云等保2.0(三级) 安全解决方案
日期: 制作人:
云等保2.0(三级)安全解决方案
1. 项目概述
1.1. 项目建设背景 1.1.1. 云计算环境风险
1.1.1.1. 云计算面临的安全威胁
云安全联盟作为业界权威组织,致力于在云计算环境下为业界提供最佳安全解决方案,其列出的《2016年十二大云安全威胁》,我们可以根据这份发布的报告来了解云计算所面临的相关重要安全威胁,制定解决方案,调整防御策略。
1.1.1.1.1. 数据泄露
由于有大量数据存储在云平台上,云服务商很容易成为众多攻击者的目标。一旦某个云平台受到攻击或设置错误而引发数据泄露,其损失和影响将是不可估量的。通常有三种基本威胁会导致云计算服务发生数据泄漏:第一,云计算软件的配置错误或者软件中的瑕疵。第二,黑客窃取数据。第三,员工处理数据的疏忽。
1.1.1.1.2. 身份验证和凭证被盗
任何单一或松散的身份验证、弱密码、不安全的密钥或证书管理对云平台所造成的安全影响也是致命的。
1.1.1.1.3. 界面和安全
目前,云服务和应用程序均提供接口。人员利用对云服务进行配置、管理、协调和监控,也在这些接口的基础上进行开发,并提供附加服务。因此,不安全
第 2 页
云等保2.0(三级)安全解决方案
的或没有合适的安全措施,就会成为攻击者的一扇门。可能存在的攻击类型包括越权访问、注入攻击和跨站请求伪造攻击。
1.1.1.1.4. 系统漏洞问题
云服务商提供的基础资源属于共享设施,所以其共有的系统安全漏洞可能会存在于所有使用者的云资源当中。这给攻击者提供了便利的攻击途径,并节省了大量的研究成本,一个业务被攻陷后,同一个云中的其它业务很可能会被同一种攻击类型攻击成功。
1.1.1.1.5. 帐户劫持
如果攻击者获取了远程管理云平台资源的帐户登录信息,就很容易对业务运行数据进行窃取与破坏。同时,攻击者还可以利用云平台的资源优势对其它业务系统发起攻击。
1.1.1.1.6. 恶意内部人员
人们在部署各式安全防护设备的同时,往往会忽略来自内部人员的恶意危害,这些人可能会是云服务商及客户在职或离职人员。而对于云服务商来说,其员工因与客户没有直接关系,更有可能在某些情况下对客户存储在云环境当中的数据不怀好意,所以其破坏面广、力度大,可辐射其整个云环境。
1.1.1.1.7. APT高级持续威胁攻击
高级持续性威胁通常隐蔽性很强,很难捕获。而一旦渗透进云平台,建立起桥头堡,然后在相当长一段时间内,源源不断地、悄悄地偷走大量数据,形同寄生虫,危害极大。
1.1.1.1.8. 永久的数据丢失
虽然随着云服务的成熟,因云服务商失误而导致的永久数据丢失已经极少见
第 3 页
云等保2.0(三级)安全解决方案
了,但恶意攻击者已经可以永久删除云端数据,而且云数据中心跟其他任何设施一样对自然灾害为力。
1.1.1.1.9. 缺乏尽职调查
如果在没有完全理解云环境及其相关风险的情况下就投入云服务,必然会面临众多的商业、技术、法律和合规等风险。因此是否将业务和数据迁移到云环境,是否与云服务商进行合作,都需要进行详细地调查。
1.1.1.1.10. 云服务滥用
云服务可能被用于攻击活动,如利用云计算资源破解密钥、发起分布式拒绝服务攻击、发送垃圾邮件和钓鱼邮件、托管恶意内容等,这些滥用可能会导致服务的可用性问题和数据丢失。
1.1.1.1.11. 拒绝服务攻击
一直以来,分布式拒绝服务一直都是互联网环境下的一大威胁。而在云计算时代,许多用户会需要一项或多项服务保持可用性,在这种情况下这个威胁显得尤为严重。分布式拒绝服务被列为云平台面临的第十一大安全威胁。
1.1.1.1.12. 共享技术危险
共享技术的漏洞对云计算构成了重大威胁。云服务商共享基础设施、平台和应用程序,如果一个漏洞出现在任何这些层中,其会影响到每个云服务的租户。或许一个单一的漏洞或错误,会导致整个供应商的云服务被攻击。
如果一个服务组件被破坏泄露,如某个系统管理程序、一个共享的功能组件,或应用程序被攻击,则极有可能使整个云环境被攻击和破坏。
1.1.1.1.13. 过度依赖
由于缺乏统一的标准和接口,不同云平台上的云租户数据和应用系统难以相
第 4 页
云等保2.0(三级)安全解决方案
互迁移,同样也难以从云平台迁移回云租户的数据中心。另外,云服务方出于自身利益考虑,往往不愿意为云租户的数据和应用系统提供可移植能力。这种对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而受到影响,也可能导致数据和应用系统迁移到其他云服务方的代价过高。
1.1.1.1.14. 数据残留
云租户的大量数据存放在云平台上的存储空间中,如果存储空间回收后剩余信息没有完全清除,存储空间再分配给其他云租户使用容易造成数据泄露。
当云租户退出云服务时,由于云服务方没有完全删除云租户的数据,包括备份数据等,带来数据安全风险。
1.1.1.2. 云计算带来的安全问题
在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得比较突出,如多个虚拟机租户间并行业务的安全运行,海量数据的安全存储等。云计算主要面临如下几个方面的安全问题:
1.1.1.2.1. 信任边界重叠问题
如果云中物理资源是由不同的云服务用户共享的,那么这些云服务用户的信任边界是重叠的。云计算的底层架构是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。
1.1.1.2.2. 虚拟机逃逸问题
虚拟化提供了多个云用户可以访问的资源,这些资源共享底层硬件,但逻辑上互相。攻击者利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,
第 5 页
云等保2.0(三级)安全解决方案
以达到攻击或控制虚拟机宿主操作系统的目的。
虚拟机逃逸主要是因为漏洞引起,可通过主动的安全检查、加固及通信过程的安全措施进行虚拟机保护。
1.1.1.2.3. 病毒引起的安全问题
根据最近报道,流行的大多数虚拟化平台存在VENOM(毒液)漏洞,该漏洞存在于虚拟主机中的模拟软驱中,使用该漏洞能让攻击者越过虚拟化技术的,访问并监视控制宿主机,并通过宿主机的权限来访问控制其他虚拟主机。该病毒的流行充分体现了病毒的破坏性,应加强病毒的安全防范措施。
1.1.1.2.4. 流量窃听问题
当数据在传输到云中或云内部传输时被恶意的服务作用者截获,用于以非法为目的信息收集,消息被恶意的截获、篡改,破坏消息的保密性和完整性。
1.1.1.2.5. 用户身份安全问题
云计算通过网络提供弹性可变的服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。
1.1.1.2.6. 用户数据安全问题
数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的 IT 架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。
第 6 页
云等保2.0(三级)安全解决方案
1.1.1.2.7. 其他安全问题
除了以上提到的安全问题外,还有其他安全问题,如:安全管理问题、云计算资源监管问题、云计算配置问题、云计算运营安全问题、云计算运维问题和安全边界问题等。
1.1.2. 国家层面
1.1.2.1. 法律法规
1994年《中华人民共和国计算机信息系统安全保护条例》(令第147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由会同有关部门制定”。
2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。
《网络安全法》的颁布实施,标志着从1994年的条例(令第147号)上升到了国家法律的层面,标志着国家实施十余年的信息安全等级保护制度进入2.0阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。
1.1.2.2. 发文
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确指出,“实行信息安全等级保护。要重点保护基础信息网络和关系、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的
第 7 页
云等保2.0(三级)安全解决方案
基本制度。
2004年7月3日审议通过的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)指出,信息安全等级保护制度是国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
自2007年《信息安全等级保护管理办法》(公通字〔2007〕43号)颁布以来,一直是国家层面推动网络安全工作的重要抓手。2012年,《关于推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)规定,“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查”。
除此之外,下列文件也对等级保护相关工作提出了要求:
➢ 《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔2005〕
1431号)
➢ 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安
〔2007〕861号)
➢ 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》
(发改高技〔2008〕2071号)
➢ 《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作
的通知》(发改高技〔2008〕2544号)
➢ 《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安
〔2009〕1429号)》
➢ 《关于进一步推动企业信息安全等级保护工作的通知》(公通字
〔2010〕70号)
➢ 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》
(公信安〔2010〕303号)
➢ 《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技
〔2012〕1986号)
➢ 《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012
年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)
第 8 页
云等保2.0(三级)安全解决方案
➢ 《网络安全等级保护条例(征求意见稿)》 (2018年6月)
此外,在2019年5月13日,《信息安全技术网络安全等级保护基本要求》(以下简称:等保2.0)正式发布,2019年12月1日起正式实施,标志着等级保护标准正式进入2.0时代。等保2.0是我国网络安全领域的基本国策、基本制度和基本方法。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制系统等级保护对象的全覆盖。
在新的等保2.0标准体系中,云计算安全成为扩展要求的重要组成部分。针对云计算环境的安全防护,需要在满足通用要求的同时,也要满足云安全扩展要求。
1.2. 项目建设目标及内容 1.2.1. 建设目标
网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作,使网络系统可以按照保护等级的要求进行设计、规划和实施,并且达到相应等级的基本保护水平和保护能力。
依据网络安全等级保护相关标准和指导规范,对XXXX云平台/系统按照“整体保护、综合防控”的原则进行安全建设方案的设计,按照等级保护三级的要求进行安全建设规划,对安全建设进行统一规划和设备选型,实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。
依据网络安全等级保护三级标准,按照“统一规划、重点明确、合理建设”的基本原则,在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。
最终使云平台/系统达到安全等级保护第三级要求。经过建设后使整体网络形成一套完善的安全防护体系,提升整体网络安全防护能力。
对于三级网络,经过安全建设整改,网络在统一的安全保护策略下要具有抵
第 9 页
云等保2.0(三级)安全解决方案
御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;遭到损害后,具有能够较快恢复正常运行状态的能力; 对于服务保障性要求高的网络,应该能够快速恢复正常运行状态; 具有对网络资源、用户、安全机制等进行集中控管的能力。
1.2.2. 建设内容
本项目以云平台等级保护建设为主线,以让云平台达到安全等级保护第三级要求。借助网络产品、安全产品、安全服务、管理制度等手段,建立全网的安全防控管理服务体系,从而全面提高云平台的安全防护能力。
1.3. 等级保护对象分析与介绍
云平台及其承载业务系统。
2. 安全现状及需求分析
2.1. 安全需求分析 2.1.1. 安全通信网络需求
通信网络是对定级系统安全计算环境之间进行信息传输及实施安全策略的安全部件。是利用网络设备、安全设备、服务器、通信线路以及接入链路等设备或部件共同建成的、可以用于在本地或远程传输数据的网络环境。
2.1.1.1. 通用部分
通用部分在通信网络方面的具体安全需求如下:
➢ 针对网络架构设计不合理而影响业务通信或传输问题,需要通过优化网
络设计、改造网络安全域来完成。
第 10 页
云等保2.0(三级)安全解决方案
➢ 针对线路或设备的单点故障问题,需要采取冗余设计来确保系统的可用
性。
➢ 针对利用通用安全协议、算法、软件等缺陷获取信息或破坏通信完整性
和保密性,需要通过数据加密技术、数据校验技术来保障。
➢ 针对通过伪造信息进行应用系统数据的窃取风险,需要加强网络边界完
整性检查,加强对网络设备进行防护、对访问网络的用户身份进行鉴别,加强数据保密性来解决。
➢ 通信设备需要通过采取动态可信验证机制来确保程序运行安全可信,从
而保障业务系统安全可信。
2.1.1.2. 云扩展部分
云扩展部分在通信网络方面的具体安全需求如下: ➢ 云平台不能承载高于其安全防护等级的业务应用系统; ➢ 不同的云服务客户虚拟网络之间需要进行有效的隔离;
➢ 云平台需要根据云服务客户的业务按需提供通信传输、边界防护、入侵
防范等安全机制,并且云租户可自主设置安全策略;
➢ 需要具有根据云服务客户业务需求自主设置安全策略的能力,包括定义
访间路径、选择安全组件、配置安全策略;
➢ 云平台需要提供开放接口或开放性安全服务,允许云服务客户接入第三
方安全产品或在云平台选择第三方安全服务。
2.1.2. 安全区域边界需求
区域边界包括安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件,区域边界安全即各网络安全域边界和网络关键节点可能存在的安全风险。需要把可能的安全风险控制在相对的区域内,避免安全风险的大规模扩散。
第 11 页
云等保2.0(三级)安全解决方案
2.1.2.1. 通用部分
通用部分在区域边界方面的具体安全需求如下:
➢ 针对内部人员未授权违规连接外部网络,或者外部人员未经许可随意接
入内部网络而引发的安全风险,以及因使用无线网络传输的移动终端而带来的安全接入风险等问题,需要通过违规外联、安全准入控制以及无线安全控制措施来解决。
➢ 针对跨安全域访问网络的行为,需要通过基于应用协议和应用内容的细
粒度安全访问控制措施来解决,以实现网络访问行为可控可管。 ➢ 针对通过分布式拒绝服务攻击恶意地消耗网络、操作系统和应用系统资
源,导致拒绝服务或服务停止的安全风险,需要通过抗DDoS攻击防护、服务器主机资源优化、入侵检测与防范、网络结构调整与优化等手段来解决。
➢ 针对利用网络协议、操作系统或应用系统存在的漏洞进行恶意攻击(如
碎片重组,协议端口重定位等),尤其是新型攻击行为,需通过网络入侵检测和防范等技术措施来解决。
➢ 针对通过恶意代码传播对主机、应用系统和个人隐私带来的安全威胁,
需要通过恶意代码防护技术手段解决。
➢ 针对邮件收发时遭受恶意代码攻击的安全风险,需要通过垃圾邮件防护
等技术手段解决。
➢ 针对违规越权操作、违规访问网络等用户行为,需要采取安全审计手段
来实现安全事件的有效追溯和用户行为的审计分析。
➢ 针对病毒入侵、恶意代码加载、非授权身份访问等安全威胁,边界设备
需要通过采取动态可信验证机制来确保程序运行安全可信,从而保障业务系统安全可信。
2.1.2.2. 云扩展部分
云扩展部分在区域边界方面的具体安全需求如下:
第 12 页
云等保2.0(三级)安全解决方案
➢ 需要在虚拟化网络边界及不同等级的网络区域边界部署访问控制机制,
并设置访问控制规则;
➢ 需要在不同等级的网络区域边界部署访问控制机制,设置访问控制规则; ➢ 需要对云服务客户发起的网络攻击行为进行检测,并能记录攻击类型、
攻击时间、攻击流量等;
➢ 需要对虚拟网络节点遭受的网络攻击行为进行检测,并能记录攻击类型、
攻击时间、攻击流量等;
➢ 需要对虚拟机与宿主机、虚拟机与虚拟机之间的异常流量进行检测; ➢ 在监测到网络攻击行为、异常流量情况时需要进行及时告警; ➢ 需要对云服务商和云服务客户在远程管理时执行的命令进行审计,
至少包括虚拟机删除、虚拟机重启;
➢ 需要保证云服务商对云服务客户系统和数据的操作能够被云服务客户
审计。
2.1.3. 安全计算环境需求
安全计算环境涵盖对定级系统的信息进行存储、处理及实施安全策略的相关部件。安全计算环境的安全需求主要涉及业务应用系统及重要数据处理、存储等安全问题。
2.1.3.1. 通用部分
通用部分在计算环境方面的具体安全需求如下:
➢ 针对用户帐号权限设置不合理、帐号暴力破解等等安全风险,需要通过
帐号管理、身份鉴别、密码保护、访问控制等技术手段解决。 ➢ 针对在网页浏览、文档传递、介质拷贝或文件下载、邮件收发时而遭受
恶意代码攻击的安全风险,需通过恶意代码防范、入侵防范等技术手段解决。
➢ 针对操作用户对系统错误配置或更改而引起的安全风险,需通过安全配
置核查、终端安全管控等技术手段解决。
第 13 页
云等保2.0(三级)安全解决方案
➢ 针对设备系统自身安全漏洞而引起被攻击利用的安全风险,需要通过漏
洞扫描技术、安全加固服务等手段解决。
➢ 针对攻击者越权访问文件、数据或其他资源,需要通过访问控制、身份
鉴别、安全审计等技术来解决。
➢ 针对利用各种工具获取应用系统身份鉴别数据,进行分析获得鉴别内容,
从而未授权访问、使用应用软件、文件和数据的安全风险,需要采用两种或两种以上鉴别方式来,可通过应用系统开发或第三方辅助系统来保证对应用系统登录鉴别安全;
➢ 针对应用系统缺陷、接口设计等导致被恶意攻击利用、数据丢失或运行
中断而影响服务连续性的安全风险,需要通过对产品采购、自行软件开发、外包软件和测试验收进行流程管理,同时保证应用软件具备自我容错能力;
➢ 针对由于应用系统存储数据而引发的数据损毁、丢失等数据安全问题,
需通过本地数据备份和异地容灾备份等手段来解决; ➢ 针对个人信息泄露的安全威胁,采取必要的安全保护手段;
➢ 针对病毒入侵、恶意代码加载、非授权身份访问等安全威胁,计算设备
需要通过采取动态可信验证机制来确保程序运行安全可信,从而保障业务系统安全可信。
2.1.3.2. 云扩展部分
云扩展部分在计算环境方面的具体安全需求如下:
➢ 当远程管理云平台中设备时,需要在管理终端和云平台之间建立双向身
份验证机制;
➢ 当虚拟机迁移时,需要保证访问控制策略随其迁移;
➢ 在云服务客户侧,需要具有相应权限设置不同虚拟机之间的访问控制策
略,保证不同虚拟机之间互访的安全访问控制;
➢ 需要具有对虚拟机之间的资源隔离失效的检测与告警机制;
➢ 需要具有对非授权新建虚拟机或者重新启用虚拟机的检测与告警机制; ➢ 需要具有对恶意代码感染及在虚拟机间蔓延的情况的检测与告警机制;
第 14 页
云等保2.0(三级)安全解决方案
➢ 针对重要业务系统需要提供加固的操作系统镜像或操作系统安全加固
服务;
➢ 为防止虚拟机镜像被恶意篡改,需要具有虚拟机镜像、快照完整性校验
技术措施;
➢ 需要采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的
敏感资源被非法访问;
➢ 需要确保云服务客户数据、用户个人信息等存储于中国境内,如需出境
应遵循国家相关规定;
➢ 为保障云服务客户数据的安全,需要确保只有在云服务客户授权下,云
服务商或第三方才具有云服务客户数据的管理权限;
➢ 需要使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,
并在检测到完整性受到破坏时采取必要的恢复措施;
➢ 支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据
的加解密过程。
➢ 云服务客户需要其本地保存其业务数据的备份; ➢ 需要提供查询云服务客户数据及备份存储位置的能力;
➢ 云服务商的云存储服务需要保证云服务客户数据存在若干个可用的副
本,各副本之间的内容应保持一致;
➢ 需要为云服务客户将业务系统及数据迁移到其他云平台和本地系统提
供技术手段,并协助其完成迁移过程;
➢ 需要保证虚拟机所使用的内存和存储空间回收时得到完全清除; ➢ 云服务客户删除业务应用数据时,云平台需要将云存储中所有副本删除。
2.1.4. 安全管理中心需求
安全管理中心是指对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。
等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,其中安全管理中心是一个非常重要的抓手。安全管理中心能够将安全计算环境、安全区域边界和安全通信网络这三重安全防护机制有机的衔接统一
第 15 页
云等保2.0(三级)安全解决方案
起来,实现统一管理、统一监控、统一审计、综合分析且协同防护。安全管理中心的需求包括系统管理、审计管理、安全管理和集中管控4个方面。
2.1.4.1. 通用部分
通用部分在安全管理中心方面的具体安全需求如下:
➢ 针对系统管理员、审计管理员、安全管理员的违规操作行为,需要采取
角色权限控制、身份鉴别、安全审计等技术手段对其操作行为进行限定,并对其相关操作进行审计记录。
➢ 针对众多网络设备、安全设备、通信线路等基础设施环境不能有效、统
一监测、分析,以及集中安全策略分发、恶意代码特征库、漏洞补丁升级等安全管理问题,需要通过集中安全管控和集中监测审计机制来解决。 ➢ 针对应用系统过度使用服务器内存、CPU等系统资源的行为,需要对应
用软件进行实时的监控管理,同时对系统资源进行管控来解决。 ➢ 针对设备违规操作或多通路运维带来的安全风险,需要对指定管理区域
及安全管控通路。
2.1.4.2. 云扩展部分
云扩展部分在安全管理中心方面的具体安全需求如下:
➢ 需要对物理资源和虚拟资源按照策略做统一管理调度与分配; ➢ 需要保证云平台管理流量与云服务客户业务流量分离;
➢ 需要根据云服务商和云服务客户的职责划分,收集各自控制部分的审计
数据并实现各自的集中审计;
➢ 需要根据云服务商和云服务客户的职责划分,实现各自控制部分,包括
虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
2.1.5. 五类管理安全需求
不涉及本次项目
第 16 页
云等保2.0(三级)安全解决方案
3. 方案总体设计
3.1. 设计依据
本方案是根据2019年5月13日最新发布的GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的安全通用要求和云扩展安全要求,参照GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》,针对第三级系统而提出的安全保护等级设计方案。
除上述两个标准外,还参考了如下相关标准:
➢ 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) ➢ 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007) ➢ 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008) ➢ 《网络安全等级保护定级指南》(GA/T 13-2017)
➢ 《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2019) ➢ 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) ➢ 《信息安全技术 网络安全等级保护安全管理中心技术要求》(GB/T
36958-2018)
➢ 《信息安全技术 网络安全等级保护测评过程指南(GB/T 28449-2018) ➢ 《信息技术 安全技术 信息安全管理体系要求》(ISO/IEC 27001:2013) ➢ 《信息技术 安全技术 信息安全控制实用规则》(ISO/IEC 27002:2013)
3.2. 设计原则
3.2.1. 分区分域防护原则
任何安全措施都不是绝对安全可靠的,为保障攻破一层或一类保护的攻击行为而不会破坏整个信息系统,以达到纵深防御的安全目标,需要合理划分安全域,综合采用多种有效安全保护措施,实施多层、多重保护。
第 17 页
云等保2.0(三级)安全解决方案
3.2.2. 均衡性保护原则
对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理安全需求、安全风险与安全保护代价的关系。因此,结合适度防护实现分等级安全保护,做到安全性与可用性平衡,达到技术上可实现、经济上可执行。
3.2.3. 技管并重原则
网络安全涉及人、技术、操作等方面要素,单靠技术或单靠管理都不可能实现。因此在考虑网络安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合,坚持管理与技术并重,从而保障网络安全。
3.2.4. 动态调整与可扩展原则
由于网络安全需求会不断变化,以及环境、条件、时间的,安全防护一步到位、一劳永逸地解决网络安全问题是不现实的。网络安全保障建设可先保证基本的、必须的安全保护,后续再根据应用和网络安全技术的发展,不断调整安全保护措施,加强安全防护力度,以适应新的网络安全环境,满足新的网络安全需求。当安全保护等级需要变更时,应当根据等级保护的管理规范和技术标准的要求,重新确定网络安全保护等级,根据调整情况重新实施安全保护。
3.2.5. 三同步原则
网络运营者在网络新建、改建、扩建时应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施,确保其具有支持业务稳定、持续运行性能的同时,保证安全技术措施能够保障网络安全与信息化建设相适应。在全过程中推行安全同步开展,强化安全工作前移,降低运维阶段的服务压力。
3.3. 设计思路
本方案设计从技术体系、管理体系两个方面展开,满足合规和安全运营的相
第 18 页
云等保2.0(三级)安全解决方案
关要求。本方案的设计技术体系按照《网络安全等级保护安全设计技术要求》的相关条款进行方案设计,本方案的设计思路如下:
➢ 根据系统定级的结果,明确该等级对应的总体防护措施;
➢ 根据系统和子系统划分结果、安全定级结果,将保护对象归类,并组成
保护对象框架;
➢ 根据方案的设计目标来建立整体保障框架,来指导整个等级保护方案的
设计,明确关键的安全要素、流程及相互关系;在安全措施框架细化后将补充到整体保障框架中;
➢ 根据此等级受到的威胁对应出该等级的保护要求(即需求分析),并分
布到安全物理环境、安全通信网络、安全区域边界、安全计算环境等层面上;
➢ 根据由威胁引出的等级保护基本要求、等级保护实施过程、整体保障框
架来确定总体安全策略(即总体安全目标),再根据等级保护的要求将总体安全策略细分为不同的具体策略(即具体安全目标),包括安全域内部、安全域边界和安全域互联策略;
➢ 根据保护对象框架、等级化安全措施要求、安全措施的成本来选择和调
整安全措施;根据安全技术体系和安全管理体系的划分,各安全措施共同组成了安全措施框架;
➢ 根据保护对象的系统功能特性、安全价值以及面临威胁的相似性来进行
安全区域的划分;各安全区域将保护对象框架划分成不同部分,即各安全措施发生作用的保护对象集合。
➢ 根据选择好的保护对象安全措施、安全措施框架、实际的具体需求来设
计安全解决方案。
3.4. 方案设计框架
云等保2.0安全防护框架由技术体系与管理体系两部分组成,其中,安全管理体系包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五部分。安全技术体系包括计算环境安全、区域边界安全、通信网络安全和安全管理中心四部分。安全管理中心支持下的云平台安全设计框架如下图所
第 19 页
云等保2.0(三级)安全解决方案
示,该图指出了云平台的三层架构和三种主要的安全区域划分方式,以及安全计算环境、安全区域边界(即下图中纵向虚线所示)、安全通信网络(即下图中的双向箭头)在云平台中的位置。
云等保2.0安全防护框架如下图所示:
云等保2.0安全防护框架
云平台中典型的安全区域边界划分包括了云平台的接入边界、计算环境以及安全管理中心,区域间或区域内的数据交互均由安全通信网络负责完成,而安全计算环境则由硬件设施层、资源层和服务层三部分组成。分别与云平台架构中的云用户层、云访问层、云服务层、云资源层、硬件设施层和云管理层相对应。
外部用户通过终端设备采用互联网或专网等方式访问云平台的接入边界区域,实现对云平台中提供服务的相关业务系统的浏览访问或远程管理,访问或管理的内容及层次由用户所具备的权限决定。内部用户则通过安全管理中心对硬件设施层、资源层和服务层进行日常管控。
第 20 页
云等保2.0(三级)安全解决方案
4. 安全技术体系设计
4.1. 技术体系设计目标
技术体系设计目标是根据建设目标和建设内容将等级保护对象安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档,使得在信息安全产品采购和安全控制开发阶段具有依据。
4.2. 技术体系设计框架
4.3. 安全计算环境防护设计 4.3.1. 通用部分设计
依据等级保护要求第三级中设备和计算安全、应用和数据安全等相关安全控
第 21 页
云等保2.0(三级)安全解决方案
制项,结合安全计算环境对于用户身份鉴别、自主与标记访问控制、系统安全审计、恶意代码防护、安全接入连接、安全配置检查等技术设计要求,安全计算环境防护建设主要通过身份鉴别与权限管理、安全通信传输、主机安全加固、终端安全基线、入侵监测/入侵防御、漏洞扫描、恶意代码防护、Web应用攻击防护、网络管理监控、安全配置核查、安全审计,重要节点设备冗余备份,以及系统和应用自身安全控制等多种安全机制实现。此次所增加安全设备涉及安全控制点具体如下:
4.3.1.1. 身份鉴别与访问-堡垒机
身份鉴别与权限授权是对网络设备、主机系统、数据库系统、业务应用系统等实现双因素身份认证及操作权限分配管理。如采用PKI/CA系统、安全堡垒机、4A平台系统等。
堡垒机是一种管控和审计运维人员操作的网络安全设备。
管理员可以使用堡垒机系统控制运维人员能运维哪些设备,执行哪些操作命令,避免运维人员非法或无意执行高危操作,并对运维人员的操作进行实时监控和事后审计。
运维人员通过堡垒机系统做运维,不必记录设备的ip地址、用户名、口令等信息,也避免这些敏感信息的泄露,极大地方便了运维工作,提升运维效率。
堡垒机系统对整个运维过程从事前预防、事中控制和事后审计进行全程参与。 事前预防:建立“自然人-资源-资源帐号”关系,实现统一认证和授权。 事中控制:建立“自然人-操作-资源”关系,实现操作审计和控制。 事后审计:建立“自然人-资源-审计日志”关系,实现事后溯源和责任界定。
4.3.1.2. 安全通信传输网关
通过VPN技术能够在管理终端与主机设备之间创建加密传输通道,实现远程接入数据安全传输服务,保证数据传输的完整性和保密性。
通过将VPN安全系统与安全堡垒机系统相互关联和联动,能够实现网络设备、主机系统、数据库等重要设备的远程安全管理,防止鉴别信息在网络传输过程中
第 22 页
云等保2.0(三级)安全解决方案
被恶意窃听。
4.3.1.3. 入侵检测与防御-入侵防御
网络入侵监测/入侵防御主要用于检测和阻止针对内部计算环境中的恶意攻击和探测,诸如对网络蠕虫、间谍软件、木马软件、数据库攻击、高级威胁攻击、暴力破解、SQL注入、XSS、缓冲区溢出、欺骗劫持等多种深层攻击行为进行深入检测和主动阻断,以及对网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)、网络流量异常等行为进行及时检测和报警。
4.3.1.4. 漏洞检测扫描-漏扫设备
漏洞扫描技术能够对网络主机(如服务器、客户机、网络打印机)、操作系统、网络设备、应用系统、常用软件、网站开源架构、主流数据库进行系统漏洞、应用漏洞、安全配置扫描和检测,及时发现网络中各类设备和系统的安全脆弱性,提出修复和整改建议,保障设备和系统自身安全性。
4.3.1.5. 恶意代码及病毒攻击防护-防病毒
恶意代码是指以危害信息安全等不良意图为目的的程序或代码,它通常潜伏在受害计算机系统中伺机实施破坏或窃取信息,是安全计算环境中的重大安全隐患。其主要危害包括攻击系统,造成系统瘫痪或操作异常;窃取和泄露文件、配置或隐私信息;肆意占用资源,影响系统、应用或系统平台的性能。恶意代码防护能够具备查杀各类病毒、木马或恶意软件的服务能力,包括文件病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件等。
防病毒安全网关主要由硬件平台、专用操作系统、AV管理服务系统、AV安全引擎等四个部分组成。硬件平台根据用户使用环境的不同,选取专用安全平台或基于高性能服务器架构进行设计,专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统;AV安全引擎采用模块化设计,针对不同的应用环境和不同的安全策略,可以配置不同的功能模块。
第 23 页
云等保2.0(三级)安全解决方案
4.3.1.6. 应用安全防护
安全应用保护能够防止包括漏洞扫描攻击、注入攻击、攻击、攻击防护,以及篡改防护、网站盗链防护、网页挂马防护等各种针对系统的入侵攻击行为,结合网页防篡改技术实现系统运行过程中重要程序或文件完整性检测和恢复。
应用安全网关,是启明星辰公司自行研制开发的新一代安全防护与应用交付类应用安全产品,主要针对服务器进行流量分析,防护以应用程序漏洞为目标的攻击,并针对应用访问各方面进行优化,以提高或网络协议应用的可用性、性能和安全性,确保业务应用能够快速、安全、可靠地交付。
4.3.1.7. 业务数据库审计
数据库审计系统是针对数据库操作行为进行细粒度审计,将源数据提取转换和同步整合给目标数据的能力的管理系统。它通过各类数据库访问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部行为监管、促进核心资产的正常运营,是审计数据库类型最全,解析粒度最细的审计产品。
第 24 页
云等保2.0(三级)安全解决方案
4.4. 安全区域边界防护设计 4.4.1. 通用部分设计
依据等级保护要求第三级中网络和通信安全相关控制项,结合安全区域边界对于区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护等安全设计要求,安全区域边界防护建设主要通过网络架构设计、安全区域划分,基于地址、协议、服务端口的访问控制策略;通过安全准入控制、终端安全管理、流量均衡控制、抗DDoS攻击、恶意代码防护、入侵监测/入侵防御、APT攻击检测防护、非法外联/违规接入网络、无线安全管理,以及安全审计管理等安全机制来实现区域边界的综合安全防护。具体如下:
4.4.1.1. 区域边界访问控制-防火墙
依据等级保护要求第三级中网络和通信安全相关安全要求,区域边界访问控制防护需要通过在网络区域边界部署专业的访问控制设备(如下一代防火墙、统一威胁网关等),并配置细颗粒度的基于地址、协议和端口级的访问控制策略,实现对区域边界信息内容的过滤和访问控制。
一般防火墙在软件架构上采用控制与业务分离CP主要处理鉴权、配置、路由、日志和高可用性等管理业务,并提供WebUI、命令行、云管理平台和SDN API等管理接口。DP则处理网络层、应用层解析和防火墙各项策略的执行。每个CP或DP都与一个逻辑处理器进行绑定,避免由于系统调度对性能产生负面影响。
在部署方面,防火墙支持传统的桥接、路由、旁路和混合部署模式,并可以安全资源池的形态部署在云计算环境中,可以支持各种主流大二层网络技术,重新定义云数据中心内部网络边界,使得安全防护成为可能。
4.4.1.2. 带宽流量负载管理
考虑到网络架构中业务应用系统带宽分配和处理能力需要,以及针对业务应用系统中资源控制要求,通过专业流量负载均衡或应用交付系统能够有效支撑网络链路负载、服务器负载、应用协议优化与加速,保障流量带宽资源的合理管控。
第 25 页
云等保2.0(三级)安全解决方案
4.4.1.3. 抗攻击防护
作为第一道安全防线,异常流量及抗攻击防护能够通过分析网络中的网络流信息,及时发现针对网络中特定目标攻击等异常流量,通过流量牵引的方式将DDoS攻击等异常数据流清洗处理,将干净的流量回注到网络环境中继续转发。
4.5. 安全通信网络防护设计 4.5.1. 通用部分设计
依据等级保护要求第三级中网络和通信安全相关安全控制项,结合安全通信网络对通信安全审计、通信数据完整性/保密性传输、远程安全接入防护等安全设计要求,安全通信网络防护建设主要通过通信网络安全传输、通信网络安全接入,及通信网络安全审计等机制实现。
4.5.1.1. 通信网络安全审计-日志审计
通信网络安全审计需要启用/设置安全审计功能,将用户行为和重要安全事件进行安全审计,并统一上传到安全审计管理中心。
同时,审计记录产生时的时间应由系统范围内唯一确定的时钟产生(如部署NTP服务器),以确保审计分析的正确性。
日志审计设备能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
第 26 页
云等保2.0(三级)安全解决方案
4.6. 安全管理中心设计 4.6.1. 通用部分设计
依据等级保护要求第三级中网络和通信安全相关安全控制项,结合安全管理中心对系统管理、安全管理和审计管理的设计要求,安全管理中心建设主要通过网络管理系统、综合安全管理平台等机制实现。
通过网络管理系统能够对网络设备、网络链路、主机系统资源和运行状态进行监测和管理,实现网络链路、服务器、路由交换设备、业务应用系统的监控与配置。
通过综合安全管理平台对安全设备、网络设备和服务器等系统的运行状况、安全事件、安全策略进行集中监测采集、日志范式化和过滤归并处理,来实现对网络中各类安全事件的识别、关联分析和预警通报。
集中管理平台系统需以资产为基础,以业务信息系统为核心,以用户体验为指引,从监控、审计、风险、运维四个维度建立一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统实现可用性、性能及服务水平的监测,结合内外部威胁情报信息的事件、流、漏洞及安全配置分析、审计、预警与响应,风险及态势的度量与评估,以及标准化、例行化、常态化的安全流程管控,通过面向业务的主动化、智能化安全管理,最终实现业务信息系统的持续安全运营。
第 27 页
因篇幅问题不能全部显示,请点此查看更多更全内容