2024超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范1

超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范1范圍本文件規(guī)定了超融合系統(tǒng)網(wǎng)絡(luò)安全的術(shù)語定義、功能要求、基本數(shù)據(jù)項(xiàng)和試驗(yàn)方法。本文件適用于超融合系統(tǒng)的研發(fā)和部署設(shè)計(jì)，以及應(yīng)用中的網(wǎng)絡(luò)安全管理。2規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯GB/T37939-2019信息安全技術(shù)網(wǎng)絡(luò)存儲安全技術(shù)要求3術(shù)語和定義GB/T32400-2015超融合系統(tǒng)網(wǎng)絡(luò)安全規(guī)范1范圍本文件規(guī)定了超融合系統(tǒng)網(wǎng)絡(luò)安全的術(shù)語定義、功能要求、基本數(shù)據(jù)項(xiàng)和試驗(yàn)方法。本文件適用于超融合系統(tǒng)的研發(fā)和部署設(shè)計(jì)，以及應(yīng)用中的網(wǎng)絡(luò)安全管理。2規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T32400-2015信息技術(shù)云計(jì)算概覽與詞匯GB/T37939-2019信息安全技術(shù)網(wǎng)絡(luò)存儲安全技術(shù)要求3術(shù)語和定義GB/T32400-2015GB/T37939-20193.1超融合系統(tǒng)IT能力的不同，可以劃分為基礎(chǔ)級、增強(qiáng)級。4功能要求4.1基礎(chǔ)級超融合網(wǎng)絡(luò)安全監(jiān)控安全、審計(jì)安全等功能。4.2增強(qiáng)級超融合網(wǎng)絡(luò)安全計(jì)安全等功能。對于每個功能要求，增強(qiáng)級超融合網(wǎng)絡(luò)安全比基礎(chǔ)級超融合網(wǎng)絡(luò)安全要求更嚴(yán)格。5基本數(shù)據(jù)項(xiàng)5.1管理安全應(yīng)滿足表1的要求。1表1 管理安全指標(biāo)5.2系統(tǒng)內(nèi)核層安全超融合系統(tǒng)內(nèi)核層應(yīng)具有自身系統(tǒng)內(nèi)核的安全自檢、自修復(fù)能力，指標(biāo)應(yīng)滿足表2的要求。表2系統(tǒng)內(nèi)核層安全指標(biāo)5.3超融合數(shù)據(jù)層安全應(yīng)滿足表3的要求。2指標(biāo)分類指標(biāo)說明基礎(chǔ)版增強(qiáng)版底層內(nèi)核系統(tǒng)安全應(yīng)支持底層系統(tǒng)完整性破壞、缺失檢測的功能，且能更新或恢復(fù)初始的能力√√應(yīng)支持操作系統(tǒng)包括但不限于LINUX、WINDOWS、第三方等系統(tǒng)底層內(nèi)核的安全更新漏洞修復(fù)能力√√Hypervisor（計(jì)算虛擬化軟件）Hyper-vKVMVmwareCtrixXen虛擬化軟件安全更新√√應(yīng)支持當(dāng)前虛擬軟件官方漏洞公布與即時修復(fù)的能力√√ServerSAN（分布式存儲軟件）應(yīng)支持ServerSAN軟件，包含但不限于Ceph、Swift、VSAN、Nutanix、EMCFusionCubeXenUIS√√CVE（CommonVulnerabilitiesandExposures，步響應(yīng)更新的能力√√0day安全防護(hù)虛擬系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、管理平臺漏洞等√√指標(biāo)分類指標(biāo)說明基礎(chǔ)版增強(qiáng)版表1 管理安全指標(biāo)5.2系統(tǒng)內(nèi)核層安全超融合系統(tǒng)內(nèi)核層應(yīng)具有自身系統(tǒng)內(nèi)核的安全自檢、自修復(fù)能力，指標(biāo)應(yīng)滿足表2的要求。表2系統(tǒng)內(nèi)核層安全指標(biāo)5.3超融合數(shù)據(jù)層安全應(yīng)滿足表3的要求。2指標(biāo)分類指標(biāo)說明基礎(chǔ)版增強(qiáng)版底層內(nèi)核系統(tǒng)安全應(yīng)支持底層系統(tǒng)完整性破壞、缺失檢測的功能，且能更新或恢復(fù)初始的能力√√應(yīng)支持操作系統(tǒng)包括但不限于LINUX、WINDOWS、第三方等系統(tǒng)底層內(nèi)核的安全更新漏洞修復(fù)能力√√Hypervisor（計(jì)算虛擬化軟件）Hyper-vKVMVmwareCtrixXen虛擬化軟件安全更新√√應(yīng)支持當(dāng)前虛擬軟件官方漏洞公布與即時修復(fù)的能力√√ServerSAN（分布式存儲軟件）應(yīng)支持ServerSAN軟件，包含但不限于Ceph、Swift、VSAN、Nutanix、EMCFusionCubeXenUIS√√CVE（CommonVulnerabilitiesandExposures，步響應(yīng)更新的能力√√0day安全防護(hù)虛擬系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、管理平臺漏洞等√√指標(biāo)分類指標(biāo)說明基礎(chǔ)版增強(qiáng)版物理環(huán)境安全應(yīng)支持硬件物理損壞情況下高可用、容災(zāi)及數(shù)據(jù)恢復(fù)的能力√√管理平臺應(yīng)支持平臺真?zhèn)舞b別的能力√√應(yīng)支持管理平臺WEB訪問連接安全的能力√√應(yīng)支持最小化安裝原則、且能禁用無用組件功能√√管理業(yè)務(wù)應(yīng)支持客戶業(yè)務(wù)可持續(xù)性保護(hù)措施、全面保護(hù)客戶業(yè)務(wù)的能力√√應(yīng)支持各用戶、業(yè)務(wù)、數(shù)據(jù)的隔離，不可互訪的能力√√應(yīng)支持應(yīng)用粒度訪問控制的能力√√管理人員同需2人以上分權(quán)操作?！獭坦芾碇贫葢?yīng)制定總體安全目標(biāo)、范圍、原則、安全框架√√應(yīng)定期對管理人員進(jìn)行安全防護(hù)、防社工知識培訓(xùn)√√應(yīng)定期對安全防護(hù)措施、安全管理制度進(jìn)行論證、優(yōu)化、更新、發(fā)布√√應(yīng)建立崗位責(zé)任具體到人的負(fù)責(zé)制√√表3 超融合數(shù)據(jù)層安全指標(biāo)5.4超融合網(wǎng)絡(luò)層安全護(hù)等功能，指標(biāo)應(yīng)滿足表4的要求。表4 超融合網(wǎng)絡(luò)層安全指標(biāo)5.5資源組件安全超融合資源組件安全指標(biāo)應(yīng)滿足表5的要求。表5 資源組建安全指標(biāo)5.6監(jiān)控安全3一級指標(biāo)二級指標(biāo)指標(biāo)說明基礎(chǔ)版增強(qiáng)版虛擬資源組件安全組件完整性檢測與恢復(fù)√√組件資源安全訪問非授權(quán)不可互訪√√一級指標(biāo)二級指標(biāo)指標(biāo)說明基礎(chǔ)版增強(qiáng)版網(wǎng)絡(luò)層網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)邊界應(yīng)支持邏輯隔離，細(xì)顆粒的vxlan的能力√√阻斷的能力√√訪問控制應(yīng)支持角色最小權(quán)限劃分，以及清晰的權(quán)限分離√√應(yīng)支持按自定義方式的內(nèi)容級粒度訪問控制-√網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴應(yīng)支持QOSDDOS√√應(yīng)支持最大流量與最大連接數(shù)的限制能力√√指標(biāo)分類指標(biāo)說明（定量、定性指標(biāo)）基礎(chǔ)版增強(qiáng)版計(jì)算數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)計(jì)算交互過程中的保密性、完整性能力，以及閃存數(shù)據(jù)的防護(hù)能力√√傳輸數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)傳輸過程中的保密性、防竊聽、以及遭受偵聽、嗅探時不可直接重組，重現(xiàn)完整數(shù)據(jù)的能力√√應(yīng)支持物理故障時，數(shù)據(jù)仍可保持不低于正常吞吐量的能力。8K10000表3 超融合數(shù)據(jù)層安全指標(biāo)5.4超融合網(wǎng)絡(luò)層安全護(hù)等功能，指標(biāo)應(yīng)滿足表4的要求。表4 超融合網(wǎng)絡(luò)層安全指標(biāo)5.5資源組件安全超融合資源組件安全指標(biāo)應(yīng)滿足表5的要求。表5 資源組建安全指標(biāo)5.6監(jiān)控安全3一級指標(biāo)二級指標(biāo)指標(biāo)說明基礎(chǔ)版增強(qiáng)版虛擬資源組件安全組件完整性檢測與恢復(fù)√√組件資源安全訪問非授權(quán)不可互訪√√一級指標(biāo)二級指標(biāo)指標(biāo)說明基礎(chǔ)版增強(qiáng)版網(wǎng)絡(luò)層網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)邊界應(yīng)支持邏輯隔離，細(xì)顆粒的vxlan的能力√√阻斷的能力√√訪問控制應(yīng)支持角色最小權(quán)限劃分，以及清晰的權(quán)限分離√√應(yīng)支持按自定義方式的內(nèi)容級粒度訪問控制-√網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴應(yīng)支持QOSDDOS√√應(yīng)支持最大流量與最大連接數(shù)的限制能力√√指標(biāo)分類指標(biāo)說明（定量、定性指標(biāo)）基礎(chǔ)版增強(qiáng)版計(jì)算數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)計(jì)算交互過程中的保密性、完整性能力，以及閃存數(shù)據(jù)的防護(hù)能力√√傳輸數(shù)據(jù)應(yīng)支持?jǐn)?shù)據(jù)傳輸過程中的保密性、防竊聽、以及遭受偵聽、嗅探時不可直接重組，重現(xiàn)完整數(shù)據(jù)的能力√√應(yīng)支持物理故障時，數(shù)據(jù)仍可保持不低于正常吞吐量的能力。8K1000050000400M；256K800IOPS；2IPOS，200M√√存儲數(shù)據(jù)應(yīng)支持存儲數(shù)據(jù)的保密性與完整性能力√√數(shù)據(jù)副本、CDP業(yè)務(wù)快速備份與恢復(fù)應(yīng)支持2個以上副本（含2個）數(shù)據(jù)，且支持2種以上備份恢復(fù)方式√√應(yīng)支持?jǐn)?shù)據(jù)副本同步或異步備份且可快速恢復(fù)√√備份時間間隔不大于24h√√殘余數(shù)據(jù)保護(hù)應(yīng)支持虛擬資源CPU釋放空間等資源回收時完全清除殘留的能力√√超融合監(jiān)控安全指標(biāo)應(yīng)滿足表6的要求。表6 監(jiān)控安全5.7審計(jì)安全安全審計(jì)范圍應(yīng)支持多種類型，包含事件、用戶、事件類型、事件進(jìn)行的狀態(tài)等。6試驗(yàn)方法6.1管理安全5.1中的清單項(xiàng)，逐一對照安全項(xiàng)檢查其合規(guī)性。管理平臺、管理業(yè)務(wù)中的平臺真?zhèn)巫R別、WEBSSL數(shù)字證書進(jìn)行通信連接加密與平臺真實(shí)性識別。6.2系統(tǒng)內(nèi)核層安全應(yīng)按以下方法檢查當(dāng)前內(nèi)核版本是否最新:cat/proc/version或uname超融合監(jiān)控安全指標(biāo)應(yīng)滿足表6的要求。表6 監(jiān)控安全5.7審計(jì)安全安全審計(jì)范圍應(yīng)支持多種類型，包含事件、用戶、事件類型、事件進(jìn)行的狀態(tài)等。6試驗(yàn)方法6.1管理安全5.1中的清單項(xiàng)，逐一對照安全項(xiàng)檢查其合規(guī)性。管理平臺、管理業(yè)務(wù)中的平臺真?zhèn)巫R別、WEBSSL數(shù)字證書進(jìn)行通信連接加密與平臺真實(shí)性識別。6.2系統(tǒng)內(nèi)核層安全應(yīng)按以下方法檢查當(dāng)前內(nèi)核版本是否最新:cat/proc/version或uname–alsb_release–acat/etc/issueWindowssysteminfo按需要采用內(nèi)核升級指令，保持與發(fā)行版本的即時更新。針對計(jì)算虛擬化軟件分布式存儲軟件0daykernel具與升級方式保持其最新，且在廠商官網(wǎng)，以及第三方CVE（CommonVulnerabilitiesand6.3超融合數(shù)據(jù)層安全sniffer、wireshark存儲數(shù)據(jù)采用拔盤外掛載第三方機(jī)器上，嘗試直接讀取其數(shù)據(jù)、或重組其數(shù)據(jù)的可能性。數(shù)據(jù)副本、CDP314一級指標(biāo)二級指標(biāo)指標(biāo)說明基礎(chǔ)版增強(qiáng)版安全監(jiān)控監(jiān)控范圍應(yīng)支持各類型的范圍監(jiān)控:包括資源、管理平臺、技術(shù)、人員行為等√√監(jiān)控反饋應(yīng)支持至少1種及以上的監(jiān)控反饋方式：短信、應(yīng)用、郵件、報警音等√√監(jiān)控聯(lián)動可支持自定義事件發(fā)生時，策略聯(lián)動的能力-√6.3.3Iometer,FIO3100G，此操作僅為測試前常規(guī)操作，不作為測試結(jié)果值。再開始正式測試。8K256K（小文件與大文件）28K6.3.3Iometer,FIO3100G，此操作僅為測試前常規(guī)操作，不作為測試結(jié)果值。再開始正式測試。8K256K（小文件與大文件）28K1萬5萬400M；256K800IOPS2千IPOS，帶寬不少于200M。6.4超融合網(wǎng)絡(luò)層安全6.4.12honeyd、、explorerIP80212223TCPUDPTTL6.4.2網(wǎng)絡(luò)質(zhì)量、網(wǎng)絡(luò)風(fēng)暴snifferwiresharkPING絡(luò)抖動率。6.4.3網(wǎng)絡(luò)攻擊防護(hù)DDOSCCIPDDOS3擊行為。能實(shí)現(xiàn)攻擊能被檢測記錄，能有效阻斷等功能；Web問一句話病毒3次，若無響應(yīng)則為內(nèi)核防毒發(fā)揮。6.5虛擬資源組件安全引具體缺失組件以及恢復(fù)指引。6.6安全監(jiān)控檢測方法監(jiān)控范圍采用目測