HYT 240-2018 海洋信息云計算服務(wù)平臺安全規(guī)范

海洋信息云計算服務(wù)平臺安全規(guī)范Securityspecificationsoplatformforoceaninfo中華人民共和國自然資源部發(fā)布HY/T240—2018 I 2規(guī)范性引用文件 14體系框架 5云平臺基礎(chǔ)環(huán)境安全保障 26云平臺業(yè)務(wù)和數(shù)據(jù)安全保障 57云平臺安全服務(wù) 6I本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由中華人民共和國自然資源部提出。本標(biāo)準(zhǔn)由全國海洋標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC283)歸口。本標(biāo)準(zhǔn)起草單位：國家海洋信息中心、中國海洋大學(xué)、東北大學(xué)、上海大學(xué)。本標(biāo)準(zhǔn)主要起草人：石綏祥、李占斌、秦勃、王波濤、徐凌宇、劉培順、曲海鵬、林喜軍、魏紅宇、1海洋信息云計算服務(wù)平臺安全規(guī)范本標(biāo)準(zhǔn)規(guī)定了海洋信息云計算服務(wù)平臺的安全體系框架，以及海洋信息云計算服務(wù)平臺的基礎(chǔ)環(huán)境安全保障、業(yè)務(wù)和數(shù)據(jù)支撐安全保障、安全服務(wù)。本標(biāo)準(zhǔn)適用于海洋信息云計算服務(wù)平臺的安全使用，也可以作為第三方服務(wù)機(jī)構(gòu)開展海洋信息云計算服務(wù)平臺安全保障服務(wù)的指導(dǎo)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22239—2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求3術(shù)語、定義和縮略語3.1術(shù)語和定義下列術(shù)語和定義適用于本文件。統(tǒng)籌利用已有的網(wǎng)絡(luò)、存儲、計算、數(shù)據(jù)等信息資源，為涉海領(lǐng)域提供基礎(chǔ)設(shè)施、支撐軟件、應(yīng)用系統(tǒng)、數(shù)據(jù)資源、運行保障和信息安全等服務(wù)的海洋綜合業(yè)務(wù)信息化系統(tǒng)。3.2縮略語下列縮略語適用于本文件。laaS:基礎(chǔ)設(shè)施即服務(wù)(InfrastructureasaService)PaaS:平臺即服務(wù)(PlatformasaService)SaaS:軟件即服務(wù)(SoftwareasaService)VPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetworks)VLAN:虛擬局域網(wǎng)(VirtualLocalAreaNetwork)USB:通用串行總線(UniversalSerialBus)CPU:中央處理單元(CentralProcessingUnit)API:應(yīng)用程序接口(ApplicationProgrammingInterface)4體系框架4.1安全架構(gòu)海洋信息云計算服務(wù)平臺(以下簡稱“云平臺”)的安全保障范疇涵蓋laaS安全、PaaS安全、SaaS安2全，其安全架構(gòu)見圖1。具體內(nèi)容如下：a)laaS安全指云平臺的物理環(huán)境、網(wǎng)絡(luò)、主機(jī)(物理主機(jī)和虛擬主機(jī))、云平臺所承載數(shù)據(jù)和云平臺支撐業(yè)務(wù)軟件等安全；b)PaaS安全指云平臺內(nèi)存儲的數(shù)據(jù)、計算模型、計算資源以及海洋數(shù)據(jù)產(chǎn)品等資源的安全和云平臺內(nèi)海洋業(yè)務(wù)的安全；c)SaaS安全指云平臺的安全服務(wù)，包括網(wǎng)絡(luò)安全服務(wù)、業(yè)務(wù)支撐安全服務(wù)、系統(tǒng)安全服務(wù)、認(rèn)證服務(wù)和數(shù)據(jù)安全服務(wù)等。網(wǎng)絡(luò)安全服務(wù)身份認(rèn)證服務(wù)業(yè)務(wù)支撐按服務(wù)網(wǎng)絡(luò)安全服務(wù)身份認(rèn)證服務(wù)業(yè)務(wù)支撐按服務(wù)服務(wù)安全隔離加密及密鑰管理訪問控制身份鑒別業(yè)務(wù)連續(xù)性圖1云平臺安全架構(gòu)示意圖4.2安全要求云平臺安全的總體要求應(yīng)根據(jù)平臺內(nèi)業(yè)務(wù)和數(shù)據(jù)的安全等級，平臺的建設(shè)安全標(biāo)準(zhǔn)與平臺服務(wù)的最高安全標(biāo)準(zhǔn)一致，按照GB/T22239—2008安全要求進(jìn)行建設(shè)和運維。5云平臺基礎(chǔ)環(huán)境安全保障5.1網(wǎng)絡(luò)資源安全5.1.1網(wǎng)絡(luò)身份標(biāo)識和認(rèn)證網(wǎng)絡(luò)身份標(biāo)識和認(rèn)證應(yīng)符合以下要求：a)應(yīng)對云服務(wù)用戶進(jìn)行標(biāo)識，確保所標(biāo)識用戶在云平臺系統(tǒng)生存周期內(nèi)的唯一性，并將用戶標(biāo)識與安全審計相關(guān)聯(lián)；b)應(yīng)在云用戶實施動作之前，先對提出該動作要求的用戶成功進(jìn)行鑒別。35.1.2網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制應(yīng)符合以下要求：a)應(yīng)在網(wǎng)絡(luò)內(nèi)劃分不同的域，不同的域之間啟用邊界訪問控制，應(yīng)設(shè)置對應(yīng)的網(wǎng)絡(luò)訪問策略，按照安全域安全級別進(jìn)行訪問控制；b)應(yīng)利用虛擬防火墻功能，實現(xiàn)虛擬環(huán)境下的邏輯分區(qū)邊界防護(hù)和分段的集中管理與配置；c)應(yīng)在創(chuàng)建客戶虛擬機(jī)的同時，根據(jù)具體的拓?fù)浜涂赡艿耐ㄐ拍Ｊ?，在虛擬網(wǎng)卡和虛擬交換機(jī)上配置防火墻；d)虛擬交換機(jī)應(yīng)啟用虛擬端口的限速功能，通過定義平均帶寬、峰值帶寬和流量突發(fā)大小，實現(xiàn)端口級別的流量控制，同時應(yīng)禁止虛擬機(jī)端口使用混雜模式進(jìn)行網(wǎng)絡(luò)通信嗅探；e)外部用戶通過互聯(lián)網(wǎng)訪問云平臺中設(shè)備時，應(yīng)設(shè)置訪問控制機(jī)制，且提供相對安全的訪問通道，例如通過VPN方式。5.1.3網(wǎng)絡(luò)安全隔離網(wǎng)絡(luò)安全隔離應(yīng)符合以下要求：a)應(yīng)提供基于虛擬機(jī)安全組的網(wǎng)絡(luò)隔離，虛擬機(jī)之間應(yīng)采用VLAN和不同的IP網(wǎng)段的方式進(jìn)行邏輯上的隔離；b)應(yīng)在防火墻配置中對每臺虛擬設(shè)備做相應(yīng)的安全設(shè)置；c)相互隔離的虛擬機(jī)之間通信應(yīng)根據(jù)需要采用安全通信。5.1.4網(wǎng)絡(luò)安全審計網(wǎng)絡(luò)安全審計應(yīng)符合以下要求：a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備的運行狀況、網(wǎng)絡(luò)流量、用戶行為、用戶操作、系統(tǒng)管理等進(jìn)行日志記錄，包括：事件發(fā)生的時間、地點、用戶、事件類型、事件是否成功及其他審計相關(guān)信息；b)應(yīng)對日志記錄進(jìn)行保護(hù)，不應(yīng)受到未預(yù)期的刪除、修改或覆蓋，審計記錄應(yīng)至少保存6個月。5.1.5網(wǎng)絡(luò)入侵防范網(wǎng)絡(luò)入侵防范應(yīng)符合以下要求：a)應(yīng)具有抵御常見網(wǎng)絡(luò)攻擊的設(shè)計，在網(wǎng)絡(luò)邊界部署和啟用入侵防范技術(shù)手段，禁用不需要的服務(wù)和端口；應(yīng)定期對系統(tǒng)和服務(wù)軟件進(jìn)行漏洞檢查，及時安裝補(bǔ)丁，至少每周進(jìn)行一次檢查，消除可能隱患；在安裝系統(tǒng)補(bǔ)丁前，首先在測試環(huán)境中測試通過，并對重要文件進(jìn)行備份后，方可實施系統(tǒng)補(bǔ)丁程序的安裝；b)云平臺應(yīng)防止同一平臺內(nèi)的租戶竊取關(guān)鍵數(shù)據(jù)；c)云平臺應(yīng)提供監(jiān)控系統(tǒng)、審計系統(tǒng)、行為分析系統(tǒng)對內(nèi)部入侵行為進(jìn)行防范。5.2虛擬化安全5.2.1虛擬機(jī)基礎(chǔ)安全虛擬機(jī)基礎(chǔ)安全應(yīng)符合以下要求：a)應(yīng)實現(xiàn)云平臺虛擬主機(jī)的訪問控制和身份鑒別；b)應(yīng)在本地或外部設(shè)備上對虛擬機(jī)的日志記錄進(jìn)行存儲備份、定期審計；c)應(yīng)提供實時的虛擬機(jī)監(jiān)控機(jī)制，對虛擬機(jī)的運行狀態(tài)、資源占用、遷移等信息進(jìn)行監(jiān)控；d)應(yīng)確保虛擬機(jī)的鏡像安全，并保證提供虛擬機(jī)鏡像文件完整性校驗功能；4e)應(yīng)提供存儲空間級安全隔離。5.2.2虛擬機(jī)配置與加固虛擬機(jī)配置與加固應(yīng)符合以下要求：a)應(yīng)通過及時更新虛擬化軟件補(bǔ)丁，提供虛擬化主機(jī)的安全；應(yīng)考慮對非工作狀態(tài)的虛擬機(jī)鏡像或者對剛剛運行的虛擬機(jī)采取保護(hù)措施，直到它們被打上補(bǔ)??；b)應(yīng)通過對云平臺的資源監(jiān)控管理，控制虛擬機(jī)所消耗的服務(wù)器資源，保障受到攻擊的虛擬機(jī)不會對在同一臺物理主機(jī)運行的其他虛擬機(jī)造成影響，應(yīng)限制虛擬機(jī)到物理主機(jī)的通信，防止拒絕服務(wù)攻擊。5.2.3虛擬機(jī)安全防護(hù)虛擬機(jī)安全防護(hù)應(yīng)符合以下要求：a)應(yīng)實現(xiàn)常見針對虛擬機(jī)的惡意攻擊的安全防護(hù)；b)應(yīng)避免虛擬機(jī)共同體之間通過共同訪問資源進(jìn)行惡意攻擊；c)應(yīng)提供虛擬機(jī)跨物理機(jī)遷移過程中的保護(hù)措施；d)應(yīng)提供虛擬機(jī)鏡像文件加密功能，防止虛擬機(jī)鏡像文件數(shù)據(jù)被非授權(quán)訪問；e)應(yīng)能對虛擬機(jī)模版文件、配置文件等重要數(shù)據(jù)進(jìn)行完整性檢測。5.2.4虛擬主機(jī)隔離虛擬主機(jī)隔離應(yīng)符合以下要求：a)物理主機(jī)上的多個虛擬主機(jī)應(yīng)隸屬同一個安全區(qū)域，禁止跨安全域部署，應(yīng)提供虛擬主機(jī)之間隔離服務(wù)；b)應(yīng)根據(jù)安全等級，關(guān)閉或拆除主機(jī)的光盤驅(qū)動、USB接口、串口等接口；c)應(yīng)設(shè)置隔離措施實現(xiàn)虛擬機(jī)資源之間的安全隔離，包括：CPU調(diào)度隔離、內(nèi)部網(wǎng)絡(luò)隔離、內(nèi)存隔離、存儲隔離；d)應(yīng)只允許符合安全策略的虛擬機(jī)之間實現(xiàn)相互訪問資源；e)虛擬主機(jī)之間的信息交互應(yīng)按其安全屬性要求選擇建立安全通道、身份認(rèn)證或訪問控制。5.2.5虛擬主機(jī)的遠(yuǎn)程管理虛擬主機(jī)的遠(yuǎn)程訪問應(yīng)采用網(wǎng)絡(luò)安全傳輸安全協(xié)議；宜采用堡壘機(jī)加強(qiáng)遠(yuǎn)程管理安全。5.3接口安全接口安全應(yīng)滿足以下要求：a)接口使用端使用接口應(yīng)提供身份認(rèn)證信息，身份認(rèn)證信息需要進(jìn)行保護(hù)，應(yīng)能抵御假冒、篡改、重放等攻擊行為；b)接口提供端對使用端的請求進(jìn)行認(rèn)證，使用端每一次請求都應(yīng)包含認(rèn)證信息，認(rèn)證信息應(yīng)能抵御假冒，篡改，重放等攻擊行為；c)接口提供端應(yīng)對使用端的請求進(jìn)行權(quán)限管理，根據(jù)用戶的權(quán)限判斷是否執(zhí)行用戶的請求；d)接口提供端應(yīng)對使用端的請求進(jìn)行資源控制，防止用戶占用過多資源。56云平臺業(yè)務(wù)和數(shù)據(jù)安全保障6.1數(shù)據(jù)安全數(shù)據(jù)安全應(yīng)符合以下要求：a)應(yīng)采用加密技術(shù)或其他措施保證數(shù)據(jù)的完整性，應(yīng)采用加密技術(shù)對存儲和傳輸中的敏感數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)；b)應(yīng)提供云平臺間的數(shù)據(jù)遷移能力，數(shù)據(jù)遷移應(yīng)制定遷移方案，并進(jìn)行遷移方案可行性評估與風(fēng)險評估，確定數(shù)據(jù)遷移風(fēng)險控制措施，做好數(shù)據(jù)備份以及恢復(fù)相關(guān)工作，應(yīng)保證數(shù)據(jù)遷移不影響業(yè)務(wù)應(yīng)用的連續(xù)性；c)應(yīng)采用訪問控制技術(shù)對數(shù)據(jù)進(jìn)行分類保護(hù)，應(yīng)提供數(shù)據(jù)備份與恢復(fù)功能；d)應(yīng)能清除因數(shù)據(jù)在不同物理服務(wù)器上遷移、業(yè)務(wù)終止、自然災(zāi)害、合同終止等遺留的數(shù)據(jù)。6.2業(yè)務(wù)安全6.2.1業(yè)務(wù)調(diào)度安全業(yè)務(wù)調(diào)度安全應(yīng)符合以下要求：a)應(yīng)賦予用戶不同的服務(wù)優(yōu)先級；b)應(yīng)根據(jù)用戶的優(yōu)先級高低安排服務(wù)，不應(yīng)跨優(yōu)先級服務(wù)；c)應(yīng)能對用戶的優(yōu)先級進(jìn)行實時控制和管理。6.2.2業(yè)務(wù)系統(tǒng)安全業(yè)務(wù)系統(tǒng)安全應(yīng)符合以下要求：a)業(yè)務(wù)系統(tǒng)試運行前應(yīng)經(jīng)過安全檢查與安全掃描，通過后再接入云平臺；b)業(yè)務(wù)系統(tǒng)應(yīng)優(yōu)先部署在虛擬機(jī)環(huán)境中；c)業(yè)務(wù)遷移應(yīng)事先做遷移方案，根據(jù)業(yè)務(wù)特點選擇安全域內(nèi)受控遷移、安全域內(nèi)自由遷移和安全域間受控遷移等不同安全級別的遷移方案，并對風(fēng)險和資源做評估；d)不同安全級別的資源池之間禁止業(yè)務(wù)遷移；e)應(yīng)對業(yè)務(wù)系統(tǒng)運行過程進(jìn)行監(jiān)控，詳細(xì)記錄系統(tǒng)運行過程中網(wǎng)絡(luò)通信、資源請求和使用等信息，并進(jìn)行審計。6.2.3業(yè)務(wù)資源安全業(yè)務(wù)資源安全應(yīng)符合以下要求：a)應(yīng)能對業(yè)務(wù)應(yīng)用系統(tǒng)的最大并發(fā)會話數(shù)進(jìn)行限制；b)應(yīng)能對單個賬戶的并發(fā)會話進(jìn)行限制；c)應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，可根據(jù)安全策略設(shè)定訪問賬戶或請求進(jìn)程的優(yōu)先級，進(jìn)而根據(jù)優(yōu)先級分配系統(tǒng)資源；d)業(yè)務(wù)資源應(yīng)用應(yīng)安全可控，資源的接入應(yīng)提供身份認(rèn)證和訪問控制措施。6.3業(yè)務(wù)與數(shù)據(jù)隔離為實現(xiàn)不同用戶間數(shù)據(jù)信息的隔離，可根據(jù)應(yīng)用具體需求，采用物理隔離、虛擬化和多租戶等方案實現(xiàn)不同租戶之間數(shù)據(jù)和配置信息的安全隔離，以保護(hù)每個租戶數(shù)據(jù)的安全與隱私。對不同安全級別的數(shù)據(jù)進(jìn)行物理隔離存儲，高安全級別的數(shù)據(jù)應(yīng)進(jìn)行加密后存儲。業(yè)務(wù)與數(shù)據(jù)隔離應(yīng)滿足以下要求：6a)應(yīng)對虛擬機(jī)進(jìn)行加固，保證不同主機(jī)之間的數(shù)據(jù)處理隔離；b)應(yīng)對新上線應(yīng)用和已有應(yīng)用提供數(shù)據(jù)層的數(shù)據(jù)隔離，并通過配置虛擬資源隔離系統(tǒng)實現(xiàn)；c)應(yīng)提供有效的虛擬機(jī)間內(nèi)存隔離等機(jī)制，避免來自同一宿主機(jī)上的其他虛擬機(jī)破壞數(shù)據(jù)完整性；d)不同用戶數(shù)據(jù)應(yīng)采用不同密鑰進(jìn)行加密隔離，應(yīng)對云平臺所部署的應(yīng)用建立針對安全域之間、應(yīng)用服務(wù)器之間通信的密鑰服務(wù)管理系統(tǒng)；e)不同安全域及部門專屬業(yè)務(wù)域之間應(yīng)實現(xiàn)配置化的跨域認(rèn)證與授權(quán)。7云平臺安全服務(wù)7.1身份認(rèn)證服務(wù)身份認(rèn)證服務(wù)應(yīng)滿足以下條件：a)應(yīng)提供統(tǒng)一身份認(rèn)證服務(wù)，為業(yè)務(wù)應(yīng)用用戶分配不同的資源及操作權(quán)限訪問云平臺資源；b)應(yīng)提供用戶注冊服務(wù)：用戶在統(tǒng)一身份認(rèn)證服務(wù)中注冊賬號，這個賬號可在所有使用統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)中使用；c)應(yīng)提供賬號關(guān)聯(lián)服務(wù)：如果用戶之前已經(jīng)在相關(guān)的應(yīng)用系統(tǒng)中擁有賬號，同時也已經(jīng)設(shè)置了相應(yīng)的權(quán)限，用戶能夠?qū)⑦@些應(yīng)用系統(tǒng)的賬號與統(tǒng)一身份認(rèn)證服務(wù)的賬號進(jìn)行關(guān)聯(lián)；d)應(yīng)提供用戶認(rèn)證服務(wù)，為應(yīng)用系統(tǒng)提供用戶身份認(rèn)證。7.2訪問控制服務(wù)云平臺應(yīng)根據(jù)不同的平臺資源，提供不同的訪問控制服務(wù)，包括自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制。訪問控制服務(wù)應(yīng)滿足以下要求：a)自主訪問控制安全策略應(yīng)實現(xiàn)對主體與客體間操作的控制?？梢杂卸鄠€自主訪問控制安全策略，它們應(yīng)獨立命名，且不應(yīng)相互沖突。b)強(qiáng)制訪問控制策略應(yīng)包括策略控制下的主體、客體，及主體與客體間的操作，按照多級安全模型策略進(jìn)行訪問控制授權(quán)管理。c)基于角色的訪問控制應(yīng)實現(xiàn)按角色進(jìn)行權(quán)限的分配和管理。通過對主體進(jìn)行角色授予，使主體獲得相應(yīng)角色的權(quán)限；通過撤消主體的角色授予，取消主體所獲得的相應(yīng)角色權(quán)限。7.3數(shù)據(jù)安全性服務(wù)云平臺應(yīng)根據(jù)云資源的不同，提供不同的數(shù)據(jù)安全服務(wù)，包括數(shù)據(jù)完整性安全服務(wù)、數(shù)據(jù)機(jī)密性安全服務(wù)和數(shù)據(jù)備份恢復(fù)服務(wù)。主要服務(wù)應(yīng)滿足以下要求：a)應(yīng)能對存儲在安全域內(nèi)的用戶數(shù)據(jù)進(jìn)行完整性檢測；應(yīng)能對被傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行完整性檢測，及時發(fā)現(xiàn)用戶數(shù)據(jù)被篡改、刪除、插入等情況發(fā)生；b)應(yīng)能對存儲在安全域內(nèi)的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)；應(yīng)能對在安全域內(nèi)傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行保密性保護(hù)；c)應(yīng)提供數(shù)據(jù)本地備份與恢復(fù)功能，數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放。7.4數(shù)據(jù)獲取服務(wù)7.4.1laaS模式下數(shù)據(jù)獲取服務(wù)laaS模式所使用的云平臺的物理資源應(yīng)和其他模式的物理資源進(jìn)行隔離，以控制風(fēng)險范圍。主要步驟如下：a)用戶身份認(rèn)證通過后，提交laaS云服務(wù)請求申請；b)審核人員驗證通過后，分配用戶使用特定云平臺的權(quán)限，通過授權(quán)限制用戶接觸的數(shù)據(jù)范圍和資源范圍，然后為用戶分配虛擬主機(jī)；c)用戶通過門戶網(wǎng)站登錄到虛擬主機(jī)，通過虛擬主機(jī)啟動云服務(wù)；d)云服務(wù)在云平臺里自動運行，把運算結(jié)果反饋到下載服務(wù)器，管理員審核后，用戶才能下載；e)用戶通過下載服務(wù)器獲取云服務(wù)的產(chǎn)品。7.4.2PaaS模式下數(shù)據(jù)獲取服務(wù)PaaS模式下用戶使用的是系統(tǒng)提供的API開發(fā)應(yīng)用程序，把程