云計算信息安全等保三級規(guī)劃方案

1、云計算數據中心（信息安全等級保護規(guī)劃方案）N II If II目錄 TOC o 1-5 h z HYPERLINK l bookmark41 o Current Document 云計算帶來的安全挑戰(zhàn)4 HYPERLINK l bookmark44 o Current Document 整體方案設計4 HYPERLINK l bookmark47 o Current Document 2.1基礎安全設計5物理安全5機房選址5 HYPERLINK l bookmark50 o Current Document 機房管理5 HYPERLINK l bookmark53 o Current Docu

2、ment 機房環(huán)境5 HYPERLINK l bookmark56 o Current Document 設備與介質管理 5 HYPERLINK l bookmark59 o Current Document 網絡安全6 HYPERLINK l bookmark62 o Current Document 安全域邊界隔離技術 6 HYPERLINK l bookmark65 o Current Document 入侵防范技術6 HYPERLINK l bookmark68 o Current Document 網絡防病毒技術6 HYPERLINK l bookmark71 o Current D

3、ocument 2.124WEB防火墻技術7 HYPERLINK l bookmark74 o Current Document 網頁防篡改技術7 HYPERLINK l bookmark77 o Current Document 流量管理技術 7 HYPERLINK l bookmark80 o Current Document 上網行為管理技術7 HYPERLINK l bookmark83 o Current Document 網絡安全審計8 HYPERLINK l bookmark86 o Current Document 主機安全8 HYPERLINK l bookmark89 o

4、Current Document 主機安全加固8 HYPERLINK l bookmark92 o Current Document 運維堡壘主機9 HYPERLINK l bookmark95 o Current Document 數據庫安全審計 10 HYPERLINK l bookmark98 o Current Document 主機防病毒技術 10 HYPERLINK l bookmark101 o Current Document 漏洞掃描技術10 HYPERLINK l bookmark104 o Current Document 應用安全 11 HYPERLINK l book

5、mark107 o Current Document 安全應用交付 11 HYPERLINK l bookmark110 o Current Document VPN 11 HYPERLINK l bookmark113 o Current Document 2.1.5安全管理中心 12 HYPERLINK l bookmark116 o Current Document 云計算平臺安全設計12 HYPERLINK l bookmark119 o Current Document 強身份認證12 HYPERLINK l bookmark122 o Current Document 云安全防護系

6、統(tǒng) 12 HYPERLINK l bookmark125 o Current Document 云安全運維 12 HYPERLINK l bookmark128 o Current Document 虛擬機安全設計13 HYPERLINK l bookmark131 o Current Document 虛擬化安全防護要點13 HYPERLINK l bookmark138 o Current Document 虛擬化安全方案 14 HYPERLINK l bookmark155 o Current Document 方案配置18方案合規(guī)性分析18 HYPERLINK l bookmark15

7、8 o Current Document 三級系統(tǒng)安全產品配置清單：191云計算帶來的安全挑戰(zhàn)云計算模式當前已得到業(yè)界普遍認同，成為信息技術領域新的發(fā)展方向。但是，隨 著云計算的大量應用，云環(huán)境的安全問題也日益突出。在眾多對云計算的討論中，IDC的 調查非常具有代表性：“對于云計算面臨的安全問題，75%的用戶對云計算安全擔憂?！?各種調研數據也表明：安全性是用戶選擇云計算的首要考慮因素。云計算的一個重要特征就是IT資源的大集中，而隨著資源的集中，相應的安全風險 也呈現集中化的趨勢。雖然云計算相對傳統(tǒng)計算網絡具備一定的安全優(yōu)勢，但數據的大集 中會引來不法分子眾矢之的更多攻擊。因此，做好云的安全防

8、護要從建設云的階段就開始 規(guī)劃設計，這樣才能做到防患于未然。云計算在技術層面上的核心特點是虛擬化技術的運用帶來的資源彈性和可擴展性， 虛擬機和應用程序隨時可能遷移或變更，僅僅依靠傳統(tǒng)的基于物理環(huán)境拓撲的安全設備已 經不能完全解決云計算環(huán)境下的安全問題。因此，虛擬化后的云計算系統(tǒng)需要重新構建安 全防護體系。所以，在安全云的信息化建設過程中，我們應當正視可能面臨的各種安全風險，對網 絡威脅給予充分的重視。為了云數據中心的安全穩(wěn)定運行，確保項目的順利實施，公司具 備多年云計算中心構造、運維的經驗，根據云數據中心現有的網絡特點及安全需求，本著 切合實際、保護投資、著眼未來的原則，提出本技術實施方案，以

9、供參考。2整體方案設計按照公司的經驗，將從基礎設施安全、操作系統(tǒng)安全、云計算環(huán)境安全三大部分進 行全面分析和設計，為客戶打造一套靈活、合理、可靠、合規(guī)的安全環(huán)境。2.1基礎安全設計2.1.1物理安全物理環(huán)境安全策略的目的是保護網絡中計算機網絡通信有一個良好的電磁兼容工作 環(huán)境，并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發(fā)生。機房和辦公場地選擇在具有防震、防風和防雨等能力的建筑內。機房場地應避免設 在建筑物的高層或地下室，以及用水設備的下層或隔壁。機房管理機房出入口安排專人值守，控制、鑒別和記錄進入的人員；需進入機房的來訪人員須經過 申請和審批流程，并限制和監(jiān)控其活動范圍；對機房劃分區(qū)

10、域進行管理，區(qū)域之間設置物 理隔離裝置，在重要區(qū)域前安裝過渡區(qū)域；重要區(qū)域應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。機房環(huán)境合理規(guī)劃設備安裝位置，應預留足夠的空間作安裝、維護及操作之用。房間裝修必 需使用阻燃材料，耐火等級符合國家相關標準規(guī)定。機房門大小應滿足系統(tǒng)設備安裝時 運輸需要。機房墻壁及天花板應進行表面處理，防止塵埃脫落，機房應安裝防靜電活動 地板。機房設置防雷保安器，要求防雷接地和機房接地分別安裝且相隔一定的距離；機房設置火 災自動消防系統(tǒng)，能夠自動檢測火情、自動報警并自動滅火；機房及相關的工作房間應采 用具有耐火等級的建筑材料；機房應采取區(qū)域隔離防火措施，將重要設備與其他設備

11、隔離 開；機房需配備空調系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境；機房供電線路上需配置穩(wěn) 壓器和過電壓防護設備；需提供短期的備用 電力供應，滿足關鍵設備在斷電情況下的正常 運行要求；設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；鋪設線纜要求電源線和通 信線纜隔離鋪設，避免互相干擾；對關鍵設備和磁介質實施電磁屏蔽。設備與介質管理為了防止無關人員和不法分子非法接近網絡并使用網絡中的主機盜取信息、破壞網 絡和主機系統(tǒng)、破壞網絡中的數據的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜 報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。此外，必須制定嚴格的出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系 統(tǒng)的有

12、效運行。對介質進行分類標識，存儲在介質庫或檔案室中。利用光、電等技術設置 機房防盜報警系統(tǒng)；對機房設置監(jiān)控報警系統(tǒng)。2.1.2網絡安全2.121安全域邊界隔離技術根據信息系統(tǒng)安全等級保護基本要求，應該在XX單位各安全域的邊界處部署 防火墻設備，保證跨安全域的訪問都通過防火墻進行控制管理。可以對所有流經防火墻 的數據包按照嚴格的安全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數據包屏 蔽，杜絕越權訪問，防止各類非法攻擊行為。同時可以和內網安全管理系統(tǒng)、網絡入侵 檢測系統(tǒng)等進行安全聯動，為網絡創(chuàng)造全面縱深的安全防御體系。部署設計：下一代防火墻部署于互聯網出口，串行于網絡中。入侵防范技術根據等級保

13、護基本要求，三級業(yè)務系統(tǒng)應該在互聯網出口處實現入侵防范功能。入 侵防范技術是安全防護體系中重要的一環(huán)，它能夠及時識別網絡中發(fā)生的入侵行為并實 時報警并且進行有效攔截防護?？膳c防火墻配合，共同防御來自應用層到網絡層的多種 攻擊類型，建立一整套的安全防護體系，進行多層次、多手段的檢測和防護。因此，在 互聯網出口的下一代防火墻上啟用入侵防御模塊非常有必要。部署設計：下一代防火墻部署于互聯網出口，串行于網絡中。網絡防病毒技術根據等級保護基本要求，三級業(yè)務系統(tǒng)應該在互聯網出口處部署網絡層防病毒設 備，并保證與主機層防病毒實現病毒庫的異構。在最接近病毒發(fā)生源安全邊界處進行集 中防護，對夾雜在網絡交換數據中

14、的各類網絡病毒進行過濾，可以對網絡病毒、蠕蟲、 混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進行全面的攔截。阻止病毒通過網絡的快速擴散，將經網絡傳 播的病毒 阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內部其他安全域中。因此，在互聯網出 口的下一代防火墻上啟用防病毒模塊非常有必要，可截斷病毒通過網絡傳播的途徑，凈 化網絡流量。部署設計：下一代防火墻部署于互聯網出口，串行于網絡中。2.124 WEB防火墻技術XX單位網站承載了 XX等重要職責，暴露在互聯網上，隨時會面臨黑客攻擊的危 險，如今網絡安全環(huán)境日益惡化，Web攻擊方式多種多樣，包括XSS跨站腳本、。6【緩沖區(qū)溢出、目錄遍

15、歷、Cookie假冒等。為了應對Web攻擊，WEB防火 墻再配合網頁防篡改技術，是保障Web服務能夠持續(xù)可靠的提供服務的最佳選擇。因 此，在網站服務器之前部署WEB防火墻（WAF設備）非常有必要。部署設計：WAF設備部署于網站服務器之前，串行于網絡中。網頁防篡改技術XX單位網站承載了 XX等重要職責，暴露在互聯網上，隨時會面臨網頁被篡改及黑客攻擊的危險。網頁防篡改技術通過文件底層驅動技術對Web站點目錄提供全方位的保 護，防止黑客、病毒等對目錄中的網頁、電子文檔、圖片、數據庫等任何類型的文件進 行非法篡改和破壞?？杀Ｗo網站安全運行，保障網站業(yè)務的正常運營，徹底解決了網站 被非法修改的問題。因此

16、，在WAF 上啟用網頁防篡改功能非常有必要。部署設計：WAF設備部署于網站服務器之前，串行于網絡中。流量管理技術根據等級保護基本要求，三級業(yè)務系統(tǒng)應該在互聯網出口處進行流量控制，保證網 絡發(fā)生擁堵的時候優(yōu)先保護重要的主機，可以對帶寬進行優(yōu)化，通過限制帶寬占用能力 強的應用以保護關鍵應用，通過多種復雜的策略來實現合理的帶寬分配，可提升應用服 務質量、提升帶寬利用價值、優(yōu)化網絡應用、降低網絡風險。因此，部署一套專業(yè)的流 量管理設備非常有必要。部署設計：流量管理系統(tǒng)部署于互聯網出口，串行于網絡中。上網行為管理技術根據公安部等級保護基本要求，所有用戶訪問互聯網需要部署上網行為管理系統(tǒng)， 并保存3個月的

17、日志。各安全區(qū)域邊界已經部署了相應的安全設備負責進行區(qū)域邊界的 安全。對于流經各主要邊界（重要服務器區(qū)域、外部連接邊界）需要設置必要的審計機 制，進行數據監(jiān)視并記錄各類操作，通過審計分析能夠發(fā)現跨區(qū)域的安全威脅，實時地 綜合分析出網絡中發(fā)生的安全事件。一般可采取開啟邊界安全設備的審計功能模塊，才艮 據審計策略進行數據的日志記錄與審計。同時審計信息要通過安全管理中心進行統(tǒng)一集 中管理，為安全管理中心提供必要的邊界安全審計數據，利于管理中心進行全局管控。 邊界安全審計和主機審計、應用審計、網絡審計等一起構成完整的、多層次的審計系 統(tǒng)。因此，必須部署一套上網行為管理系統(tǒng)實現對內部用戶訪問互聯網的行為

18、進行監(jiān) 控、日志進行記錄。部署設計：上網行為管理系統(tǒng)部署于互聯網出口，串行于網絡中。網絡安全審計針對用戶訪問業(yè)務系統(tǒng)帶給我們的困擾以及諸多的安全隱患，需要通過網 絡安全審 計系統(tǒng)利用實時跟蹤分析技術，從發(fā)起者、訪問時間、訪問對象、訪問方法、使用頻率各 個角度，提供豐富的統(tǒng)計分析報告，來幫助用戶在統(tǒng)一管理互聯網訪問日志的同時，及時 發(fā)現安全隱患，協(xié)助優(yōu)化網絡資源的使用。網絡安全審計系統(tǒng)針對互聯網行為提供有效的 行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有 效監(jiān)督，預防、制止數 據泄密。滿足用戶對互聯網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息

19、追蹤、系統(tǒng)安全管理和風險防范。根據公安部等級保護基本要求，所有信息系統(tǒng)都需要部署網絡審計系統(tǒng)，并保存3 個月的日志。因此，必須部署一套網絡審計系統(tǒng)對全網行為進行監(jiān)控、日志進行記錄。部署設計：網絡審計系統(tǒng)旁路部署在核心交換上，實現全網的網絡行為的統(tǒng)一審計，收集網絡 設備、安全設備、主機系統(tǒng)等設備的運行狀況、網絡流量、用戶行為等日志信息，并對 收集到的日志信息進行分類和關聯分析，并可根據審計人員的操作要求生成統(tǒng)計報表， 方便查詢和生成報告，為網絡事件追溯提供證據。2.1.3主機安全主機安全加固操作系統(tǒng)作為計算機系統(tǒng)的基礎軟件是用來管理計算機資源的，它直接利用計算機 硬件并為用戶提供使用和編程接口。

20、各種應用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺 之上，上層的應用軟件要想獲得運行的高可用性和信息的完整性、機密性，必須依賴于操 作系統(tǒng)提供的系統(tǒng)軟件基礎。在網絡環(huán)境中，網絡系統(tǒng)的安全性依賴于網絡中各主機系統(tǒng) 的安全性而主機系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒有安全的操作系 統(tǒng)的支持，網絡安全也毫無根基可言。所以，操作系統(tǒng)安全是計算機網絡系統(tǒng)安全的基礎。 而服務器及其上的業(yè)務數據又是被攻擊的最終目標。因此，部署操主機安全加固產品，對操作系統(tǒng)進行加固，加強對關鍵服務器的安全控 制，是增強系統(tǒng)總體安全性和核心一環(huán)。通過安裝在服務器的安全內核保護服務器，它在 操作系統(tǒng)的安全功能之上提供了一

21、個安全保護層。通過截取系統(tǒng)調用實現對文件系統(tǒng)的訪 問控制，以加強操作系統(tǒng)安全性?？蓪崿F：加強認證，采用證書的方式來提高認證和授權的級別和強度對操作系統(tǒng)本身的加固，防止緩沖區(qū)溢出等攻擊保護系統(tǒng)進程穩(wěn)定運行，確保正常服務的提供對注冊表進行保護，禁止非授權修改獨特的授權模式，非授權程序無法運行系統(tǒng)用戶的權限分離，尤其是超級用戶系統(tǒng)資源如文件、目錄等強訪問控制，擴展操作系統(tǒng)本身的訪問屬性，并進一步對 訪問的時間、來源進行控制部署設計：在每臺服務器上安全部署主機安全加固軟件，使服務器環(huán)境有一個安全的環(huán)境，使 業(yè)務系統(tǒng)能夠安全、正常的運行。2.132運維堡壘主機對運維的管理現狀進行分析，我們認為造成這種不

22、安全現狀的原因是多方面的，總結 起來主要有以下幾點：各IT系統(tǒng)獨立的帳戶管理體系造成身份管理的換亂，而身份的唯一性又恰恰是 認證、授權、審計的依據和前提，因此身份的混亂實際上造成設備訪問的混 亂。各IT系統(tǒng)獨立管理，風險分散在各系統(tǒng)中，各個擊破困難大，這種管理方式造 成了業(yè)務管理和安全之間的失衡。核心服務器或設備的物理安全和臨機訪問安全通過門禁系統(tǒng)和錄像系統(tǒng)得以較 好的解決，但是對他們的網絡訪問缺少控制或欠缺控制力度，在帳號、密碼、 認證、授權、審計等各方面缺乏有效的集中管理技術手段。目前，XX單位使用數量眾多的網絡設備、服務器主機來提供基礎網絡服務、運行關 鍵業(yè)務、數據庫應用、ERP和協(xié)同工

23、作群件等服務。由于設備和服務器眾多，系統(tǒng)管理員 壓力太大等因素，越權訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴重影響信 息系統(tǒng)的運行效能，另外黑客的惡意訪問也有可能獲取系統(tǒng)權限，闖入部門內部網絡， 造成不可估量的損失。如何提高系統(tǒng)運維管理水平，跟蹤服務器上用戶的操作行為，防 止黑客的入侵和破壞，提供控制和審計依據，降低運維成本，滿足相關標準要求，越來 越成為信息系統(tǒng)關心的問題。運維堡壘主機著手于事前規(guī)范、事中管控和事后審計三方 面，能夠非常有效地達到梳理、規(guī)范、防范、監(jiān)控、管理和審計等目的?？蓪崿F對所有 運維人員的管理，實現統(tǒng)一的身份認證、訪問控制與運維資源管理，并可以錄像的方式 將所有

24、人員的所有操作記錄下來，增強對運維人員及運維操作的安全管理，規(guī)避越權訪 問或者誤操作等帶來的數據泄密及系統(tǒng)破壞風險。因此XX單位非常有必要部署一套運維 堡壘主機來實現賬戶的安全維護。部署設計：運維審計系統(tǒng)部署在安全管理域，冗余、旁路部署在管理交換機上，通過交換機的 訪問控制策略限定只能由堡壘主機內控管理平臺直接訪問服務器的遠程維護端口。維護 人員對網絡設備、安全設備和服務器系統(tǒng)進行遠程維護時，首先以Web方式登錄運維審 計系統(tǒng)，然后通過運維審計系統(tǒng)上展現的訪問資源列表直接訪問授權資源。2.133數據庫安全審計通過部署數據庫審計系統(tǒng)，主要用于監(jiān)視并記錄對數據庫服務器的各類操作行為， 通過對網絡數

25、據的分析，實時地、智能地解析對數據庫服務器的各種操作，并記入審計 數據庫中以便日后進行查詢、分析、過濾，實現對目標數據庫系統(tǒng)的用戶操作的監(jiān)控和 審計。實現對數據庫的操作及系統(tǒng)狀態(tài)進行詳細的審計，范圍覆蓋到每個用戶，做到事 前預防，事后溯源，從而把握數據庫系統(tǒng)的整體安全。部署設計：數據庫審計部署于數據庫前端交換機上，通過端口鏡像收集信息主機防病毒技術根據等級保護基本要求，三級業(yè)務系統(tǒng)應該住幾層部署主機防病毒軟件，并保證與 互聯網出口處的網絡防病毒設備實現病毒庫的異構。各類病毒、木馬惡意代碼等是對信 息系統(tǒng)的重大危害，病毒在爆發(fā)時將使路由器、3層交換機、防火墻等網關設備性能急速 下降，并且占用整個

26、網絡帶寬。對病毒的防護不僅僅是在網絡邊界層面通過硬件設備進 行識別和阻斷，更重要的是將病毒消滅或封堵在終端這個源頭上，從而實現針對病毒的 縱深防護多層面的防御。因此，需要在所有終端主機上部署網絡防病毒系統(tǒng)，加強終端 主機的病毒防護能力并及時升級殺毒軟件軟件版本以及病毒特征庫。部署設計：在xx單位內部每臺終端設備上部署殺毒軟件，定期升級軟件版本及病毒特征庫、 定期全盤掃描病毒。漏洞掃描技術XX單位網絡龐大、結構復雜，部署的設備很多，由于不同部門用戶的計算機水平不 同，大多的人員不知道對系統(tǒng)定期升級，信息維護人員也很難去判斷網絡設備及安 全設備存在漏洞需要升級。因此，部署一套漏洞掃描系統(tǒng)實時掃描整

27、個網絡內的漏 洞非常有必要，對整個網絡的安全體系維護非常重要。部署設計：在XX單位安全管理安全域部署漏洞掃描設備，對整個網絡系統(tǒng)內的設備定期進行 漏洞掃描，檢查安全隱患。2.1.4應用安全2.141安全應用交付應用交付產品（ADC）集成高性能鏈路負載均衡和4-7層服務器應用負載均衡，保 證應用數據在錯綜復雜的網絡中獲得最佳傳輸路徑。完善的鏈路、應用服務健康檢查機 制，及時診斷出不能正常工作或負載過重的鏈路和服務器。能夠根據應用、鏈路的健康 狀況，智能調整流量在多鏈路、多服務器之間的分配，并自動完成切換，提升網絡和應 用的可用性，保障業(yè)務連續(xù)性。另外，應用交付本身具備應用層防火墻、47層DDoS

28、防護等功能，能夠阻擋絕大多 數來自應用層的功能，同時也提升應用交付系統(tǒng)本身的抗攻擊性，實現應用安全。云數 據中心的網絡流量復雜，為了保障應用安全可靠的交付到客戶端，需精確應用識別與控 制，避免傳統(tǒng)隊列機制所帶來的廣域網下行帶寬的浪費，實現優(yōu)先級管理、帶寬保障以 及帶寬的公平使用，提升應用體驗。云數據中心的應用具備彈性和遷移能力，一款設計良好，具備良好虛擬化技術兼容性，同時具有強大的應用層安全防護功能的安全應用交付產品（SADC）也是必不可少的。因此，有必要部署一套安全應用交付系統(tǒng)對業(yè)務的訪問請求進行負載分擔，保證業(yè) 務連續(xù)性以及應用的安全；同時能夠跟云計算平臺聯動，做到自動啟停虛擬機以及業(yè)務

29、配置自動分發(fā)；也能夠支持應用交付設備本身的硬件級虛擬化，將多個應用進行隔離，每 個應用單獨使用一套虛擬的應用交付，更符合云計算的應用場景。部署設計：安全應用交付設備冗余、旁路部署于業(yè)務系統(tǒng)的交換機之上，對應用進行負載分 擔。 VPN根據等級保護的要求，三級業(yè)務系統(tǒng)必須加密傳輸，因此需要VPN技術實現應用系 統(tǒng)遠程訪問及數據傳輸的加密，證數據在網上傳輸的機密性、完整性，提供端對端、點 到端的安全傳輸解決方案。部署設計：VPN設備旁路部署于核心交換機上，實現傳輸鏈路的加密2.1.5安全管理中心隨著網絡安全意識的增強、網絡安全建設工作的推進，等級保護、分級保護和行業(yè) 的信息安全管理等標準、規(guī)范的實施

30、，越來越多的單位急需構建信息安全管理平臺。鑒 于其網絡規(guī)模、業(yè)務應用和安全管理人員的實際情況，部分安全管理者發(fā)現與標準SOC 平臺的高靈活性和擴展性相比，一款功能簡潔、部署方便、使用簡單、價格適宜的SOC 平臺更能貼近其管理需求。根據XX單位 信息系統(tǒng)的實際情況，有必要部署一套安全管理 平臺來更好的管理整個網絡系統(tǒng)。部署設計：安全管理中心部署在安全管理域，通過網絡協(xié)議收集來自服務器、網絡設備和安全 設備的日志進行綜合分析，針對相關操作系統(tǒng)和數據庫的日志收集需要部署安全插件。2.2云計算平臺安全設計以強身份認證為基礎，云計算平臺可提供虛擬化層面的云安全防護功能和云管理層 面的云安全運維功能，可以

31、為云平臺提供全面的安全保護功能。及時發(fā)現安全隱患，在 出現安全損失之前進行解決。2.2.1強身份認證云計算平臺具備強身份認證安全體系，用戶在登錄系統(tǒng)時，除了輸入用戶 名密碼之 外，還需要輸入一串隨時間變化隨機生成的驗證碼，通過雙因素認證技術規(guī)避弱密碼及暴 力破解系統(tǒng)密碼的風險，保障云數據中心用戶安全。同時具備詳細的管理用戶行為審計系 統(tǒng)，可確保事后用戶行為可溯源。2.2.2云安全防護系統(tǒng)基于虛擬化層面的云安全防護用于保證云環(huán)境下虛擬網絡和數據的安全?；赟DN/NFV實現虛擬網絡安全，包括訪問控制、流量控制、在宿主 機層面實 現Hypervisor層防火墻。確保云操作系統(tǒng)自身的健壯性，API的

32、安全訪問機制。2.2.3云安全運維云安全運維用于支撐云數據中心安全運維，功能包括：實現對云環(huán)境中虛擬安全設備的集中管理；對虛擬機進行各種監(jiān)控，并對監(jiān)控數據分析生成報表；對宿主機和虛擬化設備的日志進行安全審計并進行深入分析2.3虛擬機安全設計云計算的虛擬化基礎架構除了具有傳統(tǒng)物理服務器的風險之外，同時也會帶來其虛 擬系統(tǒng)自身的安全問題。新安全威脅的出現自然就需要新方法來處理。2.3.1虛擬化安全防護要點動態(tài)的安全傳統(tǒng)的信息化系統(tǒng)安全是靜態(tài)的，配置好安全策略后，所防護的設備不會頻繁的發(fā) 生變化，安全策略不需要時常改動。而云計算平臺是一個動態(tài)的環(huán)境，快速部署的新應用 程序、基礎環(huán)境不停的變化、虛擬機

33、在整個數據中心漂移，都要求安全服務必須跟上變 化，同時也要考慮彈性伸縮。這需要安全服務及策略的自動化部署，否則安全要么無法 發(fā)揮作用，要么成為系統(tǒng)提供服務過程中的瓶頸。玉新激活新牛成激活安全策略過期 虛擬機VWL VM VM VM艱擬機必須帶有已配巴完稠僑戶端和最新的病毒陣虛擬機之間產生的攻擊如果仍對云計算環(huán)境使用傳統(tǒng)的安全防護模式，導致主要的防護邊界還是位于物理 主機的邊緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全 隱患。復雜的攻擊可以輕易攻陷虛擬化平臺中最脆弱的虛擬機系統(tǒng)，一旦虛擬機被別有 用心的破壞人員控制，受感染的虛擬機將會成為跳板，從虛擬機層面橫向移動，竊取有

34、價 值的數據而不被傳統(tǒng)的防護手段所發(fā)現。攻擊在虛擬器之中發(fā)生更高的安全需求云計算環(huán)境下的安全相比于傳統(tǒng)安全，不但沒有降低，反而有更高的要求。傳統(tǒng)網絡環(huán)境下的訪問控制、入侵檢測、病毒防護、DDoS防護、數據防泄漏、加密傳輸、垃圾郵件過濾、應用安全防護等手段在虛擬化環(huán)境下依然需要，并且由于大 二層網絡架構的東西向流量之間不經過邊界安全設備，需要在物理機內部實現軟件定義 的安全防護，而實現如此眾多的功能，需要高效的安全架構，不能占用太多的物理資 源。傳統(tǒng)網絡劃分不再適合虛擬化環(huán)境傳統(tǒng)網絡層面，安全部分是緊密耦合網絡拓撲結構的，然而一旦網絡環(huán)境變化，就 需要手動更網絡配置部署。而云計算環(huán)境中的網絡拓撲

35、，經常性的會發(fā)生，網絡變化也 意味著安全的變化，再使用傳統(tǒng)的網絡劃分的模式管理安全，將導致很高的操作開銷和影 響業(yè)務敏捷性。通過以上的分析得知，雖然傳統(tǒng)安全設備可以物理網絡層和操作系統(tǒng)提供安全防 護，但是云計算環(huán)境中新的安全威脅，例如：虛擬主機之間通訊的訪問控制問題，攻擊 和病毒通過虛擬交換機傳播問題等，傳統(tǒng)的安全設備無法提供相關的防護，因此在構架 安全虛擬化平臺時，需要一種低資源占用，高效率，并且能夠防護東西向流量的全面防 護方案。2.3.2虛擬化安全方案在虛擬化數據中心的共享域和專有域，其密級、架構、功能都類似，故在設計方案 時總體來考慮。跟傳統(tǒng)網絡通過安全設備做各個業(yè)務區(qū)域的隔離、流量的

36、分析不同，虛 擬化環(huán)境下同一個物理機當中的多個虛擬機中可能部署多個業(yè)務，而業(yè)務之間的流量直接通過虛擬化操作系統(tǒng)的vSwitch進行轉發(fā)，不出物理機，無法進行有效的網絡隔離以及流量的分析。因此，需要一種軟件定義安全的方 式，在每臺物理機上分配一臺單獨的虛擬機作為集中安全網關模塊，該網關模塊會與 Hypervisor深度結合，對進出每一個虛擬機的所有流量進行捕獲、分析及控制，從而實 現虛擬平臺內部東西向流量之間的防護。其具備的具體功能如下：功能強大的威脅防御提供對虛擬化平臺的立體威脅防御，包括：惡意代碼防護惡意代碼包括：病毒、蠕蟲、木馬后門等，包括實時掃描、預設掃描及手動掃描功 能，處理措施包含清

37、除、刪除、拒絕訪問或隔離惡意軟件。檢測到惡意軟件時，可以生 成警報日志。防火墻它可用于啟用正確的服務器運行所必需的端口和協(xié)議上的通信，并阻止其他所有端 口和協(xié)議，降低對服務器進行未授權訪問的風險。其功能如下：虛擬機隔離：需要對不同單位（租戶）的虛擬機業(yè)務系統(tǒng)進行隔離，且無需修改虛 擬交換機配置即可提供虛擬分段。細粒度過濾：通過實施有關IP地址、Mac地址、端口及其他內容的防火 墻規(guī)則 過濾通信流?？蔀槊總€網絡接口配置不同的策略。覆蓋所有基于IP的協(xié)議：通過支持全數據包捕獲簡化了故障排除，并且可提供寶 貴的分析見解，有助于了解增加的防火墻事件-TCP、UDP、ICMP等。偵察檢測：檢測端口掃描等

38、活動。還可限制非IP通信流，如ARP通信 流。靈活的控制：狀態(tài)型防火墻較為靈活，可在適當時以一種受控制的方式完全繞過檢 查。它可解決任何網絡上都會遇到的通信流特征不明確的問題，此問題可能出于正常情 況，也可能是攻擊的一部分。預定義的防火墻配置文件：對常見企業(yè)服務器類型（包括Web、LDAP、DHCP、FTP和數據庫）進行分組，確保即使在大型復雜的網絡中也可快速、輕松、一致 地部署防火墻策略?？刹僮鞯膱蟾妫和ㄟ^詳細的日志記錄、警報、儀表板和靈活的報告，Deep Security防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內容及更改者），從而 提供詳細的審計記錄。入侵檢測和阻止（IDS/IPS）

39、在操作系統(tǒng)和企業(yè)應用程序安裝補丁之前對其漏洞進 行防護，以提供及時保護，使其免受已知攻擊和零日攻擊?；谀Ｊ狡ヅ洹惓z測、統(tǒng)計分析等入侵檢測和協(xié)議分析技術，阻擋各種入侵攻 擊，如蠕蟲、木馬、間諜軟件、廣告軟件、緩沖區(qū)溢出、掃描、非法連接、SQL注入、 XSS跨站腳本等攻擊，攻擊特征庫可在線更新或離線更新。異常流量清洗對畸形報文及分布式拒絕服務攻擊（DDOS ）進行防御，將異常的流量進行清洗， 放行正常流量。WEB應用防護Web應用防護規(guī)則可防御SQL注入攻擊、跨站點腳本攻擊及其他針對Web應用程序 漏洞攻擊，在代碼修復完成之前對這些漏洞提供防護，識別并阻止常見的Web應用程序 攻擊，并可實現

40、網頁防篡改功能。應用程序控制應用程序控制能夠識別網絡中的七層流量，可針對訪問網絡的應用程序提供更進一 步的可見性控制能力。能夠阻止隱藏或封裝在正常四層數據報文中的惡意程序或者惡意 軟件，并能夠對網絡中的非業(yè)務流量進行精確的限制。日志審計對所有可疑或有害的網絡事件進行記錄，提供有效的行為審計、內容審計、行為報 警等功能。滿足分級保護對于安全的審計備案及安全保護措施的要求，提供完整的流量 記錄，便于信息追蹤、系統(tǒng)安全管理和風險防范。AV signatureAPPnigrMur*Matware slgiutinPS ligutureSPAMligniturtURL signatureI* I；病毒防

41、御8 ;內S3.i爪i討濾:入侵曲護虛擬機之間的數據流量檢查及控制利用細粒度的防火墻策略和一流的立體威脅防御功能，對所有虛擬機之間的數據流 量進行檢查，從而確保虛擬機的安全性。與虛擬化操作系統(tǒng)Hypervisor深度結合，在管 理程序內部無縫實施安全防護措施。安全網關模塊支持分離虛擬應用，從而避免相互感染以及外部威脅。集成的IPS利 用基于簽名和協(xié)議異常的入侵防御功能，來保護FTP、HTTP和VoIP等關鍵業(yè)務服務免遭已知和未知攻擊。提供對特征庫的更新，以便實施最新的防護措 施。增強動態(tài)虛擬化環(huán)境的安全性當虛擬機從一個物理機向另一個物理機進行實時遷移或者新增虛擬機時，不能夠終 端對虛擬機的保護

42、。當虛擬機在不同物理機之間的漂移時，安全策略能夠在保持開放連 接的情況下跟隨虛擬機實時遷移，無需手動配置安全策略，對虛擬機的防護隨著漂移實 時生效，不產生中斷。在創(chuàng)建新虛擬機時，根據配置好的模板自動實施安全策略。完全虛擬化的安全網關依賴傳統(tǒng)物理安全設備對虛擬機間流量進行檢測會影響性能，同時也會增加網絡結 構的復雜性。通過部署完全虛擬化的安全網關模塊，可以避免復雜的網絡結構，并可降 低網絡延時、提升安全檢測提升性能、優(yōu)化部署成本。將冬個安全網關合并咸1臺設備 每個租戶、安全區(qū)或業(yè)號革位獨 立便用一臺虛擬安全網關安全網關模塊以虛擬機的形式部署在每一臺物理機上，在邏輯上提供透明或者網關 等多種部署方式。利用集成的防火墻、IPS、VPN、DDoS防護、防病毒、僵尸網絡防護、防垃圾郵件、 URL過濾、Web安全、數據防泄漏等功能，保護虛擬機免遭外部威脅以及互相感染，并可 通過安全網關模塊對不同業(yè)務進行訪問控制的隔離。對虛擬機提供即插即用的安全保護對虛擬機自動啟動安全策略，而無需為虛