2024超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范1

超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范1范圍本文件規(guī)定了超融合系統(tǒng)網(wǎng)絡(luò)安全的術(shù)語(yǔ)定義、功能要求、基本數(shù)據(jù)項(xiàng)和試驗(yàn)方法。本文件適用于超融合系統(tǒng)的研發(fā)和部署設(shè)計(jì)，以及應(yīng)用中的網(wǎng)絡(luò)安全管理。2規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯GB/T37939-2019信息安全技術(shù)網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求3術(shù)語(yǔ)和定義GB/T32400-2015超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范1范圍本文件規(guī)定了超融合系統(tǒng)網(wǎng)絡(luò)安全的術(shù)語(yǔ)定義、功能要求、基本數(shù)據(jù)項(xiàng)和試驗(yàn)方法。本文件適用于超融合系統(tǒng)的研發(fā)和部署設(shè)計(jì)，以及應(yīng)用中的網(wǎng)絡(luò)安全管理。2規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯GB/T37939-2019信息安全技術(shù)網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求3術(shù)語(yǔ)和定義GB/T32400-2015GB/T37939-20193.1超融合系統(tǒng)IT能力的不同，可以劃分為基礎(chǔ)級(jí)、增強(qiáng)級(jí)。4功能要求4.1基礎(chǔ)級(jí)超融合網(wǎng)絡(luò)安全監(jiān)控安全、審計(jì)安全等功能。4.2增強(qiáng)級(jí)超融合網(wǎng)絡(luò)安全計(jì)安全等功能。對(duì)于每個(gè)功能要求，增強(qiáng)級(jí)超融合網(wǎng)絡(luò)安全比基礎(chǔ)級(jí)超融合網(wǎng)絡(luò)安全要求更嚴(yán)格。5基本數(shù)據(jù)項(xiàng)5.1管理安全應(yīng)滿(mǎn)足表1的要求。1表1 管理安全指標(biāo)5.2系統(tǒng)內(nèi)核層安全超融合系統(tǒng)內(nèi)核層應(yīng)具有自身系統(tǒng)內(nèi)核的安全自檢、自修復(fù)能力，指標(biāo)應(yīng)滿(mǎn)足表2的要求。表2系統(tǒng)內(nèi)核層安全指標(biāo)5.3超融合數(shù)據(jù)層安全應(yīng)滿(mǎn)足表3的要求。2指標(biāo)分類(lèi)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版底層內(nèi)核系統(tǒng)安全應(yīng)支持底層系統(tǒng)完整性破壞、缺失檢測(cè)的功能，且能更新或恢復(fù)初始的能力√√應(yīng)支持操作系統(tǒng)包括但不限于LINUX、WINDOWS、第三方等系統(tǒng)底層內(nèi)核的安全更新漏洞修復(fù)能力√√Hypervisor（計(jì)算虛擬化軟件）Hyper-vKVMVmwareCtrixXen虛擬化軟件安全更新√√應(yīng)支持當(dāng)前虛擬軟件官方漏洞公布與即時(shí)修復(fù)的能力√√ServerSAN（分布式存儲(chǔ)軟件）應(yīng)支持ServerSAN軟件，包含但不限于Ceph、Swift、VSAN、Nutanix、EMCFusionCubeXenUIS√√CVE（CommonVulnerabilitiesandExposures，步響應(yīng)更新的能力√√0day安全防護(hù)虛擬系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、管理平臺(tái)漏洞等√√指標(biāo)分類(lèi)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版表1 管理安全指標(biāo)5.2系統(tǒng)內(nèi)核層安全超融合系統(tǒng)內(nèi)核層應(yīng)具有自身系統(tǒng)內(nèi)核的安全自檢、自修復(fù)能力，指標(biāo)應(yīng)滿(mǎn)足表2的要求。表2系統(tǒng)內(nèi)核層安全指標(biāo)5.3超融合數(shù)據(jù)層安全應(yīng)滿(mǎn)足表3的要求。2指標(biāo)分類(lèi)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版底層內(nèi)核系統(tǒng)安全應(yīng)支持底層系統(tǒng)完整性破壞、缺失檢測(cè)的功能，且能更新或恢復(fù)初始的能力√√應(yīng)支持操作系統(tǒng)包括但不限于LINUX、WINDOWS、第三方等系統(tǒng)底層內(nèi)核的安全更新漏洞修復(fù)能力√√Hypervisor（計(jì)算虛擬化軟件）Hyper-vKVMVmwareCtrixXen虛擬化軟件安全更新√√應(yīng)支持當(dāng)前虛擬軟件官方漏洞公布與即時(shí)修復(fù)的能力√√ServerSAN（分布式存儲(chǔ)軟件）應(yīng)支持ServerSAN軟件，包含但不限于Ceph、Swift、VSAN、Nutanix、EMCFusionCubeXenUIS√√CVE（CommonVulnerabilitiesandExposures，步響應(yīng)更新的能力√√0day安全防護(hù)虛擬系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、管理平臺(tái)漏洞等√√指標(biāo)分類(lèi)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版物理環(huán)境安全應(yīng)支持硬件物理?yè)p壞情況下高可用、容災(zāi)及數(shù)據(jù)恢復(fù)的能力√√管理平臺(tái)應(yīng)支持平臺(tái)真?zhèn)舞b別的能力√√應(yīng)支持管理平臺(tái)WEB訪(fǎng)問(wèn)連接安全的能力√√應(yīng)支持最小化安裝原則、且能禁用無(wú)用組件功能√√管理業(yè)務(wù)應(yīng)支持客戶(hù)業(yè)務(wù)可持續(xù)性保護(hù)措施、全面保護(hù)客戶(hù)業(yè)務(wù)的能力√√應(yīng)支持各用戶(hù)、業(yè)務(wù)、數(shù)據(jù)的隔離，不可互訪(fǎng)的能力√√應(yīng)支持應(yīng)用粒度訪(fǎng)問(wèn)控制的能力√√管理人員同需2人以上分權(quán)操作。√√管理制度應(yīng)制定總體安全目標(biāo)、范圍、原則、安全框架√√應(yīng)定期對(duì)管理人員進(jìn)行安全防護(hù)、防社工知識(shí)培訓(xùn)√√應(yīng)定期對(duì)安全防護(hù)措施、安全管理制度進(jìn)行論證、優(yōu)化、更新、發(fā)布√√應(yīng)建立崗位責(zé)任具體到人的負(fù)責(zé)制√√表3 超融合數(shù)據(jù)層安全指標(biāo)5.4超融合網(wǎng)絡(luò)層安全護(hù)等功能，指標(biāo)應(yīng)滿(mǎn)足表4的要求。表4 超融合網(wǎng)絡(luò)層安全指標(biāo)5.5資源組件安全超融合資源組件安全指標(biāo)應(yīng)滿(mǎn)足表5的要求。表5 資源組建安全指標(biāo)5.6監(jiān)控安全3一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版虛擬資源組件安全組件完整性檢測(cè)與恢復(fù)√√組件資源安全訪(fǎng)問(wèn)非授權(quán)不可互訪(fǎng)√√一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版網(wǎng)絡(luò)層網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)邊界應(yīng)支持邏輯隔離，細(xì)顆粒的vxlan的能力√√阻斷的能力√√訪(fǎng)問(wèn)控制應(yīng)支持角色最小權(quán)限劃分，以及清晰的權(quán)限分離√√應(yīng)支持按自定義方式的內(nèi)容級(jí)粒度訪(fǎng)問(wèn)控制-√網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴應(yīng)支持QOSDDOS√√應(yīng)支持最大流量與最大連接數(shù)的限制能力√√指標(biāo)分類(lèi)指標(biāo)說(shuō)明（定量、定性指標(biāo)）基礎(chǔ)版增強(qiáng)版計(jì)算數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)計(jì)算交互過(guò)程中的保密性、完整性能力，以及閃存數(shù)據(jù)的防護(hù)能力√√傳輸數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)傳輸過(guò)程中的保密性、防竊聽(tīng)、以及遭受偵聽(tīng)、嗅探時(shí)不可直接重組，重現(xiàn)完整數(shù)據(jù)的能力√√應(yīng)支持物理故障時(shí)，數(shù)據(jù)仍可保持不低于正常吞吐量的能力。8K10000表3 超融合數(shù)據(jù)層安全指標(biāo)5.4超融合網(wǎng)絡(luò)層安全護(hù)等功能，指標(biāo)應(yīng)滿(mǎn)足表4的要求。表4 超融合網(wǎng)絡(luò)層安全指標(biāo)5.5資源組件安全超融合資源組件安全指標(biāo)應(yīng)滿(mǎn)足表5的要求。表5 資源組建安全指標(biāo)5.6監(jiān)控安全3一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版虛擬資源組件安全組件完整性檢測(cè)與恢復(fù)√√組件資源安全訪(fǎng)問(wèn)非授權(quán)不可互訪(fǎng)√√一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版網(wǎng)絡(luò)層網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)邊界應(yīng)支持邏輯隔離，細(xì)顆粒的vxlan的能力√√阻斷的能力√√訪(fǎng)問(wèn)控制應(yīng)支持角色最小權(quán)限劃分，以及清晰的權(quán)限分離√√應(yīng)支持按自定義方式的內(nèi)容級(jí)粒度訪(fǎng)問(wèn)控制-√網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴應(yīng)支持QOSDDOS√√應(yīng)支持最大流量與最大連接數(shù)的限制能力√√指標(biāo)分類(lèi)指標(biāo)說(shuō)明（定量、定性指標(biāo)）基礎(chǔ)版增強(qiáng)版計(jì)算數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)計(jì)算交互過(guò)程中的保密性、完整性能力，以及閃存數(shù)據(jù)的防護(hù)能力√√傳輸數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)傳輸過(guò)程中的保密性、防竊聽(tīng)、以及遭受偵聽(tīng)、嗅探時(shí)不可直接重組，重現(xiàn)完整數(shù)據(jù)的能力√√應(yīng)支持物理故障時(shí)，數(shù)據(jù)仍可保持不低于正常吞吐量的能力。8K1000050000400M；256K800IOPS；2IPOS，200M√√存儲(chǔ)數(shù)據(jù)應(yīng)支持存儲(chǔ)數(shù)據(jù)的保密性與完整性能力√√數(shù)據(jù)副本、CDP業(yè)務(wù)快速備份與恢復(fù)應(yīng)支持2個(gè)以上副本（含2個(gè)）數(shù)據(jù)，且支持2種以上備份恢復(fù)方式√√應(yīng)支持?jǐn)?shù)據(jù)副本同步或異步備份且可快速恢復(fù)√√備份時(shí)間間隔不大于24h√√殘余數(shù)據(jù)保護(hù)應(yīng)支持虛擬資源CPU釋放空間等資源回收時(shí)完全清除殘留的能力√√超融合監(jiān)控安全指標(biāo)應(yīng)滿(mǎn)足表6的要求。表6 監(jiān)控安全5.7審計(jì)安全安全審計(jì)范圍應(yīng)支持多種類(lèi)型，包含事件、用戶(hù)、事件類(lèi)型、事件進(jìn)行的狀態(tài)等。6試驗(yàn)方法6.1管理安全5.1中的清單項(xiàng)，逐一對(duì)照安全項(xiàng)檢查其合規(guī)性。管理平臺(tái)、管理業(yè)務(wù)中的平臺(tái)真?zhèn)巫R(shí)別、WEBSSL數(shù)字證書(shū)進(jìn)行通信連接加密與平臺(tái)真實(shí)性識(shí)別。6.2系統(tǒng)內(nèi)核層安全應(yīng)按以下方法檢查當(dāng)前內(nèi)核版本是否最新:cat/proc/version或uname超融合監(jiān)控安全指標(biāo)應(yīng)滿(mǎn)足表6的要求。表6 監(jiān)控安全5.7審計(jì)安全安全審計(jì)范圍應(yīng)支持多種類(lèi)型，包含事件、用戶(hù)、事件類(lèi)型、事件進(jìn)行的狀態(tài)等。6試驗(yàn)方法6.1管理安全5.1中的清單項(xiàng)，逐一對(duì)照安全項(xiàng)檢查其合規(guī)性。管理平臺(tái)、管理業(yè)務(wù)中的平臺(tái)真?zhèn)巫R(shí)別、WEBSSL數(shù)字證書(shū)進(jìn)行通信連接加密與平臺(tái)真實(shí)性識(shí)別。6.2系統(tǒng)內(nèi)核層安全應(yīng)按以下方法檢查當(dāng)前內(nèi)核版本是否最新:cat/proc/version或uname–alsb_release–acat/etc/issueWindowssysteminfo按需要采用內(nèi)核升級(jí)指令，保持與發(fā)行版本的即時(shí)更新。針對(duì)計(jì)算虛擬化軟件分布式存儲(chǔ)軟件0daykernel具與升級(jí)方式保持其最新，且在廠(chǎng)商官網(wǎng)，以及第三方CVE（CommonVulnerabilitiesand6.3超融合數(shù)據(jù)層安全sniffer、wireshark存儲(chǔ)數(shù)據(jù)采用拔盤(pán)外掛載第三方機(jī)器上，嘗試直接讀取其數(shù)據(jù)、或重組其數(shù)據(jù)的可能性。數(shù)據(jù)副本、CDP314一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明基礎(chǔ)版增強(qiáng)版安全監(jiān)控監(jiān)控范圍應(yīng)支持各類(lèi)型的范圍監(jiān)控:包括資源、管理平臺(tái)、技術(shù)、人員行為等√√監(jiān)控反饋應(yīng)支持至少1種及以上的監(jiān)控反饋方式：短信、應(yīng)用、郵件、報(bào)警音等√√監(jiān)控聯(lián)動(dòng)可支持自定義事件發(fā)生時(shí)，策略聯(lián)動(dòng)的能力-√6.3.3Iometer,FIO3100G，此操作僅為測(cè)試前常規(guī)操作，不作為測(cè)試結(jié)果值。再開(kāi)始正式測(cè)試。8K256K（小文件與大文件）28K6.3.3Iometer,FIO3100G，此操作僅為測(cè)試前常規(guī)操作，不作為測(cè)試結(jié)果值。再開(kāi)始正式測(cè)試。8K256K（小文件與大文件）28K1萬(wàn)5萬(wàn)400M；256K800IOPS2千IPOS，帶寬不少于200M。6.4超融合網(wǎng)絡(luò)層安全6.4.12honeyd、、explorerIP80212223TCPUDPTTL6.4.2網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴snifferwiresharkPING絡(luò)抖動(dòng)率。6.4.3網(wǎng)絡(luò)攻擊防護(hù)DDOSCCIPDDOS3擊行為。能實(shí)現(xiàn)攻擊能被檢測(cè)記錄，能有效阻斷等功能；Web問(wèn)一句話(huà)病毒3次，若無(wú)響應(yīng)則為內(nèi)核防毒發(fā)揮。6.5虛擬資源組件安全引具體缺失組件以及恢復(fù)指引。6.6安全監(jiān)控檢測(cè)方法監(jiān)控范圍采用目測(cè)