《金融行业云计算技术应用规范-安全技术要求》由会员分享,可在线阅读,更多相关《金融行业云计算技术应用规范-安全技术要求(23页珍藏版)》请在金锄头文库上搜索。
1、JR中华人民共和国金融行业标准金融行业云计算技术应用规范安全技术要求Financial application specification of cloud computing technologySecurity technical requirements目录前言II引言III1 范围12 规范性引用文件13 术语和定义14 缩略语15 概述26 基础硬件安全37 资源抽象与控制安全47.1 通用要求47.2 网络资源池安全47.3 存储资源池安全67.4 计算资源池安全68 应用安全89 数据安全810 安全管理中心1011 安全管理要求13附录A (规范性附录) 云计算平台上信息系统架
2、构可选组件的安全要求18附录B (资料性附录) 云计算的安全风险20引言随着互联网、移动终端、虚拟化等信息技术的发展演进,云计算技术在金融领域应用逐渐深入,促进了金融产品、经营模式、业务流程的改进和变革。为落实国务院关于促进云计算创新发展培育信息产业新业态的意见(国发20155号)等,规范云计算技术在金融领域应用,强化云计算对金融服务的技术支撑,提升云计算技术对业务连续性和信息安全的保障能力,特编制本标准。金融行业云计算技术应用规范安全技术要求1 范围本标准规定了云计算服务的安全技术要求,涵盖基础硬件安全、资源抽象与控制安全、应用安全、数据安全、安全管理功能、可选组件安全等。本标准适用于金融领
3、域的云服务提供者、云服务使用者、云服务合作者、云服务审计者等。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 178591999计算机信息系统安全保护等级划分准则GB/T 324002015信息技术云计算概览与词汇GB/T 311672014信息安全技术云计算服务安全指南GB/T 311682014信息安全技术云计算服务安全能力要求GB/T 222392008信息安全技术信息系统安全等级保护基本要求GB/T 323992015信息技术云计算参考架构JR/T 01
4、312015金融业信息系统机房动力系统规范JR/T XXXX云计算技术金融应用规范技术架构3 术语和定义JR/T XXXX云计算技术金融应用规范 技术架构(同期发布)界定的术语和定义适用于本文件。4 缩略语下列符号和缩略语适用于本文件。APIApplicationProgrammingInterface应用程序编程接口CPUCentralProcessingUnit中央处理单元DDoSDistributedDenialofService分布式拒绝服务攻击DoSDenialofService拒绝服务HTTPSHypertextTransferProtocolSecure安全超文本传输协议IaaS
5、InfrastructureasaService基础设施即服务IPInternetProtocol互联网协议MACMediaAccessControl媒体访问控制PaaSPlatformasaService平台即服务SaaSSoftwareasaService软件即服务SQLStructuredQueryLanguage结构化查询语言VLANVirtualLocalAreaNetwork虚拟局域网VPCVirtualPrivateCloud虚拟用户网络VPNVirtualPrivateNetwork虚拟专用网络XSSCross-siteScripting跨站脚本攻击5 概述5.1 云计算安全技
6、术分级云计算技术按需使用信息技术和数据资源,降低信息化成本,提高资源利用效率,但同时也带来了服务外包、数据泄露、服务滥用等方面的新风险。云服务使用者应结合信息系统的业务重要性和数据敏感性,充分评估应用云计算技术的科学性、安全性和可靠性,在确保系统业务连续性、数据和资金安全的前提下,谨慎选用云计算技术部署业务系统,选择与业务相适应的部署和服务模式,确保使用云计算技术的金融业务系统安全可控。本标准将云计算技术金融应用的安全技术要求分为三级。第一级是通用性和基础性的安全要求,云计算技术金融应用均应满足;第二级为在第一级要求基础上行业云(团体云)应满足的安全技术要求;第三级要求为第二级基础上的增强要求
7、,以强化标准的先进性和前瞻性,云服务提供者可综合考虑业务特性、自身技术能力等合理执行。5.2 云计算安全框架云计算安全框架由基础硬件安全、资源抽象与控制安全、应用安全、数据安全、安全管理功能以及可选组件安全组成。云服务提供者和使用者共同实现安全保障。云计算安全框架如图1所示,在IaaS、PaaS、SaaS等不同服务类别下云服务提供者和使用者的安全分工有所区别。金融机构是金融服务的最终提供者,其应承担的安全责任不因使用云计算服务而免除或减轻。图1 云计算安全框架云计算平台是承载金融领域信息系统的基础平台,其安全要求应不低于所承载业务系统的安全要求。云计算平台本质上仍是一种信息系统,应满足国家和金
8、融行业信息系统安全相关要求,本标准重点从云计算技术角度提出了云计算平台应符合的安全要求。容器、中间件、数据库等可选组件的要求见附录A。云计算相关安全风险分析参见附录B。6 基础硬件安全6.1 机房安全第一级要求:应保证云计算平台部署的物理数据中心及附属设施符合JR/T 0131-2015相关要求。第二级要求:a) 应保证用于服务金融业的云计算数据中心运行环境与其他行业物理隔离;b) 应保证用于云服务使用者业务运行、数据存储和处理的物理设备位于中国境内;c) 应保证云计算平台的运维和运营系统部署在中国境内。第三级要求:无。6.2 网络安全第一级要求:a) 应支持网络冗余设计,将网络通信链路和网络
9、设备等冗余部署;b) 应按照安全需求划分为不同的网络区域,支持网络物理或逻辑隔离;c) 应保证云计算平台的业务网络与管理网络安全隔离;d) 应保证采取网络控制措施防止非授权设备连接云计算平台内部网络,并防止云计算平台物理服务器非授权外联。第二级要求:a) 应支持为云服务使用者提供专线或VPN接入;b) 应保证除广域网外为金融业服务的网络物理硬件不与其他行业共享;c) 应保证向云服务使用者提供服务的网络资源与其它网络资源安全隔离。第三级要求:应支持网络带宽优先级分配。6.3 设备安全第一级要求:a) 应保证关键设备冗余部署,保证系统可用性;b) 应对设备运行状态、资源使用等进行监控,能够在发生异
10、常情况时发出告警;c) 应保证设备和存储介质在重用、报废或更换时,能够对其承载的数据完全清除。第二级要求:应保证用于金融业的物理设备不与其他行业共享。第三级要求:a) 应保证设备安全启动,即启动时的版本和预期一致,完整性没有受到破坏;b) 应对设备重要配置文件进行完整性保护。7 资源抽象与控制安全7.1 通用要求第一级要求:a) 应支持内核补丁检测加固和防止内核提权;b) 应保证通过Web和API等接口访问云计算平台时采用安全认证。第二级要求:a) 应保证采用HTTPS协议远程调用API接口;b) 应支持对软件漏洞及时发现并修复。第三级要求:应保证用户远程访问云计算平台进行管理时采取加密方式,
11、并至少采取两种或两种以上的组合机制进行身份鉴别,保证通信的完整性和保密性。7.2 网络资源池安全7.2.1 概述网络资源池安全包括针对网络资源配置和运营的安全要求,并包含网络和安全产品所涉及的功能或服务安全要求。云服务使用者从云服务提供者获取网络资源池中的虚拟网络资源和控制权。7.2.2 架构安全第一级要求:应保证虚拟网络全冗余设计,避免单点故障。第二级要求:a) 应保证金融业不同云服务使用者的资源池物理隔离;b) 应支持不同租户网络及同一租户不同网络的隔离;c) 应支持云服务使用者自行划分安全区域;d) 应支持VPC相关的安全功能,对VPC的操作(如创建或删除VPC,自定义路由、安全组和AC
12、L策略等)需要验证云服务使用者凭证。e) 应支持VPC之间以及VPC与其他网络建立VPN或专线连接;f) 应支持云服务使用者监控所拥有各网络节点间的流量。第三级要求:a) 应识别、监控虚拟机之间的流量;b) 应支持开放接口,允许接入第三方安全产品。7.2.3 访问控制第一级要求:a) 应部署访问控制策略,实现虚拟机之间、虚拟机与资源管理和调度平台之间、虚拟机与外部网络之间的安全访问控制;b) 应对云计算平台管理员访问管理网络进行访问控制;c) 应实时监视云服务远程管理的访问,并支持对未授权管理连接的处置;d) 应对远程执行特权命令进行限制。第二级要求:a) 应支持云服务使用者通过VPN访问云计
13、算平台;b) 应支持云服务使用者自行在虚拟网络边界设置访问控制规则;c) 应支持云服务使用者自行划分子网、设置访问控制规则;d) 应支持云服务使用者自行过滤进出VPC的网络流量。第三级要求:无。7.2.4 安全审计第一级要求:a) 应记录虚拟网络运行状况、网络流量、用户行为等日志;b) 应为安全审计数据的汇集提供支持。第二级要求:a) 应根据云服务提供者和云服务使用者的职责划分,实现各自控制部分的审计;b) 云服务提供者应为云服务使用者进行审计提供必要支持;c) 审计记录产生时间应由系统范围内唯一确定的时钟产生,确保审计分析的正确性。第三级要求:应支持根据特定要求输出特定网络通讯的元数据和报文
14、数据。7.2.5 入侵防范第一级要求:a) 应防止虚拟机使用虚假的IP或MAC地址对外发起攻击;b) 应防止虚拟机发起VLAN或VxLAN跳跃攻击;c) 应识别、监控和处理虚拟机之间的异常流量。第二级要求:a) 应检测云服务使用者对外攻击行为,记录攻击类型、攻击时间、攻击流量等。b) 应对各类网络攻击行为进行监测和发现;当检测到网络攻击行为时,记录攻击源IP、攻击类型、攻击时间等,在发生严重入侵事件时应提供报警;c) 通过互联网提供金融服务时,应支持DoS/DDoS攻击防护,通过清洗DoS/DDoS攻击流量,保障网络、服务器及上层应用的可用性;d) 通过互联网提供金融服务时,应支持检测Web应用漏洞,拦截SQL注入、XSS攻击等多种Web应用攻击行为;e) 应支持防ARP欺骗。第三级要求:a) 应支持禁用未备案域名;b) 应检测与防护云计算平台内部虚拟机发起,并针对云计算平台的内部攻击。能够定位发起攻击虚拟机,记录攻击类型、攻击时间、攻击流量等。注:包括云计算平台内部虚拟机对云计算平台业务网络、管理网络、租户业务承载网络、其他租户私有网络等发起的攻击;c) 应支持对恶意虚拟机的隔离,支持阻断恶意虚拟机与外部网络以及其他虚拟机的通信。7.2.6 恶意代码防范第一级要求:a) 应支持对恶意代码进行检测和清理;
