收藏
下载资源

云计算信息安全等保三级规划方案

上传人:M****1 文档编号:545923334 上传时间:2023-06-24 格式:DOCX 页数:20 大小:287.02KB
返回 下载 相关 举报
云计算信息安全等保三级规划方案_第1页
第1页 / 共20页
云计算信息安全等保三级规划方案_第2页
第2页 / 共20页
云计算信息安全等保三级规划方案_第3页
第3页 / 共20页
云计算信息安全等保三级规划方案_第4页
第4页 / 共20页
云计算信息安全等保三级规划方案_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《云计算信息安全等保三级规划方案》由会员分享,可在线阅读,更多相关《云计算信息安全等保三级规划方案(20页珍藏版)》请在金锄头文库上搜索。

1、云计算数据中心信息安全等级保护规划方案)目录1 云计算带来的安全挑战 42 整体方案设计 42.1 基础安全设计 52.1.1物理安全 52.1.1.1机房选址 52.1.1.2机房管理 52.1.1.3机房环境 52.1.1.4设备与介质管理 52.1.2网络安全 62.1.2.1安全域边界隔离技术 62.1.2.2入侵防范技术 62.1.2.3网络防病毒技术 62.1.2.4WEB 防火墙技术 72.1.2.5网页防篡改技术 72.1.2.6流量管理技术 72.1.2.7上网行为管理技术 72.1.2.8网络安全审计 82.1.3主机安全 82.1.3.1主机安全加固 82.1.3.2运维

2、堡垒主机 92.1.3.3数据库安全审计 102.1.3.4主机防病毒技术 102.1.3.5漏洞扫描技术 102.1.4应用安全 112.1.4.1安全应用交付 112.1.4.2 VPN 112.1.5安全管理中心 122.2云计算平台安全设计 122.2.1强身份认证 122.2.2云安全防护系统 122.2.3云安全运维 122.3虚拟机安全设计 132.3.1虚拟化安全防护要点 132.3.2虚拟化安全方案 142.4方案配置 182.4.1方案合规性分析 182.4.2三级系统安全产品配置清单: 191云计算带来的安全挑战云计算模式当前已得到业界普遍认同,成为信息技术领域新的发展方

3、向。但 是,随着云计算的大量应用,云环境的安全问题也日益突出。在众多对云计算的 讨论中,IDC的调查非常具有代表性:“对于云计算面临的安全问题,75%的用 户对云计算安全担忧。”各种调研数据也表明:安全性是用户选择云计算的首要 考虑因素。云计所面临帅排战中,安全餾排在首恤7 5 阳戸农扛锯宾会阱决中,三睜曲针珂敷蛊ffllfiR产祝的 保护、数竭的非授换使用、海专嗣CLAK性HutflHLSHMWflnrif10JIK &ne1X駅 冏曲糾I1-fijg云计算的一个重要特征就是IT资源的大集中,而随着资源的集中,相应的 安全风险也呈现集中化的趋势。虽然云计算相对传统计算网络具备一定的安全优 势

4、,但数据的大集中会引来不法分子众矢之的更多攻击。因此,做好云的安全防 护要从建设云的阶段就开始规划设计,这样才能做到防患于未然。云计算在技术层面上的核心特点是虚拟化技术的运用带来的资源弹性和可 扩展性,虚拟机和应用程序随时可能迁移或变更,仅仅依靠传统的基于物理环境 拓扑的安全设备已经不能完全解决云计算环境下的安全问题。因此,虚拟化后的 云计算系统需要重新构建安全防护体系。所以,在安全云的信息化建设过程中,我们应当正视可能面临的各种安全风 险,对网络威胁给予充分的重视。为了云数据中心的安全稳定运行,确保项目的 顺利实施,公司具备多年云计算中心构造、运维的经验,根据云数据中心现有的 网络特点及安全

5、需求,本着切合实际、保护投资、着眼未来的原则,提出本技术 实施方案,以供参考。2 整体方案设计按照公司的经验,将从基础设施安全、操作系统安全、云计算环境安全三大 部分进行全面分析和设计,为客户打造一套灵活、合理、可靠、合规的安全环境。2.1 基础安全设计2.1.1 物理安全物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁 兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。2.1.1.1 机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应 避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。2.1.1.2 机房管理 机房出入口安排

6、专人值守,控制、鉴别和记录进入的人员; 需进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围; 对机房划分区域进行管理,区域之间设置物理隔离装置,在重要区域前安装过渡区域; 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。2.1.1.3 机房环境合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。房间 装修必需使用阻燃材料,耐火等级符合国家相关标准规定。机房门大小应满足系 统设备安装时运输需要。机房墙壁及天花板应进行表面处理,防止尘埃脱落,机 房应安装防静电活动地板。 机房设置防雷保安器,要求防雷接地和机房接地分别安装且相隔一定的距离;机房 设置火灾自动消防系统,

7、能够自动检测火情、自动报警并自动灭火;机房及相关的 工作房间应采用具有耐火等级的建筑材料;机房应采取区域隔离防火措施,将重要 设备与其他设备隔离开;机房需配备空调系统,以保持房间恒湿、恒温的工作环境; 机房供电线路上需配置稳压器和过电压防护设备;需提供短期的备用电力供应,满 足关键设备在断电情况下的正常运行要求;设置冗余或并行的电力电缆线路为计算 机系统供电;铺设线缆要求电源线和通信线缆隔离铺设,避免互相干扰;对关键设 备和磁介质实施电磁屏蔽。2.1.1.4 设备与介质管理为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、 破坏网络和主机系统、破坏网络中的数据的完整性和可用性,

8、必须采用有效的区 域监控、防盗报警系统,阻止非法用户的各种临近攻击。此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境 监控系统的有效运行。对介质进行分类标识,存储在介质库或档案室中。利用光、 电等技术设置机房防盗报警系统;对机房设置监控报警系统。2.1.2 网络安全2.1.2.1 安全域边界隔离技术根据信息系统安全等级保护基本要求,应该在XX单位各安全域的边界 处部署防火墙设备,保证跨安全域的访问都通过防火墙进行控制管理。可以对所 有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合 安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。同时可以和

9、内 网安全管理系统、网络入侵检测系统等进行安全联动,为网络创造全面纵深的安 全防御体系。部署设计:下一代防火墙部署于互联网出口,串行于网络中。2.1.2.2 入侵防范技术根据等级保护基本要求,三级业务系统应该在互联网出口处实现入侵防范功 能。入侵防范技术是安全防护体系中重要的一环,它能够及时识别网络中发生的 入侵行为并实时报警并且进行有效拦截防护。可与防火墙配合,共同防御来自应 用层到网络层的多种攻击类型,建立一整套的安全防护体系,进行多层次、多手 段的检测和防护。因此,在互联网出口的下一代防火墙上启用入侵防御模块非常 有必要。部署设计:下一代防火墙部署于互联网出口,串行于网络中。2.1.2.

10、3 网络防病毒技术根据等级保护基本要求,三级业务系统应该在互联网出口处部署网络层防病 毒设备,并保证与主机层防病毒实现病毒库的异构。在最接近病毒发生源安全边 界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过滤,可以对 网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广 义病毒进行全面的拦截。阻止病毒通过网络的快速扩散,将经网络传播的病毒阻 挡在外,可以有效防止病毒从其他区域传播到内部其他安全域中。因此,在互联 网出口的下一代防火墙上启用防病毒模块非常有必要,可截断病毒通过网络传播 的途径,净化网络流量。部署设计:下一代防火墙部署于互联网出口,串行于网络中。2.

11、1.2.4 WEB 防火墙技术XX单位网站承载了XX等重要职责,暴露在互联网上,随时会面临黑客 攻击的危险,如今网络安全环境日益恶化,Web攻击方式多种多样,包括XSS 跨站脚本、CGI缓冲区溢出、目录遍历、Cookie假冒等。为了应对Web攻击, WEB防火墙再配合网页防篡改技术,是保障Web服务能够持续可靠的提供服 务的最佳选择。因此,在网站服务器之前部署WEB防火墙(WAF设备)非常 有必要。部署设计:WAF设备部署于网站服务器之前,串行于网络中。2.1.2.5 网页防篡改技术XX单位网站承载了XX等重要职责,暴露在互联网上,随时会面临网页被 篡改及黑客攻击的危险。网页防篡改技术通过文件

12、底层驱动技术对Web站点目 录提供全方位的保护,防止黑客、病毒等对目录中的网页、电子文档、图片、数 据库等任何类型的文件进行非法篡改和破坏。可保护网站安全运行,保障网站业 务的正常运营,彻底解决了网站被非法修改的问题。因此,在WAF上启用网页 防篡改功能非常有必要。部署设计:WAF设备部署于网站服务器之前,串行于网络中。2.1.2.6 流量管理技术根据等级保护基本要求,三级业务系统应该在互联网出口处进行流量控 制,保证网络发生拥堵的时候优先保护重要的主机,可以对带宽进行优化,通 过限制带宽占用能力强的应用以保护关键应用,通过多种复杂的策略来实现合 理的带宽分配,可提升应用服务质量、提升带宽利用

13、价值、优化网络应用、降 低网络风险。因此,部署一套专业的流量管理设备非常有必要。部署设计:流量管理系统部署于互联网出口,串行于网络中。2.1.2.7 上网行为管理技术根据公安部等级保护基本要求,所有用户访问互联网需要部署上网行为管理 系统,并保存3个月的日志。各安全区域边界已经部署了相应的安全设备负责进 行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需 要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现 跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。一般可采取开启 边界安全设备的审计功能模块,根据审计策略进行数据的日志记录与审计。同时 审计信

14、息要通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边 界安全审计数据,利于管理中心进行全局管控。边界安全审计和主机审计、应用 审计、网络审计等一起构成完整的、多层次的审计系统。因此,必须部署一套上 网行为管理系统实现对内部用户访问互联网的行为进行监控、日志进行记录。部署设计:上网行为管理系统部署于互联网出口,串行于网络中。2.1.2.8 网络安全审计针对用户访问业务系统带给我们的困扰以及诸多的安全隐患,需要通过网 络安全审计系统利用实时跟踪分析技术,从发起者、访问时间、访问对象、访 问方法、使用频率各个角度,提供丰富的统计分析报告,来帮助用户在统一管 理互联网访问日志的同时,及时发

15、现安全隐患,协助优化网络资源的使用。网 络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、 行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数 据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的 上网记录,便于信息追踪、系统安全管理和风险防范。根据公安部等级保护基本要求,所有信息系统都需要部署网络审计系统,并 保存 3 个月的日志。因此,必须部署一套网络审计系统对全网行为进行监控、日 志进行记录。部署设计:网络审计系统旁路部署在核心交换上,实现全网的网络行为的统一审计, 收集网络设备、安全设备、主机系统等设备的运行状况、网络流量、用户行为 等日志信息,并对收集到的日志信息进行分类和关联分析,并可根据审计人员 的操作要求生成统计报表,方便查询和生成报告,为网络事件追溯提供证据。2.1.3 主机安全2.1.3.1 主机安全加固操作系统作为计算机系统的基础软件是用来管理计算机资源的,它直接利用 计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供 的系统软件平台之上,上层的应用

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号