云数据中心安全等级保护建设方案.docx
《云数据中心安全等级保护建设方案.docx》由会员分享,可在线阅读,更多相关《云数据中心安全等级保护建设方案.docx(47页珍藏版)》请在冰豆网上搜索。
云数据中心安全等级保护建设方案
1项目综述
1.1项目背景
为了保障基丁“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关丁开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。
1.2安全目标
XX的信息安全等级保护建设工作的总体目标是:
“遵循国家信息安全等级保护有关法规规定和标准规范,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。
”
具体目标包括
(D体系建设,实现按需防御。
通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。
(2)安全运维,确保持续安全。
通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。
(3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。
1.3建设范围
本方案的设计范围覆盖XX的新建云平台基础设施服务系统。
安全对象包括:
云内安全:
虚拟化环境中的虚拟化平■台及其相关虚拟化网络、虚拟化
主机的安全防护;
云外安全:
虚拟化环境以外的网络接入,核心交换,存储备份环境。
1.4建设依据
1.4.1国家相关政策要求
(1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
(2)《国家信息化领导小组关丁加强信息安全保障工作的意见》(中办发
[2003]27号);
(3)《关丁信息安全等级保护工作的实施意见》(公通字[2004]66号);
(4)《信息安全等级保护管理办法》(公通字[2007]43号);
(5)《信息安全等级保护备案实施细则》(公信安[2007]1360号);
(6)《关丁加强国家电子政务工程建设项目信息安全风险评估工作的通知》
(发改高技[2008]2071号);
(7)《关丁开展信息安全等级保护安全建设整改工作的指导意见》(公信
安[2009]1429号)。
1.4.2等级保护及信息安全相关国家标准
(1)《计算机信息系统安全保护等级划分准则》(GB17859-1999);
(2)《信息安全技术信息系统安全等级保护实施指南》(GBT25058-2010);
(3)《信息安全技术信息系统安全保护等级定级指南》
(GB/T22240-2008);
(4)《信息安全技术信息系统安全等级保护基本要求》
(GB/T22239-2008);
25070-2010);
《信息安全技术
(idtISO/IEC27001:
2005));
(11)《信息技术安全技术信息安全管理实用准则》(GB/T22081-2008
(12)《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
及相关的一系歹0具体技术标准o
2云安全等保风险分析
由丁本系统是新建设系统,并且尚未部署应用。
机房环境目前已经非常完备,
具备很好的物理安全措施。
数据层等方面的等级保护安全技术建设工作。
此外,天融信具有等级保护的专家团队,深入了解国家等级保护相关政策,熟悉信息系统规划和整改工作的关键点和流程,将通过等级保护差距分析、文档审核、现场访谈、现场测试等方式,发掘目前云平台系统与等保技术和管理要求的不符合项。
并针对不符合项,进行逐条分析,确认建设方案。
在云架构下传统的保护模式如何建立层次型的防护策略,如何保护共享虚拟化环境下的云平台建设中需重点考虑的环节;健康云和智慧云将实现基丁云的数据存储和集中管理,必须采用有效措施防止外部入侵和内部用户滥用权限;在信息安全保障体系实现时仍需满足国家信息安全等级保护政策要求,同时需要解决
信息安全等级保护政策在云计算技术体系下如何落地的重要课题。
健康云和智慧云计算平台引入了虚拟化技术,实现数据资源、服务资源、平台资源的云共享,计算、网络、存储等三类资源是云计算平台依赖重要的系统资源,平台的可用性(Availability)、可靠性(Reliability)、数据安全性、运维管理能力是安全建设的重要指标,传统的密码技术、边界防护技术、入侵检测技术、审计技术等在云计算环境下仍然需要,并需要针对云计算给信息安全带来的新问题,重点解决,虚拟化安全漏洞,以及基丁云环境下的安全监控、用户隔离、行为审计、不同角色的访问控制、安全策略、安全管理和日志审计等技术难点,这就更加需要借助内外网等级保护的建设构建满足健康云、智慧云平台业务需要的安全支撑体系,提高信息化环境的安全性,并通过运维、安全保障等基础资源的统一建设,有效消除安全保障中的“短板效应”,增强整个信息化环境的安全性。
XX云平台的安全建设需满足等级保护三级基本要求的标准,即需要建设安全技术、管理、运维体系,达到可信、可控、可管的目标。
但是目前在云计算环境下的等级保护标准尚未出台,可能会面临信息系统可信、可控、可管的巨大挑战,如下图:
□未掌握尚算核心钱术,自主可颐度较大;
HU口缺乏相应的法律法规和行业监控评价体系;
■
□更大规模异构共享f口虚拟动态的运营环境难以控制;
□网络虚拟化后,虚拟机之间的通信控制;
□多租户环境下不同租户间的隔离;
可管:
;□传统的安全测评面对虚拟化环境;]□云计算的安全管理制度和运维体系;
此外,在今后大量XX自有应用以及通过SaaS方式,纵向引入各下届单位应用。
为了满足各类不同应用的合规性需求,需要在安全技术、运维、管理等方面进行更加灵活、高可用性的冗余建设。
2.2系统建设风险
虚拟化平台架构,品牌的选择是一个很慎重的问题。
其架构依据不同品牌,导致接口开放程度不同,运行机制不同。
而与虚拟化平台相关的如:
信息系统应用架构、安全架构、数据存储架构等,都与虚拟化平台息息相关,也是后续应用迁入工作的基础。
此外,在后期迁入应用,建设过程中的质量监控,建设计划是否合理可靠等问题,均有可能造成风险。
以下为具体的风险:
2.2.1应用迁入阻力风险
XX的云平台规划愿景包括:
应用数据大集中,管理大集中,所以要求今后
非云环境的各类应用逐步的迁移入虚拟化环境,各应用的计算环境也需要调整入虚拟化环境。
由此可能会引发一些兼容性风险问题,带来迁入阻力的风险。
2.2.2虚拟化平台品牌选择风险
因现有虚拟化平台已经采购完成,是VMware的vSphere虚拟化平■台,因其对国内其他IT平■台,尤其是对国内安全厂商的开放性严重不足,导致许多安全机制无法兼顾到云平■台内部。
因此造成了安全监控、安全管理、安全防护机制在云平台内外出现断档的现象,使现有的自动化安全管理、网络管理、安全防护等措施无法有效覆盖虚拟化环境。
2.2.3建设质虽计虽、监督风险
因为本次XX云平台的建设打算采用市场化建设的方式进行,但是现有云计算平台是否符合建设要求,是否符合安全需求,如何进行质量的计量,如何进行评审监督,都是亟待解决的问题。
2.2.4安全规划风险
在云平台的规划过程中,应同时规划安全保障体系的;保证在建设过程中,同步实施计算环境和安全保障建设。
如出现信息安全建设延后,可能带来保障体系的脆弱性,放大各其他基础设施的脆弱性,导致各类安全风险的滋生。
2.2.5建设计划风险
云平台的建设因其复杂性,导致系统投入使用前,需要进行完善详实的规划、设计和实施。
需协调好各相关部门,以及第三方合作厂商,群策群力的建设云平台,而建设计划是需要先行一步制定好的,从而可以指导规范整个项目的生命周期。
2.3安全技术风险
基丁虚拟化技术的云平台带来了许多优势,如计算资源按需分配,计算资源利用效率最大化等等。
但是,在引入优势的同时,也会带来许多新的安全风险。
因此对丁XX云平台的信息安全风险分析也应根据实际情况作出调整,考虑虚拟化平■台、虚拟化网络、虚拟化主机的安全风险。
同时,为了满足等级保护的合规性要求,需要结合等级保护三级的基本要求中关丁安全技术体系的五个层面的安全需求,即:
物理安全、网络安全、主机安全、应用安全及数据安全。
虽然目前阶段,云平台尚未引入有效应用和数据,但是在安全规划中需要为未来出现的情况进行先期预测,将其可能引入的安全风险进行考虑。
因此,在经过总结后,可得出八个方面的安全风险。
2.3.1物理安全风险
因目前物理机房的基础设施已完善,在实地考察后,发现XX现有机房已满
足等级保护三级合规性要求,物理安全风险已经得到有效控制。
2.3.2网络安全风险
本节主要讨论非虚拟化环境中的传统网络安全风险。
网络可用性风险
有多种因素会对网络可用性造成负面影响,主要集中丁链路流量负载不当,流量分配不当,以及拒绝服务攻击、蠕虫类病蠹等威胁。
此外,对网络内部流量和协议的审计也非常关键,运维人员需要了解这些信息以协调网络资源,充分保
障网络的可用性,进一步保障应用业务的可用性。
网络边界完整性风险
网络边界包含云平台边界、内部各安全域的边界,租户边界(主机/虚拟主机/业务系统),互联网接入边界。
在此讨论非虚拟化环境下的网络边界完整性风险。
云平台网络边界、互联网接入边界、内部各安全域网络边界以及物理主机的网络边界可能会因缺乏边界访问控制管理,访问控制策略不当,身份鉴别失效,非法内联,非法外联等因素而被突破,导致网络边界完整性失去保护,进一步可能会影响信息系统的保密性和可用性。
安全通信风险
第三方运维人员,采用远程终端访问云中的各类应用。
如果不对应用数据的远程通信数据进行加密,则通信信息就有被窃听、篡改、泄露的风险,破坏通信信息的完整性和保密性。
入侵防护风险
网络入侵可能来自各边界的外部或内部。
如果缺乏行之有效的审计手段和防护手段,则信息安全无从谈起。
为避免信息安全保障体系成为了聋子、瞎子,需要审计手段发现入侵威胁,需要防护手段阻断威胁。
恶意代码风险
当网络边界被突破后,信息系统会暴露在危险的环境下,最为突出的风险就是恶意代码的风险,可能会造成系统保密性和可用性的损失。
包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
系统随时会面临各类恶意代码攻击的风险,尤其是APT攻击,即使系统具备较为完善的防御体系,也很难防范此类攻击。
2.3.3主机安全风险
在虚拟化环境下,主机安全也应对物理服务器主机和虚拟化主机进行区别对待,存在的安全风险问题有所不同。
本节只讨论物理服务器和远程接入应用的操作终端的安全风险。
应用操作终端风险
云平台搭建后,系统资源统一放在云端,而用户是通过终端远程接入云中的应用。
除了上述的身份鉴别和授权的风险外,终端使用的浏览器自身存在漏洞,甚至终端本身的健康状况不良,都可能会造成云端受到相应的威胁。
服务器主机操作系统漏洞风险
服务器主机操作系统因自身设计原因,存在固有的漏洞和脆弱性,具有被突破、被潜伏、被利用、被破坏的各类风险。
服务器主机平台风险
目前服务器的硬件架构中,采用的CPU主板、内存等配件的核心技术仍然受制丁人,为了业务的性能需求,仍然需要采用国外的技术架构。
可能会带来后门入侵的风险。
2.3.4应用安全风险
身份鉴别、授权、审计风险
应用放置在云端,在实现资源共享的同时,会带来信息泄漏的风险。
由丁网络的不确定性,首要问题就是要确认使用者的身份、确保身份的合法性。
由丁工作需要,不同部门、不同职责的工作人员应用需求不同,信息使用权限不同,必须要对使用者身份进行统一的认证,统一授权,统一审计。
一旦攻击者获取使用者的身份验证信息,假冒合法用户,用户数据完全暴露在其面前,其他安全措施都将失效,攻击者将可以为所欲为,窃取或修改用户数据。
因此,身份假冒是政务云面对的首要安全威胁。
应用服务可用性风险
任何形式的应用都存在可用性风险,而一旦可用性风险被威胁利用,进一步引发了安全事件,则会带来应用的不可用,进而导致业务受阻。
缺乏对应用服务的审计也会带来可用性风险,如果通过审计和分析策略在故障或入侵之前可以察觉到异常信息,可能就避免了事故的发生。
而在云计算环境下,因为应用的高度集中和边界模糊,可能一次单台主机的不可用,都会带来多种业务的不可用。
因此云计算环境下的应用可用性问题相比传统计算环境下,具备影响范围广,程度深的特点。
WE故击风险
WE敢击主要指针对WE田艮务的各类应用恶意代码攻击,诸如SQL注入攻击、XSS攻击、网页篡改等,通常是由丁对HTTP表单的输入信息未做严格审查,或WEEK用在代码设计时存在的脆弱性导致的。
如果不对这类攻击进行专门的防护,很容易造成安全保障体系被突破,以
WEEB务作为跳板,进一步威胁内部的应用和数据
2.3.5数据安全风险
数据保密性和完整性风险
XX云因其业务特点,所处理的数据关乎公众服务,以及为国家提供舆情服
务。
虽然会有部分应用会对互联网用户提供服务,但只是提供有限的接口,访问有限的,关乎个人的等非敏感数据。
但大部分敏感的,不宜公开的政务云数据还会面临来自非法入侵后进行窃取或篡改,进而带来的数据保密性和完整性风险。
数据可用性风险
当数据的完整性遭受破坏时,数据可用性也会遭受影响,数据失真,尤其是应用的关键参数失真最为严重。
尤其是虚拟化环境下,数据碎片化存储,在整合时出现问题,导致应用服务中断,进而造成应用可用性的风险。
所以如何进行容灾,备份,恢复也是一个严峻的问题。
数据审计风险
因为在云环境中,用户的数据不再保存在用户本地,因此目前在云计算环境中,多依靠完整性验证的方式使用户确信他们的数据被正确的存储和处理。
为了
保证数据可恢复性及冗余性,在云计算环境中,通常会采用冗余存储的手段。
这就需要特定的审计方法保证多个版本数据的一致性和完整性。
此外,针对数据的使用者信息,也需要通过审计措施来进行记录。
数据安全检测风险
在政务云环境下,数据往往是离散的分布在“云”中不同的位置,用户无法确定自己的数据究竟在哪里,具体是由哪个服务器进行管理。
也因此造成当数据出现不可用,破坏,甚至泄露时,彳艮难确定具体的问题点。
数据库安全风险
数据库通常作为非结构化数据的索引,通过结构化表的表现形式,为前端应用和后方数据提供桥梁;同时,对丁结构化的数据,数据库本身就进行了数据存储。
恶意攻击通常会通过数据库漏洞或恶意代码的方式进行非法提权,从而通过数据库结构化语句窃取、篡改甚至破坏后台存储的数据,威胁到数据的保密性、完整性和可用性。
2.3.6虚拟化平台安全风险
虚拟化是云计算最重要的技术支持之一,也是云计算的标志之一。
然而,虚拟化的结果,却使许多传统的安全防护手段失效。
从技术层面上讲,云计算与传统IT环境最大的区别在丁其虚拟的计算环境,也正是这一区别导致其安全问题变得异常“棘手”。
虚拟化平台自身安全风险
虚拟化平台自身也存在安全漏洞,虚拟主机可能会被作为跳板,通过虚拟化网络攻击虚拟化平台的管理接口;或者由虚拟机通过平台的漏洞直接攻击底层的虚拟化平台,导致基丁虚拟化平台的各类业务均出现不可用或信息泄露。
安全可信、可控风险
虚拟化平台技术是从国外引进的,目前常见的主流商用虚拟化平台被几个大的国外厂商垄断,且不对外提供关键、核心接口,更不提供源码,导致在其上构建和部署安全措施困难,可控性差。
再加上可能的利益驱使和网络战需要,无法判别是否留有控制“后门”,可信度有待商榷。
虚拟资源池内恶意竞争风险
处丁虚拟资源池内的多虚拟主机会共享统一硬件环境,经常会出现恶意的抢
占资源,影响了平台资源的可用性,进而影响虚拟化平台的服务水平。
2.3.7虚拟化网络安全风险
虚拟化的网络结构,使得传统的分域防护变得难以实现,虚拟化的服务提供模式,使得对使用者身份、权限和行为鉴别、控制与审计变得更加困难。
造成虚拟化网络不可见风险、网络边界动态化风险、多租户混用安全风险等。
虚拟化网络不可见风险
在云环境中,虚拟化资源会放在同一的资源池中,供各应用调配资源来实现业务的运行。
在这种情况下,传统安全防护设备无法深入虚拟化平台内部进行安全防护,难以达到恶意代码的防护,流量监控,协议审计等安全要求。
网络边界动态化风险
为了实现虚拟化环境下的动态负载,出现了虚拟机动态漂移技术,导致虚拟化主机的真实位置也会随之改变,造成边界的安全策略也需要随之转移。
若边界隔离、安全防护措施与策略不能跟随虚拟机漂移,会使得边界防护措施和防护策略难以起效,造成安全漏洞。
多租户混用安全风险
在XX云平台的规划愿景中,包含对下届机构提供SaaS类服务,必然会引入其他租户的应用。
这么多的业务系统有着不同的安全等级和访问控制要求,业务
系统自身的安全保障机制也参差不齐。
所有业务系统的安全防护策略和需求也是不同的,而安全策略一刀切常常会使整体安全度降低,高安全等级要求的业务系统无法得到应有的安全保障,导致越权访问、数据泄露。
网络地址冲突风险
由丁用户对虚拟机有完全控制权,所以可以随意修改虚拟机的mac地址,可能造成与其他虚拟机的mac冲突,从而影响虚拟机通信。
恶意虚拟机实施攻击风险
虚拟机通信隔离机制不强,恶意虚拟机可能监听其他虚拟机的运行状态,实施Dos攻击,恶意占用资源(cpu,内存,网络带宽等),影响其他VM的运行。
2.3.8虚拟化主机安全风险
虚拟机恶意抢占资源风险
虚拟机完全由最终用户控制,恶意份子和被控制的虚拟机可能恶意抢占网络、存储和运算资源,导致整体云平台资源耗尽,从而影响其他关键业务系统的正常运行扰乱正常政务办公。
虚拟机安全审计风险
在云平台构建完成后,将同时运转数量众多的虚拟机。
并且,对虚拟机的操作人员各异,安全意识和安全防范措施也参差不齐。
缺乏安全审计会导致某些虚拟机感染病蠹后进行非法操作,甚至可能利用hypervisor的已有漏洞,获得更高权限,从而实施各种攻击。
虚拟机镜像安全风险
比起物理主机,虚拟机镜像是以文件形式存在,因此,容易被复制和修改,同时,不同安全级别的版本镜像可能被替换。
虚拟机镜像文件如缺乏控制措施,可能存在完整性修改,镜像回滚失败等风险。
2.3.1安全管理风险
当云平台系统进入上线运行阶段后,相关安全管理人员在管理过程中可能会遭遇多种问题,引发安全管理风险。
在云计算环境下,应用系统和硬件服务器不再是一一绑定的关系,安全管理职责发生了变化,失去了对基础设施和应用的绝对管理权和控制权。
另外,政务
云系统的管理层面发生了变化,XX的云环境运维部门负责管理基础设施,而应用系统因为租户众多,使得应用系统的维护者众多。
也因此管理职责复杂化,需要明晰职权。
在多租户迁入应用和数据的情况下,区别丁传统的私有云,管理人员的队伍也发生了变化,需要多个部门进行人员的协调。
因为人员是由多个部门组成,也因此要求安全管理制度,应急响应的策略和制度依据实际情况作出调整。
2.3.2云环境下的特有安全管理风险
在云环境下,“资源池”管理技术主要实现对物理资源、虚拟资源的统一管理,并根据用户需求实现虚拟资源(虚拟机、虚拟存储空间等)的自动化生成、分配、回收和迁移,用以支持用户对资源的弹性需求。
这突破了传统的安全区域,使得传统基丁物理安全边界的防护机制不能有效地发挥作用,削弱了云平台上各租户对重要信息的管理能力。
另外,在传统网络
环境中,网络中的各类资产通常由不同的管理员进行管理。
但在虚拟化环境中,往往都由同一管理员负责,可能会出现管理员权限过丁集中的风险。
对管理员的操作审计和行为规范都提出了很高的要求。
2.3.3安全组织建设风险
要应对云平台进入运行阶段的各类问题,首先对进行安全管理运维的组织保障能力提出了挑战。
没有依据实际情况建设的安全组织,无法应对云平台复杂环境下的安全管理要求,无法顺利完成安全管理工作,无法保障各类云业务的顺利进行。
而且鉴丁本次云平台建设的实际情况:
即迁入多租户的大量应用,所以在进行安全管理时,
如何划分管理权限,明晰职责,也成为了需要解决的问题
因此,需求合理的、务实的、专业的多类安全队伍来应对挑战,保障云平台业务顺利通畅的进行。
2.3.4人员风险
再安全的网络设备和安全管理系统也离不开人的操作和管理,再好的安全策略也最终要靠人来实现,因此人员也是整个网络安全中的重要一环。
需求具备完备的信息安全意识,专业的信息安全素养,职业化的信息安全态度人才,来管理和维护政务云系统,保障业务。
2.3.5安全策略风险
在应对云平台未来可能遇到的信息安全事件时,除了具备组织、人员外,还
需要制定适合云平台系统复杂环境的安全制度和安全策略,让组织和人员可以有效的,合规的完成信息安全事件相关的各类工作,以保证信息安全管理可以高效,高质量的进行。
2.3.6安全审计风险
在云平台投入使用后,因业务系统和底层架构较为复杂,需要进行全方位的监控审计,以便及时发现各类可能和信息安全相关、业务状态相关的信息,并及时作出管理策略的响应和调整。
而具体由谁来监控审计,审计结果是否有效而客观,是否可以及时传达至相关责任人,这些问题都需要妥善解决,才能够实现全方位,及时,有效的审计。
2.4安全运维风险
因为XX的采购方式是通过市场化建设,提供基础设施平台,平台建设完成后,将引入各下届机构的应用系统。
所以在云平台投入使用后,运维人员、审计监控以及应急响应等都发生了职责、权限、流程的变化,引入了新型的,在云环境下特有的新型风险。
此外,还包括一些传统的安全运维风险,例如:
环境与资产,操作与运维,业务连续性,监督和检查,第三方安全服务等风险。
2.4.1云环境下的特有运维风险
运维职权不明风险
在云平台投入使用后,基础设施由XX进行运维,而基丁基础设施的各类应用由各租户的相关人员进行运维。
但是当发生事故的时候,无法在第一时间确定事故的波及方;处理事故时,无法分配具体任务;事故追责时,无法确定到底由谁来负责。
尤其是在云环境中,资源池内如果发生了安全事故,资源边界更加模糊。
因此确定运维职责非常重要。
运维流程不明风险
因为运维参与者众多,届丁不同的参与方,也导致在进行运维过程中,很多流程要涉及到不同参与方的多个部门。
因此确定一个统一的,合理的安全运维制度是保障运维工作顺利进行的必要条件。
虚拟资源运维审计监控风险
在安全技术上,传统的运维审计手段缺乏对虚拟机的运维审计能力。
流量不
可视也带来了协议无法审计,虚拟机动态迁移带来审计策略中断等问题。
突发事件风险
再完备的安全保障体系,也无法阻止突然性事件的发生,这种风险也是信息系统固有的届性,无法避免。
尤其是在云环境下,应急响应变得更为复杂,涉及范围广,恢复难度大。
也因此需求在云平台系统运行中,有可靠的应急响应队伍和机制,保障快速、妥善