DL∕T 2612-2023 電力云基礎(chǔ)設(shè)施安全技術(shù)要求

電力云基礎(chǔ)設(shè)施安全技術(shù)要求2023-05-26發(fā)布2023-11-26實(shí)施國(guó)家能源局發(fā)布DL/DL/T2612—2023口版售后電話 Ⅱ 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 25電力云基礎(chǔ)設(shè)施安全構(gòu)成 25.1基本要求 25.2基本構(gòu)成 36安全通信網(wǎng)絡(luò)要求 46.1網(wǎng)絡(luò)構(gòu)架要求 46.2通信傳輸要求 46.3設(shè)備安全要求 56.4負(fù)載均衡 56.5網(wǎng)絡(luò)防護(hù) 57安全區(qū)域邊界要求 57.1邊界防護(hù) 57.2訪問(wèn)控制 57.3入侵防范 57.4安全審計(jì) 67.5無(wú)線網(wǎng)絡(luò)安全 68安全計(jì)算環(huán)境要求 68.1物理資源安全 68.2資源虛擬化安全 78.3云服務(wù)管理安全 99安全管理中心要求 9.1系統(tǒng)管理 9.2審計(jì)管理 9.3安全管理 9.4集中管控 10安全物理環(huán)境要求 附錄A(規(guī)范性)共性安全功能要求 附錄B(資料性)云基礎(chǔ)設(shè)施構(gòu)成要求 附錄C(資料性)電力云平臺(tái)類型及安全構(gòu)成 IDL/T2612—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定劉為、田小蕾、吳赫、尹琴、李寧、羅富財(cái)、趙博、程杰、呂旭明、金成明、張文杰、王飛、曹智、胥冠軍、張揚(yáng)、崔潔、韓云鵬、林婷婷、薛兵兵、李威、楊壯觀、李東洋、王慧穎、李云鵬、李沖、孫俊偉、劉穎、于亮亮、孫寶華、陳碩、夏菲、譚彥鵬、韋明、趙景1電力云基礎(chǔ)設(shè)施安全技術(shù)要求1范圍2規(guī)范性引用文件僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本信息技術(shù)軟件工程術(shù)語(yǔ)GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T31167--2014信息安全技術(shù)云計(jì)算服務(wù)安全指南GB/T32400--2015信息技術(shù)云計(jì)算概覽與詞匯GB/T51399-2019YD/T3892—2021虛擬私有云與本地計(jì)算環(huán)境互聯(lián)服務(wù)能力要求3術(shù)語(yǔ)和定義GB/T32400—2015界定的以及下列術(shù)語(yǔ)和定義適用于本文件。云計(jì)算cloudcomputing一種通過(guò)網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池云服務(wù)客戶cloudservicecustomer簡(jiǎn)稱云平臺(tái)，云服務(wù)商(3.2)提供的云計(jì)算基礎(chǔ)設(shè)施及其之上的服務(wù)軟件的集合。電力行業(yè)廣泛應(yīng)用的云平臺(tái)包括：生產(chǎn)大區(qū)云、管理信息內(nèi)網(wǎng)云、互聯(lián)網(wǎng)[來(lái)源：GB/T22239—2019,定義3.6,有修改]2[來(lái)源：GB/T31167—2014,定義3.6,有修改][來(lái)源：GB/T31167—2014,定義3.6,有修改][來(lái)源：GB/T11457—2006,定義2.261,或ISO20000—2018,3.2.18,有修改][來(lái)源：YD/T3892—2021,定義3.1.2]4縮略語(yǔ)DDoS分布式拒絕服務(wù)(DistributedDenialofService)IP網(wǎng)際互連協(xié)議(InternetProtocol)IT信息技術(shù)(InformationTechnology)MAC媒體存取控制位址(MediaAccessControlAddress)OS操作系統(tǒng)(operatingsystem)SLA服務(wù)級(jí)別協(xié)議(ServiceLevelAgreement)SLC服務(wù)生命周期(ServiceLifeCycle)VLAN虛擬局域網(wǎng)(VirtualLocalAreaNetwork)VPC虛擬私有云(VirtualPrivateCloud)VPN虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)VxLAN虛擬擴(kuò)展局域網(wǎng)(VirtualeXtensibleLocalAreaNetwork)WAFWeb應(yīng)用防火墻(WebApplicationFirewall)3DL/T2612—2023b)云基礎(chǔ)設(shè)施安全應(yīng)涵蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管c)基于云平臺(tái)構(gòu)成(參見(jiàn)附錄B),云基礎(chǔ)設(shè)施安全應(yīng)包括物理資源安全、資源虛擬化安全和云服e)使用的密碼技術(shù)、服務(wù)和產(chǎn)品，應(yīng)符合國(guó)家和電力行業(yè)相關(guān)規(guī)定。云基礎(chǔ)設(shè)施安全構(gòu)成見(jiàn)圖1。a)安全物理環(huán)境：云數(shù)據(jù)中心機(jī)房設(shè)施、物理設(shè)備設(shè)施、物理環(huán)境等措施。b)安全通信網(wǎng)絡(luò)：云數(shù)據(jù)中心通信傳輸、網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備安全、負(fù)載均衡、網(wǎng)絡(luò)防護(hù)、無(wú)線局域網(wǎng)安全等c)安全區(qū)域邊界：云數(shù)據(jù)中心邊界防護(hù)、訪問(wèn)控制、入侵檢測(cè)、安全審計(jì)等措施。d)安全計(jì)算環(huán)境：物理資源安全、資源虛擬化安全、云服務(wù)管理安全三部分，對(duì)每部分根據(jù)其功能狀況提出身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵檢測(cè)等要求。e)安全管理中心：安全計(jì)算環(huán)境安全區(qū)域邊界安全管理中心a)云基礎(chǔ)設(shè)施運(yùn)行產(chǎn)生的數(shù)據(jù)(簡(jiǎn)稱云基礎(chǔ)設(shè)施數(shù)據(jù)):DL/T2612—2023所有物理資源的功能(含安全功能)配置數(shù)據(jù)、運(yùn)行數(shù)據(jù)；b)云服務(wù)運(yùn)行產(chǎn)生的數(shù)據(jù)(簡(jiǎn)稱云服務(wù)數(shù)據(jù)):服務(wù)目錄與客戶賬戶數(shù)據(jù)、服務(wù)生命周期過(guò)程與狀態(tài)、服務(wù)運(yùn)行數(shù)據(jù)、服務(wù)計(jì)量和計(jì)費(fèi)數(shù)c)云客戶業(yè)務(wù)系統(tǒng)運(yùn)行產(chǎn)生的數(shù)據(jù)(簡(jiǎn)稱云客戶數(shù)據(jù)):客戶業(yè)務(wù)系統(tǒng)功能(含安全功能)配置數(shù)據(jù)、業(yè)務(wù)系統(tǒng)運(yùn)行環(huán)境數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等。d)支持VxLAN技術(shù)。b)對(duì)云基礎(chǔ)設(shè)施數(shù)據(jù)、云服務(wù)數(shù)據(jù)，應(yīng)采用符合網(wǎng)絡(luò)安全等級(jí)要求或國(guó)家/行業(yè)密碼規(guī)定加密技c)對(duì)確有保護(hù)保護(hù)需求的云服務(wù)客戶數(shù)據(jù)，應(yīng)基于SLA采用符合云服務(wù)客戶要求的完整性檢測(cè)d)對(duì)確有保護(hù)保護(hù)需求的云服務(wù)客戶數(shù)據(jù)，應(yīng)基于SLA采用符合云服務(wù)客戶要求的網(wǎng)絡(luò)鏈路層5DL/T2612—2023b)部署web防護(hù)設(shè)備WAF;a)支持網(wǎng)絡(luò)邊界處檢測(cè)，防止或限制從外部發(fā)起的攻擊行為，以及從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊6安全審計(jì)應(yīng)符合本文件附錄A.3中的規(guī)定。7.5無(wú)線網(wǎng)絡(luò)安全a)應(yīng)在指定的網(wǎng)絡(luò)邊界處部署無(wú)線接入設(shè)備；c)限制接入終端訪問(wèn)內(nèi)部網(wǎng)絡(luò)、內(nèi)部設(shè)備；d)支持電力行業(yè)規(guī)定的無(wú)線網(wǎng)絡(luò)協(xié)議。8安全計(jì)算環(huán)境要求身份鑒別應(yīng)符合本文件附錄A.1中的規(guī)定。訪問(wèn)控制應(yīng)符合本文件附錄A.2中的規(guī)定。安全審計(jì)應(yīng)符合本文件附錄A.3中的規(guī)定。a)具備將內(nèi)存、存儲(chǔ)空間等回收或再分配時(shí)的完全清除能力；b)具備根據(jù)云服務(wù)客戶需求，對(duì)其重要數(shù)據(jù)的存儲(chǔ)空間回收或再分配時(shí)的完全清除能力。a)部署惡意代碼防范工具，及時(shí)升級(jí)特征庫(kù)；b)及時(shí)阻斷惡意代碼攻擊行為。a)安裝所需的組件和應(yīng)用程序，并部署安全加固組件；b)定期開(kāi)展漏洞掃描，及時(shí)修補(bǔ)漏洞；c)部署入侵防范措施，及時(shí)升級(jí)規(guī)則庫(kù)；d)及時(shí)阻斷入侵行為。7DL/T2612—2023身份鑒別應(yīng)符合本文件附錄A.1中的規(guī)定。a)訪問(wèn)控制遵循附錄A.2中的規(guī)定；b)支持對(duì)物理存儲(chǔ)設(shè)備的統(tǒng)一賬號(hào)與權(quán)限管理，如支持跨物理集群的賬號(hào)與權(quán)限管理；c)支持分布式存儲(chǔ)的數(shù)據(jù)副本分別存儲(chǔ)于不同的物理存儲(chǔ)設(shè)備；d)存儲(chǔ)管理員未授權(quán)不應(yīng)操作云服務(wù)客戶數(shù)據(jù)。a)云服務(wù)客戶數(shù)據(jù)對(duì)物理存儲(chǔ)的存儲(chǔ)需求、安全需求，由云服務(wù)客戶通過(guò)服務(wù)SLA決定；b)對(duì)云基礎(chǔ)設(shè)施數(shù)據(jù)、云服務(wù)數(shù)據(jù)，采用符合相應(yīng)安全等級(jí)要求的校驗(yàn)技術(shù)，確保數(shù)據(jù)完整性，c)云服務(wù)客戶確有數(shù)據(jù)保護(hù)需求，應(yīng)通過(guò)服務(wù)SLA要求，采用符合云服務(wù)客戶要求的校檢技術(shù)，確保數(shù)據(jù)的完整性，采用符合云服務(wù)客戶要求的加密產(chǎn)品，確保數(shù)據(jù)的保密性；d)支持云服務(wù)客戶以安全的方式訪問(wèn)存儲(chǔ)資源；e)支持云服務(wù)客戶自行部署、云服務(wù)商提供或第三方機(jī)構(gòu)提供存儲(chǔ)加密產(chǎn)品；f)確保物理存儲(chǔ)中的數(shù)據(jù)(含個(gè)人信息)等部署于中國(guó)境內(nèi)，確需出境的數(shù)據(jù)，應(yīng)遵循國(guó)家、行業(yè)相關(guān)規(guī)定，開(kāi)展出境安全風(fēng)險(xiǎn)評(píng)估，并采取針對(duì)性措施。安全審計(jì)應(yīng)符合本文件附錄A.3中的規(guī)定。a)確保虛擬機(jī)遷移過(guò)程中重要數(shù)據(jù)的完整性、保密性，并在檢測(cè)到完整性受到破壞時(shí)，采取必要b)云基礎(chǔ)設(shè)施數(shù)據(jù)提供備份與恢復(fù)的措施；c)另外兩類數(shù)據(jù)根據(jù)SLA提供必要的措施。8.2資源虛擬化安全身份鑒別應(yīng)符合本文件附錄A.1中的規(guī)定。a)限制對(duì)虛擬資源訪問(wèn)與管理權(quán)限，包括預(yù)估、申請(qǐng)、分配、調(diào)度、擴(kuò)容、回收等；8b)控制訪問(wèn)權(quán)限，對(duì)回收的虛擬資源，應(yīng)明確其中包含的敏感資源；e)控制對(duì)虛擬機(jī)模板的創(chuàng)建、刪f)控制對(duì)云服務(wù)客戶虛擬資源、數(shù)據(jù)的訪問(wèn)權(quán)限；g)其他要求應(yīng)遵循本文件附錄A.2中的規(guī)定。a)實(shí)現(xiàn)虛擬機(jī)隔離(包括分配給虛擬機(jī)的CPU、內(nèi)存等資源),確保虛擬機(jī)可以獨(dú)立運(yùn)行；c)提供虛擬機(jī)熱遷移所需的鏡像和模板，并實(shí)現(xiàn)目標(biāo)虛擬機(jī)的創(chuàng)建與啟動(dòng)；d)確保虛擬機(jī)遷移過(guò)程中重要數(shù)據(jù)的完整性、保密性，并在檢測(cè)到完整性受到破壞時(shí)采取必要的f)按照云服務(wù)客戶要求提供加固的操作系統(tǒng)鏡像；g)具備虛擬機(jī)鏡像備份在不同物理設(shè)備上的功能。a)對(duì)分配給虛擬機(jī)的存儲(chǔ)資源實(shí)現(xiàn)隔離；b)實(shí)現(xiàn)不同云服務(wù)客戶的數(shù)據(jù)隔離；d)確保數(shù)據(jù)遷移過(guò)程不影響其他虛擬存儲(chǔ)的高可用性。在網(wǎng)卡虛擬化、網(wǎng)絡(luò)設(shè)備虛擬化、網(wǎng)絡(luò)功能虛擬化基礎(chǔ)上，應(yīng)提供實(shí)現(xiàn)如下安全功能的能力：e)實(shí)現(xiàn)虛擬防火墻、虛擬負(fù)載均衡等網(wǎng)絡(luò)安全措施；f)支持接入第三方網(wǎng)絡(luò)安全產(chǎn)品。c)提供容器鏡像完整性檢查、掃描功能，以及支持提供加固的鏡像；9e)提供流量監(jiān)控、分析與控制。a)監(jiān)控虛擬機(jī)生命周期過(guò)程，包括創(chuàng)建、啟動(dòng)、關(guān)閉、重啟、掛起、休眠、恢復(fù)、刪除等；b)監(jiān)控虛擬磁盤(pán)生命周期過(guò)程，包括創(chuàng)建、刪除、掛起、卸載；c)監(jiān)控虛擬機(jī)的資源使用情況，包括CPU利用率、帶寬利用率、存儲(chǔ)利用率等；d)監(jiān)控虛擬機(jī)/數(shù)據(jù)的遷移過(guò)程，包括各部分遷移進(jìn)展、是否異常、成功與否等；e)支持設(shè)定性能指標(biāo)及閾值，并進(jìn)行匯總分析，及時(shí)發(fā)現(xiàn)異常，及時(shí)告警；f)支持云服務(wù)客戶對(duì)監(jiān)控?cái)?shù)據(jù)的需求。身份鑒別應(yīng)符合本文件附錄A.1中的規(guī)定。a)在虛擬機(jī)生命周期過(guò)程中，根據(jù)云服務(wù)客戶需求，由云服務(wù)管理員對(duì)虛擬機(jī)執(zhí)行創(chuàng)建和物理刪b)確保僅在云服務(wù)客戶授權(quán)下，云服務(wù)管理員等相關(guān)云服務(wù)商人員才能訪問(wèn)云服務(wù)客戶數(shù)據(jù)；c)控制對(duì)虛擬機(jī)快照中可能存在的敏感數(shù)據(jù)的訪問(wèn)權(quán)限；d)其他要求應(yīng)遵循本文件附錄A.2中的規(guī)定。a)根據(jù)云服務(wù)商和云服務(wù)客戶的職責(zé)劃分，實(shí)現(xiàn)各自控制部分的審計(jì)；b)云服務(wù)商為云服務(wù)客戶進(jìn)行審計(jì)提供支持；a)支持云服務(wù)客戶設(shè)置對(duì)虛擬機(jī)的訪問(wèn)控制策略；b)支持云服務(wù)客戶對(duì)服務(wù)部件自行實(shí)現(xiàn)冗余部署；c)云服務(wù)出現(xiàn)硬件故障、負(fù)載均衡需求、安裝和維護(hù)需求，應(yīng)支持環(huán)境參數(shù)、訪問(wèn)控制策略、資源運(yùn)行狀態(tài)(CPU、內(nèi)存等)、存儲(chǔ)與網(wǎng)絡(luò)配置等與服務(wù)部件同步熱遷移，實(shí)現(xiàn)服務(wù)平滑運(yùn)行；d)支持云服務(wù)客戶自行選擇服務(wù)部件的快照、克隆、備份等功能，并提供對(duì)快照、克隆、備份的完整性校檢，以確保部件的快速恢復(fù)。應(yīng)提供建立虛擬網(wǎng)絡(luò)架構(gòu)的能力，由云服務(wù)客戶自行配置實(shí)現(xiàn)以下安全功能：a)支持分配和隱藏內(nèi)部IP地址；b)支持開(kāi)展虛擬網(wǎng)絡(luò)全冗余設(shè)計(jì)，避免單點(diǎn)故障；c)支持配置實(shí)現(xiàn)VPC;e)支持配置VLAN、VxLANa)支持?jǐn)?shù)據(jù)敏感(含個(gè)人信息)識(shí)別功能；d)支持所有存儲(chǔ)副本的刪除。本項(xiàng)要求應(yīng)包括：a)支持?jǐn)?shù)據(jù)備份與恢復(fù)所需的物理資源安全、虛擬化安全、云服務(wù)管理安全等措施；b)支持?jǐn)?shù)據(jù)保存若干個(gè)可用的副本，各副本之間的內(nèi)容應(yīng)保持一致；d)支持云服務(wù)客戶查詢備份數(shù)據(jù)存儲(chǔ)位置。b)支持虛擬機(jī)遷移時(shí)原存儲(chǔ)空間回收或再分配時(shí)的完全清除能力；d)清除并回收云服務(wù)管理系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的剩余信息。a)入侵檢測(cè)應(yīng)能檢測(cè)到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時(shí)間、攻擊流b)入侵檢測(cè)應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)的異常流量。本項(xiàng)要求包括以下內(nèi)容。a)應(yīng)根據(jù)云服務(wù)客戶