云計算安全等級保護(hù)2.0合規(guī)能力白皮書

.1新華三云計算整體架構(gòu) 3.2.2新華三云計算網(wǎng)絡(luò)基礎(chǔ)架構(gòu) 3.2.3新華三云計算安全架構(gòu) 213.3新華三云計算安全技術(shù)能力 233.3.1新華三云計算安全能力 233.3.2安全組件 303.4新華三云計算等保2.0合規(guī)性分析 353.4.1等保2.0下新華三云計算環(huán)境安全評估 353.4.2新華三安全云合規(guī)性分析 1074.1應(yīng)用價值 4.1.1呈現(xiàn)新華三云計算平臺等保合規(guī)能力 4.1.2識別新華三云計算平臺等保測評指標(biāo) 4.1.3為相關(guān)用戶或機構(gòu)提供技術(shù)參考 4.2應(yīng)用方法 4.2.1新華三云計算用戶 4.2.2等保測評機構(gòu) 4.3新華三云計算平臺案例 附錄A安全責(zé)任劃分 115A.1網(wǎng)絡(luò)安全等級保護(hù)通用要求項安全責(zé)任 A.2網(wǎng)絡(luò)安全等級保護(hù)云擴展要求項安全責(zé)任 附錄B安全合規(guī)能力 135B.1網(wǎng)絡(luò)安全等級保護(hù)通用要求項安全能力 B.2網(wǎng)絡(luò)安全等級保護(hù)云擴展要求項安全能力 云計算是一種資源利用模式，它是一種無處不在的、便捷的、按需的，基于網(wǎng)絡(luò)訪問的，共享使用的，可配置的計算資源(如:網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用和服務(wù))，可以通過最少的管理工作或與服務(wù)提供商的互動來快速置備并發(fā)布。云計算將計算、網(wǎng)絡(luò)、存儲、數(shù)據(jù)等資源集中在資源池中，并以服務(wù)的形式提供給用戶，這些服務(wù)可以快速構(gòu)建、準(zhǔn)備、部署和退出，并且可迅速擴充或縮減規(guī)模。該定義描述了云計算的三種服云計算服務(wù)的五個基本特征：按需自助、無所不在的網(wǎng)基礎(chǔ)設(shè)施即服務(wù)(Infrastructure-as-a-Service)，云服務(wù)商主要提供一些基礎(chǔ)資源，包括服務(wù)器、網(wǎng)絡(luò)、存儲等服平臺及服務(wù)(Platfrom-as-a-Service)，主要作用是將一個開發(fā)和運行平臺作為服務(wù)提供給用戶，能夠提供定制化軟件即服務(wù)(Software-as-a-Service)，通過網(wǎng)絡(luò)為最終用戶提供應(yīng)用服務(wù)，絕大多數(shù)SaaS應(yīng)用都是直接在瀏覽器中運行，不需要用戶下載安裝任何程序，由服務(wù)商管理和托管的完整根據(jù)使用云計算平臺的客戶范圍不同，可以將云計1.2云計算安全隨著云計算的普及，安全問題已成為制約其發(fā)展的關(guān)鍵要素之一，與傳統(tǒng)信息系統(tǒng)安全相比，云計算具有按泛在接入、多租戶和資源池、快速彈性、可度量性五大特有屬性，在安全方面，云計算也具有一些新的特征，如傳統(tǒng)的安全邊界消失、服務(wù)安全保障模式改變、數(shù)據(jù)安全保護(hù)強度提高，技術(shù)標(biāo)準(zhǔn)和政策法規(guī)缺失。鑒于云計算的新特性，傳統(tǒng)的安全防護(hù)措施無法有效的保證云計算的完整性、可用性和保密性，云計算的安全性受到嚴(yán)重挑戰(zhàn)。傳統(tǒng)信息技術(shù)所面臨的T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》中進(jìn)行了擴展，形成了云計算安全擴展要求，網(wǎng)絡(luò)安全等級保護(hù)制度在2.0時代著重于全方位的主動防御、動態(tài)防御、精準(zhǔn)防護(hù)和整體防控的安全防護(hù)體系，將云計算平臺/系統(tǒng)的安全問題主要分為物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全、管理中心安全以及云計算安全管理方面1.2.1物理環(huán)境安全物理環(huán)境安全是系統(tǒng)安全的前提，信息系統(tǒng)所處物理環(huán)境安全的優(yōu)劣對信息系統(tǒng)的安全有著直接的影響，物理環(huán)境安全主要包括兩個方面：一方面是指保護(hù)云計算平臺免遭地震、水災(zāi)、火災(zāi)等自然災(zāi)害以及人為行為導(dǎo)致的破壞，預(yù)防措施主要包括場地安全、防火、防水、防靜電、防雷擊、電磁防護(hù)及線路安全等；另一方面是指云服務(wù)商部署基礎(chǔ)設(shè)施的數(shù)據(jù)中心1新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書11.2.2通信網(wǎng)絡(luò)安全云計算的主要特征泛在接入凸顯了網(wǎng)絡(luò)是云計算的重要基石，網(wǎng)絡(luò)安全是云計算安全的重要一環(huán)。對于大多數(shù)的云計整個網(wǎng)絡(luò)資源分布、架構(gòu)合理是在網(wǎng)絡(luò)上實現(xiàn)各種技術(shù)功能以達(dá)到通信網(wǎng)絡(luò)保護(hù)目的為前提；另一方面是網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性，通信數(shù)據(jù)在傳輸過程中的安全性是保障網(wǎng)絡(luò)環(huán)境安全運行的根基，保障通信網(wǎng)絡(luò)的安全性，可有效地防止數(shù)據(jù)在1.2.3區(qū)域邊界安全云與外部網(wǎng)絡(luò)互聯(lián)互通過程中也存在著較大的安全隱患，盡管云計算具有無邊界化、分布式的特性，但對于每一個云并在云計算服務(wù)的關(guān)鍵節(jié)點和服務(wù)入口處實施重點防護(hù)，實現(xiàn)局部到整體的嚴(yán)密聯(lián)防。網(wǎng)絡(luò)邊界防護(hù)是云計算環(huán)境安全防御的第二道防線。在不同的網(wǎng)絡(luò)間實現(xiàn)互聯(lián)互通的同時，在網(wǎng)絡(luò)邊界采取必要的安全接入、訪問控制、入侵防范、安全審1.2.4計算環(huán)境安全除對傳統(tǒng)系統(tǒng)的服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用及數(shù)據(jù)的安全性要求外，等保2.0還對鏡像和快照安全、虛擬化增加的安全性要求還有虛擬服務(wù)管理平臺（Hypervisor，VMM）安全1.2.5安全管理中心同時通過“安全管理中心”實現(xiàn)整個云計算環(huán)境的集中管控?！鞍踩芾碇行摹辈⒎且粋€機構(gòu)，也并非一個產(chǎn)品，是一個1.2.6安全管理安全管理包括安全運維管理、安全建設(shè)管理、安全管理人員、安全管理機構(gòu)、安全管理制度。任何一個組織機構(gòu)應(yīng)制定符合國家需求和自己機構(gòu)內(nèi)部需求的安全管理制度體系,構(gòu)建從單位最高管理層到執(zhí)行層以及具體業(yè)務(wù)運營層的組織體系，明確各個崗位的安全職責(zé)，對參與系統(tǒng)建設(shè)、管理、運維等人員實施科學(xué)、完善的管理，保證系統(tǒng)建設(shè)的進(jìn)度、質(zhì)量1.3云安全責(zé)任分擔(dān)模型任何一個云服務(wù)的參與者都應(yīng)承擔(dān)起相應(yīng)的職責(zé)，不同角色的參與者通常會承擔(dān)實施和管理不同部分的責(zé)任。因此，云服務(wù)商的主要安全責(zé)任是研發(fā)和運維云平臺，保障云平臺基礎(chǔ)設(shè)施的安全，同時提供各項基礎(chǔ)設(shè)施服務(wù)以及各項服務(wù)內(nèi)置的安全功能。云服務(wù)商在不同的服務(wù)模式下承擔(dān)的安全責(zé)任不同（圖1.1在基礎(chǔ)設(shè)施即服務(wù)（IaaS）模式下，云服務(wù)商需確?；A(chǔ)設(shè)施無漏洞，云服務(wù)商基礎(chǔ)設(shè)施包括支撐云服務(wù)的物理環(huán)境、云服務(wù)商自研的軟硬件以及運維運營包括計算、存儲、數(shù)據(jù)庫以及虛擬機鏡像等各項云服務(wù)的系統(tǒng)設(shè)施，同時云服務(wù)商還需負(fù)責(zé)底層基礎(chǔ)設(shè)施和虛擬化技術(shù)免遭云服務(wù)商還需負(fù)責(zé)底層基礎(chǔ)設(shè)施和虛擬化技術(shù)免遭外部攻擊和內(nèi)部濫用的安全防護(hù)責(zé)任，并與云服務(wù)客戶共同分擔(dān)網(wǎng)絡(luò)訪問控制策略的防護(hù)；在平臺即服務(wù)（PaaS）在軟件即服務(wù)（SaaS）模式下，云服務(wù)商云服務(wù)客戶的主要責(zé)任是在云平臺基礎(chǔ)設(shè)施與服務(wù)之上定制配置并且運維運營理等各項服務(wù)。在基礎(chǔ)設(shè)施即服務(wù)（IaaS）模式下，云服務(wù)客戶需對其部署在云上的各類可控的資源進(jìn)行安全配置，對其云平臺的相關(guān)賬戶進(jìn)行安全策略配置，對運維人員實施權(quán)限管理及職責(zé)分離，并對云服務(wù)商提供的虛擬機、安全組、高級安全服務(wù)以及云服務(wù)客戶自行部署的安全防護(hù)軟件進(jìn)行合理的安全策略配置。此外，對于云服務(wù)客戶自行部署在云上的業(yè)務(wù)應(yīng)用、數(shù)據(jù)庫及中間件等均需云服務(wù)客戶進(jìn)行安全管理，云服務(wù)客戶始終是云上業(yè)務(wù)數(shù)據(jù)的所有者和控制者，云服務(wù)客戶需對數(shù)據(jù)的保密性、可用性、完整性以及數(shù)據(jù)訪問驗證、授權(quán)進(jìn)行安全管理；在平臺即服務(wù)（PaaS）模式下，云服務(wù)客戶需保證其部署在云平臺上的業(yè)務(wù)應(yīng)用和數(shù)據(jù)的安全性，并對云服務(wù)商提供的各項服務(wù)進(jìn)行安全配置，各類賬戶進(jìn)行安全管理，防止自身業(yè)務(wù)應(yīng)用受到非授權(quán)的破壞，導(dǎo)致數(shù)據(jù)泄露或丟失；在軟件即服務(wù)（SaaS）模式下，云服務(wù)客戶需對其選用無論哪種云服務(wù)模式，云服務(wù)商都應(yīng)為客戶提供數(shù)據(jù)保護(hù)手段，并實現(xiàn)數(shù)據(jù)保護(hù)的相關(guān)功能，但是云服務(wù)商絕不允許運維人員在未經(jīng)授權(quán)的情況下私自訪問云服務(wù)客戶數(shù)據(jù)；云服務(wù)客戶對其業(yè)務(wù)數(shù)據(jù)擁有所有權(quán)和控制權(quán)，需負(fù)責(zé)各項具體的數(shù)存儲完整性和保密性的安全功能決定著用1.4新華三云計算平臺部署模式新華三云計算部署場景可以是私有云部署、公有云部署或者是混合云部署，在不同的云計算部署場景中，新華三提供高校、融媒、工業(yè)、金融、黨建等多行業(yè)提供的云計算涉及IaaS和PaaS兩種服務(wù)模式，云計算基礎(chǔ)設(shè)施相關(guān)軟件、硬件部署在客戶提供的數(shù)據(jù)中心本地或者是私有云云計算平臺的數(shù)據(jù)中心。新華三云計算平臺融合H3CCloudOS云操作系統(tǒng)、H3CCAS虛擬化平臺、H3CVCFC及H3CSecCloudOMP云安全管理平臺，且兼容基于OpenStack的第三方云架構(gòu)，為每個云服務(wù)客戶提供完善的安全防護(hù)解決22I新華三云計算安全等級保護(hù)2.0合規(guī)能新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書I33SaaS業(yè)務(wù)應(yīng)用PaaS編程編程邏輯IaaSIaaS云管理平臺虛擬化自助Portal硬件基礎(chǔ)業(yè)務(wù)流申批計算資源編排網(wǎng)絡(luò)存儲H3CCAS虛擬化平臺采用滿足電信級性能及可靠性要求的虛擬化內(nèi)核，支持融合交付計算、存儲、網(wǎng)絡(luò)、安全虛擬化資源，H3CCAS虛擬化平臺由CVK虛擬化內(nèi)核系統(tǒng)、CVM虛擬化管理平臺和CIC云業(yè)務(wù)管理中心三個組件構(gòu)成，能戶（H3CCloudOS）按需使用資源。H3CCloudOS實現(xiàn)對數(shù)據(jù)中心資源的統(tǒng)一管理和智能調(diào)度，為上層的XaaS提供對H3CCloudOS云操作系統(tǒng)將IT資源抽象為各種各樣的云服務(wù)，用戶根據(jù)需要按需申請、使用。目前，H3CCloudOS云操作系統(tǒng)提供X86虛擬機、PowerVM虛擬機、云硬盤、云網(wǎng)盤、云網(wǎng)絡(luò)、云防火墻、裸金屬服務(wù)器等IaaS服務(wù)，應(yīng)用倉庫、應(yīng)用管理、鏡像倉庫、流水線等PaaS服務(wù)，還提供一些開發(fā)測試服務(wù)及大數(shù)據(jù)和AI服務(wù)等?！馠3CSecCloudOMP作為安全服務(wù)組安全服務(wù)生命周期管理(對接VCFC)；●H3CCloudOS提供WEB●H3CVCFC，提供：第2章云計算等保2.0合規(guī)能力技術(shù)架構(gòu)2.1合規(guī)白皮書與規(guī)范體系框架的關(guān)系云計算平臺由設(shè)施、硬件、資源抽象控制層、虛擬化計算資源等組成。區(qū)別于傳統(tǒng)的信息系統(tǒng)，在云計算不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對計算資源擁有不同的控制范圍（圖2.1在基礎(chǔ)設(shè)施即服務(wù)模式(IaaS)下，云計算平臺/系統(tǒng)由設(shè)施、硬件、資源抽象控制層組成；在平臺即服務(wù)模式(Pa虛擬化計算資源、軟件平臺和應(yīng)用軟件。對計算資源的控制范圍決定了安全責(zé)任的邊界，云計算環(huán)境中通常有一個或多個安全責(zé)任主體，各安全責(zé)任主體根據(jù)管理權(quán)限的范圍劃分安全責(zé)任邊界。云計算環(huán)境中多個安全責(zé)任主體的安全保護(hù)能力之和共同構(gòu)成了整個云計算環(huán)境的安全防護(hù)能力。當(dāng)“云服務(wù)商”與“云服務(wù)客戶”為同一類實體機構(gòu)或自然人時，云計SaaSSaaSPaaSPaaSIaaSIaaSIaaSPaaSSaaSIaaSPaaSSaaS云計算環(huán)境中可能承載一種或多種云服務(wù)模式，每種云服務(wù)模式下提供了不同的云計算服務(wù)及相應(yīng)的安全防護(hù)措施，在對云計算系統(tǒng)安全評估時，應(yīng)僅關(guān)注每種特定云服務(wù)模式下，與其提供的云服務(wù)相對應(yīng)不同的云服務(wù)模式下，云服務(wù)商與云服務(wù)客戶的），責(zé)任時，應(yīng)根據(jù)系統(tǒng)的實際運行情況而定。在明確云計算平臺保護(hù)等級的情況下，按照等級保護(hù)對象在云計算環(huán)境中的角色、云計算的服務(wù)模式、云計算環(huán)境中的責(zé)任主體以及云計算實現(xiàn)方式對測評指標(biāo)選取的影響四個步驟對等級保護(hù)對象和等級測評指標(biāo)進(jìn)行選取。四個步驟充分的體現(xiàn)了云計算系統(tǒng)等保合規(guī)的兩大基本原則：責(zé)合規(guī)白皮書是嚴(yán)格按照合規(guī)能力規(guī)范體系框架封裝的方法，呈現(xiàn)了云計算環(huán)境等保2.0的合規(guī)能力模型，明確了云計算環(huán)境的保護(hù)對象、安全措施以及安全防護(hù)能力，并對云計算環(huán)境的等保2.0的2.2新華三云計算安全等保2.0合規(guī)能力模型2.2.1新華三云計算安全等級保護(hù)對象基礎(chǔ)設(shè)施即服務(wù)（IaaS）的云計算服務(wù)模式。在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對計算資源擁有不同的控制范在平臺即服務(wù)模式下，云計算平臺/系統(tǒng)包括設(shè)施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺。不同服務(wù)模式下云服務(wù)商和云服務(wù)客戶的安全管理責(zé)任有所不同，同時保護(hù)對象也隨之發(fā)生變化。基于《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)云計算測評指引》對不同云計算服務(wù)模式下云計算平臺測評對象的選取方法，綜合考慮新華三云計算平臺組網(wǎng)情況，確定新華三云計算平臺的安全保護(hù)對象如圖244新華三云計算安全等級保護(hù)2.0合規(guī)新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書552.2.2新華三云計算安全區(qū)別于傳統(tǒng)的信息系統(tǒng)，在云計算環(huán)境中，邊界可信日益削弱，源自不同平面的攻擊也日趨增多。傳統(tǒng)分層面單層防御體系對確保云計算系統(tǒng)安全性顯得尤為困難，基于等級的縱深防護(hù)思想，即從通信網(wǎng)絡(luò)到區(qū)域邊界再到計算環(huán)境進(jìn)行重重防護(hù)，通過安全管理中用戶通過安全的通信網(wǎng)絡(luò)跨越安全的區(qū)域邊界以網(wǎng)絡(luò)直接訪問、API接口訪問或Web服務(wù)訪問等方式訪問安全的云計算環(huán)境。云計算環(huán)境安全包括基礎(chǔ)架構(gòu)層安全、云服務(wù)層其中基礎(chǔ)架構(gòu)層包括云計算硬件設(shè)備和虛擬化計算資源，云服務(wù)層包含云產(chǎn)品以及資源抽象控制等。云計算環(huán)境的系統(tǒng)管理、安全管理和安全審計由安全管理中心資源調(diào)度資源管理資源監(jiān)控帶外管理流量日志集中監(jiān)測運行監(jiān)測云網(wǎng)絡(luò)行為管理業(yè)務(wù)應(yīng)用/數(shù)據(jù)安全抽象控制惡意代碼防范賬號認(rèn)證漏洞管理安全標(biāo)記安全審計訪問控制特殊字符過濾存儲加密數(shù)據(jù)備份殘留數(shù)據(jù)清除容災(zāi)備份Web防護(hù)數(shù)據(jù)高數(shù)據(jù)完整性校驗訪問逃逸檢測虛擬機隔離虛擬機監(jiān)控計算授權(quán)策略隨遷虛擬機鏡像加固鏡像快照/完整性校驗傳輸2.2.2新華三云計算安全區(qū)別于傳統(tǒng)的信息系統(tǒng)，在云計算環(huán)境中，邊界可信日益削弱，源自不同平面的攻擊也日趨增多。傳統(tǒng)分層面單層防御體系對確保云計算系統(tǒng)安全性顯得尤為困難，基于等級的縱深防護(hù)思想，即從通信網(wǎng)絡(luò)到區(qū)域邊界再到計算環(huán)境進(jìn)行重重防護(hù)，通過安全管理中用戶通過安全的通信網(wǎng)絡(luò)跨越安全的區(qū)域邊界以網(wǎng)絡(luò)直接訪問、API接口訪問或Web服務(wù)訪問等方式訪問安全的云計算環(huán)境。云計算環(huán)境安全包括基礎(chǔ)架構(gòu)層安全、云服務(wù)層其中基礎(chǔ)架構(gòu)層包括云計算硬件設(shè)備和虛擬化計算資源，云服務(wù)層包含云產(chǎn)品以及資源抽象控制等。云計算環(huán)境的系統(tǒng)管理、安全管理和安全審計由安全管理中心資源調(diào)度資源管理資源監(jiān)控帶外管理流量日志集中監(jiān)測運行監(jiān)測云網(wǎng)絡(luò)行為管理業(yè)務(wù)應(yīng)用/數(shù)據(jù)安全抽象控制惡意代碼防范賬號認(rèn)證漏洞管理安全標(biāo)記安全審計訪問控制特殊字符過濾存儲加密數(shù)據(jù)備份殘留數(shù)據(jù)清除容災(zāi)備份Web防護(hù)數(shù)據(jù)高數(shù)據(jù)完整性校驗訪問逃逸檢測虛擬機隔離虛擬機監(jiān)控計算授權(quán)策略隨遷虛擬機鏡像加固鏡像快照/完整性校驗傳輸入侵TPM操作系統(tǒng)安全基線雙向網(wǎng)絡(luò)設(shè)備安全基線硬件設(shè)備安全數(shù)據(jù)備份區(qū)域邊界控制流量監(jiān)控防IP/MAC/ARP欺騙安全惡意代碼檢測威脅加密檢測認(rèn)證流量檢測分析設(shè)備性能監(jiān)控劃分均衡鏈路冗余加密服務(wù)通信網(wǎng)絡(luò)設(shè)備冗余QOS策略配置物理環(huán)境物理隔離、電力保障、訪問控制、火災(zāi)檢測、視頻監(jiān)控等GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》在安全計算環(huán)境方面，主要增加了虛擬化安全、鏡像和快照安全等云計算相關(guān)的控制點，安全的云計算環(huán)境應(yīng)提供安全加固（操作系統(tǒng)、鏡像）、虛擬機隔離、雙因素身份認(rèn)證以及訪問控制、安全審計等安全措施；在安全區(qū)域邊界方面，除了傳統(tǒng)物理區(qū)域的邊界安全外，增加了虛擬網(wǎng)絡(luò)區(qū)域邊界、虛擬機與宿主機之間的區(qū)域邊界等防護(hù)安全要求，安全的云計算環(huán)境區(qū)域邊界應(yīng)提供網(wǎng)絡(luò)隔離、流量監(jiān)控、虛擬機隔離等安全措施；在安全通信網(wǎng)絡(luò)方面，在物理通信網(wǎng)絡(luò)基礎(chǔ)上增加了虛擬網(wǎng)絡(luò)通信的安全保護(hù)要求，安全的通信網(wǎng)絡(luò)應(yīng)提供區(qū)域劃分（物理網(wǎng)、虛擬網(wǎng)）、入侵檢測、設(shè)備性能（物理網(wǎng)絡(luò)設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備）監(jiān)控、東西向及南北向流量安全防護(hù)等安全措施；在安全管理中心方面應(yīng)提供資源的統(tǒng)一調(diào)度、監(jiān)控、管理以及全網(wǎng)審計日志集中收集（分析）、時間基于GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，詳細(xì)的新華三云計算安全措施與實現(xiàn)安全負(fù)載均衡設(shè)備（SLB、LLB）負(fù)載均衡設(shè)備-虛機VPC、vrouter虛擬防火墻、VPC防火墻--安全域防火墻虛機--安全域設(shè)備堆疊、鏈路冗余、智能DNSQOS策略配置IIPsec、HTTPSCloudOS證書、HttpsSDN控制器、服務(wù)器安全監(jiān)測、態(tài)勢感知（資產(chǎn)管理）、IPS、防火墻、ACG、IP/MAC綁定桌面準(zhǔn)入（EAD）、服務(wù)器安全監(jiān)測服務(wù)器安全監(jiān)測、態(tài)勢感知、IDS防火墻-IPS虛擬防火墻（防病毒模塊）HTTPS協(xié)議HTTPS協(xié)議CloudOS、堡壘機、虛擬防火墻安全測試、防火墻--IPS、WAF防火墻--IPS、WAF防火墻--IPS、亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)防火墻--IPS、亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)TPMONEStor、CAS備份功能ONEStor遷移工具M(jìn)ovesure磁盤機密、CAS完整性校驗態(tài)勢感知、H3CCAS、H3CCloudOS態(tài)勢感知、H3CCloudOSH3CSecCloudOMPH3CCloud66新華三云計算安全等級保護(hù)2.0合規(guī)新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書772.2.3新華三云計算安全能力安全技術(shù)能力是云計算系統(tǒng)安全措施作用于保護(hù)對象上形成的抵抗外部攻擊的一種防護(hù)能力，云安全措施是根據(jù)廣泛的經(jīng)驗和學(xué)識為對抗云計算系統(tǒng)面臨的威脅而采取的防護(hù)措施，有的安全措施是由云計算平臺原生，有些則是云服務(wù)商為應(yīng)對威脅而自研或由云生態(tài)合作伙伴提供。新華三云計算安全基于OpenStack接口，提供整體的安全能力集合，采用歸一化標(biāo)準(zhǔn)接口，與多種場景無縫適配，為華三云平臺或第三方云平臺提供豐富的安全服務(wù)。不同側(cè)的安全措施作用于保護(hù)對象后形成了不同的安全技術(shù)能力，在此，引入安全能力定量和變量的定義，即：定量是指云服務(wù)商不依賴于用戶選擇而原生提供的安全能力，如VCFC、安全組防火墻等。變量是指云服務(wù)商依據(jù)用戶需求，為應(yīng)對系統(tǒng)威脅而選擇性提供的安全能力，該能力既可由云服務(wù)商提供，也可由云云機房物理環(huán)境安全措施，主要包括但不限于火災(zāi)檢測、安全能力：云數(shù)據(jù)中心機房配備火災(zāi)自動報警系統(tǒng)，包括火災(zāi)自動探測器、區(qū)域報警器、集中報警器和控制器等，能夠?qū)τ诨馂?zāi)發(fā)生的部位以聲、光或電的形式發(fā)出報警信號，并啟動自安全能力：云數(shù)據(jù)中心機房的每一個負(fù)載均由兩個電源供電，兩個電源之間可以進(jìn)行切換。若電源發(fā)生故障，在其中安全能力：云數(shù)據(jù)中心的物理設(shè)備和機房的訪問要具備訪問控制，包括機房的進(jìn)出訪問控制，例如，對于進(jìn)出機房或者攜帶設(shè)備進(jìn)出機房，物理設(shè)備的配置、啟動、關(guān)機、故安全能力：云數(shù)據(jù)中心機房裝設(shè)視頻監(jiān)控系統(tǒng)或者有專人24小時值守，對通道等重要部位進(jìn)行監(jiān)視。例如，對出入通道進(jìn)行視頻監(jiān)控，同時報警設(shè)備應(yīng)該能與視頻監(jiān)控系統(tǒng)或者出入口控制安全措施：智能DNS、設(shè)備高可用安全能力：網(wǎng)絡(luò)架構(gòu)從接入層到匯聚層，實現(xiàn)節(jié)點冗余和鏈路LLB負(fù)載分擔(dān)，在滿足帶寬收斂和保證業(yè)務(wù)性能同時滿足整個業(yè)務(wù)系統(tǒng)的高可用；H3C云計算在組網(wǎng)時防火墻通過堆疊的形式，交換機通過M-LAG的方式，服務(wù)器通過集群的方式，保證基礎(chǔ)設(shè)施設(shè)備高可用；負(fù)載均衡設(shè)備提供智能DNS服務(wù)，保證網(wǎng)路鏈路絡(luò)環(huán)境，實現(xiàn)不同云服務(wù)客戶間的網(wǎng)絡(luò)資源的隔離；同一VPC內(nèi)通過虛擬防火墻進(jìn)行安全域隔離；不同VPC間部署虛擬防火墻，通過VRF進(jìn)行路由隔離，部署虛擬防火墻進(jìn)行訪問控制，實現(xiàn)不同VPC間隔離；虛擬防火墻能夠幫助用戶實現(xiàn)3）安全區(qū)域邊界安全能力：H3CCloudOS、H3CCAS、H3CSecCloudOMP等管理平臺的鑒郵件驗證碼兩種身份鑒別方式；新華三云計算系列產(chǎn)品均允許被堡壘機接管，且可配置僅允許堡壘機訪問，在堡壘機側(cè)通過用戶名、口令+USBKey的認(rèn)證方式，實現(xiàn)用戶雙因素身份鑒別。安全能力：H3C能夠為用戶提供主流的操作系統(tǒng)鏡像，對鏡像基于安全基線進(jìn)行加固，安裝防惡意代碼軟件、服務(wù)安全能力：新華三云計算環(huán)境中防火墻采用堆疊的形式、交換機通過M-LAG的形式、服務(wù)器側(cè)采用虛擬機、存儲側(cè)安全能力：H3C態(tài)勢感知系統(tǒng)支持全網(wǎng)全流量的監(jiān)測，能夠?qū)λ械木W(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、虛擬機進(jìn)行集中監(jiān)測；H3CCloud、H3CSecCloudOMP管理平臺為云平臺側(cè)和云服務(wù)客戶側(cè)分別分配賬戶，可對兩側(cè)各自2.2.4能力矩陣模型安全技術(shù)能力是云計算系統(tǒng)安全措施作用于保護(hù)對象上形成的抵抗外部攻擊的一種防護(hù)能力，構(gòu)建SMO（safetymeasure-object）矩陣模型：保護(hù)對象1保護(hù)對象1……保護(hù)對象m安全措施1√√安全措施3√√√……√√√安全措施n√√√其中，“√”表示安全措施在保護(hù)對象上能夠起到相應(yīng)的安全作根據(jù)不同的安全措施作用于不同的保護(hù)對象形成的安全能力，構(gòu)建SCMO（safetycapability&measure-object）保護(hù)對象1保護(hù)對象1……保護(hù)對象m安全措施11—0—安全措施3-10—-1……—110安全措施n0—-1-1其中，“0”表示云平臺原生安全措施作用于保護(hù)對象后提供的安全能力，在云平臺交付時，默認(rèn)交付；“1”表示云平臺提供的安全能力，在云平臺交付時，用戶根據(jù)業(yè)務(wù)需求，考慮系統(tǒng)所面臨的威脅，需按需購買，“-1”表示根據(jù)業(yè)務(wù)需求，用戶自行部署安全產(chǎn)品或安全加固后所形成的安全能力；此處0為定量，1和-1為變量，“—”表示安全措施無2.2.5新華三云計算等保2.0合規(guī)能力模型H3C云計算平臺融合H3CSecCloudOMP安全云管理平臺，H3CSecCloudOMP除為新華三云計算平臺提供安型分析新華三云計算平臺所擁有的原生安全措施以及為應(yīng)對可能面臨的威脅而建設(shè)的安全防護(hù)措施，并根據(jù)SCMO模型分析安全云安全措施作用于保護(hù)對象之后所形成的安全技術(shù)能力，最后對標(biāo)安全云云平臺安全技術(shù)能力與《網(wǎng)絡(luò)安全等級88新華三云計算安全等級保護(hù)2.0合規(guī)新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書99確定形成原生應(yīng)用作用滿足安全合規(guī)能力/能力云計算環(huán)境保護(hù)對象安全合技術(shù)能力識別分析SECaaS云服務(wù)客戶業(yè)務(wù)系統(tǒng)安全措施H3C云計算平臺威脅確定形成原生應(yīng)用作用滿足安全合規(guī)能力/能力云計算環(huán)境保護(hù)對象安全合技術(shù)能力識別分析SECaaS云服務(wù)客戶業(yè)務(wù)系統(tǒng)安全措施H3C云計算平臺威脅保護(hù)2.0基本要求》間的差距，分析安全云云平臺的合規(guī)情況，構(gòu)建安全云等保2.0合規(guī)能力模型（圖2.4脆弱性利用加固圖2.4新華三云計算安全網(wǎng)絡(luò)安全等級保護(hù)2此外，通過合規(guī)能力模型的評估，可識別當(dāng)前安全云和云計算平臺/系統(tǒng)所面臨的脆弱性，便于對整個云計算環(huán)境進(jìn)2.新華三云計算等保2.0評估方法根據(jù)模型，識別保護(hù)對象、安全措施，分析得到安全云安全技術(shù)能力，對標(biāo)網(wǎng)絡(luò)安全等級保護(hù)2.0基本要求測評項，進(jìn)行安全合規(guī)性評估，如圖2.5，對于不符合項，可識別安全云云平臺脆弱性，及時作出相應(yīng)的加固，增強抵御風(fēng)險的防圖2.5新華三云計算平臺網(wǎng)絡(luò)安全等級保護(hù)2.0第3章新華三云計算安全等級保護(hù)2.0合規(guī)狀況3.1新華三云計算安全概述3.1.1新華三云計算安全背景概述數(shù)字經(jīng)濟浪潮席卷全球，企業(yè)和國家需要對其所在的行業(yè)數(shù)字化轉(zhuǎn)型需求進(jìn)行洞察與實踐。中國數(shù)字化時代充滿機遇和挑戰(zhàn)，科技革新和消費者的需求傾向轉(zhuǎn)變正在改變著每個行業(yè)并影響著我們的工作方式和商業(yè)模式。在此過程中，我們對數(shù)字化的依賴越來越強，同時，數(shù)字化轉(zhuǎn)型也對網(wǎng)絡(luò)安全架構(gòu)提出了更高的要求。在數(shù)字化轉(zhuǎn)型的過程中，IT架構(gòu)也正在發(fā)生著巨大的變化，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)的涌現(xiàn)，讓割裂分散的傳統(tǒng)IT架構(gòu)向集IT架構(gòu)快速轉(zhuǎn)型。網(wǎng)絡(luò)邊界的模糊以及業(yè)務(wù)資源的整合與再分配都對網(wǎng)絡(luò)安傳統(tǒng)煙囪式的建設(shè)模式，每個業(yè)務(wù)系統(tǒng)擁有獨立的安全防護(hù)設(shè)備，業(yè)務(wù)系統(tǒng)規(guī)模較小，網(wǎng)絡(luò)結(jié)構(gòu)簡單，各個系統(tǒng)間邊界清晰，資源獨立，安全運維也相對簡單。在數(shù)字化時代，數(shù)據(jù)大集中帶來業(yè)務(wù)系統(tǒng)規(guī)模的激增，云計算技術(shù)的大規(guī)模應(yīng)用以及租戶的出現(xiàn)，使得網(wǎng)絡(luò)邊界完全被打破，業(yè)務(wù)資源池化，原有碎片化的安全架構(gòu)已完全不能夠適應(yīng)業(yè)務(wù)架構(gòu)的融合與擴張。海量業(yè)務(wù)在上線過程中，安全系統(tǒng)的部署會由于訪問量和應(yīng)用的多樣性成為最大的瓶頸。企業(yè)如何差異化實現(xiàn)業(yè)云計算成為近十年來成長最快的一種IT技術(shù)，但是隨之而來的也有很多問題，比如安全問題。對于企業(yè)來說，安全是個不可逃避的話題。隨著云計算技術(shù)的大規(guī)模應(yīng)用，使得網(wǎng)絡(luò)邊界完全被打破，呈現(xiàn)出網(wǎng)絡(luò)虛擬化、服務(wù)資源池化、服云計算場景下，如何有效部署安全系統(tǒng)成為各企業(yè)數(shù)字化轉(zhuǎn)型過程中的重要課題。云計算網(wǎng)絡(luò)安全體系的三個核心需求：安全能力的快速部署、安全能力的差異化部署及安全狀態(tài)的可視化。其根本是降低云計算網(wǎng)絡(luò)安全運維的復(fù)雜度，提為了解決上述問題，H3C推出了一款全新設(shè)計的適用于云計算網(wǎng)絡(luò)的云安全服務(wù)管理平臺—H3CSecCloudOMP安全云管理平臺（簡稱：安全云管平臺）。安全云管平臺從邏輯控制層的角度出發(fā)，屏蔽底層技術(shù)細(xì)節(jié)，將繁瑣的安全業(yè)務(wù)重新進(jìn)行定義，基于用戶業(yè)務(wù)角度為其提供抽象的各類安全能力的服務(wù)化配置和管理。安全云管平臺基于OpenStack架構(gòu)，與H3CCloudOS、H3CCAS虛擬化平臺、VCFC完美融合，為用戶提供高效的安全資源管理能力，同時為用戶3.1.2新華三云計算安全特點1.極簡的配置邏輯安全云管平臺從用戶出發(fā)，提供一套極簡的配置邏輯，防護(hù)對象一次配置，多種安全服務(wù)均可引用，僅通過簡單操作2.豐富的服務(wù)目錄安全云管平臺可以為用戶提供豐富的安全服務(wù)目錄，用戶可以根據(jù)自身需求定制安全服務(wù)列表，包括安全服務(wù)類型、服務(wù)內(nèi)容、服務(wù)規(guī)格、服務(wù)周期等內(nèi)容。安全云管平臺從用戶業(yè)務(wù)角度出發(fā)，屏蔽安全服務(wù)底層技術(shù)細(xì)節(jié)，為用戶提供簡●防火墻服務(wù)●入侵檢測服務(wù)（IPS）●病毒防護(hù)服務(wù)●抗DDoS服務(wù)●WEB應(yīng)用防護(hù)服務(wù)●負(fù)載均衡服務(wù)●地址轉(zhuǎn)換服務(wù)（NAT）●VPN服務(wù)●應(yīng)用監(jiān)控服務(wù)●漏洞掃描服務(wù)●態(tài)勢感知服務(wù)●運維審計服務(wù)●數(shù)據(jù)庫審計服務(wù)新華三云計算安全等級保護(hù)2.0合規(guī)新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書3.統(tǒng)一化配置界面統(tǒng)一的界面，各安全服務(wù)風(fēng)格統(tǒng)一，真正的做到所見即所得，各安全服務(wù)的開通配置具有共通性，之間沒有壁壘，用4.自動化業(yè)務(wù)部署業(yè)務(wù)部署編排的自動化，實現(xiàn)端到端的業(yè)務(wù)自動化部署，當(dāng)用戶創(chuàng)建安全服務(wù)時，安全云管平臺會自動分析云環(huán)境中各相關(guān)組件信息，自動關(guān)聯(lián)業(yè)務(wù)地址，做到租戶對網(wǎng)絡(luò)部署無感知，僅需要點擊開通安全服務(wù)，而無需再登錄到各設(shè)備上5.智能化運維管理為了簡化系統(tǒng)運維，提高運維效率，安全云管平臺采用大數(shù)據(jù)分析技術(shù)，從不同角度、不同維度向用戶展示云計算網(wǎng)絡(luò)云安全服務(wù)信息，包括服務(wù)狀態(tài)統(tǒng)計、服務(wù)資源統(tǒng)計、告警事件統(tǒng)計、用戶賬戶信息、服務(wù)費用統(tǒng)計、工單統(tǒng)計、安全態(tài)勢信息等，并提供各種可視化的操作界面，使得管理員輕松運維管理云計算網(wǎng)絡(luò)云安全服務(wù)，及時清晰掌握云安全服務(wù)6.可視化運營分析安全云管平臺同時也是一個安全資源的運營平臺，在分發(fā)安全資源同時，提供了強大的運營管理功能，管理員通過運營分析能夠?qū)Π踩?wù)運營情況了如指掌，不僅可以了解每個月的營收和各安全服務(wù)收入情況，還可看到各租戶詳細(xì)的消費情況，從而達(dá)到協(xié)助管理員合理申請服務(wù)資7.訂單化服務(wù)管理享受到云計算平臺提供的安全服務(wù)能力，真正8.標(biāo)準(zhǔn)化流程管理安全云管平臺通過流程化管理，幫助云管理員建立標(biāo)準(zhǔn)的、系統(tǒng)化的云安全服務(wù)運營管理流程，保障云服務(wù)提供商為●訂單服務(wù)流程化管理：云租戶在線申請訂購云安全服務(wù)，系統(tǒng)管理員后臺在●云安全服務(wù)功能流程化管理：云租戶在線申請云安全服務(wù)功能，系統(tǒng)管理員后●安全云管平臺工單運維流程化管理：云租戶在線提交工單，系統(tǒng)管●安全云管平臺-消息流程化管理：云管理員在線發(fā)布消息，云租戶實時獲取通知。9.歸一化標(biāo)準(zhǔn)接口安全云管平臺不僅支持OpenStackNeutron組件定義的FWaaS、LBaaS、VPNaaS、NAT標(biāo)準(zhǔn)接口對接安全服務(wù)，同時還創(chuàng)新性的拓展了Neutron組件支持的安全服務(wù)的范圍，率先基于OpenStack標(biāo)準(zhǔn)定義了更多應(yīng)用安全服務(wù)接口，包括：DDoSaaS、IPSaaS、AVaaS、SSLVPNaaS、WAFaaS、OAaaS、SCANaaS、DBAaaS，未來還會根據(jù)云計算網(wǎng)絡(luò)安全需求繼續(xù)更新和擴展新的安全服務(wù)接口。通過支持OpenStack標(biāo)準(zhǔn)的和擴展的安全服務(wù)接口，安全云管平臺不僅可以和H3C自有的安全產(chǎn)品對接，還可以和第三方安全產(chǎn)品對接，極大地提高了安全云管平臺的服務(wù)能力和適用安全云管平臺基于OpenStack標(biāo)準(zhǔn)提供北向API接口，不僅可以和H3CCloudOS深度集成，也可以與第三方云3.2新華三云計算架構(gòu)3.2.1新華三云計算整體架構(gòu)分布式存儲產(chǎn)品為基礎(chǔ)，一套體系支撐所有服務(wù)，提供完整的云計算平臺，具備完善的電信級服務(wù)特性、完善的災(zāi)備解決通過將物理服務(wù)器以及網(wǎng)絡(luò)設(shè)備虛擬化成虛擬計算、分布式存儲和軟件定義網(wǎng)絡(luò)，并在此基礎(chǔ)上提供云數(shù)據(jù)庫、云防火墻、云負(fù)載均衡、鏡像倉庫、大數(shù)據(jù)、AI服務(wù)，為用戶的應(yīng)用系統(tǒng)提供IT基礎(chǔ)服務(wù)的支撐能力，同時可以和用戶現(xiàn)有●基礎(chǔ)設(shè)施層：主要包括用于云計算的物理機房、服務(wù)器、網(wǎng)絡(luò)等硬件設(shè)施?！裉摂M化層：基于新華三自研的虛擬化和云計算管理軟件H3CCAS，滿足電信級性能及可靠性要求的虛擬化內(nèi)核，支持融合交付計算、存儲、網(wǎng)絡(luò)、安全虛擬化資源，包括CVK虛擬化內(nèi)核系統(tǒng)、CVM虛擬化管理平臺。●云管理層：為上層應(yīng)用或服務(wù)等提供統(tǒng)一的調(diào)度，包括H3CCloudOS、H3CCIC云業(yè)務(wù)管理中心及H3C●云服務(wù)與接口層：通過開放的API平臺，統(tǒng)一接口并支持定制化開發(fā)。●全棧的安全支撐、可靠性和業(yè)務(wù)持續(xù)性的保障（H3CCloudOS安全組和H3CSecCloudOMP）?！裨品?wù)與接口層：通過開放的API平臺，統(tǒng)一接口并支持定制化開發(fā)?！袢珬５陌踩?、可靠性和業(yè)務(wù)持續(xù)性的保障（H3CCloudOS安全組和H3CSecCloudOMP）。I新華三云計算安全等級保護(hù)2.0合規(guī)能新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書I3.2.2新華三云計算網(wǎng)絡(luò)基礎(chǔ)架構(gòu)互聯(lián)網(wǎng)接入?yún)^(qū)：業(yè)務(wù)服務(wù)區(qū)的外延網(wǎng)絡(luò)，提供用戶業(yè)務(wù)服務(wù)區(qū)：該區(qū)域提供所有云業(yè)務(wù)的網(wǎng)絡(luò)承載，各個云服務(wù)客戶業(yè)務(wù)系統(tǒng)的內(nèi)部流量交互在該區(qū)域內(nèi)完成，此部分安全管理區(qū)域：新華三云計算管理流量與業(yè)務(wù)流量分離，單獨劃分獨立的管理網(wǎng)絡(luò)，部署各類平臺管理軟件和安全管H3CSecCloudOMP云安全管理平臺是云管理平臺的擴展組件，可直接部署于云管理平臺環(huán)境中，實現(xiàn)云管理平臺對安全資源納管能力的擴展。通過安全云組件可對租戶的安全能力進(jìn)行按需分配和策略管理，同時安全云還可以結(jié)合高效運維，智能運營等業(yè)務(wù)場景，幫助用戶全方位的掌控云內(nèi)安全情況。配備安全防護(hù)資源池、安全檢查資源池、安全管理資源池等多種資源池，可以為業(yè)務(wù)云平臺提供安全服務(wù)。安全防護(hù)資源池主要有中高端硬件防火墻和負(fù)載均衡設(shè)備形成硬件虛擬化資源池，以及硬件或NFV形態(tài)的Web應(yīng)用防護(hù)產(chǎn)品形成WAF資源池提供南北向的安全防護(hù)和東西向的防護(hù)。安全檢測資源池：以NFV形態(tài)為主的數(shù)據(jù)庫審計、數(shù)據(jù)防泄漏系統(tǒng)、流量分析引擎、APT產(chǎn)品組成深度檢測資源池，提供1.安全管理資源池方案設(shè)計在核心交換層面，以硬件設(shè)備或平臺組件的形式，提供運維安全管控系統(tǒng)，通過引入基于4A認(rèn)證機制的運維安全建設(shè)體系，做到從內(nèi)部控制、規(guī)范運維流程，劃分來自平臺運維人員、第三方廠商運維人員的訪問管理權(quán)限，提高對運維人員的行為審計力度與精細(xì)程度，對于重要數(shù)據(jù)和服務(wù)需要有雙人共管、二次授權(quán)等訪問模式，避免由于部分設(shè)備認(rèn)證方式弱、安全審計不足等風(fēng)險引起的運維安全風(fēng)險。運維安全管控系統(tǒng)解決方案如圖3.3所示。運維安全管控系統(tǒng)部署在提供運維服務(wù)設(shè)備的訪問路徑上，通過路由器或者交換機的訪問控制策略限定只能由其直接訪問設(shè)備的遠(yuǎn)程維護(hù)端口（如行運維工作時，首先以WEB方式登錄運維管理員管控系統(tǒng)，然后通過系統(tǒng)展現(xiàn)的運維訪問資源列表。OracleOracle其中web漏掃主要面向?qū)eb服務(wù)器漏洞進(jìn)行發(fā)現(xiàn)和掃描，系統(tǒng)漏掃和數(shù)據(jù)庫漏掃主要針對內(nèi)部服務(wù)器區(qū)的重要應(yīng)用和將檢測的點覆蓋到每一臺服務(wù)器，由點到面展開，可有效檢測內(nèi)部橫向蔓延；自內(nèi)而外基于真實環(huán)境的惡意行為檢測，比主機側(cè)風(fēng)險感知：主機安全解決方案會主動、持續(xù)性地監(jiān)控所有主機上的軟件漏洞、弱密碼、應(yīng)用風(fēng)險、資產(chǎn)暴露性風(fēng)險等，并結(jié)合資產(chǎn)的重要程度進(jìn)行風(fēng)險分析，準(zhǔn)確定位最急需處理的風(fēng)險。為決策者動態(tài)展示主機安全指標(biāo)變化、安全走勢分析，使安全狀況的改進(jìn)清晰可衡量；為安全運維人員實時展示風(fēng)險分析結(jié)果、風(fēng)險處理進(jìn)度，提供專業(yè)可視化的風(fēng)險分析報告，使安全管理人員的工作價值得到可視化呈現(xiàn)。主機安全解決方案將視角從了解黑客的攻擊方式，轉(zhuǎn)化成對內(nèi)在指標(biāo)的持續(xù)監(jiān)控和分析，無論多么高級的黑客其攻擊行為都會觸發(fā)主機安全基線：主機安全基線管理解決方案通過自動化檢查，節(jié)省傳統(tǒng)的手動單點安全配置檢查的時間，并避免傳統(tǒng)支持基線一鍵檢測可用于等級保護(hù)等合規(guī)性檢查：在等級保護(hù)檢查、測評、整改工作過程中，對服務(wù)器系統(tǒng)進(jìn)行對應(yīng)級別的安全風(fēng)險檢查是運營人員的必要工作。新華三專家對國家等級保護(hù)規(guī)范進(jìn)行了細(xì)化整理，把相關(guān)技術(shù)要求落實到合規(guī)基I新華三云計算安全等級保護(hù)2.0合規(guī)能新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書I管理；獨特的主機發(fā)現(xiàn)系統(tǒng)，隨時發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境內(nèi)沒有納入安全保護(hù)的主機，確保安全覆蓋無死角。系統(tǒng)將保持對資產(chǎn)持發(fā)生變化時，將提供實時或定時通知，實現(xiàn)資產(chǎn)動態(tài)保護(hù)和通用安全檢查規(guī)范與安全事件的數(shù)據(jù)需求，形成細(xì)粒度資產(chǎn)清如2009年的特種木馬，將規(guī)則融入到入侵檢測系統(tǒng)。通過特征、沙箱，正則等不同技術(shù)手段發(fā)現(xiàn)惡意進(jìn)程和文件。動態(tài)與傳統(tǒng)的被動掃描相比，主機層面的檢測是主動的監(jiān)控進(jìn)程創(chuàng)建行為。再通過主機級別威脅情報聯(lián)動，文件、dns、4）態(tài)勢感知系統(tǒng)a)安全事件分析●基于策略的事件分析系統(tǒng)可為用戶在進(jìn)行安全事件的實時分析和歷史分析的時候提供基于策略的安全事件分析過程。用戶可以通過事件分析策略對全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細(xì)粒度的實時監(jiān)測、統(tǒng)計分析、查詢、調(diào)查、追溯、地圖定位、●事件關(guān)聯(lián)分析系統(tǒng)支持建立單事件規(guī)則和多事件規(guī)則，實現(xiàn)單事件關(guān)聯(lián)和多事件關(guān)聯(lián)，單事件關(guān)聯(lián)：通過單事件關(guān)聯(lián)，系統(tǒng)可以對符合單一規(guī)則的事件流進(jìn)行規(guī)則匹配；多事件關(guān)聯(lián)：通過多事件關(guān)聯(lián)，系統(tǒng)可以對符合多個規(guī)則（稱作組合規(guī)則）的事件流進(jìn)行復(fù)雜事件規(guī)則匹配。實時關(guān)聯(lián)和歷史關(guān)聯(lián)，實時關(guān)聯(lián)：對當(dāng)前正在發(fā)生的事件進(jìn)行規(guī)則關(guān)聯(lián)分析；歷史關(guān)聯(lián)：對已●流安全分析流分布可視化分析：通過對流信息的統(tǒng)計分析，以可視化的方式展示特定網(wǎng)絡(luò)訪問關(guān)系下的流量信息，譬如重要業(yè)務(wù)系統(tǒng)或者服務(wù)器的進(jìn)出流量、各協(xié)議流量分布和流量流行為合規(guī)性分析：系統(tǒng)采用基于黑白灰規(guī)則集的模式進(jìn)行流行為合規(guī)性分析，幫助用戶識別違規(guī)流行為。流行為可以看作網(wǎng)絡(luò)中IP/業(yè)務(wù)系統(tǒng)/安全域之間，一段時間內(nèi)的相互網(wǎng)絡(luò)連接關(guān)系的集合。流行為合規(guī)分析就是判定網(wǎng)絡(luò)節(jié)點間流行為異常檢測：通過對流行為輪廓的分析，有助于實現(xiàn)對未知攻擊行為的輔助研判。系統(tǒng)可以幫助用戶識別網(wǎng)絡(luò)中的異常行為，例如在一臺應(yīng)用服務(wù)器上發(fā)現(xiàn)FTP服務(wù)且有大量數(shù)據(jù)外傳、某臺HTTP服務(wù)器的404錯誤驟增、來自罕見源地址的訪問、罕見的訪問協(xié)議、超量的SSH2數(shù)據(jù)外傳、隱藏IP使用，等等。此外，通過對海量的、大時間跨度的流流與安全事件的協(xié)同分析：通過將流安全分析技術(shù)與安全事件分析技術(shù)有機地整合到一起，系統(tǒng)能夠?qū)崿F(xiàn)從關(guān)聯(lián)告警事件到原始事件的鉆取，再到原始事件發(fā)生時段的原始流信息的回溯分析，甚至到原始包數(shù)據(jù)的回溯，譬如僵尸網(wǎng)絡(luò)心跳連接、DNS異常，等等。通過各類引擎將全網(wǎng)鏡像復(fù)制的流量進(jìn)行統(tǒng)一匯總和分析后，各檢測引擎將檢測結(jié)果發(fā)送到態(tài)勢感知平臺進(jìn)行各類事●風(fēng)險情報管理對來自于網(wǎng)絡(luò)、安全、操作系統(tǒng)、數(shù)據(jù)庫、存儲等設(shè)施的安全信息與事件進(jìn)行分析，采用數(shù)據(jù)挖掘技術(shù)，發(fā)現(xiàn)隱藏的●安全資源管控可針對下一代防火墻、IPS、負(fù)載均衡等網(wǎng)絡(luò)設(shè)備實現(xiàn)應(yīng)用安全風(fēng)險的精細(xì)化管理，同時支持實時風(fēng)險聯(lián)動策略，能夠根據(jù)預(yù)先制定的策略快速自動響應(yīng)，使管理員能夠輕松應(yīng)對突發(fā)安全事件，保障業(yè)務(wù)●業(yè)務(wù)風(fēng)險可視化提供端到端攻擊路徑拓?fù)湔故?，結(jié)合詳細(xì)的上下文信息實現(xiàn)c)安全資產(chǎn)維護(hù)支持服務(wù)器、網(wǎng)絡(luò)、安全、應(yīng)用等類型資產(chǎn)的信息錄入和維護(hù)，資產(chǎn)信息包含服務(wù)器的位置、序列號、軟硬件版本、監(jiān)視各類應(yīng)用的性能和可用性相關(guān)的關(guān)鍵指標(biāo)，比如，針對Oracle數(shù)據(jù)庫，支持查詢端口狀態(tài)、數(shù)據(jù)庫版本、可用應(yīng)用監(jiān)控是作為安全監(jiān)控的輔助，可以提供應(yīng)用健康狀態(tài)的監(jiān)控，如健康狀態(tài)欠佳，則可以查看根因。有別于IT運維管理，安全管理中對應(yīng)用的監(jiān)控是重在與安全風(fēng)險的關(guān)系上：監(jiān)控數(shù)據(jù)除了可關(guān)聯(lián)到業(yè)務(wù)風(fēng)險監(jiān)控中，也可用于事件級●Windows服務(wù)器●Unix服務(wù)器（AIX、Solaris、MacOS、HP-UX、FreeBSD等）●Linux服務(wù)器（Redhat、CentOS、Suse等）I新華三云計算安全等級保護(hù)2.0合規(guī)能新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書I●數(shù)據(jù)庫（Oracle、MS-SQL、MYSQL、Sybase、DB2、PostgreSQL、Informix、達(dá)夢數(shù)據(jù)庫等）●應(yīng)用服務(wù)器（.Net、Jboss、Tomcat、WebLogic、WebSphere、GlassFish、Jetty）●Web服務(wù)器（Apache、IIS等）●郵件服務(wù)器（Exchange等）●中間件（OfficeSharePoint、WebSphereMQ、ActiveMQ、Tonglink/Q）●LotusDomino、LDAP、SAP、Lync●虛擬化軟件（VMware、Hyper-V、KVM、Xen）e)實時攻擊分析●實時威脅監(jiān)控動態(tài)展示最新發(fā)生的攻擊事件以及攻擊行為，并統(tǒng)計攻擊源、攻擊目的TOPN信息。通過該頁面使企業(yè)面臨的攻擊●整網(wǎng)安全態(tài)勢實時監(jiān)控同時提供業(yè)務(wù)風(fēng)險雷達(dá)，將各個業(yè)務(wù)面臨的風(fēng)險狀況在雷達(dá)中體現(xiàn)出來。整網(wǎng)安全態(tài)勢實時監(jiān)控用來幫助管理員直觀地了●實時事件列表實時事件列表列出了最近一小時內(nèi)的攻擊事件，詳細(xì)展示了最近一小時內(nèi)的攻擊事件，詳細(xì)給出了事件包含的具體內(nèi)協(xié)議、源用戶、源IP、目的用戶、目的IP的查詢條件，方便管理員快速的查詢到需要的攻擊事件信息。另外，該頁面支●攻擊拓?fù)渌菰椿趶姶蟮耐負(fù)湟?，計算攻擊源到目的端到端路徑，對攻擊進(jìn)行網(wǎng)絡(luò)路徑角度的可視化呈現(xiàn)，管理員可參考并實施2.安全防護(hù)資源池在云計算平臺邊界進(jìn)行多層防御，采用防火墻硬件設(shè)備實現(xiàn)服務(wù)器區(qū)和網(wǎng)絡(luò)接入?yún)^(qū)域的邊界隔離，以幫助保護(hù)網(wǎng)絡(luò)邊界面臨的外部攻擊；在區(qū)域邊界，只允許被授權(quán)的服務(wù)和協(xié)議傳輸，未經(jīng)授權(quán)的數(shù)據(jù)包將被自動丟棄，依據(jù)最小化訪問控●控制網(wǎng)絡(luò)流量和邊界，使用標(biāo)準(zhǔn)的網(wǎng)絡(luò)ACL技術(shù)對網(wǎng)絡(luò)進(jìn)行隔離；●網(wǎng)絡(luò)ACL策略的管理包括變更管理、同行業(yè)審計和自動測試；●通過自定義的前端服務(wù)器定向所有外部流量的路由，可幫助檢測和禁止惡意的請求。依托平臺內(nèi)的硬件防火墻和虛擬防火墻組件，實現(xiàn)對南北向、東西向網(wǎng)絡(luò)入侵事件的檢測，并通過與訪問控制策略與流量控制策略聯(lián)動，實現(xiàn)符合國家規(guī)定的安全檢測機制，實現(xiàn)網(wǎng)絡(luò)層面上針對平臺業(yè)務(wù)區(qū)的自動入侵防御和分析，提高系是一種檢測未知威脅的新型技術(shù)，通過不斷收集歷史流量數(shù)據(jù)，建立流量和行為模型的一種“動態(tài)檢測”技術(shù)，有別于基網(wǎng)絡(luò)入侵防御模塊內(nèi)置統(tǒng)計智能學(xué)習(xí)算法，對新建連接數(shù)、并發(fā)連接數(shù)、流量等數(shù)據(jù)智能學(xué)習(xí)；監(jiān)控對象包括：源IP、目的IP，地址對象支持主機地址、子網(wǎng)地址、范圍地址等。對新型威脅做出判斷和預(yù)警，在其發(fā)生破壞之前阻斷或者控制它。異常行為分析技術(shù)的出現(xiàn)可以很好地彌補這一“傳統(tǒng)設(shè)備”的缺陷，對阻斷和防范新型威脅發(fā)生有效的作用。云平臺的網(wǎng)絡(luò)防病毒與云主機的防病毒軟件不同，主要是用來分析由外部進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包，對其中的惡意代碼進(jìn)行查殺，使得病毒在未感染到云主機時，就可以過濾掉這些攻擊數(shù)據(jù)云平臺的防火墻系統(tǒng)建設(shè)中，內(nèi)置防病毒模塊，可以從流量上對SMTP、POP3、IMAP、HTTP和FTP等應(yīng)用協(xié)議進(jìn)行病毒掃描和過濾，并同惡意代碼特征庫進(jìn)行匹配，對符合規(guī)則的病毒、木馬、蠕蟲以及移動代碼進(jìn)行過濾、清除或云攻擊目前主要是指利用云平臺通過虛擬化技術(shù)定義出的網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用存在的漏洞和安全缺陷對網(wǎng)絡(luò)資源的●基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等協(xié)議的DDOS攻擊防護(hù)；4）VPN遠(yuǎn)程安全訪問隨著云平臺內(nèi)各業(yè)務(wù)系統(tǒng)規(guī)模變大，各部門資源信息的整合，來自于公共側(cè)的訪問壓力越來越大，需要云平臺內(nèi)部各業(yè)務(wù)區(qū)具備一定的高并發(fā)、高業(yè)務(wù)連續(xù)性的應(yīng)用交付能力。在如今越來越大的訪問壓力下，關(guān)鍵業(yè)務(wù)交付能力遲遲無法同步提升。同時，多運營商鏈路接入問題，也是作為平因此，本方案設(shè)計采用基于智能DNS的多運營商鏈路接入設(shè)計，通過鏈路負(fù)載均衡，實現(xiàn)提供足夠的網(wǎng)絡(luò)帶寬并且●保證WEB網(wǎng)站不間斷服務(wù)，保證應(yīng)用的可靠性；I新華三云計算安全等級保護(hù)2.0合規(guī)能新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書I●通過鏈路負(fù)載均衡，保證各業(yè)務(wù)系統(tǒng)用戶能夠部署web應(yīng)用防火墻，提供web應(yīng)用安全防護(hù)能力，防止web服務(wù)攻擊。主要針對Web服務(wù)器進(jìn)行HTTP/HTTPS流量分析，防護(hù)以Web應(yīng)用程序漏洞為目標(biāo)的攻擊，并針對Web應(yīng)用訪問各方面進(jìn)行優(yōu)化，以提高Web或網(wǎng)通過防火墻與SDN控制器的深度融合，形成東西向安全服務(wù)鏈，可對VPC內(nèi)部業(yè)務(wù)進(jìn)行區(qū)域劃分和網(wǎng)絡(luò)隔離，同3.安全檢測資源池基于安全檢測需求，配置高性能的TAP產(chǎn)品對重要的網(wǎng)絡(luò)節(jié)點鏡像的流量進(jìn)行采集和復(fù)制，同時針對多個萬兆的入向流量進(jìn)行HASH分流，把流量均衡分散到多個出接口，轉(zhuǎn)發(fā)送入后臺的各類安全引擎，維持同源同宿，保證用戶數(shù)據(jù)和會話的完整性。通過五元組過濾規(guī)則以及特征碼過濾規(guī)則對某項業(yè)務(wù)流量或協(xié)議進(jìn)行數(shù)據(jù)包的過濾和多重復(fù)制，分發(fā)到不數(shù)據(jù)庫審計系統(tǒng)通過全面記錄對數(shù)據(jù)庫服務(wù)器的連接情況，記錄會話相關(guān)的各種信息和原始SQL語句。如：來源計其中包括標(biāo)準(zhǔn)TCP/IP協(xié)議、本地環(huán)回TCP/IP協(xié)議、通過SSH、TELNET遠(yuǎn)程連接數(shù)據(jù)庫進(jìn)行的數(shù)據(jù)庫操作。通過設(shè)計審計系統(tǒng)開啟雙向?qū)徲嫷墓δ埽粌H可以審計應(yīng)用服務(wù)器對數(shù)據(jù)庫服務(wù)器的訪問流量，對數(shù)據(jù)庫服務(wù)器針對數(shù)據(jù)庫安全審計可以對不同的風(fēng)險設(shè)置不同的風(fēng)險報警方案，同時可以針對不同風(fēng)險、新SQL、訪問規(guī)則違規(guī)、數(shù)據(jù)庫服務(wù)器狀態(tài)異常、審計系統(tǒng)服務(wù)器狀態(tài)異常、緩沖區(qū)溢出攻擊、SQL注入攻擊等報警，報警方式有：短信、郵件、FTP、SYSLOG、SNMP等報警方式。以深度內(nèi)容識別技術(shù)為核心，提供完整的數(shù)據(jù)防泄漏防護(hù)，全面保障云平臺在數(shù)據(jù)傳輸和使用過程中，發(fā)現(xiàn)并監(jiān)控敏感數(shù)據(jù)，確保敏感數(shù)據(jù)的合規(guī)使用，防止主動或意外的數(shù)據(jù)泄漏。并通過對敏感數(shù)據(jù)的使用行為、安全事件、策略執(zhí)行記錄等內(nèi)容的審計分析，為數(shù)據(jù)安全管理工作提供技術(shù)支持。達(dá)到敏感數(shù)據(jù)利用的事前、事中、事后完整保護(hù)，實現(xiàn)數(shù)據(jù)的合規(guī)使用，同時檢測主動或意外的數(shù)據(jù)泄漏，保4）未知威脅檢測未知威脅檢測系統(tǒng)利用大數(shù)據(jù)技術(shù)結(jié)合威脅情報針對高級威脅攻擊進(jìn)行檢測，通過建立本地重點流量采集、存儲、分析平臺，結(jié)合云端威脅情報，全面監(jiān)測單位發(fā)生高級威脅事件，并對未知攻擊事件進(jìn)行溯源。利用威脅情報，能夠?qū)W(wǎng)絡(luò)中的威脅事件進(jìn)行發(fā)現(xiàn)和告警，可從威脅事件視圖、受害主機視圖、受害服務(wù)器視圖或受害用戶視圖的角度分別展示高級威脅攻擊態(tài)勢，對整體攻擊有全面性的認(rèn)識。同時，針對高級威脅事件可以展示威脅發(fā)生時間、攻擊類型、受害IP、攻擊IP、資產(chǎn)狀態(tài)、攻擊組織、威脅等級等信息。支持對DNS異常行為分析、SSL通信異常、web行為異常、ARP行為異常等感知；深度木馬網(wǎng)絡(luò)回連行為報警、特種木馬網(wǎng)絡(luò)通聯(lián)行為報警、未知病毒與木馬心跳挖掘、時間行為異常分析、內(nèi)外通聯(lián)行為異常分析等。支持從IP或攻擊組織的維度對高級威脅事件進(jìn)行快速檢索，能情?；趹B(tài)勢感知，利用數(shù)據(jù)追溯功能對發(fā)現(xiàn)的未知攻擊進(jìn)行溯源包括攻擊來源、攻擊過程以及攻擊手段等進(jìn)行分析，對依據(jù)方案設(shè)計，針對云平臺網(wǎng)絡(luò)訪問應(yīng)具備透明化，對訪問云數(shù)據(jù)中心的行為進(jìn)行細(xì)粒度的審計，包含應(yīng)用訪問、流量分析、共享協(xié)議、高危行為等，可以及時掌握到3.2.3新華三云計算安全架構(gòu)1.H3CSecCloudOMP安全云管理平臺基礎(chǔ)架構(gòu)聯(lián)OpenStack所標(biāo)識的租戶邊界”網(wǎng)關(guān)”節(jié)點，實現(xiàn)租戶流量的牽引與安全能力編排，同時，針對第三方安全控制器及安全設(shè)備也可通過標(biāo)準(zhǔn)接口進(jìn)行適配，納入到云計算的安全能力體系中。通過對認(rèn)證模塊的調(diào)用及虛擬機列表的讀取，完統(tǒng)一邏輯配置，將安全能力按需分配，使原本碎片化的安全能力集中管理，提供基礎(chǔ)設(shè)施、邊界和云業(yè)務(wù)的一體化安全能H3CSecCloudOMP從邏輯控制層的角度出發(fā)，屏蔽底層技術(shù)細(xì)節(jié)，將各類安全能力從單純的產(chǎn)品配置轉(zhuǎn)變?yōu)榉?wù)化配置，將繁瑣的安全業(yè)務(wù)重新進(jìn)行定義，從用戶業(yè)務(wù)的角度出發(fā)，抽象為必要的實現(xiàn)邏輯。新華三云計算可提供包括監(jiān)測服務(wù)、清洗服務(wù)、態(tài)勢感知服務(wù)、云代維服務(wù)等四大類服務(wù)，并且還將進(jìn)一步推出新的服務(wù)類型；同時提供豐富的安全2.防護(hù)類安全能力架構(gòu)2020I新華三云計算安全等級保護(hù)2.0合規(guī)能新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書IDocker之間通過開放API接口進(jìn)行通信，能夠安全能力通過同租戶在OpenStack架構(gòu)中的網(wǎng)關(guān)（OpenStack稱之為“路由器”）關(guān)聯(lián)，保證3.檢測類安全能力架構(gòu)構(gòu)中，可以采用VLAN或VxLAN的方式為不同的租戶劃分獨立的VPC。檢測類能力需要根據(jù)不收云架構(gòu)內(nèi)的全部流量，隨后，基于標(biāo)簽實現(xiàn)不同租戶的流量分發(fā)。最后，將檢測結(jié)果反饋到多租戶模式下臺上，針對每個租戶進(jìn)行呈現(xiàn)。在此架構(gòu)下，不需要檢測類設(shè)備支持虛擬化技術(shù)部署，就可以使安全檢測能擴展，同時不改變網(wǎng)絡(luò)架構(gòu)或增加流量鏡像的配置，就可以4.審計類安全能力架構(gòu)如何實現(xiàn)租戶內(nèi)的日志審計，包括操作運維日志的審計以及業(yè)基本要求》中所強調(diào)的技術(shù)重點。傳統(tǒng)技術(shù)無法對租戶的日志進(jìn)行區(qū)分，采用物理設(shè)備的審計技術(shù)，也不能間的審計獨立性，存在較大的合規(guī)風(fēng)險。在云計算審計架構(gòu)中，提供虛擬帶外管理網(wǎng)，與業(yè)務(wù)網(wǎng)段完全分開維操作登錄以及業(yè)務(wù)系統(tǒng)日志的收集。業(yè)務(wù)網(wǎng)段通過訪問控制策略的配置，不允許進(jìn)行運維操作，如Telnet，SSH，管理網(wǎng)段的HTTP/HTTPS連接。3.3新華三云計算安全技術(shù)能力3.3.1新華三云計算安全能力新華三云計算安全架構(gòu)如圖3.8所示，主要包括了物理安全，硬件安全，虛擬化安全、多租戶安全、云產(chǎn)品自身安全SaaSPaaSIaaS 多租戶隔離安全安全接入多租戶隔離安全安全接入云計算面臨的物理層安全風(fēng)險與傳統(tǒng)數(shù)據(jù)中心基本相同，物理層安全主要是指由于網(wǎng)絡(luò)、計算、因造成所承載的應(yīng)用不可用的問題。問題產(chǎn)生的原因主要包括自然災(zāi)害、電磁輻射、三防（防火、防水、防壞等方面，通過下列防范措施可以避免物理層的傷害：抗干擾系統(tǒng)、物理隔離、防輻射系統(tǒng)、供電系統(tǒng)的冗2.硬件安全安全集群框架高可靠性技術(shù)通過將兩臺設(shè)備虛擬化為一臺邏輯設(shè)備，實為解決傳統(tǒng)雙機備份“故障出發(fā)點多”及“切換粒度粗”帶來的業(yè)務(wù)沖擊及性能損失問級備份技術(shù)。引擎級備份技術(shù)通過將主機進(jìn)行安全集群，對外通過跨設(shè)備鏈利用鏈路帶寬。對內(nèi)在業(yè)務(wù)引擎之間實現(xiàn)備份，從而將主控、接口和業(yè)務(wù)引傳統(tǒng)IT部署模式下，為了滿足未來三到五年的業(yè)務(wù)流量需求，通常會購買遠(yuǎn)超實際需求的高端設(shè)備，導(dǎo)致和投資浪費。安全集群架構(gòu)基于Scale-out彈性擴展方式實現(xiàn)多臺機框的集群，實現(xiàn)系統(tǒng)性能的彈性增長。同時支持異構(gòu)集群，可以將兩臺不同性能的設(shè)備進(jìn)行集群，便于企業(yè)按需采購和部署，保3.虛擬化資源層安全虛擬化是現(xiàn)階段云計算數(shù)據(jù)中心實施最為廣泛的技術(shù)之一，基于服務(wù)器的虛臺虛擬機，從而有效提升服務(wù)器自身的利用率。但是虛擬化技術(shù)也帶來了一些安全的一些安全漏洞，以及針對VM-VM虛擬機流量交換的安全問2222新華三云計算安全等級保護(hù)2.0合規(guī)新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書2323虛擬化應(yīng)用程序（hypervisor、虛擬化管理軟件）本身可能存在的安全漏洞將影響到整個物理主機的在虛擬化環(huán)境下，單臺物理服務(wù)器上的各虛擬機之間可能存在二層流量交換，而這部分流量對于管理員的。在這種情況下，管理員需要判斷VM虛擬機之間的訪問是否符漏洞，從而進(jìn)行相應(yīng)的安全調(diào)整加固；另一方面，通過在網(wǎng)絡(luò)中部署東西向安全資源池，通過服務(wù)鏈技術(shù)把新華三安全云虛擬化架構(gòu)采用基于容器的虛擬化方案，是一種輕量級的虛擬化技術(shù)，在一個安全引擎OS內(nèi)核對系統(tǒng)硬件資源進(jìn)行管理，每個虛擬防火墻作為一個容器實例運行在同一個內(nèi)核之上。采用容器化技術(shù)，虛擬防火墻有獨立的進(jìn)程上下文運行空間，容器與容器之間的運行空間完全隔離，天化特性。攻擊者無法從一個虛擬墻進(jìn)入另一個虛擬墻或者獲取另一個虛擬墻的數(shù)據(jù)。相比傳統(tǒng)的VRF隔離，具有更好的數(shù)據(jù)安全性。在一個容器中，運行了完整的防火墻業(yè)務(wù)系統(tǒng)（包括管理平面、控制平面、數(shù)據(jù)平面），從功化后的系統(tǒng)和非虛擬化系統(tǒng)的功能是一致的（整機重啟、存儲格式化、集群配也可以在線動態(tài)地增加資源。最后，基于容器的虛擬化實現(xiàn)在容器中并不需要運行完整的操作系統(tǒng)，減少了化帶來的內(nèi)存開銷，每個VFW可以直接通過內(nèi)核和物理硬件交互，避免了和虛擬設(shè)備交互代理的性4.多租戶安全多租戶環(huán)境下的基礎(chǔ)安全服務(wù)主要體現(xiàn)在IaaS服務(wù)層。IaaS作為云計算的重要組成部分，其將基礎(chǔ)設(shè)施包括網(wǎng)絡(luò)、存儲、計算等資源進(jìn)行虛擬化等處理，能夠為每個用戶提供相對獨立的服務(wù)器計算資源、存儲資源以及在承在云安全平臺的建設(shè)過程中，基于IaaS模型下的各種安全服務(wù)體系的建設(shè)是重點所在，根據(jù)現(xiàn)階段的需部分服務(wù)主要包括針對云計算防火墻服務(wù)、云計算負(fù)載均衡業(yè)務(wù)。不同的租戶可以根據(jù)自身的業(yè)務(wù)需求，合云安全防火墻服務(wù)或者是防火墻疊加負(fù)載均衡業(yè)務(wù)。部署該安全服務(wù)后，每個租戶可以獲得邏輯上完全屬于和負(fù)載均衡。租戶可以根據(jù)自身需求，設(shè)定自身的各種安全防護(hù)策略，生成自身獨有的安全日志分析報告。需要負(fù)載均衡的業(yè)務(wù)，也可以設(shè)置獨立的負(fù)載均衡的算法，以保證業(yè)務(wù)的可靠性運行。當(dāng)然，考慮到應(yīng)用層也可以考慮增加一些新的諸如WAF、IPS入侵檢測等增值服務(wù)，用戶可以根據(jù)自身業(yè)務(wù)系統(tǒng)的安全級別合理選擇是否租5.云產(chǎn)品自身安全1）H3CCloudOS安全●快速自動化安裝部署H3CCloudOS云操作系統(tǒng)通過Openstack這個中間層對下層的虛擬化軟件進(jìn)行管理，H3CCloudOS云操作系統(tǒng)并不直接與虛擬化軟件進(jìn)行任何通訊，所有操作都是調(diào)用Openstack的標(biāo)準(zhǔn)API來完成，Openstack再調(diào)用虛擬化軟件H3CCloudOS云操作系統(tǒng)對各種組件和服務(wù)進(jìn)行了重新打包，將其納入到H3CCloudOS云操作系統(tǒng)的統(tǒng)一安裝框架中，實現(xiàn)基于Docker容器的自動化的安裝部署，對用戶屏蔽了各種組件安裝的復(fù)雜性，整個H3CCloudOS云操作系統(tǒng)，包括CentOS操作系統(tǒng)、Openstack以及各種組件服務(wù)在內(nèi)，整體可以在1小時內(nèi)部署完成。實現(xiàn)基于Docker容器的自動化的安裝部署，將H3CCloudOS、Openstack以及各種組件打包在一起，形成一個一體化的可啟動安裝盤，內(nèi)置Cent-OS操作系統(tǒng)、PostgreSQL數(shù)據(jù)庫和各種組件服務(wù)，因此這些物理服務(wù)器不需要預(yù)先安裝任何操作系統(tǒng)，通過此光盤啟動服務(wù)器，會自動進(jìn)入Cent-OS操作系統(tǒng)的安裝界面，然后按照向?qū)У牟襟E操作選擇安裝節(jié)點即可安裝完成，安裝節(jié)點完成后選擇需要安裝的服務(wù)，能極大地提●靈活的系統(tǒng)參數(shù)設(shè)置H3CCloudOS云操作系統(tǒng)提供靈活的系統(tǒng)參數(shù)設(shè)置，通過對業(yè)務(wù)功能參數(shù)、高級特性配置參數(shù)等的設(shè)置，可以靈活●靈活的分權(quán)分域管理H3CCloudOS云操作系統(tǒng)支持多種用戶角色和分級的多租戶管理，二者結(jié)合為用戶提供靈活的分權(quán)分域管理?！穸喾N用戶角色組織管理員：通過租戶服務(wù)臺操作，可以創(chuàng)建下屬組織，為下屬組織分配資源配額，創(chuàng)建本組織的普通普通用戶：通過租戶服務(wù)臺操作，可以申請云主機、云硬盤等資源服務(wù)，并對已申請的資源進(jìn)行審計員：可以查看云平臺中審計信息，包括各類管理人員和用戶的身份鑒別記錄、操作●多層次的租戶組織結(jié)構(gòu)H3CCloudOS云操作系統(tǒng)支持靈活的多租戶管理，每個租戶對應(yīng)一個組織，按組織進(jìn)行資源配額和計費，組織內(nèi)自），每個組織有自己獨立的資源配額，組織管理員可以自由的創(chuàng)建子組織，為子組織創(chuàng)建組織管理員和用父組織和子組織之間的關(guān)系是一種行政從屬關(guān)系，兩者的網(wǎng)這種多層次的組織結(jié)構(gòu)非常靈活，實際運用中可以應(yīng)對各種用戶需求。例如用戶需要將自己的資源分為個互相隔離的環(huán)境，二者互不干擾，但需要統(tǒng)一監(jiān)控和計費。這時就可以在用戶的組織下面，再創(chuàng)建兩個子一部分資源，分別用作生產(chǎn)環(huán)境和測試環(huán)境；兩個子組織之間的網(wǎng)絡(luò)是隔離的，2424I新華三云計算安全等級保護(hù)2.0合規(guī)能新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書I2525●可自定義的業(yè)務(wù)審批流程并在事后提供行為審計的能力。云管理員和組織管理員申請資源是不需要走審批流程的；普通用戶申請資源流程進(jìn)行審批，審批的流程環(huán)節(jié)可以按用戶的需求進(jìn)行定制，H3CCloudOS云操作系統(tǒng)支持通過流程設(shè)計器定制個性化2）H3CCAS安全H3CCAS云計算軟件將一組服務(wù)器主機合并為一個具有共享資源池的集群，并持續(xù)對集群內(nèi)所有的服務(wù)器主機與虛擬機運行狀況進(jìn)行檢測，一旦某臺服務(wù)器主機臺服務(wù)器主機上重啟所有受影響的虛擬機。當(dāng)物理服務(wù)器發(fā)生硬件故障時，所有運行于該服務(wù)器的虛擬機可以自其它的可用服務(wù)器上，相對傳統(tǒng)的雙機容錯方案，H3CCASHA可以最大程度減少因硬件故障造成的服務(wù)器故障和服務(wù)中斷時間。不同于其它HA的雙機熱備方式，所有參與HA的物理服務(wù)時，對眾多的操作系統(tǒng)和應(yīng)用程序，H3CCAS提供統(tǒng)一的HA解決方案，避免了針對不同操作系統(tǒng)或者應(yīng)用，采用不同即便大量運行SQLServer的虛擬機，只要開啟了動態(tài)資源調(diào)整功能，就不必再對CPU和內(nèi)存的瓶頸進(jìn)行一一監(jiān)測。全自動化的資源分配和負(fù)載平衡功能，也可以H3CCAS管理臺定期（默認(rèn)1分鐘）輪詢集群內(nèi)所有的物理服務(wù)器主機，對CPU和內(nèi)存等關(guān)鍵計算資源的利用率進(jìn)行檢測，并根據(jù)用戶自定義的規(guī)則來判斷是否需要為物理服務(wù)器主機在集群內(nèi)尋找有更多可用資源的主機上的虛擬機遷移到另外一臺具有更多合適資源的服務(wù)器上，或者將該服務(wù)器上其它的虛擬機遷移出去，從而●自動偵測物理服務(wù)器和虛擬機失效H3CCAS會自動的監(jiān)測物理服務(wù)器和虛擬機的運行狀態(tài)，如果發(fā)現(xiàn)服務(wù)器或虛擬機出現(xiàn)故障，會在其它的服務(wù)器上●資源預(yù)留H3CCAS永遠(yuǎn)會保證資源池里有足夠的資源提供給虛擬機，當(dāng)物理服務(wù)器宕機后，這部分資源可以保證虛擬機能夠●虛擬機自動重新啟動●智能選擇物理服務(wù)器當(dāng)與H3CCAS動態(tài)負(fù)載均衡功能共同使用時，H3CCASHA可以根據(jù)資源的使用情況，為失效物理服務(wù)器上的虛●動態(tài)資源調(diào)整H3CCAS云計算軟件提供的動態(tài)負(fù)載均衡特性引入一個自動化機制，通過持續(xù)地平衡容量，將虛擬機遷移到有更多H3CSDN服務(wù)鏈，基于網(wǎng)絡(luò)的核心控制部件SDN控制器——VCFC（VirtualConvergedFrameworkController）進(jìn)行部署。VCFC根據(jù)租戶需求，定義、創(chuàng)建服務(wù)鏈，并部署服務(wù)鏈上每個節(jié)點的業(yè)務(wù)邏輯。VCFC將需要進(jìn)入服務(wù)鏈處理的用戶報文特征，下發(fā)到接入軟件/硬件VTEP，從而將數(shù)據(jù)報文引入服務(wù)鏈?！窳鞣诸惞?jié)點(Classification)：也是原始數(shù)據(jù)報文的接入節(jié)點。按照定義的流分類規(guī)則匹配數(shù)據(jù)報文，對報文做服●服務(wù)節(jié)點（ServiceFunction服務(wù)節(jié)點作為資源被分配使用，它的物理位置可以是任意的，分散的，通過●代理節(jié)點（ProxyNode對于不支持服務(wù)鏈封裝的服務(wù)節(jié)點，需要通過代理節(jié)點剝離服務(wù)鏈封裝，將業(yè)務(wù)策略●控制平面（ControlPlane）：負(fù)責(zé)管理服務(wù)鏈域內(nèi)的設(shè)備，創(chuàng)建服務(wù)鏈，將服務(wù)節(jié)點的配置定義，下發(fā)到各個相關(guān)節(jié)點上。在H3CSDN網(wǎng)絡(luò)中，通過VCFC實現(xiàn)?！馰CFC：H3CSDN控制器。作為網(wǎng)絡(luò)資源池的唯一控制點，VCFC控制了虛擬化網(wǎng)絡(luò)，并且通過對虛擬網(wǎng)絡(luò)進(jìn)行抽象和編排，定義服務(wù)鏈特征；VTEP和服務(wù)節(jié)點上的轉(zhuǎn)發(fā)策略都由控制器下發(fā)?！穹?wù)鏈流分類節(jié)點（VTEP1）：原始報文通過VTEP1接入VxLAN網(wǎng)絡(luò)，并直接進(jìn)行流分類，以確定報文是否需要進(jìn)入服務(wù)鏈：如果需要進(jìn)入服務(wù)鏈，則將報文做●服務(wù)鏈?zhǔn)坠?jié)點（SF1）：進(jìn)行服務(wù)處理后，將數(shù)據(jù)報文繼續(xù)做服務(wù)鏈封裝，交給服務(wù)鏈下一個服務(wù)節(jié)點。●服務(wù)鏈尾節(jié)點（SF2）：進(jìn)行服務(wù)處理后，服務(wù)鏈尾節(jié)點需要刪除服務(wù)鏈封裝，將報文做普通VxLAN封裝，并轉(zhuǎn)發(fā)給目的VTEP。如果SF2不具備根據(jù)用戶報文尋址能力，則需要將用戶報文送到網(wǎng)關(guān)(VTEP3)，VTEP3再查詢目的VTEP進(jìn)行轉(zhuǎn)發(fā)。●①⑥Native以太報文，IP(src)---->IP(dst)●②VxLAN+業(yè)務(wù)鏈報文，外層:IP(VTEP1)---->IP(SF1)●③VxLAN+業(yè)務(wù)鏈報文，外層:IP(SF1)---->IP(SF2)●④VxLAN報文，外層:IP(SF2)---->IP(VTEP3)●⑤VxLAN報文，外層:IP(VTEP3)---->IP(VTEP4)2626I新華三云計算安全等級保護(hù)2.0合規(guī)能新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書I2727●VM首包上送控制器處理時，在VCFC上解析packetin報文，根據(jù)報文目的地址確定是虛擬網(wǎng)絡(luò)內(nèi)的東西向流量●對于東西向流量，從收到的packetin報文中提取源●對于東西向流量，根據(jù)報文特征進(jìn)行服務(wù)鏈匹配，首先使用源端口和目的端口的屬性與服務(wù)鏈配置進(jìn)行匹配，如果）；●如果存在匹配的服務(wù)鏈，確定服務(wù)鏈所在VTEP的VTEPIP，VCFC向VTEP和后續(xù)處理節(jié)點下發(fā)流表項，流●當(dāng)匹配到多條服務(wù)鏈時，按照最精確匹配的原則確定實際使用的服務(wù)鏈配置。上述4種維度按照精確程度從低到高排序依次為：Routers,Networks,Subnets,Ports。4）安全云管理平臺H3CSecCloud云計算技術(shù)在設(shè)計之初即包含了靈活、擴展性、成本節(jié)約等特性，所有云平臺的安全能力亦應(yīng)該延H3CSecCloudOMP安全云管理平臺能夠為租戶提供豐富的安全服務(wù)目錄，用戶可以根據(jù)自身需求定制安全服務(wù)列●SecAAS安全能力安全SaaS云架構(gòu)可以提供豐富的安全服務(wù)目錄，包括但不僅限于如下安全能力：SSLVPN服務(wù)提供SSLVPN遠(yuǎn)程接入能力IPsecVPN服務(wù)提供IPsecVPN遠(yuǎn)程接入能力提供WAF防護(hù)能力，針對Web應(yīng)用進(jìn)行精細(xì)化每DNSVPC邊界，每租戶提供獨立日志審計每VPC每VPC每VPC提供租戶內(nèi)資源的操作審計能力，每租戶提供每VPC抗DDoS服務(wù)提供數(shù)據(jù)庫、Web、業(yè)務(wù)系統(tǒng)掃描能力，獨立輸出每VPC提供數(shù)據(jù)安全審計能力，記錄數(shù)據(jù)操作過程，每VPCSecAAS性能規(guī)劃：H3CSecCloudOMP云安全管理平臺以32個VPC為一組多虛擬資源單元，整體安全性能網(wǎng)絡(luò)層以200G為最低處理單位，如云安全防護(hù)能力需求超過200G，則需要額外擴容安全SaaS云中的安全資源池組件，●自動化部署業(yè)務(wù)部署編排的自動化，實現(xiàn)端到端的業(yè)務(wù)自動化部署，當(dāng)用戶創(chuàng)建安全服務(wù)時，安全云管理平臺中各相關(guān)組件信息，做到用戶側(cè)無感知，僅需要點擊開通安全服務(wù)，而無需再登陸到各設(shè)備上做復(fù)雜2828新華三云計算安全等級保護(hù)2.0合規(guī)新華三云計算安全等級保護(hù)2.0合規(guī)能力白皮書2929●智能化運維為了簡化系統(tǒng)運維，提高運維效率，安全云管理平臺基于大數(shù)據(jù)分析系統(tǒng)，從不同角色、不網(wǎng)絡(luò)云安全服務(wù)信息，包括服務(wù)狀態(tài)統(tǒng)計、服務(wù)資源統(tǒng)計、告警事件統(tǒng)計、用戶賬戶信息、服務(wù)費用統(tǒng)計、工全態(tài)勢信息等，并提供各種可視化的操作界面，使得管理員輕松運維管理云計算網(wǎng)絡(luò)云安全服務(wù)，及時清晰掌●可視化運營安全云管理平臺同時也是一個安全資源的運營平臺，在分發(fā)安全資源同時，提供了強大的運營管理功運營分析能夠?qū)Π踩?wù)運營情況了如指掌，不僅可以了解每個月的營收和各安全服務(wù)收入情況，還看到費情況，從而達(dá)到協(xié)助管理員合理申請服務(wù)資3.3.2安全組件H3CCloudOS云操作系統(tǒng)提供基于M9000物理設(shè)備的高性能、高可靠性的云防火墻服務(wù)。M9000通過Context租戶管理員可以根據(jù)實際業(yè)務(wù)為防火墻設(shè)置規(guī)則，實現(xiàn)內(nèi)網(wǎng)H3CCloudOS云操作系統(tǒng)云防火墻服務(wù)包括云防火墻創(chuàng)建、查詢、刪除和修改等服務(wù)內(nèi)容；并為租戶管理員提供防2.安全組功能由Openstack與虛擬化軟件配合完成，不依賴物理啟用安全組服務(wù)后，任何一個虛擬機都必須屬于一個或多個安全組。一個安全組可包含多個虛擬機。用定義的安全組，如果用戶在創(chuàng)建虛擬機時沒有指定自定義安全組，云平臺將用戶可以通過添加或刪除安全規(guī)則的方式修3.云防病毒H3CCloudOS云操作系統(tǒng)與安全產(chǎn)品M9000、F5000配合，提供高性能、高可靠性的云防病毒服務(wù)。能夠有效對文件傳輸、郵件和WEB應(yīng)用等進(jìn)行保護(hù)，防止病毒對系統(tǒng)的傳染和破壞。4.云IPS入侵防御系統(tǒng)（IPS：InstrusionPreventionSystem）是計算機網(wǎng)絡(luò)安全設(shè)施，是對防病毒和防火墻的有益補充，是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)