云計算安全等級保護(hù)2.0合規(guī)能力白皮書

編號：編號：20191001版本：V1.0團(tuán)新華三集團(tuán)北京總部北京市朝陽區(qū)廣順南大街8號院利星行中心1號樓郵編:100102絡(luò)安全等級心公安部信息安全等級保護(hù)評估中心地址：北京市海淀區(qū)阜成路58號新洲商務(wù)大廈703室郵編：100142杭州總部杭州市濱江區(qū)長河路466號郵編:310052Copyright?2019，信息的準(zhǔn)確性不承擔(dān)任何責(zé)任。新華三集團(tuán)保留在沒有任何通知或提示的情況下對本資料的內(nèi)容進(jìn)行修改的權(quán)利?！缎氯A三云計算安全等級保護(hù)2.0合規(guī)能力白皮書》從等保能力驗(yàn)證技術(shù)架構(gòu)、新華三云計算安全能力等保2.0合規(guī)狀況及白皮書使用建議等方面做了詳細(xì)闡述。借助白皮書，客戶能夠快速獲取多交付場景下新華三云計算安全合規(guī)防護(hù)能力，同時結(jié)合客戶側(cè)的應(yīng)用、安全管理、物理環(huán)境等方面的的信息系統(tǒng)整體安全防御體系。第一部分主要介紹云計算的基礎(chǔ)知識及云安全概述，主要包括云計算定義；云計算安全、云計算概述新華三云計算平臺部署模式。第二部分描述了合規(guī)白皮書與規(guī)范體系架構(gòu)的關(guān)系，基于云平臺保護(hù)對象，對新華三云計算平臺的安全措施及安全能力進(jìn)行識別分析，構(gòu)建了新華三云計算安全等保2.0合規(guī)能力模型，為云服務(wù)商第三部分介紹了新華三云計算安全，對新華三云計算安全架構(gòu)進(jìn)行了闡述，梳理了新華三云計算安全各安全層面的防護(hù)架構(gòu)，對新華三云計算各安全組件(服務(wù))進(jìn)行詳細(xì)介紹；此外，分別從網(wǎng)絡(luò)安全等級保護(hù)2.0第三級和第四級通用要求和云計算擴(kuò)展要求對新華三云計算安全等保2.0合規(guī)能力第四部分從行業(yè)應(yīng)用角度對《新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書》的應(yīng)用價值進(jìn)行了介紹，闡述了白皮書的指導(dǎo)作用，并分別針對用戶和等級保護(hù)測評機(jī)構(gòu)的應(yīng)用方法進(jìn)行了詳細(xì)的介評等方面提供不同程度的指導(dǎo)。最后，在附錄部分提供了新華三云計算安全在不同的交付模式下應(yīng)該滿足的等級保護(hù)2.0測評指規(guī)能力。本白皮書力求全面、深入淺出的分析新華三云計算安全的安全合規(guī)能力，通過分析新華三云計算平臺的安全能力，構(gòu)建云計算(新華三云計算安全)等保2.0合規(guī)能力模型，分析了新華三云計算安況的詳細(xì)報告。公安部信息安全等級保護(hù)評估中心新華三技術(shù)有限公司 1.2云計算安全 1 1.2.2通信網(wǎng)絡(luò)安全 21.2.3區(qū)域邊界安全 21.2.4計算環(huán)境安全 21.2.5安全管理 21.3云安全責(zé)任分擔(dān)模型 21.4新華三云計算平臺部署模式 3 2.1合規(guī)白皮書與規(guī)范體系框架的關(guān)系2.2新華三云計算安全等保2.0合規(guī)能力模型 1.2云計算安全 1 1.2.2通信網(wǎng)絡(luò)安全 21.2.3區(qū)域邊界安全 21.2.4計算環(huán)境安全 21.2.5安全管理 21.3云安全責(zé)任分擔(dān)模型 21.4新華三云計算平臺部署模式 3 2.1合規(guī)白皮書與規(guī)范體系框架的關(guān)系2.2新華三云計算安全等保2.0合規(guī)能力模型 52.2.1新華三云計算安全等級保護(hù)對象-------------------------------------------------52.2.2新華三云計算安全措施6252.2.3新華三云計算安全能力-----------------------------------------------------------82.2.4能力矩陣模型---------------------------------------------------------------------91.2.1安全管理中心1.2.6聲明等級保護(hù)合規(guī)能力規(guī)范體系技術(shù)社區(qū)指導(dǎo)下，依據(jù)《云計算安全等級保護(hù)合規(guī)能力框架》，由公安部信息安全等級保護(hù)評估中心和新華三技術(shù)有限公司共同編制。新華的內(nèi)容：1.通過新華三技術(shù)有限公司提供的正規(guī)授權(quán)通道下載、獲取本文檔，且僅能用于自身的合法合規(guī)的業(yè)務(wù)活動，本文檔的內(nèi)2.由于產(chǎn)品版本升級、調(diào)整或其他原因，本文檔內(nèi)容有可能變更，新華三技術(shù)有限公司保留在沒有任何通知或者提示下對3.新華三技術(shù)有限公司已盡最大努力確保本文檔內(nèi)容準(zhǔn)確可靠，但不提供任何形式的擔(dān)保，任何情況下，新華三技術(shù)有限公司均不對(包括但不限于)最終用戶或任何第三方因使用本文檔而造成的直接或間接的損失或損害負(fù)責(zé)。4.本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其它相關(guān)恕不另行通知；且不得以任何理由使用、公布或復(fù)制本白皮書中公安部信息安全等級保護(hù)評估中心的名稱(圖案標(biāo)示、標(biāo)識)；5.限于編制時間倉促，編制組水平有限，書中難免疏漏和不足，誠望不吝賜教、斧正，以便后續(xù)改進(jìn)和完善，期望能夠給本白皮書的閱讀者提供有用的參考，任何意見或建議，敬請聯(lián)系yang.hongqi@。董偉(新華三技術(shù)有限公司)董偉(新華三技術(shù)有限公司)賈楠(新華三技術(shù)有限公司)趙新珂(新華三技術(shù)有限公司)韓超(新華三技術(shù)有限公司)王樂(新華三技術(shù)有限公司)史翔宇(新華三技術(shù)有限公司)張志文(公安部信息安全等級保護(hù)評估中心)楊洪起(新華三技術(shù)有限公司)張野(新華三技術(shù)有限公司)劉姝麟(新華三技術(shù)有限公司)于子洲(新華三技術(shù)有限公司)張宇翔(公安部信息安全等級保護(hù)評估中心)李明(公安部信息安全等級保護(hù)評估中心)張力(新華三技術(shù)有限公司)劉云峰(新華三技術(shù)有限公司)孫松兒(新華三技術(shù)有限公司)涂堯(新華三技術(shù)有限公司)2.2.5新華三云計算等保2.0合規(guī)能力模型9第3章新華三云計算安全等級保護(hù)2.0合規(guī)狀況-------------------------------------------------113.1新華三云計算安全概述----------------------------------------------------------------------113.1.1新華三云計算安全背景概述113.1.2新華三云計算安全特點(diǎn)----------------------------------------------------------113.2新華三云計算架構(gòu)--------------------------------------------------------------------------13新華三云計算整體架構(gòu)----------------------------------------------------------133.2.2新華三云計算網(wǎng)絡(luò)基礎(chǔ)架構(gòu)----------------------------------------------------143.2.3新華三云計算安全架構(gòu)---------------------------------------------------------213.3新華三云計算安全技術(shù)能力--------------------------------------------------------------233.3.1新華三云計算安全能力----------------------------------------------------------233.3.2安全組件-------------------------------------------------------------------------303.4新華三云計算等保2.0合規(guī)性分析---------------------------------------------------------353.4.1等保2.0下新華三云計算環(huán)境安全評估 353.4.2新華三安全云合規(guī)性分析 104第4章新華三云計算安全等保合規(guī)白皮書應(yīng)用價值 1074.1應(yīng)用價值----------------------------------------------------------------------------------新華三云計算整體架構(gòu)----------------------------------------------------------133.2.2新華三云計算網(wǎng)絡(luò)基礎(chǔ)架構(gòu)----------------------------------------------------143.2.3新華三云計算安全架構(gòu)---------------------------------------------------------213.3新華三云計算安全技術(shù)能力--------------------------------------------------------------233.3.1新華三云計算安全能力----------------------------------------------------------233.3.2安全組件-------------------------------------------------------------------------303.4新華三云計算等保2.0合規(guī)性分析---------------------------------------------------------353.4.1等保2.0下新華三云計算環(huán)境安全評估 353.4.2新華三安全云合規(guī)性分析 104第4章新華三云計算安全等保合規(guī)白皮書應(yīng)用價值 1074.1應(yīng)用價值----------------------------------------------------------------------------------1074.1.1呈現(xiàn)新華三云計算平臺等保合規(guī)能力-----------------------------------------1074.1.2識別新華三云計算平臺等保測評指標(biāo)-----------------------------------------10.3為相關(guān)用戶或機(jī)構(gòu)提供技術(shù)參考----------------------------------------------1074.24.1.3為相關(guān)用戶或機(jī)構(gòu)提供技術(shù)參考----------------------------------------------1074.2.1新華三云計算用戶-------------------------------------------------------------1084.2.2等保測評機(jī)構(gòu)------------------------------------------------------------------1114.3新華三云計算平臺案例--------------------------------------------------------------------113附錄A安全責(zé)任劃分------------------------------------------------------------------------------115A.1網(wǎng)絡(luò)安全等級保護(hù)通用要求項(xiàng)安全責(zé)任--------------------------------------------------115A.2網(wǎng)絡(luò)安全等級保護(hù)云擴(kuò)展要求項(xiàng)安全責(zé)任------------------------------------------------131附錄B安全合規(guī)能力------------------------------------------------------------------------------135B.1網(wǎng)絡(luò)安全等級保護(hù)通用要求項(xiàng)安全能力--------------------------------------------------135B.2網(wǎng)絡(luò)安全等級保護(hù)云擴(kuò)展要求項(xiàng)安全能力------------------------------------------------1491.1云計算基本概念云計算是一種資源利用模式，它是一種無處不在的、便捷的、按需的，基于網(wǎng)絡(luò)訪問的，共享使用的，可配置的計算資源(如:網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用和服務(wù))，可以通過最少的管理工作或與服務(wù)提供商的互動來快速置備并發(fā)布。云計算將計算、網(wǎng)絡(luò)、存儲、數(shù)據(jù)等資源集中在資源池中，并以服務(wù)的形式提供給用戶，這些服務(wù)可以快速構(gòu)建、準(zhǔn)備、部署定義描述了云計算的三種服務(wù)模式，四種部署模式以及五個基本特征。不在的網(wǎng)絡(luò)訪問、資源池化、快速彈性和可度量的服務(wù)。云計算基于交付方式可以劃分為三種服務(wù)模式：基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)?；A(chǔ)設(shè)施即服務(wù)(Infrastructure-as-a-Service)，云服務(wù)商主要提供一些基礎(chǔ)資源，包括服務(wù)器、網(wǎng)絡(luò)、存儲等服平臺及服務(wù)(Platfrom-as-a-Service)，主要作用是將一個開發(fā)和運(yùn)行平臺作為服務(wù)提供給用戶，能夠提供定制化等。軟件即服務(wù)(Software-as-a-Service)，通過網(wǎng)絡(luò)為最終用戶提供應(yīng)用服務(wù)，絕大多數(shù)SaaS應(yīng)用都是直接在瀏覽理和托管的完整應(yīng)用軟件。云服務(wù)客戶可以通過web瀏覽器、移動以將云計算分成私有云、公有云、社區(qū)云和混合云。1.2云計算安全隨著云計算的普及，安全問題已成為制約其發(fā)展的關(guān)鍵要素之一，與傳統(tǒng)信息系統(tǒng)安全相比，云計算具有按需服務(wù)、泛在接入、多租戶和資源池、快速彈性、可度量性五大特有屬性，在安全方面，云計算也具有一些新的特征，如傳統(tǒng)的安全邊界消失、服務(wù)安全保障模式改變、數(shù)據(jù)安全保護(hù)強(qiáng)度提高，技術(shù)標(biāo)準(zhǔn)和政策法規(guī)缺失。鑒于云計算的新特性，傳統(tǒng)的安全防護(hù)措施無法有效的保證云計算的完整性、可用性和保密性，云計算的安全性受到嚴(yán)重挑戰(zhàn)。傳統(tǒng)信息技術(shù)所面臨的BT22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》中進(jìn)行了擴(kuò)展，形成了云計算安全擴(kuò)展要求，網(wǎng)絡(luò)安全等級保護(hù)制度在2.0時代著重于全方位的主動防御、動態(tài)防御、精準(zhǔn)防護(hù)和整體防控的安全防護(hù)體系，將云計算平臺/系統(tǒng)的安全問題主要分為物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全、管理中心安全以及云計算安全管理方面1.2.1物理環(huán)境安全物理環(huán)境安全是系統(tǒng)安全的前提，信息系統(tǒng)所處物理環(huán)境安全的優(yōu)劣對信息系統(tǒng)的安全有著直接的影響，物理環(huán)境安全主要包括兩個方面：一方面是指保護(hù)云計算平臺免遭地震、水災(zāi)、火災(zāi)等自然災(zāi)害以及人為行為導(dǎo)致的破壞，預(yù)防措施主要包括場地安全、防火、防水、防靜電、防雷擊、電磁防護(hù)及線路安全等；另一方面是指云服務(wù)商部署基礎(chǔ)設(shè)施的數(shù)據(jù)中心格的管理規(guī)章制度。1新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書11.2.2通信網(wǎng)絡(luò)安全云計算的主要特征泛在接入凸顯了網(wǎng)絡(luò)是云計算的重要基石，網(wǎng)絡(luò)安全是云計算安全的重要一環(huán)。對于大多數(shù)的云計性，整個網(wǎng)絡(luò)資源分布、架構(gòu)合理是在網(wǎng)絡(luò)上實(shí)現(xiàn)各種技術(shù)功能以達(dá)到通信網(wǎng)絡(luò)保護(hù)目的為前提；另一方面是網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性，通信數(shù)據(jù)在傳輸過程中的安全性是保障網(wǎng)絡(luò)環(huán)境安全運(yùn)行的根基，保障通信網(wǎng)絡(luò)的安全性，可有效地防止數(shù)據(jù)在中傳輸數(shù)據(jù)的保密性、完整性和可用性等。1.2.3區(qū)域邊界安全云與外部網(wǎng)絡(luò)互聯(lián)互通過程中也存在著較大的安全隱患，盡管云計算具有無邊界化、分布式的特性，但對于每一個云并在云計算服務(wù)的關(guān)鍵節(jié)點(diǎn)和服務(wù)入口處實(shí)施重點(diǎn)防護(hù)，實(shí)現(xiàn)局部到整體的嚴(yán)密聯(lián)防。網(wǎng)絡(luò)邊界防護(hù)是云計算環(huán)境安全防御的第二道防線。在不同的網(wǎng)絡(luò)間實(shí)現(xiàn)互聯(lián)互通的同時，在網(wǎng)絡(luò)邊界采取必要的安全接入、訪問控制、入侵防范、安全審的必要手段。1.2.4計算環(huán)境安全除對傳統(tǒng)系統(tǒng)的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用及數(shù)據(jù)的安全性要求外，等保2.0還對鏡像和快照安全、虛擬化，增加的安全性要求還有虛擬服務(wù)管理平臺(Hypervisor，VMM)安全、虛擬資源隔離、虛擬機(jī)鏡像安全等。1.2.5安全管理中心同時通過“安全管理中心”實(shí)現(xiàn)整個云計算環(huán)境的集中管控。“安全管理中心”并非一個機(jī)構(gòu)，也并非一個產(chǎn)品，是一個進(jìn)行管理。1.2.6安全管理安全管理包括安全運(yùn)維管理、安全建設(shè)管理、安全管理人員、安全管理機(jī)構(gòu)、安全管理制度。任何一個組織機(jī)構(gòu)應(yīng)制定符合國家需求和自己機(jī)構(gòu)內(nèi)部需求的安全管理制度體系,構(gòu)建從單位最高管理層到執(zhí)行層以及具體業(yè)務(wù)運(yùn)營層的組織體系，明確各個崗位的安全職責(zé)，對參與系統(tǒng)建設(shè)、管理、運(yùn)維等人員實(shí)施科學(xué)、完善的管理，保證系統(tǒng)建設(shè)的進(jìn)度、質(zhì)量1.3云安全責(zé)任分擔(dān)模型任何一個云服務(wù)的參與者都應(yīng)承擔(dān)起相應(yīng)的職責(zé)，不同角色的參與者通常會承擔(dān)實(shí)施和管理不同部分的責(zé)任。因此，云服務(wù)客戶。云服務(wù)商的主要安全責(zé)任是研發(fā)和運(yùn)維云平臺，保障云平臺基礎(chǔ)設(shè)施的安全，同時提供各項(xiàng)基礎(chǔ)設(shè)施服務(wù)以及各項(xiàng)服務(wù)內(nèi)置的安全功能。云服務(wù)商在不同的服務(wù)模式下承擔(dān)的安全責(zé)任不同(圖1.1)，在基礎(chǔ)設(shè)施即服務(wù)(IaaS)模式下，云服務(wù)商需確保基礎(chǔ)設(shè)施無漏洞，云服務(wù)商基礎(chǔ)設(shè)施包括支撐云服務(wù)的物理環(huán)境、云服務(wù)商自研的軟硬件以及運(yùn)維運(yùn)營包括計算、存儲、數(shù)據(jù)庫以及虛擬機(jī)鏡像等各項(xiàng)云服務(wù)的系統(tǒng)設(shè)施，同時云服務(wù)商還需負(fù)責(zé)底層基礎(chǔ)設(shè)施和虛擬化技術(shù)免遭外部攻擊和內(nèi)部濫用的安全防護(hù)責(zé)任，并與云服務(wù)客戶共同分擔(dān)網(wǎng)絡(luò)訪問控制策略的防護(hù)；在平臺即服務(wù)(PaaS)模式下，云服務(wù)商還需負(fù)責(zé)底層基礎(chǔ)設(shè)施和虛擬化技術(shù)免遭外部攻擊和內(nèi)部濫用的安全防護(hù)責(zé)任，并與云服務(wù)客戶共同分擔(dān)網(wǎng)絡(luò)訪問控制策略的防護(hù)；在平臺即服務(wù)(PaaS)安全對其在軟件即服務(wù)(SaaS)模式下，云服務(wù)商云服務(wù)客戶的主要責(zé)任是在云平臺基礎(chǔ)設(shè)施與服務(wù)之上定制配置并且運(yùn)維運(yùn)營應(yīng)用、數(shù)據(jù)、管理等各項(xiàng)服務(wù)。在基礎(chǔ)設(shè)施即服務(wù)(IaaS)模式下，云服務(wù)客戶需對其部署在云上的商安全責(zé)任各類可控的資源進(jìn)行安全配置，對其云平臺的相關(guān)賬戶進(jìn)行安全策略配置，對運(yùn)維人員實(shí)施權(quán)限管理及職責(zé)分離，并對云服務(wù)商提供的虛擬機(jī)、安全組、高級安全服務(wù)以及云服務(wù)客戶自行部署的安全防護(hù)軟件進(jìn)行合理的安全策略配置。此外，對于云服務(wù)客戶自行部署在云上的業(yè)務(wù)應(yīng)用、數(shù)據(jù)庫及中間件等均需云服務(wù)客戶進(jìn)行安全管理，云服務(wù)客戶始終是云上業(yè)務(wù)數(shù)據(jù)的所有者和控制者，云服務(wù)客戶需對數(shù)據(jù)的保密性、可用性、完整性以及數(shù)據(jù)訪問驗(yàn)證、授權(quán)進(jìn)行安全管理；在平臺即服務(wù)(PaaS)模式下，云服務(wù)客戶需保證其部署在云平臺上的業(yè)務(wù)應(yīng)用和數(shù)據(jù)的安全性，并對云服務(wù)商提供的各項(xiàng)服務(wù)進(jìn)行安全配置，各類賬戶進(jìn)行安全管理，防止自身業(yè)務(wù)應(yīng)用受到非授權(quán)的破壞，導(dǎo)致數(shù)據(jù)泄露或丟失；在軟件即服務(wù) (SaaS)模式下，云服務(wù)客戶需對其選用無論哪種云服務(wù)模式，云服務(wù)商都應(yīng)為客戶提供數(shù)據(jù)保護(hù)手段，并實(shí)現(xiàn)數(shù)據(jù)保護(hù)的相關(guān)功能，但是云服務(wù)商絕不允許運(yùn)維人員在未經(jīng)授權(quán)的情況下私自訪問云服務(wù)客戶數(shù)據(jù)；云服務(wù)客戶對其業(yè)務(wù)數(shù)據(jù)擁有所有權(quán)和控制權(quán)，需負(fù)責(zé)各項(xiàng)具體的數(shù)存儲完整性和保密性的安全功能決定著用圖1.2云安全責(zé)任分擔(dān)模型—云服務(wù)客戶安全責(zé)任1.4新華三云計算平臺部署模式新華三云計算部署場景可以是私有云部署、公有云部署或者是混合云部署，在不同的云計算部署場景中，新華三提供高校、融媒、工業(yè)、金融、黨建等多行業(yè)提供的云計算涉及IaaS和PaaS兩種服務(wù)模式，云計算基礎(chǔ)設(shè)施相關(guān)軟件、硬件部署在客戶提供的數(shù)據(jù)中心本地或者是私有云云計算平臺的數(shù)據(jù)中心。新華三云計算平臺融合H3CCloudOS云操作系統(tǒng)、H3CCAS虛擬化平臺、H3CVCFC及H3CSecCloudOMP云安全管理平臺，且兼容基于OpenStack的第三方全防護(hù)解決方案，并為數(shù)據(jù)中心的邊界安全提供防護(hù)。 2新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書33IaaSPaaSSaaSSaaSPaaS制平臺臺化計算資源控制IaaSIaaSPaaSSaaSSaaSPaaS制平臺臺化計算資源控制IaaSSSaaS PaaS編程邏輯虛擬化云管理平臺自助Portal硬件基礎(chǔ)業(yè)務(wù)流申批業(yè)務(wù)應(yīng)用資源編排IaaS計算存儲網(wǎng)絡(luò)圖1.4新華三云計算基礎(chǔ)設(shè)施架構(gòu)圖圖1.4新華三云計算基礎(chǔ)設(shè)施架構(gòu)H3CCAS虛擬化平臺采用滿足電信級性能及可靠性要求的虛擬化內(nèi)核，支持融合交付計算、存儲、網(wǎng)絡(luò)、安全虛擬化資源，H3CCAS虛擬化平臺由CVK虛擬化內(nèi)核系統(tǒng)、CVM虛擬化管理平臺和CIC云業(yè)務(wù)管理中心三個組件構(gòu)成，能戶(H3CCloudOS)按需使用資源。H3CCloudOS實(shí)現(xiàn)對數(shù)據(jù)中心資源的統(tǒng)一管理和智能調(diào)度，為上層的XaaS提供對H3CCloudOS云操作系統(tǒng)將IT資源抽象為各種各樣的云服務(wù)，用戶根據(jù)需要按需申請、使用。目前，H3CCloudOS云操作系統(tǒng)提供X86虛擬機(jī)、PowerVM虛擬機(jī)、云硬盤、云網(wǎng)盤、云網(wǎng)絡(luò)、云防火墻、裸金屬服務(wù)器等IaaS服務(wù)，應(yīng)用倉庫、應(yīng)用管理、鏡像倉庫、流水線等PaaS服務(wù)，還提供一些開發(fā)測試服務(wù)及大數(shù)據(jù)和AI服務(wù)等。H3CSecCloudOMP與H3CCloudOS集成部署(圖1.5)，為新華三云計算平臺提供豐富的安全服務(wù)目錄，保障●H3CSecCloudOMP作為安全服務(wù)組CloudOS頁面中，提供：安全服務(wù)生命周期管理(對接VCFC)；圖1.5新華三云計算安全部署模式●H3CCloudOS提供WEB●H3CVCFC，提供：安全服務(wù)生命周期管理(對接設(shè)備)；安全服務(wù)策略配置對接；第2章云計算等保2.0合規(guī)能力技術(shù)架構(gòu)2.1合規(guī)白皮書與規(guī)范體系框架的關(guān)系云計算平臺由設(shè)施、硬件、資源抽象控制層、虛擬化計算資源等組成。區(qū)別于傳統(tǒng)的信息系統(tǒng)，在云計算不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對計算資源擁有不同的控制范圍(圖2.1)，在基礎(chǔ)設(shè)施即服務(wù)模式(IaaS)下，云計算平即服務(wù)模式(PaaS)下，云計算平臺/系統(tǒng)包括設(shè)施、硬件、資源抽虛擬化計算資源、軟件平臺和應(yīng)用軟件。對計算資源的控制范圍決定了安全責(zé)任的邊界，云計算環(huán)境中通常有一個或多個安全責(zé)任主體，各安全責(zé)任主體根據(jù)管理權(quán)限的范圍劃分安全責(zé)任邊界。云計算環(huán)境中多個安全責(zé)任主體的安全保護(hù)能力之和共同構(gòu)成了整個云計算環(huán)境的安全防護(hù)能力。當(dāng)“云服務(wù)商”與“云服務(wù)客戶”為同一類實(shí)體機(jī)構(gòu)或自然人時，云計系統(tǒng)的建設(shè)運(yùn)行使用單位或個人。戶云計算環(huán)境中可能承載一種或多種云服務(wù)模式，每種云服務(wù)模式下提供了不同的云計算服務(wù)及相應(yīng)的安全防護(hù)措施，在對云計算系統(tǒng)安全評估時，應(yīng)僅關(guān)注每種特定云服務(wù)模式下，與其提供的云服務(wù)相對應(yīng)戶圖2.1云計算服務(wù)模式與控制范圍的關(guān)系不同的云服務(wù)模式下，云服務(wù)商與云服務(wù)客戶的責(zé)任邊界會發(fā)生變化(如圖2.1)，在確定具體的安全責(zé)任時，應(yīng)根據(jù)系統(tǒng)的實(shí)際運(yùn)行情況而定。在明確云計算平臺保護(hù)等級的情況下，按照等級保護(hù)對象在云計圖2.1云計算服務(wù)模式與控制范圍的關(guān)系影響四個步驟對等級保護(hù)對象和等級測評指標(biāo)進(jìn)行選取。四個步驟充分的體現(xiàn)了云計算系統(tǒng)等保合規(guī)的兩大基本原則：責(zé)合規(guī)白皮書是嚴(yán)格按照合規(guī)能力規(guī)范體系框架封裝的方法，呈現(xiàn)了云計算環(huán)境等保2.0的合規(guī)能力模型，明確了云計措施以及安全防護(hù)能力，并對云計算環(huán)境的等保2.0的合規(guī)狀況進(jìn)行分析、認(rèn)定。2.2新華三云計算安全等保2.0合規(guī)能力模型2.2.1新華三云計算安全等級保護(hù)對象(PaaS)、基礎(chǔ)設(shè)施即服務(wù)(IaaS)的云計算服務(wù)模式。在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對計算資源擁有不同的控制范在平臺即服務(wù)模式下，云計算平臺/系統(tǒng)包括設(shè)施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺。不同服務(wù)模式下云服務(wù)商和云服務(wù)客戶的安全管理責(zé)任有所不同，同時保護(hù)對象也隨之發(fā)生變化?；凇缎畔踩夹g(shù)—網(wǎng)絡(luò)安全等級保護(hù)云計算測評指引》對不同云計算服務(wù)模式下云計算平臺測評對象的選取方法，綜合考慮新華三云計算平臺組網(wǎng)情況，確定新華三云計算平臺的安全保護(hù)對象如圖2.2。 4新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書55能力模型2.2.2新華三云計算安全區(qū)別于傳統(tǒng)的信息系統(tǒng)，在云計算環(huán)境中，邊界可信日益削弱，源自不同平面的攻擊也日趨增多。傳統(tǒng)分層面單層防御體系對確保云計算系統(tǒng)安全性顯得尤為困難，基于等級的縱深防護(hù)思想，即從通信網(wǎng)絡(luò)到區(qū)域邊界再到計算環(huán)境進(jìn)行重重防護(hù)，通過安全管理中用戶通過安全的通信網(wǎng)絡(luò)跨越安全的區(qū)域邊界以網(wǎng)絡(luò)直接訪問、API接口訪問或Web服務(wù)訪問等方式訪問安全的云計算環(huán)境。云計算環(huán)境安全包括基礎(chǔ)架構(gòu)層安全、云服務(wù)層其中基礎(chǔ)架構(gòu)層包括云計算硬件設(shè)備和虛擬化計算資源，云服務(wù)層包含云產(chǎn)品以及資源抽象控制等。云計算環(huán)境的系統(tǒng)管理、安全管理和安全審計由圖2.2新華三云計算平臺安全保護(hù)對象安全加固漏能力模型2.2.2新華三云計算安全區(qū)別于傳統(tǒng)的信息系統(tǒng)，在云計算環(huán)境中，邊界可信日益削弱，源自不同平面的攻擊也日趨增多。傳統(tǒng)分層面單層防御體系對確保云計算系統(tǒng)安全性顯得尤為困難，基于等級的縱深防護(hù)思想，即從通信網(wǎng)絡(luò)到區(qū)域邊界再到計算環(huán)境進(jìn)行重重防護(hù)，通過安全管理中用戶通過安全的通信網(wǎng)絡(luò)跨越安全的區(qū)域邊界以網(wǎng)絡(luò)直接訪問、API接口訪問或Web服務(wù)訪問等方式訪問安全的云計算環(huán)境。云計算環(huán)境安全包括基礎(chǔ)架構(gòu)層安全、云服務(wù)層其中基礎(chǔ)架構(gòu)層包括云計算硬件設(shè)備和虛擬化計算資源，云服務(wù)層包含云產(chǎn)品以及資源抽象控制等。云計算環(huán)境的系統(tǒng)管理、安全管理和安全審計由圖2.2新華三云計算平臺安全保護(hù)對象安全加固漏洞管理安全標(biāo)記安全審計數(shù)據(jù)備份殘留數(shù)據(jù)清除業(yè)務(wù)應(yīng)用/數(shù)據(jù)安全數(shù)據(jù)高用容災(zāi)備份Web防護(hù)訪問虛擬機(jī)隔離逃逸檢測擬計算資源抽象控制號授認(rèn)權(quán)策略隨遷證虛擬機(jī)鏡像加固鏡像快照/完整性校驗(yàn)傳輸入侵雙向TPM雙因份認(rèn)證操作系統(tǒng)安全基線網(wǎng)絡(luò)設(shè)備安全基線硬件設(shè)備安全惡意代碼防范數(shù)據(jù)備份加密檢測認(rèn)證資源調(diào)度資源管理資源監(jiān)控帶外管理訪問控制準(zhǔn)入流量監(jiān)控防IP/MAC/ARP欺騙安全惡意代碼檢測云網(wǎng)絡(luò)行理流量日志集中監(jiān)測QOS策略配置劃分均衡設(shè)備冗余設(shè)備性能監(jiān)控運(yùn)行監(jiān)測安全管理中心特殊字符過濾存儲加密數(shù)據(jù)完整性校驗(yàn)虛擬機(jī)監(jiān)控賬區(qū)域邊界控制網(wǎng)絡(luò)網(wǎng)絡(luò)威脅流量通信網(wǎng)絡(luò)鏈路冗余加密服務(wù)物理環(huán)境物理隔離、電力保障、訪問控制、火災(zāi)檢測、視頻監(jiān)控等圖2.3新華三云計算安全防護(hù)措施GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》在安全計算環(huán)境方面，主要增加了虛擬化安全、鏡像和快照安全等云計算相關(guān)的控制點(diǎn)，安全的云計算環(huán)境應(yīng)提供安全加固(操作系統(tǒng)、鏡像)、虛擬機(jī)隔離、雙因素身份認(rèn)證以及訪問控制、安全審計等安全措施；在安全區(qū)域邊界方面，除了傳統(tǒng)物理區(qū)域的邊界安全外，增加了虛擬網(wǎng)絡(luò)區(qū)域邊界、虛擬機(jī)與宿主機(jī)之間的區(qū)域邊界等防護(hù)安全要求，安全的云計算環(huán)境區(qū)域邊界應(yīng)提供網(wǎng)絡(luò)隔離、流量監(jiān)控、虛擬機(jī)隔離等安全措施；在安全通信網(wǎng)絡(luò)方面，在物理通信網(wǎng)絡(luò)基礎(chǔ)上增加了虛擬網(wǎng)絡(luò)通信的安全保護(hù)要求，安全的通信網(wǎng)絡(luò)應(yīng)提供區(qū)域劃分(物理網(wǎng)、虛擬網(wǎng))、入侵檢測、設(shè)備性能(物理網(wǎng)絡(luò)設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備)監(jiān)控、東西向及南北向流量安全防護(hù)等安全措施；在安全管理中心方面應(yīng)提供資源的統(tǒng)一調(diào)度、監(jiān)控、管理以及全網(wǎng)審計日志集中收集(分析)、時間基于GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，詳細(xì)的新華三云計算安全措施與實(shí)現(xiàn)安全能力模型1實(shí)現(xiàn)安全措施的產(chǎn)品/方法施的安全產(chǎn)品方法IMC監(jiān)控負(fù)載均衡設(shè)備(SLB、LLB)負(fù)載均衡設(shè)備-虛機(jī)VPC、vrouter虛擬防火墻、VPC分防火墻--安全域防火墻虛機(jī)--安全域、虛擬防火墻火墻設(shè)備堆疊、鏈路冗余、智能DNSQOS策略配置備配置QoS策略備配置QoS策略IIPsec、HTTPS壘機(jī)管理證CloudOS證書、Https務(wù)密鑰對ACACSDN控制器、服務(wù)器安全監(jiān)測、態(tài)勢感知(資產(chǎn)管理)、IPS、防火墻、ACG、IP/MAC綁定桌面準(zhǔn)入(EAD)、服務(wù)器安全監(jiān)測臺臺服務(wù)器安全監(jiān)測、態(tài)勢感知、IDS防火墻-IPS臺、日志審計測防火墻(防病毒模塊)虛擬防火墻(防病毒模塊)固、安全基線固、安全基線HTTPS協(xié)議HTTPS協(xié)議份認(rèn)證日志審計、數(shù)據(jù)庫審計、堡壘機(jī)日志審計、數(shù)據(jù)庫審計、堡壘機(jī)址限制CloudOS、堡壘機(jī)、虛擬防火墻虛擬防火墻符過濾安全測試、防火墻--IPS、WAF防火墻--IPS、WAF理統(tǒng)統(tǒng)防火墻--IPS、亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)防火墻--IPS、亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)TPM性校驗(yàn)MD校驗(yàn)分布式存儲，通過三副本實(shí)現(xiàn)完整性校驗(yàn)份ONEStor、CAS備份功能存儲、高可用、負(fù)載均衡、負(fù)載均衡ONEStor除遷移遷移工具M(jìn)ovesure磁盤機(jī)密、CAS完整性校驗(yàn)絡(luò)態(tài)勢感知、H3CCAS、H3CCloudOS態(tài)勢感知、H3CCloudOS管控H3CSecCloudOMPH3CCloud 6新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書77能力模型能力模型能力模型2.2.3新華三云計算安全能力安全技術(shù)能力是云計算系統(tǒng)安全措施作用于保護(hù)對象上形成的抵抗外部攻擊的一種防護(hù)能力，云安全措施是根據(jù)廣泛的經(jīng)驗(yàn)和學(xué)識為對抗云計算系統(tǒng)面臨的威脅而采取的防護(hù)措施，有的安全措施是由云計算平臺原生，有些則是云服務(wù)商為應(yīng)對威脅而自研或由云生態(tài)合作伙伴提供。新華三云計算安全基于OpenStack接口，提供整體的安全能力集合，采用歸一化標(biāo)準(zhǔn)接口，與多種場景無縫適配，為華三云平臺或第三方云平臺提供豐富的安全服務(wù)。不同側(cè)的安全措施作用于保護(hù)對象后形成了不同的安全技術(shù)能力，在此，引入安全能力定量和變量的定義，即：定量是指云服務(wù)商不依賴于用戶選擇而原生提供的安全能力，如VCFC、安全組防火墻等。變量是指云服務(wù)商依據(jù)用戶需求，為應(yīng)對系統(tǒng)威脅而選擇性提供的安全能力，該能力既可由云服務(wù)商提供，也可由云密機(jī)。1)安全物理環(huán)境火災(zāi)檢測、雙路供電、訪問控制、視頻監(jiān)控、機(jī)房熱備等?；馂?zāi)檢測安全能力：云數(shù)據(jù)中心機(jī)房配備火災(zāi)自動報警系統(tǒng)，包括火災(zāi)自動探測器、區(qū)域報警器、集中報警器和控制器等，能式發(fā)出報警信號，并啟動自動滅火設(shè)備，切斷電源、關(guān)閉空調(diào)設(shè)備等。雙路供電安全能力：云數(shù)據(jù)中心機(jī)房的每一個負(fù)載均由兩個電源供電，兩個電源之間可以進(jìn)行切換。若電源發(fā)生故障，在其中7*24小時持續(xù)運(yùn)行。訪問控制安全能力：云數(shù)據(jù)中心的物理設(shè)備和機(jī)房的訪問要具備訪問控制，包括機(jī)房的進(jìn)出訪問控制，例如，對于進(jìn)出機(jī)房或啟動、關(guān)機(jī)、故障恢復(fù)等，均需具備相應(yīng)的訪問控制策略。視頻監(jiān)控安全能力：云數(shù)據(jù)中心機(jī)房裝設(shè)視頻監(jiān)控系統(tǒng)或者有專人24小時值守，對通道等重要部位進(jìn)行監(jiān)視。例如，對出入能與視頻監(jiān)控系統(tǒng)或者出入口控制設(shè)備聯(lián)動，實(shí)現(xiàn)對于監(jiān)控點(diǎn)的有效監(jiān)視。2)安全通信方面安全措施：智能DNS、設(shè)備高可用安全能力：網(wǎng)絡(luò)架構(gòu)從接入層到匯聚層，實(shí)現(xiàn)節(jié)點(diǎn)冗余和鏈路LLB負(fù)載分擔(dān)，在滿足帶寬收斂和保證業(yè)務(wù)性能同時滿足整個業(yè)務(wù)系統(tǒng)的高可用；H3C云計算在組網(wǎng)時防火墻通過堆疊的形式，交換機(jī)通過M-LAG的方式，服務(wù)器通過集基礎(chǔ)設(shè)施設(shè)備高可用；負(fù)載均衡設(shè)備提供智能DNS服務(wù)，保證網(wǎng)路鏈路、系統(tǒng)的高可用。網(wǎng)絡(luò)隔離安全能力：H3C云計算環(huán)境專有網(wǎng)絡(luò)(VirtualPrivateCloud)VPC采用隧道技術(shù)，幫助用戶構(gòu)建出一個隔離的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)不同云服務(wù)客戶間的網(wǎng)絡(luò)資源的隔離；同一VPC內(nèi)通過虛擬防火墻進(jìn)行安全域隔離；不同VPC間部署虛擬防火墻，通過VRF進(jìn)行路由隔離，部署虛擬防火墻進(jìn)行訪問控制，實(shí)現(xiàn)不同VPC間隔離；虛擬防火墻能夠幫助用戶實(shí)現(xiàn)3)安全區(qū)域邊界量監(jiān)控、入侵檢測4)安全計算環(huán)境因素身份認(rèn)證oudOSHCCASHCSecCloudOMP郵件驗(yàn)證碼兩種身份鑒別方式；新華三云計算系列產(chǎn)品均允許被堡壘機(jī)接管，且可配置僅允許堡壘機(jī)訪問，在堡壘機(jī)側(cè)通過用戶名、口令+USBKey的認(rèn)證方式，實(shí)現(xiàn)用戶雙因素身份鑒別。鏡像加固安全能力：H3C能夠?yàn)橛脩籼峁┲髁鞯牟僮飨到y(tǒng)鏡像，對鏡像基于安全基線進(jìn)行加固，安裝防惡意代碼軟件、服務(wù)據(jù)處理系統(tǒng)冗余、高可用安全能力：新華三云計算環(huán)境中防火墻采用堆疊的形式、交換機(jī)通過M-LAG的形式、服務(wù)器側(cè)采用虛擬機(jī)、存儲側(cè)處理系統(tǒng)的冗余。5)安全管理中心資源監(jiān)控安全能力：H3C態(tài)勢感知系統(tǒng)支持全網(wǎng)全流量的監(jiān)測，能夠?qū)λ械木W(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、虛擬機(jī)進(jìn)行集中監(jiān)測；H3CCloud、H3CSecCloudOMP管理平臺為云平臺側(cè)和云服務(wù)客戶側(cè)分別分配賬戶，可對兩側(cè)各自2.2.4能力矩陣模型安全技術(shù)能力是云計算系統(tǒng)安全措施作用于保護(hù)對象上形成的抵抗外部攻擊的一種防護(hù)能力，構(gòu)建SMO(safetymeasure-object)矩陣模型：保護(hù)對象1保護(hù)對象1……保護(hù)對象m安全措施1√√安全措施3√√√……√√√安全措施n√√√根據(jù)不同的安全措施作用于不同的保護(hù)對象形成的安全能力，構(gòu)建SCMO(safetycapability&measure-object)保護(hù)對象1保護(hù)對象1……保護(hù)對象m安全措施11—0—安全措施3-10—-1……—110安全措施n0—-1-1其中，“0”表示云平臺原生安全措施作用于保護(hù)對象后提供的安全能力，在云平臺交付時，默認(rèn)交付；“1”表示云平臺提供的安全能力，在云平臺交付時，用戶根據(jù)業(yè)務(wù)需求，考慮系統(tǒng)所面臨的威脅，需按需購買，“-1”表示根據(jù)業(yè)務(wù)力。2.2.5新華三云計算等保2.0合規(guī)能力模型1.模型建立H3C云計算平臺融合H3CSecCloudOMP安全云管理平臺，H3CSecCloudOMP除為新華三云計算平臺提供安型分析新華三云計算平臺所擁有的原生安全措施以及為應(yīng)對可能面臨的威脅而建設(shè)的安全防護(hù)措施，并根據(jù)SCMO模型分析安全云安全措施作用于保護(hù)對象之后所形成的安全技術(shù)能力，最后對標(biāo)安全云云平臺安全技術(shù)能力與《網(wǎng)絡(luò)安全等級 8新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書99滿足應(yīng)用形成確定原生作用安全合規(guī)能力/能力云計算環(huán)境 識別SECaaS云服務(wù)客戶業(yè)務(wù)系統(tǒng)分析H3C云計算平臺威脅保護(hù)對象安全合技術(shù)能力安全措施●防火墻服務(wù)●入侵檢測服務(wù)(IPS)●病毒防護(hù)服務(wù)●抗DDoS滿足應(yīng)用形成確定原生作用安全合規(guī)能力/能力云計算環(huán)境 識別SECaaS云服務(wù)客戶業(yè)務(wù)系統(tǒng)分析H3C云計算平臺威脅保護(hù)對象安全合技術(shù)能力安全措施●防火墻服務(wù)●入侵檢測服務(wù)(IPS)●病毒防護(hù)服務(wù)●抗DDoS服務(wù)●WEB應(yīng)用防護(hù)服務(wù)●負(fù)載均衡服務(wù)●地址轉(zhuǎn)換服務(wù)(NAT)●VPN服務(wù)●應(yīng)用監(jiān)控服務(wù)能力模型保護(hù)2.0基本要求》間的差距，分析安全云云平臺的合規(guī)情況，構(gòu)建安全云等保2.0合規(guī)能力模型(圖2.4)。脆弱性利用加固出圖2.4新華三云計算安全網(wǎng)絡(luò)安全等級保護(hù)2.0合規(guī)模型此外，通過合規(guī)能力模型的評估，可識別當(dāng)前安全云和云計算平臺/系統(tǒng)所面臨的脆弱性，便于對整個云計算環(huán)境進(jìn)云平臺的安全防護(hù)能力。2.新華三云計算等保2.0評估方法根據(jù)模型，識別保護(hù)對象、安全措施，分析得到安全云安全技術(shù)能力，對標(biāo)網(wǎng)絡(luò)安全等級保護(hù)2.0基本要求測評項(xiàng)，進(jìn)行安全合規(guī)性評估，如圖2.5，對于不符合項(xiàng)，可識別安全云云平臺脆弱性，及時作出相應(yīng)的加固，增強(qiáng)抵御風(fēng)險的防圖2.5新華三云計算平臺網(wǎng)絡(luò)安全等級保護(hù)2.0評估方法第3章新華三云計算安全等級保護(hù)2.0合規(guī)狀況3.1新華三云計算安全概述3.1.1新華三云計算安全背景概述數(shù)字經(jīng)濟(jì)浪潮席卷全球，企業(yè)和國家需要對其所在的行業(yè)數(shù)字化轉(zhuǎn)型需求進(jìn)行洞察與實(shí)踐。中國數(shù)字化時代充滿機(jī)遇和挑戰(zhàn)，科技革新和消費(fèi)者的需求傾向轉(zhuǎn)變正在改變著每個行業(yè)并影響著我們的工作方式和商業(yè)模式。在此過程中，我們程中，IT架構(gòu)也正在發(fā)生著巨大的變化，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)的涌現(xiàn)，讓割裂分散的傳統(tǒng)IT架構(gòu)向集中統(tǒng)一的新興IT邊界的模糊以及業(yè)務(wù)資源的整合與再分配都對網(wǎng)絡(luò)安全架構(gòu)提出了新的挑戰(zhàn)。傳統(tǒng)煙囪式的建設(shè)模式，每個業(yè)務(wù)系統(tǒng)擁有獨(dú)立的安全防護(hù)設(shè)備，業(yè)務(wù)系統(tǒng)規(guī)模較小，網(wǎng)絡(luò)結(jié)構(gòu)簡單，各個系統(tǒng)間邊界清晰，資源獨(dú)立，安全運(yùn)維也相對簡單。在數(shù)字化時代，數(shù)據(jù)大集中帶來業(yè)務(wù)系統(tǒng)規(guī)模的激增，云計算技術(shù)的大規(guī)模應(yīng)用以及租戶的出現(xiàn)，使得網(wǎng)絡(luò)邊界完全被打破，業(yè)務(wù)資源池化，原有碎片化的安全架構(gòu)已完全不能夠適應(yīng)業(yè)務(wù)架構(gòu)的融合與擴(kuò)張。海量業(yè)務(wù)在上線過程中，安全系統(tǒng)的部署會由于訪問量和應(yīng)用的多樣性成為最大的瓶頸。企業(yè)如何差異化實(shí)現(xiàn)業(yè)中的重要課題。云計算成為近十年來成長最快的一種IT技術(shù)，但是隨之而來的也有很多問題，比如安全問題。對于企業(yè)來說，安全是個不可逃避的話題。隨著云計算技術(shù)的大規(guī)模應(yīng)用，使得網(wǎng)絡(luò)邊界完全被打破，呈現(xiàn)出網(wǎng)絡(luò)虛擬化、服務(wù)資源池化、服務(wù)架構(gòu)。云計算場景下，如何有效部署安全系統(tǒng)成為各企業(yè)數(shù)字化轉(zhuǎn)型過程中的重要課題。云計算網(wǎng)絡(luò)安全體系的三個核心需求：安全能力的快速部署、安全能力的差異化部署及安全狀態(tài)的可視化。其根本是降低云計算網(wǎng)絡(luò)安全運(yùn)維的復(fù)雜度，提力交付的問題。為了解決上述問題，H3C推出了一款全新設(shè)計的適用于云計算網(wǎng)絡(luò)的云安全服務(wù)管理平臺—H3CSecCloudOMP安全云管理平臺(簡稱：安全云管平臺)。安全云管平臺從邏輯控制層的角度出發(fā)，屏蔽底層技術(shù)細(xì)節(jié)，將繁瑣的安全業(yè)務(wù)重新進(jìn)行定義，基于用戶業(yè)務(wù)角度為其提供抽象的各類安全能力的服務(wù)化配置和管理。安全云管平臺基于OpenStack架構(gòu)，與H3CCloudOS、H3CCAS虛擬化平臺、VCFC完美融合，為用戶提供高效的安全資源管理能力，同時為用戶的一體化解決方案。3.1.2新華三云計算安全特點(diǎn)1.極簡的配置邏輯安全云管平臺從用戶出發(fā)，提供一套極簡的配置邏輯，防護(hù)對象一次配置，多種安全服務(wù)均可引用，僅通過簡單操作2.豐富的服務(wù)目錄安全云管平臺可以為用戶提供豐富的安全服務(wù)目錄，用戶可以根據(jù)自身需求定制安全服務(wù)列表，包括安全服務(wù)類型、服務(wù)內(nèi)容、服務(wù)規(guī)格、服務(wù)周期等內(nèi)容。安全云管平臺從用戶業(yè)務(wù)角度出發(fā)，屏蔽安全服務(wù)底層技術(shù)細(xì)節(jié)，為用戶提供簡●漏洞掃描服務(wù)●態(tài)勢感知服務(wù)●運(yùn)維審計服務(wù)●數(shù)據(jù)庫審計服務(wù) 10新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書3.統(tǒng)一化配置界面統(tǒng)一的界面，各安全服務(wù)風(fēng)格統(tǒng)一，真正的做到所見即所得，各安全服務(wù)的開通配置具有共通性，之間沒有壁壘，用4.自動化業(yè)務(wù)部署業(yè)務(wù)部署編排的自動化，實(shí)現(xiàn)端到端的業(yè)務(wù)自動化部署，當(dāng)用戶創(chuàng)建安全服務(wù)時，安全云管平臺會自動分析云環(huán)境中各相關(guān)組件信息，自動關(guān)聯(lián)業(yè)務(wù)地址，做到租戶對網(wǎng)絡(luò)部署無感知，僅需要點(diǎn)擊開通安全服務(wù)，而無需再登錄到各設(shè)備上相應(yīng)的配置，大大加快了部署時間和效率。5.智能化運(yùn)維管理為了簡化系統(tǒng)運(yùn)維，提高運(yùn)維效率，安全云管平臺采用大數(shù)據(jù)分析技術(shù)，從不同角度、不同維度向用戶展示云計算網(wǎng)絡(luò)云安全服務(wù)信息，包括服務(wù)狀態(tài)統(tǒng)計、服務(wù)資源統(tǒng)計、告警事件統(tǒng)計、用戶賬戶信息、服務(wù)費(fèi)用統(tǒng)計、工單統(tǒng)計、安全態(tài)勢信息等，并提供各種可視化的操作界面，使得管理員輕松運(yùn)維管理云計算網(wǎng)絡(luò)云安全服務(wù)，及時清晰掌握云安全服務(wù)對各類安全事件。6.可視化運(yùn)營分析安全云管平臺同時也是一個安全資源的運(yùn)營平臺，在分發(fā)安全資源同時，提供了強(qiáng)大的運(yùn)營管理功能，管理員通過運(yùn)營分析能夠?qū)Π踩?wù)運(yùn)營情況了如指掌，不僅可以了解每個月的營收和各安全服務(wù)收入情況，還可看到各租戶詳細(xì)的消資源，針對性制定運(yùn)營策略，達(dá)到精細(xì)化運(yùn)營。7.訂單化服務(wù)管理正實(shí)現(xiàn)了用戶自助服務(wù)，按需申請，即買即用。8.標(biāo)準(zhǔn)化流程管理安全云管平臺通過流程化管理，幫助云管理員建立標(biāo)準(zhǔn)的、系統(tǒng)化的云安全服務(wù)運(yùn)營管理流程，保障云服務(wù)提供商為。：云租戶在線申請訂購云安全服務(wù)，系統(tǒng)管理員后臺在線審批及維護(hù)安全服務(wù)訂單；化管理：云租戶在線申請云安全服務(wù)功能，系統(tǒng)管理員后臺在線審批及維護(hù)安全服務(wù)；維流程化管理：云租戶在線提交工單，系統(tǒng)管理員后臺在線解決工單問題；●安全云管平臺-消息流程化管理：云管理員在線發(fā)布消息，云租戶實(shí)時獲取通知。9.歸一化標(biāo)準(zhǔn)接口全云管平臺不僅支持OpenStackNeutron組件定義的FWaaS、LBaaS、VPNaaS、NAT標(biāo)準(zhǔn)接口對接安全服務(wù)，同時還創(chuàng)新性的拓展了Neutron組件支持的安全服務(wù)的范圍，率先基于OpenStack標(biāo)準(zhǔn)定義了更多應(yīng)用安全服務(wù)接口，包括：DDoSaaS、IPSaaS、AVaaS、SSLVPNaaS、WAFaaS、OAaaS、SCANaaS、DBAaaS，未來還會根據(jù)云計算網(wǎng)絡(luò)安全需求繼續(xù)更新和擴(kuò)展新的安全服務(wù)接口。通過支持OpenStack標(biāo)準(zhǔn)的和擴(kuò)展的安全服務(wù)接口，安全云管平臺不僅可以和H3C自有的安全產(chǎn)品對接，還可以和第三方安全產(chǎn)品對接，極大地提高了安全云管平臺的服務(wù)能力和適用投資。安全云管平臺基于OpenStack標(biāo)準(zhǔn)提供北向API接口，不僅可以和H3CCloudOS深度集成，也可以與第三方云3.2新華三云計算架構(gòu)3.2.1新華三云計算整體架構(gòu)分布式存儲產(chǎn)品為基礎(chǔ)，一套體系支撐所有服務(wù)，提供完整的云計算平臺，具備完善的電信級服務(wù)特性、完善的災(zāi)備解決通過將物理服務(wù)器以及網(wǎng)絡(luò)設(shè)備虛擬化成虛擬計算、分布式存儲和軟件定義網(wǎng)絡(luò)，并在此基礎(chǔ)上提供云數(shù)據(jù)庫、云防火墻、云負(fù)載均衡、鏡像倉庫、大數(shù)據(jù)、AI服務(wù)，為用戶的應(yīng)用系統(tǒng)提供IT基礎(chǔ)服務(wù)的支撐能力，同時可以和用戶現(xiàn)有新華三云計算系統(tǒng)架構(gòu)(圖3.1)主要分為：●基礎(chǔ)設(shè)施層：主要包括用于云計算的物理機(jī)房、服務(wù)器、網(wǎng)絡(luò)等硬件設(shè)施?！裉摂M化層：基于新華三自研的虛擬化和云計算管理軟件H3CCAS，滿足電信級性能及可靠性要求的虛擬化內(nèi)核，支持融合交付計算、存儲、網(wǎng)絡(luò)、安全虛擬化資源，包括CVK虛擬化內(nèi)核系統(tǒng)、CVM虛擬化管理平臺?！裨乒芾韺樱簽樯蠈討?yīng)用或服務(wù)等提供統(tǒng)一的調(diào)度，包括H3CCloudOS、H3CCIC云業(yè)務(wù)管理中心及H3C接納管、集中管理等。●云服務(wù)與接口層：通過開放的API平臺，統(tǒng)一接口并支持定制化開發(fā)?！袢珬５陌踩?、可靠性和業(yè)務(wù)持續(xù)性的保障(H3CCloudOS安全組和H3CSecCloudOMP)。●云服務(wù)與接口層：通過開放的API平臺，統(tǒng)一接口并支持定制化開發(fā)。●全棧的安全支撐、可靠性和業(yè)務(wù)持續(xù)性的保障(H3CCloudOS安全組和H3CSecCloudOMP)。圖3.1新華三云計算平臺基礎(chǔ)架構(gòu) 12新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書3.2.2新華三云計算網(wǎng)絡(luò)基礎(chǔ)架構(gòu)理、用戶自有網(wǎng)絡(luò)、互聯(lián)網(wǎng)訪問云計算網(wǎng)絡(luò)的通道。業(yè)務(wù)服務(wù)區(qū)：該區(qū)域提供所有云業(yè)務(wù)的網(wǎng)絡(luò)承載，各個云服務(wù)客戶業(yè)務(wù)系統(tǒng)的內(nèi)部流量交互在該區(qū)域內(nèi)完成，此部分安全管理區(qū)域：新華三云計算管理流量與業(yè)務(wù)流量分離，單獨(dú)劃分獨(dú)立的管理網(wǎng)絡(luò)，部署各類平臺管理軟件和安全管和安全檢測資源池。圖3.2云計算基礎(chǔ)網(wǎng)絡(luò)拓?fù)鋱DH3CSecCloudOMP云安全管理平臺是云管理平臺的擴(kuò)展組件，可直接部署于云管理平臺環(huán)境中，實(shí)現(xiàn)云管理平臺對安全資源納管能力的擴(kuò)展。通過安全云組件可對租戶的安全能力進(jìn)行按需分配和策略管理，同時安全云還可以結(jié)合高效運(yùn)維，智能運(yùn)營等業(yè)務(wù)場景，幫助用戶全方位的掌控云內(nèi)安全情況。配備安全防護(hù)資源池、安全檢查資源池、安全管理資源池等多種資源池，可以為業(yè)務(wù)云平臺提供安全服務(wù)。安全防護(hù)資源池主要有中高端硬件防火墻和負(fù)載均衡設(shè)備形成硬件虛擬化資源池，以及硬件或NFV形態(tài)的Web應(yīng)用防護(hù)產(chǎn)品形成WAF資源池提供南北向的安全防護(hù)和東西向的防護(hù)。安全檢測資源池：以NFV形態(tài)為主的數(shù)據(jù)庫審計、數(shù)據(jù)防泄漏系統(tǒng)、流量分析引擎、APT產(chǎn)品組成深度檢測資源池，提供機(jī)的安全加固、防護(hù)以及全網(wǎng)安全管理。1.安全管理資源池1)安全運(yùn)維審計方案設(shè)計在核心交換層面，以硬件設(shè)備或平臺組件的形式，提供運(yùn)維安全管控系統(tǒng)，通過引入基于4A認(rèn)證機(jī)制的運(yùn)維安全建設(shè)體系，做到從內(nèi)部控制、規(guī)范運(yùn)維流程，劃分來自平臺運(yùn)維人員、第三方廠商運(yùn)維人員的訪問管理權(quán)限，提高對運(yùn)維人員的行為審計力度與精細(xì)程度，對于重要數(shù)據(jù)和服務(wù)需要有雙人共管、二次授權(quán)等訪問模式，避免由于部分設(shè)備認(rèn)證方式弱、安全審計不足等風(fēng)險引起的運(yùn)維安全風(fēng)險。運(yùn)維安全管控系統(tǒng)解決方案如圖3.3所示。運(yùn)維安全管控系統(tǒng)部署在提供運(yùn)維服務(wù)設(shè)備的訪問路徑上，通過路由器或者交換機(jī)的訪問控制策略限定只能由其直接訪問設(shè)備的遠(yuǎn)程維護(hù)端口(如果采用平臺組件形式：通過引流方式將運(yùn)維人員對各類IT資產(chǎn)的管理流量牽引至云平臺的運(yùn)維審計組件中)。運(yùn)維人員進(jìn)行運(yùn)維工作時，首先以WEB方式登錄運(yùn)維管理員管控系統(tǒng)，然后通過系統(tǒng)展現(xiàn)的運(yùn)維訪問資源列表。OOracle圖3.3運(yùn)維安全管控模塊設(shè)計2)脆弱性管理其中web漏掃主要面向?qū)eb服務(wù)器漏洞進(jìn)行發(fā)現(xiàn)和掃描，系統(tǒng)漏掃和數(shù)據(jù)庫漏掃主要針對內(nèi)部服務(wù)器區(qū)的重要應(yīng)用和3)主機(jī)安全防護(hù)將檢測的點(diǎn)覆蓋到每一臺服務(wù)器，由點(diǎn)到面展開，可有效檢測內(nèi)部橫向蔓延；自內(nèi)而外基于真實(shí)環(huán)境的惡意行為檢測，比主機(jī)側(cè)風(fēng)險感知：主機(jī)安全解決方案會主動、持續(xù)性地監(jiān)控所有主機(jī)上的軟件漏洞、弱密碼、應(yīng)用風(fēng)險、資產(chǎn)暴露性風(fēng)險等，并結(jié)合資產(chǎn)的重要程度進(jìn)行風(fēng)險分析，準(zhǔn)確定位最急需處理的風(fēng)險。為決策者動態(tài)展示主機(jī)安全指標(biāo)變化、安全走勢分析，使安全狀況的改進(jìn)清晰可衡量；為安全運(yùn)維人員實(shí)時展示風(fēng)險分析結(jié)果、風(fēng)險處理進(jìn)度，提供專業(yè)可視化的風(fēng)險分析報告，使安全管理人員的工作價值得到可視化呈現(xiàn)。主機(jī)安全解決方案將視角從了解黑客的攻擊方式，轉(zhuǎn)化成對內(nèi)的黑客其攻擊行為都會觸發(fā)內(nèi)部的異常變化，從而被迅速發(fā)現(xiàn)并處理。主機(jī)安全基線：主機(jī)安全基線管理解決方案通過自動化檢查，節(jié)省傳統(tǒng)的手動單點(diǎn)安全配置檢查的時間，并避免傳統(tǒng)支持基線一鍵檢測可用于等級保護(hù)等合規(guī)性檢查：在等級保護(hù)檢查、測評、整改工作過程中，對服務(wù)器系統(tǒng)進(jìn)行對應(yīng)級別的安全風(fēng)險檢查是運(yùn)營人員的必要工作。新華三專家對國家等級保護(hù)規(guī)范進(jìn)行了細(xì)化整理，把相關(guān)技術(shù)要求落實(shí)到合規(guī)基 14新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書t管理；獨(dú)特的主機(jī)發(fā)現(xiàn)系統(tǒng)，隨時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境內(nèi)沒有納入安全保護(hù)的主機(jī)，確保安全覆蓋無死角。系統(tǒng)將保持對資產(chǎn)持發(fā)生變化時，將提供實(shí)時或定時通知，實(shí)現(xiàn)資產(chǎn)動態(tài)保護(hù)和通用安全檢查規(guī)范與安全事件的數(shù)據(jù)需求，形成細(xì)粒度資產(chǎn)清。ell如2009年的特種木馬，將規(guī)則融入到入侵檢測系統(tǒng)。通過特征、沙箱，正則等不同技術(shù)手段發(fā)現(xiàn)惡意進(jìn)程和文件。動態(tài)擊事件、內(nèi)網(wǎng)滲透掃描進(jìn)行發(fā)現(xiàn)預(yù)警。與傳統(tǒng)的被動掃描相比，主機(jī)層面的檢測是主動的監(jiān)控進(jìn)程創(chuàng)建行為。再通過主機(jī)級別威脅情報聯(lián)動，文件、dns、4)態(tài)勢感知系統(tǒng)a)安全事件分析●基于策略的事件分析系統(tǒng)可為用戶在進(jìn)行安全事件的實(shí)時分析和歷史分析的時候提供基于策略的安全事件分析過程。用戶可以通過事件分析策略對全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細(xì)粒度的實(shí)時監(jiān)測、統(tǒng)計分析、查詢、調(diào)查、追溯、地圖定位、●事件關(guān)聯(lián)分析系統(tǒng)支持建立單事件規(guī)則和多事件規(guī)則，實(shí)現(xiàn)單事件關(guān)聯(lián)和多事件關(guān)聯(lián)，單事件關(guān)聯(lián)：通過單事件關(guān)聯(lián)，系統(tǒng)可以對符合單一規(guī)則的事件流進(jìn)行規(guī)則匹配；多事件關(guān)聯(lián)：通過多事件關(guān)聯(lián)，系統(tǒng)可以對符合多個規(guī)則(稱作組合規(guī)則)的事件流進(jìn)行復(fù)雜事件規(guī)則匹配。實(shí)時關(guān)聯(lián)和歷史關(guān)聯(lián)，實(shí)時關(guān)聯(lián)：對當(dāng)前正在發(fā)生的事件進(jìn)行規(guī)則關(guān)聯(lián)分析；歷史關(guān)聯(lián)：對已●流安全分析流分布可視化分析：通過對流信息的統(tǒng)計分析，以可視化的方式展示特定網(wǎng)絡(luò)訪問關(guān)系下的流量信息，譬如重要業(yè)務(wù)布和流量趨勢，以及重要資產(chǎn)的業(yè)務(wù)流量可視化等等。流行為合規(guī)性分析：系統(tǒng)采用基于黑白灰規(guī)則集的模式進(jìn)行流行為合規(guī)性分析，幫助用戶識別違規(guī)流行為。流行為可以看作網(wǎng)絡(luò)中IP/業(yè)務(wù)系統(tǒng)/安全域之間，一段時間內(nèi)的相互網(wǎng)絡(luò)連接關(guān)系的集合。流行為合規(guī)分析就是判定網(wǎng)絡(luò)節(jié)點(diǎn)間的連接關(guān)系(包括端點(diǎn)IP/端口、時間、協(xié)議、流量等)是否合規(guī)。流行為異常檢測：通過對流行為輪廓的分析，有助于實(shí)現(xiàn)對未知攻擊行為的輔助研判。系統(tǒng)可以幫助用戶識別網(wǎng)絡(luò)中的異常行為，例如在一臺應(yīng)用服務(wù)器上發(fā)現(xiàn)FTP服務(wù)且有大量數(shù)據(jù)外傳、某臺HTTP服務(wù)器的404錯誤驟增、來自罕見源地址的訪問、罕見的訪問協(xié)議、超量的SSH2數(shù)據(jù)外傳、隱藏IP使用，等等。此外，通過對海量的、大時間跨度的流未知安全威脅。流與安全事件的協(xié)同分析：通過將流安全分析技術(shù)與安全事件分析技術(shù)有機(jī)地整合到一起，系統(tǒng)能夠?qū)崿F(xiàn)從關(guān)聯(lián)告警事件到原始事件的鉆取，再到原始事件發(fā)生時段的原始流信息的回溯分析，甚至到原始包數(shù)據(jù)的回溯，譬如僵尸網(wǎng)絡(luò)心跳連接、DNS異常，等等。通過各類引擎將全網(wǎng)鏡像復(fù)制的流量進(jìn)行統(tǒng)一匯總和分析后，各檢測引擎將檢測結(jié)果發(fā)送到態(tài)勢感知平臺進(jìn)行各類事理提供如下功能：●風(fēng)險情報管理對來自于網(wǎng)絡(luò)、安全、操作系統(tǒng)、數(shù)據(jù)庫、存儲等設(shè)施的安全信息與事件進(jìn)行分析，采用數(shù)據(jù)挖掘技術(shù)，發(fā)現(xiàn)隱藏的支持。●安全資源管控可針對下一代防火墻、IPS、負(fù)載均衡等網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)應(yīng)用安全風(fēng)險的精細(xì)化管理，同時支持實(shí)時風(fēng)險聯(lián)動策略，能制定的策略快速自動響應(yīng)，使管理員能夠輕松應(yīng)對突發(fā)安全事件，保障業(yè)務(wù)系統(tǒng)安全運(yùn)行●業(yè)務(wù)風(fēng)險可視化務(wù)面臨的風(fēng)險狀況實(shí)時展現(xiàn)；的上下文信息實(shí)現(xiàn)攻擊溯源，協(xié)助管理員做出有效管控措施。c)安全資產(chǎn)維護(hù)支持服務(wù)器、網(wǎng)絡(luò)、安全、應(yīng)用等類型資產(chǎn)的信息錄入和維護(hù)，資產(chǎn)信息包含服務(wù)器的位置、序列號、軟硬件版本、，將自動創(chuàng)建資產(chǎn)信息。監(jiān)視各類應(yīng)用的性能和可用性相關(guān)的關(guān)鍵指標(biāo)，比如，針對Oracle數(shù)據(jù)庫，支持查詢端口狀態(tài)、數(shù)據(jù)庫版本、可用應(yīng)用監(jiān)控是作為安全監(jiān)控的輔助，可以提供應(yīng)用健康狀態(tài)的監(jiān)控，如健康狀態(tài)欠佳，則可以查看根因。有別于IT運(yùn)維管理，安全管理中對應(yīng)用的監(jiān)控是重在與安全風(fēng)險的關(guān)系上：監(jiān)控數(shù)據(jù)除了可關(guān)聯(lián)到業(yè)務(wù)風(fēng)險監(jiān)控中，也可用于事件級的關(guān)聯(lián)分析計算(即關(guān)聯(lián)分析中的資產(chǎn)狀態(tài)關(guān)聯(lián))。●Windows服務(wù)器●Unix服務(wù)器(AIX、Solaris、MacOS、HP-UX、FreeBSD等)●Linux服務(wù)器(Redhat、CentOS、Suse等) 16新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書●數(shù)據(jù)庫(Oracle、MS-SQL、MYSQL、Sybase、DB2、PostgreSQL、Informix、達(dá)夢數(shù)據(jù)庫等)●應(yīng)用服務(wù)器(.Net、Jboss、Tomcat、WebLogic、WebSphere、GlassFish、Jetty)●Web服務(wù)器(Apache、IIS等)●郵件服務(wù)器(Exchange等)●中間件(OfficeSharePoint、WebSphereMQ、ActiveMQ、Tonglink/Q)●LotusDomino、LDAP、SAP、Lync●虛擬化軟件(VMware、Hyper-V、KVM、Xen)e)實(shí)時攻擊分析●實(shí)時威脅監(jiān)控動態(tài)展示最新發(fā)生的攻擊事件以及攻擊行為，并統(tǒng)計攻擊源、攻擊目的TOPN信息。通過該頁面使企業(yè)面臨的攻擊作來削弱企業(yè)所面臨的風(fēng)險?！裾W(wǎng)安全態(tài)勢實(shí)時監(jiān)控同時提供業(yè)務(wù)風(fēng)險雷達(dá)，將各個業(yè)務(wù)面臨的風(fēng)險狀況在雷達(dá)中體現(xiàn)出來。整網(wǎng)安全態(tài)勢實(shí)時監(jiān)控用來幫助管理員直觀地了行動?！駥?shí)時事件列表實(shí)時事件列表列出了最近一小時內(nèi)的攻擊事件，詳細(xì)展示了最近一小時內(nèi)的攻擊事件，詳細(xì)給出了事件包含的具體內(nèi)P協(xié)議、源用戶、源IP、目的用戶、目的IP的查詢條件，方便管理員快速的查詢到需要的攻擊事件信息。另外，該頁面支員可以根據(jù)需要設(shè)置頁面刷新的時間間隔?！窆敉?fù)渌菰椿趶?qiáng)大的拓?fù)湟?，計算攻擊源到目的端到端路徑，對攻擊進(jìn)行網(wǎng)絡(luò)路徑角度的可視化呈現(xiàn)，管理員可參考并實(shí)施更安全規(guī)則的部署。2.安全防護(hù)資源池1)南北向訪問控制與網(wǎng)絡(luò)隔離在云計算平臺邊界進(jìn)行多層防御，采用防火墻硬件設(shè)備實(shí)現(xiàn)服務(wù)器區(qū)和網(wǎng)絡(luò)接入?yún)^(qū)域的邊界隔離，以幫助保護(hù)網(wǎng)絡(luò)邊界面臨的外部攻擊；在區(qū)域邊界，只允許被授權(quán)的服務(wù)和協(xié)議傳輸，未經(jīng)授權(quán)的數(shù)據(jù)包將被自動丟棄，依據(jù)最小化訪問控以下內(nèi)容：●控制網(wǎng)絡(luò)流量和邊界，使用標(biāo)準(zhǔn)的網(wǎng)絡(luò)ACL技術(shù)對網(wǎng)絡(luò)進(jìn)行隔離；●網(wǎng)絡(luò)ACL策略的管理包括變更管理、同行業(yè)審計和自動測試；●通過自定義的前端服務(wù)器定向所有外部流量的路由，可幫助檢測和禁止惡意的請求。2)網(wǎng)絡(luò)入侵防御依托平臺內(nèi)的硬件防火墻和虛擬防火墻組件，實(shí)現(xiàn)對南北向、東西向網(wǎng)絡(luò)入侵事件的檢測，并通過與訪問控制策略與流量控制策略聯(lián)動，實(shí)現(xiàn)符合國家規(guī)定的安全檢測機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)層面上針對平臺業(yè)務(wù)區(qū)的自動入侵防御和分析，提高系是一種檢測未知威脅的新型技術(shù)，通過不斷收集歷史流量數(shù)據(jù)，建立流量和行為模型的一種“動態(tài)檢測”技術(shù)，有別于基中已有威脅的“靜態(tài)檢測”。網(wǎng)絡(luò)入侵防御模塊內(nèi)置統(tǒng)計智能學(xué)習(xí)算法，對新建連接數(shù)、并發(fā)連接數(shù)、流量等數(shù)據(jù)智能學(xué)習(xí)；監(jiān)控對象包括：源IP、目的IP，地址對象支持主機(jī)地址、子網(wǎng)地址、范圍地址等。對新型威脅做出判斷和預(yù)警，在其發(fā)生破壞之前阻斷或者控制它。異常行為分析技術(shù)的出現(xiàn)可以很好地彌補(bǔ)這一“傳統(tǒng)設(shè)備”的缺陷，對阻斷和防范新型威脅發(fā)生有效的作用。云平臺的網(wǎng)絡(luò)防病毒與云主機(jī)的防病毒軟件不同，主要是用來分析由外部進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包，對其中的惡意代碼進(jìn)行查殺，掉這些攻擊數(shù)據(jù)包，從而防止病毒在網(wǎng)絡(luò)及云平臺內(nèi)部傳播。云平臺的防火墻系統(tǒng)建設(shè)中，內(nèi)置防病毒模塊，可以從流量上對SMTP、POP3、IMAP、HTTP和FTP等應(yīng)用協(xié)議進(jìn)行病毒掃描和過濾，并同惡意代碼特征庫進(jìn)行匹配，對符合規(guī)則的病毒、木馬、蠕蟲以及移動代碼進(jìn)行過濾、清除或3)攻擊防護(hù)云攻擊目前主要是指利用云平臺通過虛擬化技術(shù)定義出的網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用存在的漏洞和安全缺陷對網(wǎng)絡(luò)資源的防火墻組件，可構(gòu)建的防攻擊能力：計型報文攻擊；●基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等協(xié)議的DDOS攻擊防護(hù)；條入侵防御實(shí)時規(guī)則庫并支持自定義規(guī)則、規(guī)則集；攻擊來源、受威脅主機(jī)查詢攻擊；4)VPN遠(yuǎn)程安全訪問PN5)安全應(yīng)用交付隨著云平臺內(nèi)各業(yè)務(wù)系統(tǒng)規(guī)模變大，各部門資源信息的整合，來自于公共側(cè)的訪問壓力越來越大，需要云平臺內(nèi)部各業(yè)務(wù)區(qū)具備一定的高并發(fā)、高業(yè)務(wù)連續(xù)性的應(yīng)用交付能力。在如今越來越大的訪問壓力下，關(guān)鍵業(yè)務(wù)交付能力遲遲無法同作為平臺業(yè)務(wù)系統(tǒng)無法順利交付應(yīng)用服務(wù)的主要原因。因此，本方案設(shè)計采用基于智能DNS的多運(yùn)營商鏈路接入設(shè)計，通過鏈路負(fù)載均衡，實(shí)現(xiàn)提供足夠的網(wǎng)絡(luò)帶寬并且彈性擴(kuò)展和動態(tài)調(diào)配?！癖ＷCWEB網(wǎng)站不間斷服務(wù)，保證應(yīng)用的可靠性； 18新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書9●通過鏈路負(fù)載均衡，保證各業(yè)務(wù)系統(tǒng)用戶能夠快速訪問互聯(lián)網(wǎng)查詢資料；6)Web應(yīng)用防護(hù)部署web應(yīng)用防火墻，提供web應(yīng)用安全防護(hù)能力，防止web服務(wù)攻擊。主要針對Web服務(wù)器進(jìn)行HTTP/HTTPS流量分析，防護(hù)以Web應(yīng)用程序漏洞為目標(biāo)的攻擊，并針對Web應(yīng)用訪問各方面進(jìn)行優(yōu)化，以提高Web或網(wǎng)Web安全、可靠地交付。7)東西向訪問控制與網(wǎng)絡(luò)隔離通過防火墻與SDN控制器的深度融合，形成東西向安全服務(wù)鏈，可對VPC內(nèi)部業(yè)務(wù)進(jìn)行區(qū)域劃分和網(wǎng)絡(luò)隔離，同向業(yè)務(wù)流量進(jìn)行安全防護(hù)。3.安全檢測資源池1)安全流量采集基于安全檢測需求，配置高性能的TAP產(chǎn)品對重要的網(wǎng)絡(luò)節(jié)點(diǎn)鏡像的流量進(jìn)行采集和復(fù)制，同時針對多個萬兆的入向流量進(jìn)行HASH分流，把流量均衡分散到多個出接口，轉(zhuǎn)發(fā)送入后臺的各類安全引擎，維持同源同宿，保證用戶數(shù)據(jù)和會話的完整性。通過五元組過濾規(guī)則以及特征碼過濾規(guī)則對某項(xiàng)業(yè)務(wù)流量或協(xié)議進(jìn)行數(shù)據(jù)包的過濾和多重復(fù)制，分發(fā)到不2)數(shù)據(jù)庫安全審計數(shù)據(jù)庫審計系統(tǒng)通過全面記錄對數(shù)據(jù)庫服務(wù)器的連接情況，記錄會話相關(guān)的各種信息和原始SQL語句。如：來源計其中包括標(biāo)準(zhǔn)TCP/IP協(xié)議、本地環(huán)回TCP/IP協(xié)議、通過SSH、TELNET遠(yuǎn)程連接數(shù)據(jù)庫進(jìn)行的數(shù)據(jù)庫操作。通過設(shè)計審計系統(tǒng)開啟雙向?qū)徲嫷墓δ?，不僅可以審計應(yīng)用服務(wù)器對數(shù)據(jù)庫服務(wù)器的訪問流量，對數(shù)據(jù)庫服務(wù)器針對信息包括連接建立時間、IP、各業(yè)務(wù)系統(tǒng)用戶名、非法操作(越權(quán)訪問等)次數(shù)統(tǒng)計。而對于非法連接或有非法行為的連接，保數(shù)據(jù)庫安全性不受進(jìn)一步威脅。數(shù)據(jù)庫安全審計可以對不同的風(fēng)險設(shè)置不同的風(fēng)險報警方案，同時可以針對不同風(fēng)險、新SQL、訪問規(guī)則違規(guī)、數(shù)據(jù)庫服務(wù)器狀態(tài)異常、審計系統(tǒng)服務(wù)器狀態(tài)異常、緩沖區(qū)溢出攻擊、SQL注入攻擊等報警，報警方式有：短信、郵件、FTP、SYSLOG、SNMP等報警方式。3)數(shù)據(jù)泄漏防護(hù)以深度內(nèi)容識別技術(shù)為核心，提供完整的數(shù)據(jù)防泄漏防護(hù)，全面保障云平臺在數(shù)據(jù)傳輸和使用過程中，發(fā)現(xiàn)并監(jiān)控敏感數(shù)據(jù)，確保敏感數(shù)據(jù)的合規(guī)使用，防止主動或意外的數(shù)據(jù)泄漏。并通過對敏感數(shù)據(jù)的使用行為、安全事件、策略執(zhí)行記錄等內(nèi)容的審計分析，為數(shù)據(jù)安全管理工作提供技術(shù)支持。達(dá)到敏感數(shù)據(jù)利用的事前、事中、事后完整保護(hù)，實(shí)現(xiàn)數(shù)據(jù)的漏，保障單位數(shù)據(jù)資產(chǎn)可控、可信、可充分利用。4)未知威脅檢測未知威脅檢測系統(tǒng)利用大數(shù)據(jù)技術(shù)結(jié)合威脅情報針對高級威脅攻擊進(jìn)行檢測，通過建立本地重點(diǎn)流量采集、存儲、分析平臺，結(jié)合云端威脅情報，全面監(jiān)測單位發(fā)生高級威脅事件，并對未知攻擊事件進(jìn)行溯源。利用威脅情報，能夠?qū)W(wǎng)絡(luò)中的威脅事件進(jìn)行發(fā)現(xiàn)和告警，可從威脅事件視圖、受害主機(jī)視圖、受害服務(wù)器視圖或受害用戶視圖的角度分別展示高級威脅攻擊態(tài)勢，對整體攻擊有全面性的認(rèn)識。同時，針對高級威脅事件可以展示威脅發(fā)生時間、攻擊類型、受害IP、攻擊IP、資產(chǎn)狀態(tài)、攻擊組織、威脅等級等信息。支持對DNS異常行為分析、SSL通信異常、web行為異常、ARP行為異常等感知；深度木馬網(wǎng)絡(luò)回連行為報警、特種木馬網(wǎng)絡(luò)通聯(lián)行為報警、未知病毒與木馬心跳挖掘、時間行為異常分析、內(nèi)外通聯(lián)行為異常分析等。支持從IP或攻擊組織的維度對高級威脅事件進(jìn)行快速檢索，能夠支持查看高級威脅告警的攻擊詳情?；趹B(tài)勢感知，利用數(shù)據(jù)追溯功能對發(fā)現(xiàn)的未知攻擊進(jìn)行溯源包括攻擊來源、攻擊過程以及攻擊手段等進(jìn)行分析，對報告。5)流量分析引擎依據(jù)方案設(shè)計，針對云平臺網(wǎng)絡(luò)訪問應(yīng)具備透明化，對訪問云數(shù)據(jù)中心的行為進(jìn)行細(xì)粒度的審計，包含應(yīng)用訪問、流掌握到云數(shù)據(jù)中心的使用情況，形成用戶行為畫像。3.2.3新華三云計算安全架構(gòu)1.H3CSecCloudOMP安全云管理平臺基礎(chǔ)架構(gòu)聯(lián)OpenStack所標(biāo)識的租戶邊界”網(wǎng)關(guān)”節(jié)點(diǎn)，實(shí)現(xiàn)租戶流量的牽引與安全能力編排，同時，針對第三方安全控制器及安全設(shè)備也可通過標(biāo)準(zhǔn)接口進(jìn)行適配，納入到云計算的安全能力體系中。通過對認(rèn)證模塊的調(diào)用及虛擬機(jī)列表的讀取，完象、統(tǒng)一邏輯配置，將安全能力按需分配，使原本碎片化的安全能力集中管理，提供基礎(chǔ)設(shè)施、邊界和云業(yè)務(wù)的一體化安全能圖3.4新華三云計算平臺安全架構(gòu)H3CSecCloudOMP從邏輯控制層的角度出發(fā)，屏蔽底層技術(shù)細(xì)節(jié)，將各類安全能力從單純的產(chǎn)品配置轉(zhuǎn)變?yōu)榉?wù)化配置，將繁瑣的安全業(yè)務(wù)重新進(jìn)行定義，從用戶業(yè)務(wù)的角度出發(fā)，抽象為必要的實(shí)現(xiàn)邏輯。新華三云計算可提供包括監(jiān)測服務(wù)、清洗服務(wù)、態(tài)勢感知服務(wù)、云代維服務(wù)等四大類服務(wù)，并且還將進(jìn)一步推出新的服務(wù)類型；同時提供豐富的安全2.防護(hù)類安全能力架構(gòu) 20新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書 新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書IaaSPaaSSaaSIaaSPaaSSaaS的方式進(jìn)Docker之間通過開放API接口進(jìn)行通信，能夠享安全能力。每個Docker具備有送、獨(dú)立的策略配置、獨(dú)立的硬件單獨(dú)重啟后也不互相干擾。防護(hù)類安全能力通過同租戶在OpenStack架構(gòu)中的網(wǎng)關(guān)(OpenStack稱之為“路由器”)關(guān)聯(lián)，保證3.檢測類安全能力架構(gòu)力采用基于租戶標(biāo)簽的流量分發(fā)方同租戶的獨(dú)立審計及檢測。在云架構(gòu)中，可以采用VLAN或VxLAN的方式為不同的租戶劃分獨(dú)立的VPC。檢測類能力需要根據(jù)不圖3.5防護(hù)類安全能力架構(gòu)同的VPC，將流量對應(yīng)到不同的檢測設(shè)備上。通過匯聚分流平臺將鏡像流量進(jìn)行M:N的復(fù)制分發(fā)和智能過濾，一次性接的全部流量，