2024專屬云系統(tǒng)網(wǎng)絡(luò)安全規(guī)范

專屬云系統(tǒng)網(wǎng)絡(luò)安全規(guī)范專屬云系統(tǒng)網(wǎng)絡(luò)安全規(guī)范專屬云系統(tǒng)網(wǎng)絡(luò)安全規(guī)范1范圍本文件規(guī)定了專屬云系統(tǒng)網(wǎng)絡(luò)安全的術(shù)語(yǔ)定義、功能要求、基本數(shù)據(jù)項(xiàng)和試驗(yàn)方法。本文件適用于專屬云系統(tǒng)的研發(fā)和部署設(shè)計(jì)，以及應(yīng)用中的網(wǎng)絡(luò)安全管理。2規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯GB/T37939-2019信息安全技術(shù)網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求3專屬云系統(tǒng)網(wǎng)絡(luò)安全規(guī)范1范圍本文件規(guī)定了專屬云系統(tǒng)網(wǎng)絡(luò)安全的術(shù)語(yǔ)定義、功能要求、基本數(shù)據(jù)項(xiàng)和試驗(yàn)方法。本文件適用于專屬云系統(tǒng)的研發(fā)和部署設(shè)計(jì)，以及應(yīng)用中的網(wǎng)絡(luò)安全管理。2規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯GB/T37939-2019信息安全技術(shù)網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求3術(shù)語(yǔ)和定義GB/T32400-2015GB/T37939-20193.1dedicatedcloud使用公有云。4功能要求功能。5基本數(shù)據(jù)項(xiàng)要求5.1管理安全應(yīng)滿足表1的要求。1表1管理安全指標(biāo)系統(tǒng)內(nèi)核層安全5.2專屬云系統(tǒng)內(nèi)核層應(yīng)具有自身系統(tǒng)內(nèi)核的安全自檢、自修復(fù)能力，指標(biāo)應(yīng)滿足表2的要求。表2系統(tǒng)內(nèi)核層安全指標(biāo)5.3數(shù)據(jù)層安全應(yīng)滿足表3的要求。2指標(biāo)分類指標(biāo)說(shuō)明底層內(nèi)核系統(tǒng)安全應(yīng)支持底層系統(tǒng)完整性破壞、缺失檢測(cè)的功能，且能更新或恢復(fù)初始的能力應(yīng)支持操作系統(tǒng)包括LINUX、WINDOWS等第三方等系統(tǒng)底層內(nèi)核的安全更新漏洞修復(fù)能力Hypervisor（計(jì)算虛擬化軟件）應(yīng)支持虛擬軟件包括KVM、CtrixXen等第三方計(jì)算虛擬化軟件安全更新應(yīng)支持當(dāng)前虛擬軟件官方漏洞公布與即時(shí)修復(fù)的能力ServerSAN（分布式存儲(chǔ)軟件）應(yīng)支持ServerSAN軟件，包含Ceph、VSAN、思杰XenServer第三方軟件漏洞批露與更新能力0day全防護(hù)用系統(tǒng)漏洞、管理平臺(tái)漏洞等指標(biāo)分類指標(biāo)說(shuō)明物理環(huán)境安全應(yīng)標(biāo)記并劃分特定區(qū)域定向管理專屬云設(shè)施應(yīng)支持硬件發(fā)生變更時(shí)提示的能力應(yīng)支持硬件物理?yè)p壞情況下高可用、容災(zāi)及數(shù)據(jù)恢復(fù)的能力管理平臺(tái)應(yīng)支持平臺(tái)真?zhèn)舞b別的能力應(yīng)支持管理平臺(tái)WEB訪問(wèn)連接安全的能力應(yīng)支持2種以上多因子身份鑒別、訪問(wèn)控制應(yīng)支持最小化安裝原則、且能禁用無(wú)用組件功能管理業(yè)務(wù)應(yīng)支持客戶業(yè)務(wù)可持續(xù)性保護(hù)措施、全面保護(hù)客戶業(yè)務(wù)的能力應(yīng)支持各用戶、業(yè)務(wù)、數(shù)據(jù)的隔離，不可互訪的能力表1管理安全指標(biāo)系統(tǒng)內(nèi)核層安全5.2專屬云系統(tǒng)內(nèi)核層應(yīng)具有自身系統(tǒng)內(nèi)核的安全自檢、自修復(fù)能力，指標(biāo)應(yīng)滿足表2的要求。表2系統(tǒng)內(nèi)核層安全指標(biāo)5.3數(shù)據(jù)層安全應(yīng)滿足表3的要求。2指標(biāo)分類指標(biāo)說(shuō)明底層內(nèi)核系統(tǒng)安全應(yīng)支持底層系統(tǒng)完整性破壞、缺失檢測(cè)的功能，且能更新或恢復(fù)初始的能力應(yīng)支持操作系統(tǒng)包括LINUX、WINDOWS等第三方等系統(tǒng)底層內(nèi)核的安全更新漏洞修復(fù)能力Hypervisor（計(jì)算虛擬化軟件）應(yīng)支持虛擬軟件包括KVM、CtrixXen等第三方計(jì)算虛擬化軟件安全更新應(yīng)支持當(dāng)前虛擬軟件官方漏洞公布與即時(shí)修復(fù)的能力ServerSAN（分布式存儲(chǔ)軟件）應(yīng)支持ServerSAN軟件，包含Ceph、VSAN、思杰XenServer第三方軟件漏洞批露與更新能力0day全防護(hù)用系統(tǒng)漏洞、管理平臺(tái)漏洞等指標(biāo)分類指標(biāo)說(shuō)明物理環(huán)境安全應(yīng)標(biāo)記并劃分特定區(qū)域定向管理專屬云設(shè)施應(yīng)支持硬件發(fā)生變更時(shí)提示的能力應(yīng)支持硬件物理?yè)p壞情況下高可用、容災(zāi)及數(shù)據(jù)恢復(fù)的能力管理平臺(tái)應(yīng)支持平臺(tái)真?zhèn)舞b別的能力應(yīng)支持管理平臺(tái)WEB訪問(wèn)連接安全的能力應(yīng)支持2種以上多因子身份鑒別、訪問(wèn)控制應(yīng)支持最小化安裝原則、且能禁用無(wú)用組件功能管理業(yè)務(wù)應(yīng)支持客戶業(yè)務(wù)可持續(xù)性保護(hù)措施、全面保護(hù)客戶業(yè)務(wù)的能力應(yīng)支持各用戶、業(yè)務(wù)、數(shù)據(jù)的隔離，不可互訪的能力應(yīng)支持應(yīng)用粒度訪問(wèn)控制的能力管理人員應(yīng)支持專人專崗，服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用程序分權(quán)獨(dú)立管理的能力；跨崗位協(xié)同需2人以上分權(quán)操作應(yīng)支持2種以上多因子身份鑒別、密碼安全策略、訪問(wèn)控制的能力管理制度應(yīng)制定總體安全目標(biāo)、范圍、原則、安全框架應(yīng)定期對(duì)管理人員進(jìn)行安全防護(hù)、防社工知識(shí)培訓(xùn)應(yīng)定期對(duì)安全防護(hù)措施、安全管理制度進(jìn)行論證、優(yōu)化、更新、發(fā)布應(yīng)建立崗位責(zé)任具體到人的負(fù)責(zé)制表3 數(shù)據(jù)層安全指標(biāo)5.4網(wǎng)絡(luò)層安全能，指標(biāo)應(yīng)滿足表4的要求。表4網(wǎng)絡(luò)層安全指標(biāo)5.5資源組件安全資源組件安全指標(biāo)應(yīng)滿足表5的要求。3一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明網(wǎng)絡(luò)層網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)邊界應(yīng)支持邏輯隔離應(yīng)支持內(nèi)部用戶或虛擬資源非授權(quán)外聯(lián)網(wǎng)絡(luò)行為的定位、限制、阻斷的能力訪問(wèn)控制應(yīng)支持角色最小權(quán)限劃分，以及清晰的權(quán)限分離應(yīng)支持按自定義方式的內(nèi)容級(jí)粒度訪問(wèn)控制應(yīng)支持敏感信息與數(shù)據(jù)的安全標(biāo)記，并可控制訪問(wèn)網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴應(yīng)支持QOS功能，防止網(wǎng)絡(luò)蠕蟲、病毒DDOS、網(wǎng)絡(luò)風(fēng)暴的能力應(yīng)支持最大流量與最大連接數(shù)的限制能力網(wǎng)絡(luò)攻擊防護(hù)可支持IDSIPS入侵分析、檢測(cè)與防護(hù)能力應(yīng)支持密碼機(jī)、遠(yuǎn)控、誘探、社工、木馬防護(hù)能力虛擬化內(nèi)核防病毒IO交互等底層內(nèi)核級(jí)的查毒能力指標(biāo)分類指標(biāo)說(shuō)明（定量、定性指標(biāo)）計(jì)算數(shù)據(jù)表3 數(shù)據(jù)層安全指標(biāo)5.4網(wǎng)絡(luò)層安全能，指標(biāo)應(yīng)滿足表4的要求。表4網(wǎng)絡(luò)層安全指標(biāo)5.5資源組件安全資源組件安全指標(biāo)應(yīng)滿足表5的要求。3一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明網(wǎng)絡(luò)層網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)邊界應(yīng)支持邏輯隔離應(yīng)支持內(nèi)部用戶或虛擬資源非授權(quán)外聯(lián)網(wǎng)絡(luò)行為的定位、限制、阻斷的能力訪問(wèn)控制應(yīng)支持角色最小權(quán)限劃分，以及清晰的權(quán)限分離應(yīng)支持按自定義方式的內(nèi)容級(jí)粒度訪問(wèn)控制應(yīng)支持敏感信息與數(shù)據(jù)的安全標(biāo)記，并可控制訪問(wèn)網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴應(yīng)支持QOS功能，防止網(wǎng)絡(luò)蠕蟲、病毒DDOS、網(wǎng)絡(luò)風(fēng)暴的能力應(yīng)支持最大流量與最大連接數(shù)的限制能力網(wǎng)絡(luò)攻擊防護(hù)可支持IDSIPS入侵分析、檢測(cè)與防護(hù)能力應(yīng)支持密碼機(jī)、遠(yuǎn)控、誘探、社工、木馬防護(hù)能力虛擬化內(nèi)核防病毒IO交互等底層內(nèi)核級(jí)的查毒能力指標(biāo)分類指標(biāo)說(shuō)明（定量、定性指標(biāo)）計(jì)算數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)計(jì)算交互過(guò)程中的保密性、完整性能力，以及閃存數(shù)據(jù)的防護(hù)能力傳輸數(shù)據(jù)應(yīng)支持物理故障時(shí)，數(shù)據(jù)仍可保持不低于正常吞吐量的能力。8K短文件隨機(jī)讀寫盤應(yīng)不小于10000IOPS，讀不少于50000IOPS，帶寬不小于400M；256K長(zhǎng)文件隨機(jī)讀寫不小于800IOPS；讀不少于2千IPOS，帶寬不少于200M存儲(chǔ)數(shù)據(jù)應(yīng)支持存儲(chǔ)數(shù)據(jù)的保密性與完整性能力應(yīng)防止數(shù)據(jù)被非授權(quán)的外部掛載行為時(shí)，防泄密的能力數(shù)據(jù)副本業(yè)務(wù)快速備份與恢復(fù)應(yīng)支持2個(gè)以上副本（含2個(gè)）數(shù)據(jù)，且支持2種以上備份恢復(fù)方式應(yīng)支持?jǐn)?shù)據(jù)副本同步或異步備份且可快速恢復(fù)備份時(shí)間間隔不大于12h殘余數(shù)據(jù)保護(hù)應(yīng)支持虛擬資源CPU全清除殘留的能力表5 資源組建安全指標(biāo)5.6監(jiān)控安全監(jiān)控安全指標(biāo)應(yīng)滿足表6的要求。表6監(jiān)控安全指標(biāo)5.7審計(jì)安全審計(jì)安全指標(biāo)應(yīng)滿足表7的要求。表7審計(jì)安全指標(biāo)6試驗(yàn)方法6.1管理安全5.1WEBSSL平臺(tái)真實(shí)性識(shí)別。6.2系統(tǒng)內(nèi)核層安全4一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明安全審計(jì)審計(jì)范圍應(yīng)支持多種類型的審計(jì)范圍:包含事件、用戶、事件類型、事件進(jìn)行的狀態(tài)等審計(jì)策略應(yīng)支持應(yīng)用級(jí)粒度的自定義審計(jì)策略應(yīng)支持增、減、刪、讀、寫、執(zhí)行等敏感操作的自定義審計(jì)；包括訪問(wèn)、行為、系統(tǒng)日志審計(jì)審計(jì)數(shù)據(jù)自身安全應(yīng)支持保護(hù)審計(jì)進(jìn)程或功能正常，避免中斷的能力應(yīng)支持保護(hù)審計(jì)數(shù)據(jù)的獨(dú)立完整性，避免破壞，定期的備份的能力應(yīng)支持保護(hù)審計(jì)記錄留存時(shí)間符合法律要求的能力一級(jí)指標(biāo)二級(jí)指標(biāo)表5 資源組建安全指標(biāo)5.6監(jiān)控安全監(jiān)控安全指標(biāo)應(yīng)滿足表6的要求。表6監(jiān)控安全指標(biāo)5.7審計(jì)安全審計(jì)安全指標(biāo)應(yīng)滿足表7的要求。表7審計(jì)安全指標(biāo)6試驗(yàn)方法6.1管理安全5.1WEBSSL平臺(tái)真實(shí)性識(shí)別。6.2系統(tǒng)內(nèi)核層安全4一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明安全審計(jì)審計(jì)范圍應(yīng)支持多種類型的審計(jì)范圍:包含事件、用戶、事件類型、事件進(jìn)行的狀態(tài)等審計(jì)策略應(yīng)支持應(yīng)用級(jí)粒度的自定義審計(jì)策略應(yīng)支持增、減、刪、讀、寫、執(zhí)行等敏感操作的自定義審計(jì)；包括訪問(wèn)、行為、系統(tǒng)日志審計(jì)審計(jì)數(shù)據(jù)自身安全應(yīng)支持保護(hù)審計(jì)進(jìn)程或功能正常，避免中斷的能力應(yīng)支持保護(hù)審計(jì)數(shù)據(jù)的獨(dú)立完整性，避免破壞，定期的備份的能力應(yīng)支持保護(hù)審計(jì)記錄留存時(shí)間符合法律要求的能力一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明安全監(jiān)控監(jiān)控范圍應(yīng)支持各類型的范圍監(jiān)控:包括資源、管理平臺(tái)、技術(shù)、人員行為等監(jiān)控反饋應(yīng)支持至少2種以上的監(jiān)控反饋方式：短信、應(yīng)用、郵件、報(bào)警音等監(jiān)控聯(lián)動(dòng)應(yīng)支持按嚴(yán)重、中等、一般等分級(jí)，且能可視化展示監(jiān)控結(jié)果的能力可支持自定義事件發(fā)生時(shí)，策略聯(lián)動(dòng)的能力一級(jí)指標(biāo)二級(jí)指標(biāo)指標(biāo)說(shuō)明虛擬資源組件安全組件完整性檢測(cè)與恢復(fù)應(yīng)支持各個(gè)虛擬組件完整性與異常自檢測(cè)功能：包含計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等組件應(yīng)支持虛擬組件基線完整性比對(duì)，及組件破壞缺失恢復(fù)功能組件資源安全訪問(wèn)應(yīng)支持用戶之間及與管理員的存儲(chǔ)空間與資源的安全隔離，非授權(quán)不可互訪應(yīng)支持組件資源遷移過(guò)程機(jī)密與完整性保護(hù)能力應(yīng)按以下方法檢查當(dāng)前內(nèi)核版本是否最新:cat/proc/versionuname–a；應(yīng)按以下方法檢查當(dāng)前內(nèi)核版本是否最新:cat/proc/versionuname–a；lsb_release–acat/etc/issue；Windowssysteminfo按需要采用內(nèi)核升級(jí)指令，保持與發(fā)行版本的即時(shí)更新。針對(duì)計(jì)算虛擬化軟件分布式存儲(chǔ)軟件0daykernel具與升級(jí)方式保持其最新，且在廠商官網(wǎng)，以及第三方CVE（CommonVulnerabilitiesand6.3數(shù)據(jù)層安全sniffer、wireshark存儲(chǔ)數(shù)據(jù)采用拔盤外掛載第三方機(jī)器上，嘗試直接讀取其數(shù)據(jù)、或重組其數(shù)據(jù)的可能性。數(shù)據(jù)副本、CDP316.3.3IometerFIO3100G，此操作僅為測(cè)試前常規(guī)操作，不作為測(cè)試結(jié)果值。再開始正式測(cè)試。8K256K（小文件與大文件）28K1萬(wàn)5萬(wàn)400M；256K800IOPS2千IPOS，帶寬不少于200M。6.4網(wǎng)絡(luò)層安全6.4.1網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)邊界訪問(wèn)控制測(cè)試方法2honeyd、explorerIP80212223TCPUDPTTL值的正常響應(yīng)，判斷邊界是否實(shí)現(xiàn)了隔離。6.4.2網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴snifferwiresharkPING6.4.3網(wǎng)絡(luò)攻擊防護(hù)DDOSCCIPDDOS3擊行為。能實(shí)現(xiàn)攻擊能被檢測(cè)記錄，能有效阻斷等功能；56.4.3.3Web問(wèn)一句話病毒3次，若無(wú)響應(yīng)則為內(nèi)核防毒發(fā)揮。6.56.4.3.3Web問(wèn)一句話病毒3次，若無(wú)響應(yīng)則為內(nèi)核防毒發(fā)揮。6.5虛擬資