网络安全设计.docx-淘文阁

资源描述

《网络安全设计.docx》由会员分享，可在线阅读，更多相关《网络安全设计.docx（24页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、LL1安全系统设计安全技术体系设计1.1.1.1.1 物理和环境安全物理安全方面，存在物理性灾害、物理访问控制以及基础设施等方面的风险，因此器要保障信息系统物理环境的安全可靠（包括防盗窃、防破坏、防火、防水、防雷击、防静电、温混度控制、电力供应、电磁防护等），为信息系统正常运行提供物理环境支持。主要技术措施包括：物理和环境设计：良好的机房位置选择。物理访问控制:在机房出入口部署电子门禁系统（物理访问控制）。物理入侵检测与审计:部署防盗报警系统、监控摄像头及闭路电视、配属保安力量。物理和环境安全保障:部署防雷保安器、自动消防系统、水敏感检测仪表或元件、防静电地板、温度监控与自动调节、电压

2、防护设备等环境安全措施。业务连续性保障:部署电力恢复设备，防电磁干扰措施维护业务连续性。网络和通信安全序号类别安全措施1结构安全合理划分安全域冗余设计序号类别安全措施1结构安全合理划分安全域冗余设计实现方式应使用VPC/VLAN/VXLAN/防火墙定义的地址对象等方式，定义和划分安全域。应遵循保护等级、业务使命、安全需求等要素，本着便于管理的原则划分安全域。云平台根据安全指南以及自身业务的实际需求可划分如:外部网络接入域、DMZ域、核心交换域、内部用户接入域、安全管理域、带外管理域、计算资源池域等。应保证主要的网络设备具备业务处理能力和带宽的冗余空间，满足业务高峰期的要求，

3、避免因设备和关键链路的失败导致的单点故障。通过真实攻防场景对入侵链路还原，建立进程行为白名单。对于进程的非法行为、黑客的入侵过程实时进行告警。(4)异常登录检测服务器上的登录行为，通过设置合法登录IP、时间及账号，对于例外的登录行为进行告警；通过手动配置和自动获取的常用登录地，对指定服务器的异常登录行为进行告警。(5)漏洞检测与修复主机漏洞管理针对服务器系统漏洞提供检测和修复服务，可处理以下四类漏Linux软件漏洞周期性自动检测Linux系统服务器上存在的CVE漏洞，准确率近100虬同时针对检测到的漏洞，提供一键修复、漏洞修复命令、漏洞白名单等功能，实现对漏洞的闭环管理。Windo

4、ws系统漏洞实时跟踪微软官方补丁公告，自动检测Windows系统服务器上的补丁是否已更新，提供Windows系统中的漏洞情况。针对发现的Windows漏洞，提供自动修复和跟踪功能。Web-CMS 漏洞提供Web-CMS漏洞自动周期检测功能。通过自研补丁，实现Web文件漏洞的一键修复。对于手动修复的漏洞，支持验证是否修复成功;对于修复完成漏洞，支持回滚功能还原修复前的Web文件。应急漏洞检测针对发布的应急漏洞，如Redis服务未授权访问漏洞、Struts 2-052命令执行漏洞等漏洞，提供漏洞检测功能。同时，支持漏洞的修复验证操作。(6)基线检查通过任务下发模式对服务器进行安全配置扫描

5、，发现系统配置、账号、数据库、弱密码、合规性配置中存在的风险点，并针对所发现的问题项提供修复建议。账号安全检测:如密码策略合规、系统及应用弱口令检测。系统配置检测：如组策略、登录基线策略、注册表配置风险检测。数据库风险检测:如数据库高危配置检测。合规对标检测：如Linux Centos系统基线检测，等保基线等。用户还可自定义基线检测策略，包括检测项目、检测周期、应用的服务器组等设置。（7）资产清点主机安全防护系统资产清点功能可定期收集并记录服务器的运行进程、系统账号、开放端口、软件版本信息，帮助用户全面了解资产的运行状态并提供回溯分析能力。运行进程:定期收集服务器的进程信息，帮助用户

6、清点进程（清点一个进程被哪些服务器运行;清点台服务器运行了哪些进程）o系统账号:定期收集服务器的账号信息，帮助用户清点账号（清点一个账号被哪些服务器创建;清点台服务器创建了哪些账号）。开放端口：定期收集服务器的对外端口监听信息，帮助用户清点端口（清点一个端口被哪些服务器监听；清点一台服务器开通了哪些端口）0软件版本:定期收集服务器的软件版本信息，帮助用户清点软件资产（清点非法软件资产（非法安装）；清点版本过低软件资产；漏洞爆发时快速定位受影响资产范围。）1.1.1.2 安全管理体系设计安全管理机构和人员信息安全管理组织的建立原则应包括：获取项目领导小组、各租户高层领导的足够重视，保

7、证安全管理组织建设的顺利推进；加强安全审计的流程管控，贯彻安全设计制度，突出安全审计员的管理职责提高整体员工的安全意识和技能，从广泛的人员视角上和纵深的层次上杜绝安全事件的发生；需要不同的相关参与部门共同参与，制定不同角色和分工，从而保障安全管理的协调统一。1. 1. 1.2. 1. 1岗位设置具体实施办法包括：应建立具有安全管理权限的信息安全管理委员会，负责批准信息安全方针、分配安全证职责并协调组织内部信息安全的实施。建立审计与监管工作组，井设置安全审计员，对安全策略的变更以及关键业务配置的变更需经过安全审计员的评估后方可执行。应建立信息安全工作组，负责制定具体的安全管理策略（方

8、针），监督安全管理策略的实施，对内部人员进行培训。应建立运行维护工作组，负责云环境和基础设施维护，受安全管理委员会领导。应建立规供信息安全建议的专家组井使其有效，专家小组应与外部安全专家联络限踪行业趋势，监督安全标准和评估方法，井在处理安全事故时提供适当的联络渠道。应建立应急响应工作组，快速应对信息安全事件。1. 1. 1.2. 1.2 授权和审批在安全管理委员会的框架内，租户应根据各工作组的职责，明确授权审批事项、批准人等。针对系统变更、重要操作、物理访问和系统接入等事项，建立审批程序，按照程序执行审批过程。对重要的活动应建立逐级审批制度。1. 1. 1.2. 1.3 沟通和合作

9、除了加强安全管理委员会内部沟通合作之外，还应加强各部门的合作与沟通定期召开协调会议，共同协作处理信息安全问题。同时，也应建立与外联单位（如兄弟单位、公安机关、各类供应商、业界专家和专业安全组织）的沟通与合作。这些外联单位应组成列表，注明单位名称、合作内容、联系人和联系方式等内容。1. 1. 1.2. 1.4 审核和检查应定期执行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份情况等。1. 1. 1.2. 1.5 人员录用应对被录用人员的身份、背景、专业资格和资质进行审查，对其工作范围内应具备的技术技能进行考核。只要被录用人员具备接触和掌握租户敏感数据的权限，均应签署保密协

10、议。对于重要的岗位人员，应签署岗位责任协议。1. 1. 1.2. 1.6 人员离岗人员离岗时，应及时终止其所有访问权限，收回各类身份证件、钥匙、身份鉴别硬件Key等各类软硬件设备。1. 1. 1.2. 1.7 安全意识教育和培训应对全体员工和外包服务工作人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。培训内容包括：岗位操作规程、组织安全策略的宣讲、信息安全基础知识等。1.1. 1.2. 1.8 外部人员访问管理当外部人员通过物理方式或远程接入方式访问系统时，均应提出书面申请。批准后，由专人陪同（开通账号、分配权限），并登记备案。当外部人员离场后应及时清除其所有的访

11、问权限。1.2. 安全策略和管理制度安全策略是信息安全保障体系的灵魂和核心，一个良好的策略体系可以维持整个信息安全保障体系自动的进行良性循环，不断的完善信息安全保障体系。安全管理策略应由信息安全工作小组和专家小组共同制定，并由安全委员会评审、批准后颁布并实施。建设重点包括：安全管理策略制定总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等。安全管理制度:对安全管理话动中的各类管理内容建立安全管理制度，对管理人员/操作人员执行的日常管理操作建立操作规程。制定和发布：安全策略和制度的制定应由信息安全工作小组和专家小组共同完成，由安全管理委员会正式发布。同时应进行版本

12、控制，当系统出现变更时，策略或制度的变化应得以体现。评审和修订:安全管理委员会应定期组织对安全管理制度的合理性和适用性的论证和评审，尤其是当系统出现重大变更后，更应及时对不合时宜的、存在不足的或需要改进的安全管理制度进行修订。安全建设管理定级和备案定级文件应文档化。以书面形式说明保护对象的边界、安全保护等级以及确定登记的方法和理由。定级结果得经过专家评审其合理性和正确性，确定结果后经过主管部门批准，井将备案材料报主管部门和公安机关备案。安全方案设计在对业务系统/云平台进行等级保护安全设计时，仍应进行风险评估和差距分析，补充和调整相应的安全措施。产品采购和使用采购的安全产品和密码学产

13、品都应具备相应产品认证资质。安全产品至少具备公安机关颁发的计算机信息系统安全销售许可证，密码学产品须具备国家密码管理局颁发的商用密码产品销售许可证。软件开发需对应用系统进行监控，且符合关于隐私保护的相关规定。应针对系统变更重要操作、物理访问和系统接入等事项执行审批流程。系统定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和备份等情况。建立非常规数据查询和使用侦测机制，运用技术手段应对非工作时间批量查询、短期批量异地查询等异常场景，防止数据泄露。应用系统运行时应有完整的日志记录，提供审计功能。应用开发过程中需要有相应的代码描述和注释，统一的代码书写规范及命名规范等。需要保证应

14、用代码的安全性，防止代码丢失、代码外泄、代码混淆等问题。应用系统的源代码不允许存放在应用运行平台主机上，应另行存放，并具有版本控制能力。自行软件开发应建立单独的开发环境，与实际物理运行环境逻辑隔离，保证测试数据和测试结果可控，避免侵害实际运行环境。安全性测试应融入软件开发过程，在软件安装前对可能存在的恶意代码进行检测。外包软件开发对于外包软件开发，应做到：在软件交付使用前，应进行源代码审计和检测，检测软件质量和其中可能存在的恶意代码。外包单位应提供软件设计文档和使用指南。工程实施在实施前，应制定工程实施方案，控制安全工程的实施过程。并指定专门的部门或人员负责工程实施过程的管理。测试

15、验收测试验收过程，应首先制定测试验收方案，并依据测试验收方案实施测试验收，最终形成测试报告。应专门进行上线前的安全性测试，对安全措施有效性进行测试，并出具安全测试报告。系统交付系统交付时，应根据交付清单对交接的设备、软件和文档等进行逐一清点。交付后的运行维护技术人员应进行相应的技能培训。软件，服务方应确保提供建设过中的文档，以及指导用户进行运行维护的指南性文档。等级测评应定期执行等级测评工作，尤其是出现重大变更或级别发生变化时，均应执行等级测评，在发现存在安全差距时，进行及时的整改。运行监管业主方和开发厂商均有执行运行监管的责任和义务。业主方要按照合同、规章制度和标准加强对开发厂商

16、和自身的运行监管，同时开发厂商、第三方评估机构需要积极参与和配合。各方均需要明确负责执行运行监管的责任人和联系方式。安全运维管理环境和资产管理机房安全管理，指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定。环境安全管理:不在重要区域接待来访人员和桌面上没有包含敏感信息的纸档文件、移动介质等。资产管理:编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。介质和设备管理介质管理:确保介质存放在安全的

17、环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点。对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录。设备维护管理:对服务器、网络及安全设备、业务应用的操作应制定标准化的操作规范:建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。漏洞和风险管理采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。网络和系统安全管理角色权限分配:划分不同的管理员角色进行网络和系统的运维管理，明

18、确各个角色的责任和权限。账号管理:指定专门的部门或人员进行账号管理，对申请账号、建立联号、删除账号等进行控制。管理制度:建立网络和系统安全管理制度，对安全策略、账号管理、配置管理、日志管理、日常操作、升级与打补下、口令更新周期等方面作出规定。操作手册：制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等。运维操作日志记录:详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。网络/系统变更管理:严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库。远程运维

19、管理:严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。外部连接和无线网络管理:保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。恶意代码防范管理防恶意代码意识:提高所有用户的防恶意代码意识，告知对外来计算机或存储设备接入系统前进行恶意代码检查等。防恶意代码管理制度:对恶意代码防范要求做出规定，包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等。审查机制:定期检查恶意代码库的升级情况，对截获的恶意代码进行及时分析处理。配置管理配置管理内容:记录和

20、保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。配置信息动态管理:将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。密码管理密码学产品资质要求:使用符合国家密码管理规定的密码技术和产品。商用密码产品销售许可证密码学产品开发:按照国家密码管理的要求开展密码技术和产品的应用。变更管理变更过程：明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施。申报和审批控制:建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程。变更失败恢复:建立中止变

21、更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。备份与恢复管理识别备份客体:识别需要定期备份的重要业务信息、系统数据及软件系统等。确定备份参数:规定备份信息的备份方式、备份频度、存储介质、保存期等。数据备份和恢复策略:根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。若建有数据暂存环境，实施有效的访问控制措施保证其安全可控。应明确数据暂存时间，并及时清理。制定数据暂存的流程和规范，在暂存期间应明确数据管理责任。安全事件处置事件报告:报告所发现的安全弱点和可疑事件。报告和处置管理制度:制定安全事件报告和处置管

22、理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。事件分析:在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训。重大安全事件处置:对造成系统中断和造成信息泄漏的重大安全事件应采用专门制定的处理程序和报告程序。应急预案管理应急预案框架:规定统一的应急预案框架，并在此框架下制定不同事件的应急预案，包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。应急资源保障:从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。应急预案培训和演练:定期对系统相关的人员进行

23、应急预案培训，并进行应急预案的演练。定期修订:定期对原有的应急预案重新评估，修订完善。外包运维管理外包服务协议:与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容。外包服务能力要求:确保选择的外包运维服务商在技术和管理方面均有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确。外包服务安全要求:在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求，对FT基础设施中断服务的应急保障要求等。1.1.1.3 网络安全服务方案1. 1. 1. 3. 1安全风险评估服务安全扫描服务主要使用技术手段，通过远程的方

24、式对被评估对象进行一系列的安全探测，以发现网络中和系统中可能存在的安全隐患。安全扫描过程中主要是通过评估工具以远程扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、边界防护远程访问安全纵深防御管理业务流量隔离边界的定义边界的控制边界完整性检测与保护专线接入SSL VPN应根据业务系统的重要程度进行层次化的网络结构设计，形成纵深防御体系。提供关键性业务的设备和系统应位于纵深结构的内部。应至少通过逻辑隔离的方式将管理和业务流量分离。如有条件，可单独组建带外管理网，使用独立线路承载管理流量。应定义4个层次的主要边界:1.平台整体边界2.各

25、安全域边界物理3.计算资源区内租户边界4.主机边界（物理主机和虚拟化主机边界）对于平台整体边界及安全域边界，可考虑采用物理防火墙设备（物理防火墙设备旁路接入核心交换机，以策略路由方式部署）进行访问控制和过滤。对于计算资源池内不同业务系统边界，以及主机边界，可采用VPC隔离防火墙/主机型防火墙/交换机端口 ACL等方式施加访问控制策略。应部署网络准入类措施，当设备在接入内网时，应进行有效的合法性认证（如通过802.1X协议，或域认证形式进行认证），防止非法内联行为的发生。应通过物理和技术预防、检测、加固服务等方式，杜绝试图通过建立无线、有线方式连接外网的行为，可根据

26、实际情况，考虑部署无线入侵检测、无线信号干扰，定期执行设备加固等方式防止非法外联行为的发生。可采用专线接入方式进行远程运维访问，通过隐秘实现安全。运维访问应由堡垒机进行身份鉴别、授权管理、操作审计。可进一步结合PKI/CA基础设施进行双因素身份认证。可采用SSL VPN方式进行业务远程访问的保护。提供身份鉴别、端到端加密。运维访问应由堡垒机（部署于带外管理域）进行身份鉴别、授权管理、操作审计。可进一步结合PKI/CA基础设施进行双因素身份认证。服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威肋安全扫描项目包括如下内容：信息探测类、网络设备与防火墙

27、、RPC服务、Web服务、CGI问题、文件服务、域名服务、Mail服务、Windows远程访问、数据库问题、后门程序、其他服务、网络拒绝服务(DOS)等问题。从网络层次的角度来看，安全扫描涉及了如下三个层面的安全问题。1 .系统层安全:该层的安全问题来自网络运行的操作系统：UNIX系列Linux 系列、Windows NT系列以及专用操作系统等。安全性问题表现在两方面:一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。身份认证:通过telnet进行口令猜测等访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许

28、匿名 IP登录，ftp服务器存在匿名可写目录等。系统漏洞:System V系统Login远程缓冲区温出酒洞,Microsoft Windows Locator服务远程缓冲区溢出漏洞等安全配置问题:部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统等。2 .网络层安全:该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。网络资源的访问控制:检测到无线访问点等服务；域名系统：ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞， Microsoft Windows NT D

29、NS拒绝服务攻击等服务；路由器：Cisco IOS Web配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，华为网络设备没有设置口令等服务；3 .应用层安全:该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括:数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。数据库软件:Oracle tnslsnr 没有设置口令，Microsoft SQL Server 2000 Resolution服务多个安全漏洞等服务;Web服务器：Apache Mod_SSL/ Apache- SSL远程缓冲

30、区溢出漏洞,MicrosoftIIS 5.0 . printer I SAP I 远程缓冲区溢出，Sun ONE/iPlanet Web 服务程序分块编码传输漏洞等服务；电子邮件系统：Sendmail头处理远程溢出漏洞，Microsoft Windows 2000SMTP服务认证错误漏洞等服务；防火墙，及应用网管系统：Axent Raptor防火墙拒绝服务漏洞等服务；其它网络服务系统：Wingate POP3 USER命令远程溢出漏洞，Linux系统 LPRng远程格式化串漏洞等服务。代码设计1. 1. 1.3. 2. 1 架构设计进攻面最小化原则在软件架构中将最少的功能性代码开放给用户。如

31、:功能代码和界面代码分离，内核代码和用户任务处理代码分离等。深度防卫原则在软件代码开发中注重代码安全性加入安全防护功能代码，如：防溢出处理，防注入代码，防跨站代码等。最小权限原则对软件用户或软件运行权限进行最小化，防止使用者恶意突破权限限制非法操作。只为程序中需要特权的部分授与特权只授与部分绝对需要的具体特权将特权的有效时间或者可以有效的时间限制到绝对最小其它安全架构原则（二）输入处理验证内容:验证所有输入，验证各种来源的输入，建立可信边界。验证方法:使用强输入验证，避免使用黑名单法，不混淆可用性和安全性，拒绝不良数据，默认执行严格的输入验证，检验输入数据长度，限制数字输入。（三）缓冲

32、区溢出缓冲区溢出通常是向数组中写数据时，写入的数据的长度超出了数组原始定义的大小。比如前面你定义了 int buff10,那么只有buffO - buff9 的空间是定义buff时申请的合法空间，但后来往里面写入数据时出现了buff12=0x10则越界了. C语言常用的strcpy、sprintf strcat等函数都非常容易导致缓冲区溢出问题。对付缓冲区溢出攻击的常见的四种方式：正确的编写代码非执行的缓冲区检查数组边界程序指针完整性检查（四）字符串格式化问题当允许用户输入影响某些字符串格式化函数的格式串参数时，可能会发生格式串错误。选择可以在应用程序环境中执行的最严格限制，那么绝大部分

33、格式串漏洞可以避免的:物理防火墙4 访问控制VPC隔离防火墙 /IPTable5入侵防范IPSAPT攻击检测/防御系统6恶意代码防范防病田系统7安全审计日志集中收集1和审计模块系统安全功能堡垒主机外层物理防外物供平白察体边界的方问校制:火墙应部署于各类接入区域的入口内层物理防云内安全域通过在防火墙 VPC/VLAN/IP域边界的访问控制。中定义地址对象（可以是火墙应部署于核心交换机处，提供地址组等），实现状态检测包过滤功能，控制粒度为IP五元组。VPC阳离防火墙主要负责计算资源池内安全域边界，以及虚拟机边界的访问控制。通过在防火墙中定义地址对象（可以是PC/LANVIP

34、地址组等），实现状态检测包过滤功能，控制粒度为IP 五元组。可在网络接入边界处部署IPS （入侵防御系统），或部署UTM/NGFW等综合防护设备（开启IPS模块），实时检测各类入侵行为，并进行阻断。在云数据中心内部署APT检测/防御措施，一般部署形式为检测探针+分析中心的模式，提升数据中心针对未知威胁的感知/检测/防护能力。通过虚拟化操作系统内部防病毒系统对病毒与恶意代码进行防护，并能够定期自动更新病毒库信息。云平台内部可通过部署物理探针以及软件代理的方式实现云内日志的集中收集综合收集全网产生日志信息的资产日志，进行统一存储。对网络访问行为进行记录和审计，通过预定义和

35、自定义审计策略，发现网络内违规访问行为、异常访问行为，并进行记录和告警。应部署堡垒主机，通过代理所有运维管理过好实现对运维操作的管理和审计，通过预定义和自定义审计策略，发现违规运维访问行为、异常运维访问行为，并进行记录和告警。对于重要资产的运维操作，应通流程。过堡垒机建立立审批机制，定义安全的运维操作8虚拟网络安全云防火墙1重塑并定义虚拟化边界，并施加访问控制措施，实现对计算资源池内各区域的逻辑隔离获取原来难以获取的虚拟化网络流量，实现对虚拟化网络流量的审计和检测，并结合云安全服务平台，实现对虚拟化网络的可视化管理;1安全策略可随VM迁移而迁移；传输安全安全产品传输

36、加密支持组件、平台间和数据之间的安全通信，支持SSL/TLS. HI IPS 等协议的加密传输，平台让支持符合国家标准的密蚂算法，加密算法可替换。设备和计算机安全序号类别安全措施实现方式1身份鉴别设备自身的安全机制如使用SDON环境，则应考察SDN供应商提供的产品是否具备安全设计。堡垒主机通过部署堡垒主机，实现对主机（物理服务器和虚拟化主机）、数据库、中间件等laaS和PaaS层资产，以及玄管理平台、安全管理平台等平台级管理工具的访问账号管理、身份鉴别。堡垒主机针对重要资产（尤其是三级业务系统所属资产）应强调对访问者的双因素身份鉴别，访问抗抵赖。应部署数字证书认证中心，结

37、合堡垒机，形成安全、可控的访问路径，记录访问行为，杜绝非授权访问。2访问控制堡垒主机通过部署堡垒主机，实现对主机、操作系统、数据库、中间件、平台级管理工具的基于身份鉴别的访问控制。租户业务系统安全模块/CA认证服务对干暂时无法集成至堡垒机进行统- 访问控制管理的资产，应通过租户自身业务系统的安全能力提供访问控制，但是应通过重点的账号管理、授权管理方式维护此类访问控制机制。3安全审计系统安全功能综合收集全网产生日志信息的资产日志，进行统存储。4入侵防范IPS、WAF云平台内部部署适应于虚拟化环境的入侵防范安全解决方案。进行东西向流量的入侵行为检测和阻断。主机加固服务通过在操

38、作系统中部署主机加固产品代理软件，或以安全加固服务的形式完善。弥补主机漏洞、配置脆弱性，缩减被攻击面。5恶意代码防范防病用系统部署网络防病毒系统（C/S架构，代理端部署于主机操作系统中，服务端部署于安全管理区域）应覆盖物理服务器，虚拟化主机，PC终端（如有），综合防治病毒在网络内的传播，查杀主机资产中驻留的病母。O6资源控制云管理平台应通过云管理平台对云内资产，尤其是重要业务系统节点进行监控。应关注资产的运行状态（CPU、内存、磁盘空间等）、端口状态。应设置合理的虚拟化计算资源负载均衡策略，避免资源竞争，预留计算资源池的性能冗余空间，以应对业务高峰性能需求。7虚拟

39、机安全虚拟化主机安全防护系统/部署VPC隔离防火墙和入侵防范产品，保障虚拟化主机的安全。主机加固产品/服务以安全加固服务的形式完善。弥补主机漏洞、配置脆弱性，缩减被攻击面。8镜像和快照保护系统安全功能云管理平台或云计算平台操作系统可针对重要云服务和业务系统的镜像和快照进行版本控制;应将操作系统加固措施，融入虚拟化主机镜像中，创建加固的操作系统和业务平台镜像。9脆弱性管理漏洞扫描服务定期执行针对全网资产（网络设备、主机设备（含物理主机、虚拟化主机）、安全设备、操作系统、中间件、数据库等）的脆弱性扫描，在部署新业务系统时期、重大活动保障时期等，执行扫描任务，弥补资产的先天

40、性脆弱性，加强风险的管控能力，降低威胁利用脆弱性的可能，降低威胁影响资产的范围和能力。安全基线配置核查服务定期对全网资产（网络设备、主机设备（含物理主机、虚拟化主机）、安全设备、操作系统、中间件、数据库等）执行安全基线核查工作，弥补资产的后天配置型脆弱性，加强风险的管控能力，降低威胁利用脆弱性的可能，降低威胁影响资产的范围和能力。10数据库保护云平台/安全产品对数据库的业务侧访问和运维侧访问均进行SQL语句级的访问控制和审计。同时也提供对异常事件、高危SQL语句、SQL注入攻击等提供告警和防护。11终端管理终端安全管理系统应部署终端安全管理系统，对远程管理终端或内部

41、办公终端（如有）进行有效的安全管理，包括:终端接入控制、终端安全加固、终端补丁管理、终端进程管理等能力。应用和数据安全序号类别安全措施实现方式1接口安全应用安全审计在开发和采购各类软件产品（包括硬件中灌注的软件）时，应强调对其对外提供的API调用安全机制的审查和测试。可采用SSL的方式完成API的调用，调用双方应通过安全方式交换公钥，并产生和协商N话密钥，由衣话密钥保障母一次接口调用时的身份鉴别、传输加密、完整性保护。2数据存储安全安全机制、隐私数据保护根据总体架构设计和数据架构设计，平台的数据采用分区存放，原则上相对独立，并设置配套的安全访问权限对关键数据进行

42、加密存储，实现加密存储，避免明文带来的数据泄露等安全风险3数据备份和恢复数据灾备解决应提供定期的数据备份和恢复机制，至少做到业务数据的本地备份。定期进行数据恢复演练，确保备份数据的可用性。4WEB安全WEB应用防火墙应在对外服务的网站系统与互联网边界处部署 WEB应用安全防火墙，提供针对各类WEB攻击（SQL注入攻击、脚本攻击、WEB SHELL攻击、 CC攻击等）的防护能力。网页防篡改系统针对重要的网站系统（尤其是首页，定级WEB系统贞面），应部署网页防篡改系统（软件形态，部署防篡改Agent于WEB贞面服务器，部署可信网页更新源Agent十CMS系统中），保障

43、WEB页面内容正确。系统自身安全功能系统具备对木马、蠕虫、Web shell等恶意代码静态检测和行为检测的能力。系统提供对各类应用攻击的防御能力，包括定期对应用系统进行漏洞扫描和安全评估的能力、对扫描行为进行及时发现并告警的能力、对Web业务进行网页防篡改的能力、对应用访问防范攻击的能力（如篡改、代码注入、DoS/DDoS等）、对异常访问进行告警的能力。5平台身份鉴别堡垒机通过云平台堡垒机与租户堡垒机实现统一账号管理，统一认证管理，统一授权管理和统一审计管理方便管理人员变动、应用变动所带来的鉴别和授权关系变动的调整，并做好审计记录。数字证书服务平台安全认证将通过证

44、书管理、认证管理等方式加以实现。证书管理:集成证书注册服务（RA）和电子密钥（USB Key）管理功能，实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能，支持第三方电子认证服务。通过CA数字证书服务、数字证书控件、业务系统安全模块，实现业务系统接入身份鉴别，身份授权标准。通过CA 服务商颁发数字证书给各内部应用的办公参与者（应对重要应用用户配发如硬件USBKEY承载数字证书），再通过软件定义证书间的嵌套和归属关系，从而实现基于非对称密钥思想的身份可信访问。通过数字证书认证方式，满足关键性业务（尤其是三级系统）的双因素认证。认证管理:实现双因素认证，数字证书与静

45、态口令。当进行远程管理时，管理终端和大数据平台的边界设备之间应建立双向身份验证机制。当进行远程管理时，管理终端和大数据平台的边界设备之间应建立双向身份验证机制。6数据保密性数据库加密根据业务需求、实际影响以及当前管理办法的要求，对数据划分不同的敏感度级别，根据不同级别采取不同的安全防护措施可考虑在关键业务系统部署数据库加密产品（软件形态，C/S架构，代理端部署于DBMS中，实现对数据库中的敏感列（如公民身份证号、联系方式、家庭住址等）进行加密，并安全管理密钥。7数据完整性业务系统安全控件/电 7块M J红早系统通过电子签章软件（硬件或软件形态，C/S架构，代理

46、端部署于PC终端中，服务端部署于安全管理区域），实现基于数字签名的完整性保护功能。8抗抵赖业务系统安全控件/电 7r$T.J攵早系统通过部署电子签章软件（硬件或软件形态，C/S架构，代理端部署于PC终端中，服务端部署于安全管理区域），实现对等级保护三级的业务类系统的基于数字签名的抗抵赖功能。9访问控制安全产品通过部署堡垒机系统，提供对重要应用的资产访问的基于身份鉴别（结合数字证书认证系统，可实现双因素身份鉴别）进行投权的访问控制能力。为了防止越权访问数据造成系统风险、数据泄露，采取如下访问控制策略:为了防止冒名登录，关键系统采取双因子登录策略，需要用户密蚂和证书才

47、能登录系统，连续多次登求失败，生成安全告警事件:用户和IP进行绑定，非授权IP无法访问系统，非授权IP尝试访问系统将会有安全告警事件产生:数据离开大数据平台（比如下载、拷贝）需要通过严格审批流程，并进行检测是否有敏感数据。10安全审计系统自身安全功能通过系统审计模块，确保软件登录过程、访问过程、业务执行过程的操作审计。堡垒机通过部署堡垒主机系统，提供对重要应用资产的登录过程、访问过程、运维过程的操作审计。11资源控制系统自安全功能覆盖使用者前端终端，管道，后端数据中心业务链的应用性能监控，使用业务视角可视化的监控方式，加快业务连续性、应用性能问题的诊断速度;建立业务应用正常运行的基线，并

展开阅读全文