险云平台的建设因其复杂性,导致系统投入使用前,需要进行完善详实的规划、设计和实施。需协调好各相关部门,以及第三方合作厂商,群策群力的建设云平台,而建设计划是需要先行一步制定好的,从而可以指导规范整个项目的生命周期。2.3 安全技术风险基于虚拟化技术的云平台带来了许多优势,如计算资源按需分配,计算资源利用效率最大化等等。但是,在引入优势的同时,也会带来许多新的安全风险。因此对于 XX 云平台的信息安全风险分析也应根据实际情况作出调整,考虑虚拟化平台、虚拟化网络、虚拟化主机的安全风险。同时,为了满足等级保护的合规性要求,需要结合等级保护三级的基本要求中关
13、于安全技术体系的五个层面的安全需求,即:物理安全、网络安全、主机安全、应用安全及数据安全。虽然目前阶段,云平台尚未引入有效应用和数据,但是在安全规划中需要为未来出现的情况进行先期预测,将其可能引入的安全风险进行考虑。因此,在经过总结后,可得出八个方面的安全风险。2.3.1 物理安全风险因目前物理机房的基础设施已完善,在实地考察后,发现 XX 现有机房已满足等级保护三级合规性要求,物理安全风险已经得到有效控制。2.3.2 网络安全风险本节主要讨论非虚拟化环境中的传统网络安全风险。 网络可用性风险有多种因素会对网络可用性造成负面影响,主要集中于链路流量负载不当,流量分配不当,以及拒绝服务攻击、蠕虫
14、类病毒等威胁。此外,对网络内部流量和协议的审计也非常关键,运维人员需要了解这些信息以协调网络资源,充分保障网络的可用性,进一步保障应用业务的可用性。 网络边界完整性风险网络边界包含云平台边界、内部各安全域的边界,租户边界(主机/虚拟主机/业务系统) ,互联网接入边界。在此讨论非虚拟化环境下的网络边界完整性风险。云平台网络边界、互联网接入边界、内部各安全域网络边界以及物理主机的网络边界可能会因缺乏边界访问控制管理,访问控制策略不当,身份鉴别失效,非法内联,非法外联等因素而被突破,导致网络边界完整性失去保护,进一步可能会影响信息系统的保密性和可用性。 安全通信风险第三方运维人员,采用远程终端访问云
15、中的各类应用。如果不对应用数据的远程通信数据进行加密,则通信信息就有被窃听、篡改、泄露的风险,破坏通信信息的完整性和保密性。 入侵防护风险网络入侵可能来自各边界的外部或内部。如果缺乏行之有效的审计手段和防护手段,则信息安全无从谈起。为避免信息安全保障体系成为了聋子、瞎子,需要审计手段发现入侵威胁,需要防护手段阻断威胁。 恶意代码风险当网络边界被突破后,信息系统会暴露在危险的环境下,最为突出的风险就是恶意代码的风险,可能会造成系统保密性和可用性的损失。包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。系统随时会面临各类恶意代码攻击的风险,尤其是
16、APT 攻击,即使系统具备较为完善的防御体系,也很难防范此类攻击。2.3.3 主机安全风险在虚拟化环境下,主机安全也应对物理服务器主机和虚拟化主机进行区别对待,存在的安全风险问题有所不同。本节只讨论物理服务器和远程接入应用的操作终端的安全风险。 应用操作终端风险云平台搭建后,系统资源统一放在云端,而用户是通过终端远程接入云中的应用。除了上述的身份鉴别和授权的风险外,终端使用的浏览器自身存在漏洞,甚至终端本身的健康状况不良,都可能会造成云端受到相应的威胁。 服务器主机操作系统漏洞风险服务器主机操作系统因自身设计原因,存在固有的漏洞和脆弱性,具有被突破、被潜伏、被利用、被破坏的各类风险。 服务器主
17、机平台风险目前服务器的硬件架构中,采用的 CPU、主板、内存等配件的核心技术仍然受制于人,为了业务的性能需求,仍然需要采用国外的技术架构。可能会带来后门入侵的风险。2.3.4 应用安全风险 身份鉴别、授权、审计风险应用放置在云端,在实现资源共享的同时,会带来信息泄漏的风险。由于网络的不确定性,首要问题就是要确认使用者的身份、确保身份的合法性。由于工作需要,不同部门、不同职责的工作人员应用需求不同,信息使用权限不同,必须要对使用者身份进行统一的认证,统一授权,统一审计。一旦攻击者获取使用者的身份验证信息,假冒合法用户,用户数据完全暴露在其面前,其他安全措施都将失效,攻击者将可以为所欲为,窃取或修
18、改用户数据。因此,身份假冒是政务云面对的首要安全威胁。 应用服务可用性风险任何形式的应用都存在可用性风险,而一旦可用性风险被威胁利用,进一步引发了安全事件,则会带来应用的不可用,进而导致业务受阻。缺乏对应用服务的审计也会带来可用性风险,如果通过审计和分析策略在故障或入侵之前可以察觉到异常信息,可能就避免了事故的发生。而在云计算环境下,因为应用的高度集中和边界模糊,可能一次单台主机的不可用,都会带来多种业务的不可用。因此云计算环境下的应用可用性问题相比传统计算环境下,具备影响范围广,程度深的特点。 WEB 攻击风险WEB 攻击主要指针对 WEB 服务的各类应用恶意代码攻击,诸如 SQL 注入攻击
19、、XSS 攻击、网页篡改等,通常是由于对 HTTP 表单的输入信息未做严格审查,或 WEB 应用在代码设计时存在的脆弱性导致的。如果不对这类攻击进行专门的防护,很容易造成安全保障体系被突破,以WEB 服务作为跳板,进一步威胁内部的应用和数据。2.3.5 数据安全风险 数据保密性和完整性风险XX 云因其业务特点,所处理的数据关乎公众服务,以及为国家提供舆情服务。虽然会有部分应用会对互联网用户提供服务,但只是提供有限的接口,访问有限的,关乎个人的等非敏感数据。但大部分敏感的,不宜公开的政务云数据还会面临来自非法入侵后进行窃取或篡改,进而带来的数据保密性和完整性风险。 数据可用性风险当数据的完整性遭
20、受破坏时,数据可用性也会遭受影响,数据失真,尤其是应用的关键参数失真最为严重。尤其是虚拟化环境下,数据碎片化存储,在整合时出现问题,导致应用服务中断,进而造成应用可用性的风险。所以如何进行容灾,备份,恢复也是一个严峻的问题。 数据审计风险因为在云环境中,用户的数据不再保存在用户本地,因此目前在云计算环境中,多依靠完整性验证的方式使用户确信他们的数据被正确的存储和处理。为了保证数据可恢复性及冗余性,在云计算环境中,通常会采用冗余存储的手段。这就需要特定的审计方法保证多个版本数据的一致性和完整性。此外,针对数据的使用者信息,也需要通过审计措施来进行记录。 数据安全检测风险在政务云环境下,数据往往是离散的分布在“云”中不同的位置,用户无法确定自己的数据究竟在哪里,具体是由哪个服务器进行管理。也因此造成当数据出现不可用,破坏,甚至泄露时,很难确定具体的问题点。 数据库安全风险数据库通常作为非结构化数据的索引,通过结构化表的表现形式,为前端应用和后方数据提供桥梁;同时,对于结构化的数据,数据库本身就进行了数据存储。恶意攻击通常会通过数据库漏洞或恶意代码的方式进行非法提权,从而通过数据库结构化语句窃取、篡改甚至破坏后台存储的数据,威胁到数据的保密
