云平臺安全等保三級規(guī)劃方案

云平臺

信息安全等級保護規(guī)劃方案TOC\o"1-5"\h\z\o"CurrentDocument"云計算帶來的安全挑戰(zhàn) 4\o"CurrentDocument"整體方案設(shè)計 4\o"CurrentDocument"物理安全 5機房選址 5機房管理 5機房環(huán)境 5\o"CurrentDocument"設(shè)備與介質(zhì)管理 5\o"CurrentDocument"網(wǎng)絡(luò)安全 6安全域邊界隔離技術(shù) 6\o"CurrentDocument"入侵防范技術(shù) 6\o"CurrentDocument"網(wǎng)絡(luò)防病毒技術(shù) 6WEB防火墻技術(shù) 7\o"CurrentDocument"網(wǎng)頁防篡改技術(shù) 7\o"CurrentDocument"流量管理技術(shù) 7\o"CurrentDocument"上網(wǎng)行為管理技術(shù) 7網(wǎng)絡(luò)安全審計 8\o"CurrentDocument"主機安全 8\o"CurrentDocument"主機安全加固 8\o"CurrentDocument"運維堡壘主機 9\o"CurrentDocument"數(shù)據(jù)庫安全審計 10\o"CurrentDocument"主機防病毒技術(shù) 10\o"CurrentDocument"漏洞掃描技術(shù) 10\o"CurrentDocument"應(yīng)用安全 11\o"CurrentDocument"安全應(yīng)用交付 11VPN 11\o"CurrentDocument"安全管理中心 12\o"CurrentDocument"云計算平臺安全設(shè)計 12\o"CurrentDocument"強身份認證 12\o"CurrentDocument"云安全防護系統(tǒng) 12\o"CurrentDocument"云安全運維 12\o"CurrentDocument"虛擬機安全設(shè)計 13\o"CurrentDocument"虛擬化安全防護要點 13\o"CurrentDocument"虛擬化安全方案 14方案配置 18方案合規(guī)性分析 18\o"CurrentDocument"三級系統(tǒng)安全產(chǎn)品配置清單: 191云計算帶來的安全挑戰(zhàn)云計算模式當前已得到業(yè)界普遍認同，成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是，隨著云計算的大量應(yīng)用，云環(huán)境的安全問題也日益突出。在眾多對云計算的討論中，IDC的調(diào)查非常具有代表性：“對于云計算面臨的安全問題，75%的用戶對云計算安全擔憂?！备鞣N調(diào)研數(shù)據(jù)也表明：安全性是用戶選擇云計算的首要考慮因素。數(shù)據(jù)的非授雙使用..云計算的一個重要特征就是IT資源的大集中，而隨著資源的集中，相應(yīng)的安全風險也呈現(xiàn)集中化的趨勢。雖然云計算相對傳統(tǒng)計算網(wǎng)絡(luò)具備一定的安全優(yōu)勢，但數(shù)據(jù)的大集中會引來不法分子眾矢之的更多攻擊。因此，做好云的安全防護要從建設(shè)云的階段就開始規(guī)劃設(shè)計，這樣才能做到防患于未然。云計算在技術(shù)層面上的核心特點是虛擬化技術(shù)的運用帶來的資源彈性和可擴展性，虛擬機和應(yīng)用程序隨時可能遷移或變更，僅僅依靠傳統(tǒng)的基于物理環(huán)境拓撲的安全設(shè)備已經(jīng)不能完全解決云計算環(huán)境下的安全問題。因此，虛擬化后的云計算系統(tǒng)需要重新構(gòu)建安全防護體系。所以，在安全云的信息化建設(shè)過程中，我們應(yīng)當正視可能面臨的各種安全風險，對網(wǎng)絡(luò)威脅給予充分的重視。為了云數(shù)據(jù)中心的安全穩(wěn)定運行，確保項目的順利實施，公司具備多年云計算中心構(gòu)造、運維的經(jīng)驗，根據(jù)云數(shù)據(jù)中心現(xiàn)有的網(wǎng)絡(luò)特點及安全需求，本著切合實際、保護投資、著眼未來的原則，提出本技術(shù)實施方案，以供參考。2整體方案設(shè)計按照公司的經(jīng)驗，將從基礎(chǔ)設(shè)施安全、操作系統(tǒng)安全、云計算環(huán)境安全三大部分進行全面分析和設(shè)計，為客戶打造一套靈活、合理、可靠、合規(guī)的安全環(huán)境?；A(chǔ)安全設(shè)計物理安全物理環(huán)境安全策略的目的是保護網(wǎng)絡(luò)中計算機網(wǎng)絡(luò)通信有一個良好的電磁兼容工作環(huán)境，并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發(fā)生。機房選址機房和辦公場地選擇在具有防震、防風和防雨等能力的建筑內(nèi)。機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。機房管理機房出入口安排專人值守，控制、鑒別和記錄進入的人員；需進入機房的來訪人員須經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍；對機房劃分區(qū)域進行管理，區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前安裝過渡區(qū)域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。機房環(huán)境合理規(guī)劃設(shè)備安裝位置，應(yīng)預(yù)留足夠的空間作安裝、維護及操作之用。房間裝修必需使用阻燃材料，耐火等級符合國家相關(guān)標準規(guī)定。機房門大小應(yīng)滿足系統(tǒng)設(shè)備安裝時運輸需要。機房墻壁及天花板應(yīng)進行表面處理，防止塵埃脫落，機房應(yīng)安裝防靜電活動地板。?機房設(shè)置防雷保安器，要求防雷接地和機房接地分別安裝且相隔一定的距離；機房設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警并自動滅火；機房及相關(guān)的工作房間應(yīng)采用具有耐火等級的建筑材料；機房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開;機房需配備空調(diào)系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境；機房供電線路上需配置穩(wěn)壓器和過電壓防護設(shè)備；需提供短期的備用電力供應(yīng)，滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求;設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；鋪設(shè)線纜要求電源線和通信線纜隔離鋪設(shè)，避免互相干擾；對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。設(shè)備與介質(zhì)管理為了防止無關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機盜取信息、破壞網(wǎng)絡(luò)和主機系統(tǒng)、破壞網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。此外，必須制定嚴格的出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運行。對介質(zhì)進行分類標識，存儲在介質(zhì)庫或檔案室中。利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng)；對機房設(shè)置監(jiān)控報警系統(tǒng)。網(wǎng)絡(luò)安全安全域邊界隔離技術(shù)根據(jù)《信息系統(tǒng)安全等級保護基本要求》，應(yīng)該在XX單位各安全域的邊界處部署防火墻設(shè)備，保證跨安全域的訪問都通過防火墻進行控制管理?？梢詫λ辛鹘?jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為。同時可以和內(nèi)網(wǎng)安全管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)等進行安全聯(lián)動，為網(wǎng)絡(luò)創(chuàng)造全面縱深的安全防御體系。部署設(shè)計：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。入侵防范技術(shù)根據(jù)等級保護基本要求，三級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處實現(xiàn)入侵防范功能。入侵防范技術(shù)是安全防護體系中重要的一環(huán)，它能夠及時識別網(wǎng)絡(luò)中發(fā)生的入侵行為并實時報警并且進行有效攔截防護?？膳c防火墻配合，共同防御來自應(yīng)用層到網(wǎng)絡(luò)層的多種攻擊類型，建立一整套的安全防護體系，進行多層次、多手段的檢測和防護。因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用入侵防御模塊非常有必要。部署設(shè)計：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。網(wǎng)絡(luò)防病毒技術(shù)根據(jù)等級保護基本要求，三級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處部署網(wǎng)絡(luò)層防病毒設(shè)備，并保證與主機層防病毒實現(xiàn)病毒庫的異構(gòu)。在最接近病毒發(fā)生源安全邊界處進行集中防護，對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進行過濾，可以對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進行全面的攔截。阻止病毒通過網(wǎng)絡(luò)的快速擴散，將經(jīng)網(wǎng)絡(luò)傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他安全域中。因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用防病毒模塊非常有必要，可截斷病毒通過網(wǎng)絡(luò)傳播的途徑，凈化網(wǎng)絡(luò)流量。部署設(shè)計：下一代防火墻部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。WEB防火方XX單位網(wǎng)站承載了XX等重要職責，暴露在互聯(lián)網(wǎng)上，隨時會面臨黑客攻擊的危險，如今網(wǎng)絡(luò)安全環(huán)境日益惡化，Web攻擊方式多種多樣，包括XSS跨站腳本、CGI緩沖區(qū)溢出、目錄遍歷、Cookie假冒等。為了應(yīng)對Web攻擊，WEB防火墻再配合網(wǎng)頁防篡改技術(shù)，是保障Web服務(wù)能夠持續(xù)可靠的提供服務(wù)的最佳選擇。因此，在網(wǎng)站服務(wù)器之前部署WEB防火墻（WAF設(shè)備）非常有必要。部署設(shè)計：WAF設(shè)備部署于網(wǎng)站服務(wù)器之前，串行于網(wǎng)絡(luò)中。網(wǎng)頁防篡改技術(shù)XX單位網(wǎng)站承載了XX等重要職責，暴露在互聯(lián)網(wǎng)上，隨時會面臨網(wǎng)頁被篡改及黑客攻擊的危險。網(wǎng)頁防篡改技術(shù)通過文件底層驅(qū)動技術(shù)對Web站點目錄提供全方位的保護，防止黑客、病毒等對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等任何類型的文件進行非法篡改和破壞?？杀Ｗo網(wǎng)站安全運行，保障網(wǎng)站業(yè)務(wù)的正常運營，徹底解決了網(wǎng)站被非法修改的問題。因此，在WAF上啟用網(wǎng)頁防篡改功能非常有必要。部署設(shè)計：WAF設(shè)備部署于網(wǎng)站服務(wù)器之前，串行于網(wǎng)絡(luò)中。流量管理技術(shù)根據(jù)等級保護基本要求，三級業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處進行流量控制，保證網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要的主機，可以對帶寬進行優(yōu)化，通過限制帶寬占用能力強的應(yīng)用以保護關(guān)鍵應(yīng)用，通過多種復雜的策略來實現(xiàn)合理的帶寬分配，可提升應(yīng)用服務(wù)質(zhì)量、提升帶寬利用價值、優(yōu)化網(wǎng)絡(luò)應(yīng)用、降低網(wǎng)絡(luò)風險。因此，部署一套專業(yè)的流量管理設(shè)備非常有必要。部署設(shè)計：流量管理系統(tǒng)部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。上網(wǎng)行為管理技術(shù)根據(jù)公安部等級保護基本要求，所有用戶訪問互聯(lián)網(wǎng)需要部署上網(wǎng)行為管理系統(tǒng)，并保存3個月的日志。各安全區(qū)域邊界已經(jīng)部署了相應(yīng)的安全設(shè)備負責進行區(qū)域邊界的安全。對于流經(jīng)各主要邊界（重要服務(wù)器區(qū)域、外部連接邊界）需要設(shè)置必要的審計機制，進行數(shù)據(jù)監(jiān)視并記錄各類操作，通過審計分析能夠發(fā)現(xiàn)跨區(qū)域的安全威脅，實時地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件。一般可采取開啟邊界安全設(shè)備的審計功能模塊，根據(jù)審計策略進行數(shù)據(jù)的日志記錄與審計。同時審計信息要通過安全管理中心進行統(tǒng)一集中管理，為安全管理中心提供必要的邊界安全審計數(shù)據(jù)，利于管理中心進行全局管控。邊界安全審計和主機審計、應(yīng)用審計、網(wǎng)絡(luò)審計等一起構(gòu)成完整的、多層次的審計系統(tǒng)。因此，必須部署一套上網(wǎng)行為管理系統(tǒng)實現(xiàn)對內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為進行監(jiān)控、日志進行記錄。部署設(shè)計：上網(wǎng)行為管理系統(tǒng)部署于互聯(lián)網(wǎng)出口，串行于網(wǎng)絡(luò)中。網(wǎng)絡(luò)安全審計針對用戶訪問業(yè)務(wù)系統(tǒng)帶給我們的困擾以及諸多的安全隱患，需要通過網(wǎng)絡(luò)安全審計系統(tǒng)利用實時跟蹤分析技術(shù)，從發(fā)起者、訪問時間、訪問對象、訪問方法、使用頻率各個角度，提供豐富的統(tǒng)計分析報告，來幫助用戶在統(tǒng)一管理互聯(lián)網(wǎng)訪問日志的同時，及時發(fā)現(xiàn)安全隱患，協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。網(wǎng)絡(luò)安全審計系統(tǒng)針對互聯(lián)網(wǎng)行為提供有效的行為審計、內(nèi)容審計、行為報警、行為控制及相關(guān)審計功能。從管理層面提供互聯(lián)網(wǎng)的有效監(jiān)督，預(yù)防、制止數(shù)據(jù)泄密。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風險防范。根據(jù)公安部等級保護基本要求，所有信息系統(tǒng)都需要部署網(wǎng)絡(luò)審計系統(tǒng)，并保存3個月的日志。因此，必須部署一套網(wǎng)絡(luò)審計系統(tǒng)對全網(wǎng)行為進行監(jiān)控、日志進行記錄。部署設(shè)計：網(wǎng)絡(luò)審計系統(tǒng)旁路部署在核心交換上，實現(xiàn)全網(wǎng)的網(wǎng)絡(luò)行為的統(tǒng)一審計，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)等設(shè)備的運行狀況、網(wǎng)絡(luò)流量、用戶行為等日志信息，并對收集到的日志信息進行分類和關(guān)聯(lián)分析，并可根據(jù)審計人員的操作要求生成統(tǒng)計報表，方便查詢和生成報告，為網(wǎng)絡(luò)事件追溯提供證據(jù)。主機安全主機安全加固操作系統(tǒng)作為計算機系統(tǒng)的基礎(chǔ)軟件是用來管理計算機資源的，它直接利用計算機硬件并為用戶提供使用和編程接口。各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺之上，上層的應(yīng)用軟件要想獲得運行的高可用性和信息的完整性、機密性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機系統(tǒng)的安全性，而主機系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安全也毫無根基可言。所以，操作系統(tǒng)安全是計算機網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)。而服務(wù)器及其上的業(yè)務(wù)數(shù)據(jù)又是被攻擊的最終目標。因此，部署操主機安全加固產(chǎn)品，對操作系統(tǒng)進行加固，加強對關(guān)鍵服務(wù)器的安全控制，是增強系統(tǒng)總體安全性和核心一環(huán)。通過安裝在服務(wù)器的安全內(nèi)核保護服務(wù)器，它在操作系統(tǒng)的安全功能之上提供了一個安全保護層。通過截取系統(tǒng)調(diào)用實現(xiàn)對文件系統(tǒng)的訪問控制，以加強操作系統(tǒng)安全性?？蓪崿F(xiàn)：加強認證，采用證書的方式來提高認證和授權(quán)的級別和強度對操作系統(tǒng)本身的加固，防止緩沖區(qū)溢出等攻擊保護系統(tǒng)進程穩(wěn)定運行，確保正常服務(wù)的提供對注冊表進行保護，禁止非授權(quán)修改獨特的授權(quán)模式，非授權(quán)程序無法運行系統(tǒng)用戶的權(quán)限分離，尤其是超級用戶系統(tǒng)資源如文件、目錄等強訪問控制，擴展操作系統(tǒng)本身的訪問屬性，并進一步對訪問的時間、來源進行控制部署設(shè)計：在每臺服務(wù)器上安全部署主機安全加固軟件，使服務(wù)器環(huán)境有一個安全的環(huán)境，使業(yè)務(wù)系統(tǒng)能夠安全、正常的運行。運維堡壘主機對運維的管理現(xiàn)狀進行分析，我們認為造成這種不安全現(xiàn)狀的原因是多方面的，總結(jié)起來主要有以下幾點：各IT系統(tǒng)獨立的帳戶管理體系造成身份管理的換亂，而身份的唯一性又恰恰是認證、授權(quán)、審計的依據(jù)和前提，因此身份的混亂實際上造成設(shè)備訪問的混亂。各IT系統(tǒng)獨立管理，風險分散在各系統(tǒng)中，各個擊破困難大，這種管理方式造成了業(yè)務(wù)管理和安全之間的失衡。核心服務(wù)器或設(shè)備的物理安全和臨機訪問安全通過門禁系統(tǒng)和錄像系統(tǒng)得以較好的解決，但是對他們的網(wǎng)絡(luò)訪問缺少控制或欠缺控制力度，在帳號、密碼、認證、授權(quán)、審計等各方面缺乏有效的集中管理技術(shù)手段。目前，XX單位使用數(shù)量眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器主機來提供基礎(chǔ)網(wǎng)絡(luò)服務(wù)、運行關(guān)鍵業(yè)務(wù)、數(shù)據(jù)庫應(yīng)用、ERP和協(xié)同工作群件等服務(wù)。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴重影響信息系統(tǒng)的運行效能，另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。如何提高系統(tǒng)運維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據(jù)，降低運維成本，滿足相關(guān)標準要求，越來越成為信息系統(tǒng)關(guān)心的問題。運維堡壘主機著手于事前規(guī)范、事中管控和事后審計三方面，能夠非常有效地達到梳理、規(guī)范、防范、監(jiān)控、管理和審計等目的?？蓪崿F(xiàn)對所有運維人員的管理，實現(xiàn)統(tǒng)一的身份認證、訪問控制與運維資源管理，并可以錄像的方式將所有人員的所有操作記錄下來，增強對運維人員及運維操作的安全管理，規(guī)避越權(quán)訪問或者誤操作等帶來的數(shù)據(jù)泄密及系統(tǒng)破壞風險。因此XX單位非常有必要部署一套運維堡壘主機來實現(xiàn)賬戶的安全維護。部署設(shè)計：運維審計系統(tǒng)部署在安全管理域，冗余、旁路部署在管理交換機上，通過交換機的訪問控制策略限定只能由堡壘主機內(nèi)控管理平臺直接訪問服務(wù)器的遠程維護端口。維護人員對網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器系統(tǒng)進行遠程維護時，首先以Web方式登錄運維審計系統(tǒng)，然后通過運維審計系統(tǒng)上展現(xiàn)的訪問資源列表直接訪問授權(quán)資源。數(shù)據(jù)庫安全審計通過部署數(shù)據(jù)庫審計系統(tǒng)，主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對網(wǎng)絡(luò)數(shù)據(jù)的分析，實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作，并記入審計數(shù)據(jù)庫中以便日后進行查詢、分析、過濾，實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。實現(xiàn)對數(shù)據(jù)庫的操作及系統(tǒng)狀態(tài)進行詳細的審計，范圍覆蓋到每個用戶，做到事前預(yù)防，事后溯源，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。部署設(shè)計：數(shù)據(jù)庫審計部署于數(shù)據(jù)庫前端交換機上，通過端口鏡像收集信息。主機防病毒技術(shù)根據(jù)等級保護基本要求，三級業(yè)務(wù)系統(tǒng)應(yīng)該住幾層部署主機防病毒軟件，并保證與互聯(lián)網(wǎng)出口處的網(wǎng)絡(luò)防病毒設(shè)備實現(xiàn)病毒庫的異構(gòu)。各類病毒、木馬惡意代碼等是對信息系統(tǒng)的重大危害，病毒在爆發(fā)時將使路由器、3層交換機、防火墻等網(wǎng)關(guān)設(shè)備性能急速下降，并且占用整個網(wǎng)絡(luò)帶寬。對病毒的防護不僅僅是在網(wǎng)絡(luò)邊界層面通過硬件設(shè)備進行識別和阻斷，更重要的是將病毒消滅或封堵在終端這個源頭上，從而實現(xiàn)針對病毒的縱深防護多層面的防御。因此，需要在所有終端主機上部署網(wǎng)絡(luò)防病毒系統(tǒng)，加強終端主機的病毒防護能力并及時升級殺毒軟件軟件版本以及病毒特征庫。部署設(shè)計：在xx單位內(nèi)部每臺終端設(shè)備上部署殺毒軟件，定期升級軟件版本及病毒特征庫、定期全盤掃描病毒。漏洞掃描技術(shù)XX單位網(wǎng)絡(luò)龐大、結(jié)構(gòu)復雜，部署的設(shè)備很多，由于不同部門用戶的計算機水平不同，大多的人員不知道對系統(tǒng)定期升級，信息維護人員也很難去判斷網(wǎng)絡(luò)設(shè)備及安全設(shè)備存在漏洞需要升級。因此，部署一套漏洞掃描系統(tǒng)實時掃描整個網(wǎng)絡(luò)內(nèi)的漏洞非常有必要，對整個網(wǎng)絡(luò)的安全體系維護非常重要。10部署設(shè)計：在XX單位安全管理安全域部署漏洞掃描設(shè)備，對整個網(wǎng)絡(luò)系統(tǒng)內(nèi)的設(shè)備定期進行漏洞掃描，檢查安全隱患。應(yīng)用安全安全應(yīng)用交付應(yīng)用交付產(chǎn)品（ADC）集成高性能鏈路負載均衡和47層服務(wù)器應(yīng)用負載均衡，保證應(yīng)用數(shù)據(jù)在錯綜復雜的網(wǎng)絡(luò)中獲得最佳傳輸路徑。完善的鏈路、應(yīng)用服務(wù)健康檢查機制，及時診斷出不能正常工作或負載過重的鏈路和服務(wù)器。能夠根據(jù)應(yīng)用、鏈路的健康狀況，智能調(diào)整流量在多鏈路、多服務(wù)器之間的分配，并自動完成切換，提升網(wǎng)絡(luò)和應(yīng)用的可用性，保障業(yè)務(wù)連續(xù)性。另外，應(yīng)用交付本身具備應(yīng)用層防火墻、4~7層DDoS防護等功能，能夠阻擋絕大多數(shù)來自應(yīng)用層的功能，同時也提升應(yīng)用交付系統(tǒng)本身的抗攻擊性，實現(xiàn)應(yīng)用安全。云數(shù)據(jù)中心的網(wǎng)絡(luò)流量復雜，為了保障應(yīng)用安全可靠的交付到客戶端，需精確應(yīng)用識別與控制，避免傳統(tǒng)隊列機制所帶來的廣域網(wǎng)下行帶寬的浪費，實現(xiàn)優(yōu)先級管理、帶寬保障以及帶寬的公平使用，提升應(yīng)用體驗。云數(shù)據(jù)中心的應(yīng)用具備彈性和遷移能力，一款設(shè)計良好，具備良好虛擬化技術(shù)兼容性，同時具有強大的應(yīng)用層安全防護功能的安全應(yīng)用交付產(chǎn)品（SADC）也是必不可少的。因此，有必要部署一套安全應(yīng)用交付系統(tǒng)對業(yè)務(wù)的訪問請求進行負載分擔，保證業(yè)務(wù)連續(xù)性以及應(yīng)用的安全；同時能夠跟云計算平臺聯(lián)動，做到自動啟停虛擬機以及業(yè)務(wù)配置自動分發(fā)；也能夠支持應(yīng)用交付設(shè)備本身的硬件級虛擬化，將多個應(yīng)用進行隔離，每個應(yīng)用單獨使用一套虛擬的應(yīng)用交付，更符合云計算的應(yīng)用場景。部署設(shè)計：安全應(yīng)用交付設(shè)備冗余、旁路部署于業(yè)務(wù)系統(tǒng)的交換機之上，對應(yīng)用進行負載分擔。VPN根據(jù)等級保護的要求，三級業(yè)務(wù)系統(tǒng)必須加密傳輸，因此需要VPN技術(shù)實現(xiàn)應(yīng)用系統(tǒng)遠程訪問及數(shù)據(jù)傳輸?shù)募用?，證數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C密性、完整性，提供端對端、點到端的安全傳輸解決方案。部署設(shè)計：VPN設(shè)備旁路部署于核心交換機上，實現(xiàn)傳輸鏈路的加密。11安全管理中心隨著網(wǎng)絡(luò)安全意識的增強、網(wǎng)絡(luò)安全建設(shè)工作的推進，等級保護、分級保護和行業(yè)的信息安全管理等標準、規(guī)范的實施，越來越多的單位急需構(gòu)建信息安全管理平臺。鑒于其網(wǎng)絡(luò)規(guī)模、業(yè)務(wù)應(yīng)用和安全管理人員的實際情況，部分安全管理者發(fā)現(xiàn)與標準SOC平臺的高靈活性和擴展性相比，一款功能簡潔、部署方便、使用簡單、價格適宜的SOC平臺更能貼近其管理需求。根據(jù)XX單位信息系統(tǒng)的實際情況，有必要部署一套安全管理平臺來更好的管理整個網(wǎng)絡(luò)系統(tǒng)。部署設(shè)計：安全管理中心部署在安全管理域，通過網(wǎng)絡(luò)協(xié)議收集來自服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志進行綜合分析，針對相關(guān)操作系統(tǒng)和數(shù)據(jù)庫的日志收集需要部署安全插件。云計算平臺安全設(shè)計以強身份認證為基礎(chǔ)，云計算平臺可提供虛擬化層面的云安全防護功能和云管理層面的云安全運維功能，可以為云平臺提供全面的安全保護功能。及時發(fā)現(xiàn)安全隱患，在出現(xiàn)安全損失之前進行解決。強身份認證云計算平臺具備強身份認證安全體系，用戶在登錄系統(tǒng)時，除了輸入用戶名密碼之外，還需要輸入一串隨時間變化隨機生成的驗證碼，通過雙因素認證技術(shù)規(guī)避弱密碼及暴力破解系統(tǒng)密碼的風險，保障云數(shù)據(jù)中心用戶安全。同時具備詳細的管理用戶行為審計系統(tǒng)，可確保事后用戶行為可溯源。云安全防護系統(tǒng)基于虛擬化層面的云安全防護用于保證云環(huán)境下虛擬網(wǎng)絡(luò)和數(shù)據(jù)的安全。?基于SDN/NFV實現(xiàn)虛擬網(wǎng)絡(luò)安全，包括訪問控制、流量控制、在宿主機層面實現(xiàn)Hypervisor層防火墻。?確保云操作系統(tǒng)自身的健壯性，API的安全訪問機制。2.2.3云安全運維云安全運維用于支撐云數(shù)據(jù)中心安全運維，功能包括：?實現(xiàn)對云環(huán)境中虛擬安全設(shè)備的集中管理；?對虛擬機進行各種監(jiān)控，并對監(jiān)控數(shù)據(jù)分析生成報表；12對宿主機和虛擬化設(shè)備的日志進行安全審計并進行深入分析。2.3虛擬機安全設(shè)計云計算的虛擬化基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務(wù)器的風險之外，同時也會帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。虛擬化安全防護要點1.動態(tài)的安全傳統(tǒng)的信息化系統(tǒng)安全是靜態(tài)的，配置好安全策略后，所防護的設(shè)備不會頻繁的發(fā)生變化，安全策略不需要時常改動。而云計算平臺是一個動態(tài)的環(huán)境，快速部署的新應(yīng)用程序、基礎(chǔ)環(huán)境不停的變化、虛擬機在整個數(shù)據(jù)中心漂移，都要求安全服務(wù)必須跟上變化，同時也要考慮彈性伸縮。這需要安全服務(wù)及策略的自動化部署，否則安全要么無法發(fā)揮作用，要么成為系統(tǒng)提供服務(wù)過程中的瓶頸。重新激活 新生成激活 安全策略過期虛擬機1r jr-nr——It ]VfiLVIVIVMVM>VIVI

bb。。o虛擬機必須帶有

已配置完整悌戶端和最新的病毒庫.虛擬機之間產(chǎn)生的攻擊如果仍對云計算環(huán)境使用傳統(tǒng)的安全防護模式，導致主要的防護邊界還是位于物理主機的邊緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全隱患。復雜的攻擊可以輕易攻陷虛擬化平臺中最脆弱的虛擬機系統(tǒng)，一旦虛擬機被別有用心的破壞人員控制，受感染的虛擬機將會成為跳板，從虛擬機層面橫向移動，竊取有價值的數(shù)據(jù)而不被傳統(tǒng)的防護手段所發(fā)現(xiàn)。13攻擊在虛擬器之中發(fā)生.更高的安全需求云計算環(huán)境下的安全相比于傳統(tǒng)安全，不但沒有降低，反而有更高的要求。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的訪問控制、入侵檢測、病毒防護、DDoS防護、數(shù)據(jù)防泄漏、加密傳輸、垃圾郵件過濾、應(yīng)用安全防護等手段在虛擬化環(huán)境下依然需要，并且由于大二層網(wǎng)絡(luò)架構(gòu)的東西向流量之間不經(jīng)過邊界安全設(shè)備，需要在物理機內(nèi)部實現(xiàn)軟件定義的安全防護，而實現(xiàn)如此眾多的功能，需要高效的安全架構(gòu)，不能占用太多的物理資源。.傳統(tǒng)網(wǎng)絡(luò)劃分不再適合虛擬化環(huán)境傳統(tǒng)網(wǎng)絡(luò)層面，安全部分是緊密耦合網(wǎng)絡(luò)拓撲結(jié)構(gòu)的，然而一旦網(wǎng)絡(luò)環(huán)境變化，就需要手動更網(wǎng)絡(luò)配置部署。而云計算環(huán)境中的網(wǎng)絡(luò)拓撲，經(jīng)常性的會發(fā)生，網(wǎng)絡(luò)變化也意味著安全的變化，再使用傳統(tǒng)的網(wǎng)絡(luò)劃分的模式管理安全，將導致很高的操作開銷和影響業(yè)務(wù)敏捷性。通過以上的分析得知，雖然傳統(tǒng)安全設(shè)備可以物理網(wǎng)絡(luò)層和操作系統(tǒng)提供安全防護，但是云計算環(huán)境中新的安全威脅，例如：虛擬主機之間通訊的訪問控制問題，攻擊和病毒通過虛擬交換機傳播問題等，傳統(tǒng)的安全設(shè)備無法提供相關(guān)的防護，因此在構(gòu)架安全虛擬化平臺時，需要一種低資源占用，高效率，并且能夠防護東西向流量的全面防護方案。.3.2虛擬化安全方案在虛擬化數(shù)據(jù)中心的共享域和專有域，其密級、架構(gòu)、功能都類似，故在設(shè)計方案時總體來考慮。跟傳統(tǒng)網(wǎng)絡(luò)通過安全設(shè)備做各個業(yè)務(wù)區(qū)域的隔離、流量的分析不同，虛擬化環(huán)境下同一個物理機當中的多個虛擬機中可能部署多個業(yè)務(wù)，而業(yè)務(wù)之間的流量直接通過虛擬化操作系統(tǒng)的vSwitch進行轉(zhuǎn)發(fā)，不出物理機，無法進行有效的網(wǎng)絡(luò)隔離以及流量的分析。因此，需要一種軟件定義安全的方式，在每臺物理機上分配一臺單獨的虛擬機作為集中安全網(wǎng)關(guān)模塊，該網(wǎng)關(guān)模塊會與Hypervisor深度結(jié)合，對進出每一個虛擬機的所有流量進行捕獲、分析及控制，從而實現(xiàn)虛擬平臺內(nèi)部東西向流量之間的防護。其具備的具體功能如下：141.功能強大的威脅防御提供對虛擬化平臺的立體威脅防御，包括：惡意代碼防護惡意代碼包括：病毒、蠕蟲、木馬后門等，包括實時掃描、預(yù)設(shè)掃描及手動掃描功能，處理措施包含清除、刪除、拒絕訪問或隔離惡意軟件。檢測到惡意軟件時，可以生成警報日志。防火墻它可用于啟用正確的服務(wù)器運行所必需的端口和協(xié)議上的通信，并阻止其他所有端口和協(xié)議，降低對服務(wù)器進行未授權(quán)訪問的風險。其功能如下：虛擬機隔離：需要對不同單位（租戶）的虛擬機業(yè)務(wù)系統(tǒng)進行隔離，且無需修改虛擬交換機配置即可提供虛擬分段。細粒度過濾：通過實施有關(guān)IP地址、Mac地址、端口及其他內(nèi)容的防火墻規(guī)則過濾通信流。可為每個網(wǎng)絡(luò)接口配置不同的策略。覆蓋所有基于IP的協(xié)議：通過支持全數(shù)據(jù)包捕獲簡化了故障排除，并且可提供寶貴的分析見解，有助于了解增加的防火墻事件-TCP、UDP、ICMP等。偵察檢測：檢測端口掃描等活動。還可限制非IP通信流，如ARP通信流。靈活的控制：狀態(tài)型防火墻較為靈活，可在適當時以一種受控制的方式完全繞過檢查。它可解決任何網(wǎng)絡(luò)上都會遇到的通信流特征不明確的問題，此問題可能出于正常情況，也可能是攻擊的一部分。預(yù)定義的防火墻配置文件:對常見企業(yè)服務(wù)器類型（包括Web、LDAP、DHCP、FTP和數(shù)據(jù)庫）進行分組，確保即使在大型復雜的網(wǎng)絡(luò)中也可快速、輕松、一致地部署防火墻策略?？刹僮鞯膱蟾妫和ㄟ^詳細的日志記錄、警報、儀表板和靈活的報告，DeepSecurity防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內(nèi)容及更改者），從而提供詳細的審計記錄。入侵檢測和阻止（IDS/IPS）在操作系統(tǒng)和企業(yè)應(yīng)用程序安裝補丁之前對其漏洞進行防護，以提供及時保護，使其免受已知攻擊和零日攻擊。基于模式匹配、異常檢測、統(tǒng)計分析等入侵檢測和協(xié)議分析技術(shù)，阻擋各種入侵攻擊，如蠕蟲、木馬、間諜軟件、廣告軟件、緩沖區(qū)溢出、掃描、非法連接、SQL注入、XSS跨站腳本等攻擊，攻擊特征庫可在線更新或離線更新。異常流量清洗對畸形報文及分布式拒絕服務(wù)攻擊（DDOS）進行防御，將異常的流量進行清洗，放行正常流量。WEB應(yīng)用防護Web應(yīng)用防護規(guī)則可防御SQL注入攻擊、跨站點腳本攻擊及其他針對Web應(yīng)用程序漏洞攻擊，在代碼修復完成之前對這些漏洞提供防護，識別并阻15止常見的Web應(yīng)用程序攻擊，并可實現(xiàn)網(wǎng)頁防篡改功能。應(yīng)用程序控制應(yīng)用程序控制能夠識別網(wǎng)絡(luò)中的七層流量，可針對訪問網(wǎng)絡(luò)的應(yīng)用程序提供更進一步的可見性控制能力。能夠阻止隱藏或封裝在正常四層數(shù)據(jù)報文中的惡意程序或者惡意軟件，并能夠?qū)W(wǎng)絡(luò)中的非業(yè)務(wù)流量進行精確的限制。日志審計對所有可疑或有害的網(wǎng)絡(luò)事件進行記錄，提供有效的行為審計、內(nèi)容審計、行為報警等功能。滿足分級保護對于安全的審計備案及安全保護措施的要求，提供完整的流量記錄，便于信息追蹤、系統(tǒng)安全管理和風險防范。AMsignatureIPSsignatureAPP AMsignatureIPSsignatureAPP SPAMsignature signature.虛擬機之間的數(shù)據(jù)流量檢查及控制利用細粒度的防火墻策略和一流的立體威脅防御功能，對所有虛擬機之間的數(shù)據(jù)流量進行檢查，從而確保虛擬機的安全性。與虛擬化操作系統(tǒng)Hypervisor深度結(jié)合，在管理程序內(nèi)部無縫實施安全防護措施。安全網(wǎng)關(guān)模塊支持分離虛擬應(yīng)用，從而避免相互感染以及外部威脅。集成的IPS利用基于簽名和協(xié)議異常的入侵防御功能，來保護FTP、HTTP和VoIP等關(guān)鍵業(yè)務(wù)服務(wù)免遭已知和未知攻擊。提供對特征庫的更新，以便實施最新的防護措16

施。.增強動態(tài)虛擬化環(huán)境的安全性當虛擬機從一個物理機向另一個物理機進行實時遷移或者新增虛擬機時，不能夠終端對虛擬機的保護。當虛擬機在不同物理機之間的漂移時，安全策略能夠在保持開放連接的情況下跟隨虛擬機實時遷移，無需手動配置安全策略，對虛擬機的防護隨著漂移實時生效，不產(chǎn)生中斷。在創(chuàng)建新虛擬機時，根據(jù)配置好的模板自動實施安全策略。.完全虛擬化的安全網(wǎng)關(guān)依賴傳統(tǒng)物理安全設(shè)備對虛擬機間流量進行檢測會影響性能，同時也會增加網(wǎng)絡(luò)結(jié)構(gòu)的復雜性。通過部署完全虛擬化的安全網(wǎng)關(guān)模塊，可以避免復雜的網(wǎng)絡(luò)結(jié)構(gòu)，并可降低網(wǎng)絡(luò)延時、提升安全檢測提升性能、優(yōu)化部署成本。安全網(wǎng)關(guān)釀化安全網(wǎng)關(guān)釀化安全網(wǎng)關(guān)模塊以虛擬機的形式部署在每一臺物理機上，在邏輯上提供透明或者網(wǎng)關(guān)等多種部署方式。利用集成的防火墻、IPS、VPN、DDoS防護、防病毒、僵尸網(wǎng)絡(luò)防護、防垃圾郵件、URL過濾、Web安全、數(shù)據(jù)防泄漏等功能，保護虛擬機免遭外部威脅以及互相感染，并可通過安全網(wǎng)關(guān)模塊對不同業(yè)務(wù)進行訪問控制的隔離。.對虛擬機提供即插即用的安全保護對虛擬機自動啟動安全策略，而無需為虛擬機、VLAN或vSwitch改變網(wǎng)路拓撲，減少管理運維成本。.統(tǒng)一管理通過專門的虛擬化安全管理平