1项目综述 1.1项目背景 为了保障基于“健康云”、“智慧云”的 XX数据中心,天融信公司依据公 安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安 [2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度 建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统 安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减 少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针 , 为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同 步建设,全面开展信息安全等级保护建设整改工作。 1.2安全目标 XX的信息安全等级保护建设工作的总体目标是: “遵循国家信息安全等级保护有关法规规定和标准规范,通过全面开展信 息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建 云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明 确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力, 为整个云平台的顺利建设和信息化健康发展提供可靠保障。” 具体目标包括 (1)体系建设,实现按需防御。通过体系设计制定等级方案,进行安全技 术体系、安全管理体系和安全运维体系建设,实现按需防御。 (2)安全运维,确保持续安全。通过安全监控、安全加固等运维手段,从 事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。 (3)通过合规性建设,提升 XX云平台安全防护能力,保障系统信息安全 , 同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。 1.3建设范围 本方案的设计范围覆盖 XX的新建云平台基础设施服务系统。安全对象包 括: 云内安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化 主机的安全防护; 云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。 1.4建设依据 1.4.1国家相关政策要求 (1)《中华人民共和国计算机信息系统安全保护条例》(国务院 147号 令); (2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003] 27号); (3)《关于信息安全等级保护工作的实施意见》(公通字 [2004]66号); (4)《信息安全等级保护管理办法》(公通字 [2007]43号); (5)《信息安全等级保护备案实施细则》(公信安 [2007]1360号);(6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通 知》(发改高技[2008]2071号); (7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信 安[2009]1429号)。 1.4.2等级保护及信息安全相关国家标准 (1)《计算机信息系统安全保护等级划分准则》( GB17859-1999); (2)《信息安全技术 信息系统安全等级保护实施指南》( GBT 25058- 2010); (3)《信息安全技术 信息系统安全保护等级定级指南》( GB/T22240- 2008); (4)《信息安全技术 信息系统安全等级保护基本要求》( GB/T22239- 2008); (5)《信息安全技术 信息系统等级保护安全设计技术要求》( GB/T 25070-2010); (6)《信息安全技术 信息系统安全等级保护测评要求》;(7)《信息安全技术 信息系统安全等级保护测评过程指南》; (8)《信息安全技术 信息安全风险评估规范》( GB/T 20984-2007 ); (9)《信息安全技术 信息系统安全管理要求》( GB/T 20269-2006 ); (10)《信息技术 安全技术 信息安全管理体系要求》( GB/T 22080- 2008(idt ISO/IEC 27001:2005 )); (11)《信息技术 安全技术 信息安全管理实用准则》( GB/T 22081- 2008(idt ISO/IEC 27002:2005 )); (12)《信息安全技术 信息系统通用安全技术要求》( GB/T 20271- 2006)及相关的一系列具体技术标准。 2云安全等保风险分 析 由于本系统是新建设系统, 并且尚未部署应用。机房环境目前 已经非常完 备,具备 很好的物理安全措施。 因此当前最主要的工作是依据等级保护基本要求, 着重进行网络 层、主机 层、数据层等方面的等级保护安全技术建设工作。 此外,天融信具有等级保护的 专家团队,深入了解国家等级保护相关政策 , 熟悉信息系统规划和整改工作的关 键点和流程,将通过等级保护 差距分析、文 档审核、现场访谈、现场测试等方式,发掘目前云平台系统 与等保技术和管理要求的不符合项。并针对不符合项,进行 逐条分析,确认建设方案。 在云架构下传统的保护 模式如何建立层次型的防护策 略,如何保护共享虚 拟化环境 下的云平台建设中需重点 考虑的环节;健康云和智慧云 将实现基于云 的数据存储和 集中管理, 必须采用有效措施防 止外部入侵和内部用 户滥用权限; 在信息安全保障体系实现时 仍需满足国家信息安全等级保护政策要求,同时需 要解决信息安全等级保护政策在云计算技术体系 下如何落地的重要课题。 健康云和智慧云计算平台 引入了虚拟化技术,实现数据 资源、服务资源、 平台资源的云共享,计算、网络、存储等三 类资源是云计算平台依 赖重要的系 统资源,平台的可用性(Availability)、可靠性(Reliability)、数据安全性、 运维管理能力是安全建设的重要指标, 传统的密码技术、边界防护技术、入 侵 检测技术、 审计技术等在云计算环境 下仍然需要,并需要针对云计算 给信息安 全带来的新问题,重点解决,虚拟化安全 漏洞,以及基于云环境 下的安全监控、 用户隔离、行为审计、不同角色的访问控制、安全策 略、安全管理和 日志审计 等技术难点,这就更加需要借助内外网等级保护的建设 构建满足健康云、智慧 云平台业务需要的安全 支撑体系,提高信息化环境的安全性, 并通过运维、安 全保障等基础 资源的统一建设,有效 消除安全保障中的“ 短板效应”,增强整 个信息化环境的安全性。2.1合规性风险 XX云平台的安全建设需满足等级保护三级基本要求的标准, 即需要建设安 全技术、管理、运维体系, 达到可信、可控、可管的目标。 但是目前在云计算 环境下的等级保护标准 尚未出台,可能会面 临信息系统可信、可控、可管的 巨 大挑战,如下图: 此外,在今后大量XX自有应用以及通过SaaS方式,纵向引入各下属单位 应用。为了满足各 类不同应用的合规性需求,需要在安全技术、运维、管理等 方面进行 更加灵活、高可用性的 冗余建设。 2.2系统建设风险 虚拟化平台 架构,品牌的选择是一个很慎重的问题。其架构依据不同品牌, 导致接口开放程度不同,运行机制 不同。而与虚拟化平台相关的 如:信息系统 应用架构、安全架构、数据存储 架构等,都与虚拟化平台息息相关,也是后续 应用迁入工作的基础。 此外,在后 期迁入应用,建设过程中的 质量监控,建设 计划是否合理可靠等 问题,均有可能造成风险。以 下为具体的风险:2.2.1应用迁入阻力风险 XX的云平台规划 愿景包括: 应用数据大集中,管理 大集中,所以要求今后 非云环境的各 类应用逐步的迁移入虚拟化环境,各 应用的计算环境也需要 调整 入虚拟化环境。 由此可能会引发一些兼容性风险问题,带来迁入阻力的风险。 2.2.2虚拟化平台 品牌选择风险 因现有虚拟化平台 已经采购完成,是VMware的vSphere虚拟化平台, 因其 对国内其 他IT平台,尤其是对国内安全 厂商的开放性严重不足,导致许多安全 机制无法兼顾到云平台内部。 因此造成了安全监控、安全管理、安全防护机制在云平台内外 出现断档的 现象,使现有的 自动化安全管理、网络管理、安全防护等措施 无法有效覆盖虚 拟化环境。 2.2.3建设质量计量、监督风险 因为本次XX云平台的建设 打算采用市场化建设的方 式进行,但是现有云计 算平台是 否符合建设要求,是 否符合安全需求, 如何进行质量的计量,如何进 行评审监督,都是亟待解决的问题。 2.2.4安全规划风险 在云平台的规划过程中, 应同时规划安全保障体系的;保 证在建设过程中, 同步实施计算环境和安全保障建设。 如出现信息安全建设 延后,可能 带来保障 体系的脆弱性,放大各其他基础设施的 脆弱性,导致各类安全风险的 滋生。2.2.5建设计划风险 云平台的建设 因其复杂性,导致系统投入使用前,需要进行 完善详实的规 划、设计和实施。需 协调好各相关部 门,以及第三方合作 厂商,群策群力的建 设云平台, 而建设计划是需要 先行一步制定 好的,从而可以指导规范整个项目 的生命周期。

pdf文档 云数据中心安全等级保护建设方案

文档预览
中文文档 82 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共82页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
云数据中心安全等级保护建设方案 第 1 页 云数据中心安全等级保护建设方案 第 2 页 云数据中心安全等级保护建设方案 第 3 页
下载文档到电脑,方便使用
本文档由 思安2023-06-03 14:19:08上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。