大数据中心安全解决方案目录大数据中心安全解决方案 1 安全通用要求 2 安全物理环境 2 安全通信网络 3 安全区域边界 4 安全计算环境 5 安全管理中心 7 安全管理制度 8 安全管理机构 8 安全管理人员 10 安全建设管理 11 安全运维管理 13 云计算安全扩展要求 17 安全物理环境 17 安全通信网络 17 安全区域边界 17 安全计算环境 18 安全建设管理 19 安全运维管理 20 移动互联网安全扩展要求 20 安全物理环境 20 安全区域边界 20 安全计算环境 21 安全建设管理 21 物联网安全扩展要求 22 安全物理环境 22 安全区域边界 22 安全运维管理 22 工业控制系统安全扩展要求 23 安全物理环境 23 安全通信网络 23 安全区域边界 24 安全计算环境 25 安全建设管理 25261.1 安全通用要求 1.1.1 安全物理环境《基本要求》控制项控制措施建设需求物理位置选择1机房场地应选择在具有防震、防风和防雨等能力的建筑内;2机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施物理访问控制1机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员;电子门禁系统防盗窃和防破坏1应将设备或主要部件进行固定,并设置明显的不易除去的标记;2应将通信线缆铺设在隐蔽安全处; 防雷击1应将各类机柜、设施和设备等通过接地系统安全接地;防火1机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;火灾自动消防系统2机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;防水和防潮1应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;2应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; 防静电1应安装防静电地板或地面并采用必要的接地防静电措施;防静电地板温湿度控制1应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
机房空调/精密空调电力供应1应在机房供电线路上配置稳压器和过电压防护设备;稳压器、UPS2应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求;电磁防护1电源线和通信线缆应隔离铺设,避免互相干扰;1.1.2 安全通信网络《基本要求》控制项控制措施建设需求网络架构1应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址根据服务器功能区的作用,划分了VLAN核心交换机/核心路由器/防火墙等2应避免将重要网络区域部署在网络边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段通过划分不同区域并防火隔离措施通信传输1应采用校验技术保证通信过程中数据的完整性使用校验技术保障数据的完整性及保密性VPN设备可信验证1可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心1.1.3 安全区域边界《基本要求》控制项控制措施建设需求边界防护1应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; 端口级访问控制防火墙、网闸、路由器和交换机访问控制1应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;边界访问控制策略防火墙、网闸、路由器和交换机2应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;应用配置项3应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;应用配置项4应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力;对进出网络的数据流实现基于应用协议和应用内容的访问控制入侵防范1应在关键网络节点处监视网络攻击行为; 关键网络节点双向(外部发起攻击和内部发起攻击行为)网络攻击行为检测、防止或限制防火墙、IPS、IDS恶意代码和垃圾邮件防范1应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;防御网络恶意代码防火墙(开启防病毒模块)\ 防毒墙网关安全审计1应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; (路由器、交换机和防火墙等设备)启用日志功能日志审计系统、堡垒机、上网行为管理、防火墙、VPN2审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 应用配置项3应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;应用配置项可信验证1可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心1.1.4 安全计算环境《基本要求》控制项控制措施建设需求身份鉴别1应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;设备设置登录认证功能VPN、运维堡垒主机2应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;主机启用设备自身策略:密码策略、用户管理、登录失败处理功能,启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施3当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; 远程管理时,使用SSH、HTTPS加密访问控制1应对登录的用户分配账号和权限; 主机配置项:登录的用户账户和权限合理分配防火墙, 运维堡垒主机2应重命名或删除默认帐户修改默认帐户的默认口令; 重命名或删除默认账户,修改默认账户的默认口令3应及时删除或停用多余的、过期的帐户,避免共享帐户的存在;及时删除或停用多余的、过期的账户,避免共享账户的存在4应授予管理用户所需的最小权限,实现管理用户的权限分离;管理用户的权限分离安全审计1应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 启用网络设备、安全设备、服务器等日志功能,并设置独立审计员账号进行安全审计防火墙、日志审计系统、网络安全审计、数据库审计2审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;应用配置项3应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 对审计记录进行保护入侵防范1应遵循最小安装的原则,仅安装需要的组件和应用程序; 仅安装需要的组件和应用程序漏洞扫描系统、入侵检测系统、EDR、网络防病毒系统2应关闭不需要的系统服务、默认共享和高危端口;关闭不需要的系统服务、默认共享和高危端口3应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;应用配置项4应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; 系统配置项(如登录对输入框输入的内容进行长度、位数及复杂度验证等)5应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; 恶意代码防范1应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
安装杀毒软件并及时更新库EDR、网络防病毒系统可信验证1可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心数据完整性1应采用校验技术保证重要数据在传输过程中的完整性;采用校验技术或者加密通道通信VPN数据备份恢复1应提供重要数据的本地备份与恢复功能; 数据备份软件、容灾备份系统2应提供异地实时备份功能,利用通信网络将重要数据定时批量备份至备份场地;应用配置项剩余信息保护1应保证鉴别信息所在的存储空间,被释放或重新分配前得到完全清除;应用配置项个人信息保护1应仅采集和保存业务必需的用户个人信息; 上网行为管理2应禁止未授权访问和非法使用用户个人信息应用配置项1.1.5 安全管理中心《基本要求》控制项控制措施建设需求系统管理1应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;运维堡垒机、网管系统、网络安全管理平台等2应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
应用配置项审计管理1应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;数据库审计、日志审计、运维堡垒机2应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等应用配置项1.1.6 安全管理制度序号《基本要求》控制项是否满足已有措施需求安全策略a应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等满足已建立,不断完善管理制度a应对安全管理活动中的各类管理内容建立安全管理制度;满足已建立,不断完善b应对要求管理人员或操作人员执行的日常管理操作建立操作规程;满足已建立,不断完善制定和发布a应指定或授权专门的部门或人员负责安全管理制度的制定;满足已建立,不断完善b安全管理制度应通过正式、有效的方式发布,并进行版本控制;满足已建立,不断完善评审和修订a应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订满足已建立,不断完善1.1.7 安全管理机构序号《基本要求》控制项是否满足已有措施需求岗位设置a应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;满足已建立 b应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。
满足已建立 人员配备a应配备一定数量的系统管理员、审计管理员、安全管理员等;满足基本配备相关职责管理员授权和审批a应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;基本满足有审批,有流程,但缺乏明确规定需要明确规定b应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,。