logo资料库

云安全(私有云)等保2.0解决方案技术建议书.docx

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:1.72M 资料格式:docx 举报 版权申诉
第1页 / 共114页
第2页 / 共114页
第3页 / 共114页
第4页 / 共114页
第5页 / 共114页
第6页 / 共114页
第7页 / 共114页
第8页 / 共114页
资料共114页,剩余部分请下载后查看
    第1章 项目概述
    1.1项目背景(以政务云为例)
    1.2项目内容(按实际情况修改)
    第2章 云安全体系规划
    2.1体系建设依据
    2.1.1.依据标准
    2.2安全体系设计
    2.2.1.安全需求分析
    2.2.2.安全体系规划
    2.2.3.等保要求分析
    2.2.3.1. 网络安全等级保护2.0
    2.2.3.2. 安全物理环境
    2.2.3.3. 安全通信网络
    2.2.3.4. 安全区域边界
    2.2.3.5. 安全计算环境
    2.2.3.6. 安全管理中心
    2.2.3.7. 安全管理制度
    2.2.3.8. 安全管理机构
    2.2.3.9. 安全管理人员
    2.2.3.10. 安全建设管理
    2.2.3.11. 安全运维管理
    2.2.4.等保重要要求与应对措施
    2.2.4.1.通用技术要求
    2.2.4.2.云计算扩展要求
    2.3安全运营设计
    2.3.1.运营概述
    2.3.2.运营思路
    2.3.3.运营策略
    2.3.3.1.基础架构安全防护
    2.3.3.2.安全运行保障服务
    2.3.3.3.智能安全管理
    第3章 云安全防护体系
    3.1安全建设原则
    3.2总体安全策略
    3.3安全防护体系方案
    3.3.1.方案设计思路
    3.3.2.技术方案概述
    3.3.3.云平台安全建设
    3.3.3.1.方案全局部署
    3.3.3.2.云平台安全区域边界方案设计
    A.互联网边界隔离
    B.抗拒绝服务攻击
    3.3.3.3.云平台安全通信网络方案设计
    A.入侵威胁检测
    B.病毒威胁检测
    C.VPN远程安全访问
    D.安全隔离与信息交换
    3.3.3.4.云平台安全计算环境方案设计
    A.安全应用交付
    B.Web应用防护
    C.数据库安全审计
    D.流量分析引擎
    3.3.3.5.云平台安全管理中心方案设计
    A.脆弱性管理
    B.运维安全设计
    C.日志综合管理
    D.安全态势感知
    3.3.4.云租户安全建设
    3.3.4.1.方案部署
    3.3.4.2.安全防护资源池
    A.南北向安全防护
    B.南北向应用安全交付
    C.东西向安全防护
    3.3.4.3.威胁检测资源池
    A.Web安全防护
    B.网页防篡改
    C.网络入侵检测
    3.3.4.4.综合审计资源池
    A.租户级数据库审计
    B.租户级堡垒机
    C.租户级漏洞扫描
    D.租户级日志审计
    3.3.4.5.虚拟主机安全
    A.资产清点
    B.风险分析
    C.入侵检测
    D.病毒查杀
    E.合规基线
    F.安全日志
    3.3.4.6.租户安全服务化
    A.安全服务化能力
    B.云网络关联能力
    C.极简的配置逻辑
    D.智能化运维管理
    E.可视化运营分析
    F.产品服务目录
    3.3.5.安全防护方案价值
    第4章 安全服务体系建设
    4.1政务云平台安全运行保障需求分析
    4.1.1.政务云安全能力需求识别
    4.1.2.政务云安全能力发展变化
    4.2政务云平台安全运行保障服务设计
    4.2.1.安全运行保障服务清单
    4.2.2.安全运行保障服务目标识别
    4.2.3.安全运行保障服务设计关键点
    4.2.4.安全运行保障服务框架
    4.2.5.安全运行保障服务参考标准
    4.3政务云平台安全运行保障服务详细设计
    4.3.1.工作项一:快速安全体检
    4.3.1.1.服务内容
    4.3.1.2.服务输出
    4.3.2.工作项二:快速安全加固
    4.3.2.1.服务内容
    4.3.2.2.服务流程
    4.3.2.3.服务输出
    4.3.3.工作项三:完善、优化安全运行保障管理体系
    4.3.3.1.服务流程
    4.3.3.2.服务输出
    4.3.4.工作项四:执行日常安全运维工作
    4.3.4.1.服务内容
    4.3.4.2.服务输出
    4.3.5.工作项六:按需开展安全测试类服务
    4.3.5.1.服务内容
    4.3.5.2.服务输出
    4.4安全运行保障服务实施计划
    4.4.1.服务人员投入
    4.4.2.服务进度计划
    4.5XXX安全服务整体优势
    4.5.1.整体服务优势
    4.5.2.人员安全资质
    4.5.2.1.等保测评专家
    4.5.2.2.CISSP
    4.5.2.3.PMP项目经理
    4.5.2.4.注册信息安全工程师
    4.5.2.5.CCIE-安全
    4.5.2.6.27001认证
    4.5.3.完备的管理体系
    4.5.3.1.质量与可持续发展
    4.5.3.2.以客户价值为中心
    4.5.3.3.完善的质量保证和流程体系
    4.5.3.4.质量管理体系认证
    4.5.3.5.服务管理体系
    4.6XXX安全服务相关保密承诺
    4.6.1.保密协议
    4.6.1.1.保密协议的必要性
    4.6.1.2.保密条款
    4.6.1.3.违约责任
    4.6.2.保障人员专项保密承诺
    4.6.2.1.保密承诺的必要性
    4.6.2.2.保密内容和范围
    4.6.2.3.保密责任
    云安全解决方案技术建议书 2019 年 11 月
    第 1 章 项目概述 1.1 项目背景(以政务云为例) 为更好推动政务信息系统整合共享,根据《国务院关于印发政务 信息资源共享管理暂行办法的通知》(国发〔2016〕51 号)、《国务院 关于印发“十三五”国家信息化规划的通知》(国发〔2016〕73 号) 等有关要求,国务院办公厅于 2017 年 5 月印发了《国务院办公厅关 于印发政务信息系统整合共享实施方案的通知》(国办发〔2017〕39 号),对政务信息系统整合共享的指导思想、基本原则、工作目标、 主要任务、保障措施等提出了明确要求,为各省、自治区、直辖市人 民政府,国务院各部委、各直属机构开展相关工作指明了方向,该通 知明确要求 2017 年 12 月底前,基本完成国务院部门内部政务信息系 统整合清理工作,初步建立全国政务信息资源目录体系,政务信息系 统整合共享在一些重要领域取得显著成效,一些涉及面宽、应用广泛、 有关联需求的重要政务信息系统实现互联互通。2018 年 6 月底前, 实现国务院各部门整合后的政务信息系统接入国家数据共享交换平 台,各地区结合实际统筹推进本地区政务信息系统整合共享工作,初 步实现国务院部门和地方政府信息系统互联互通。完善项目建设运维 统一备案制度,加强信息共享审计、监督和评价,推动政务信息化建 设模式优化,政务数据共享和开放在重点领域取得突破性进展。 为了 XXXX 信息化“十三五”规划 XX 应用系统的运行,加快构建 形成布局合理、规模适度、保障有力、绿色集约的 XXXX 数据中心体
    系,本着统筹考虑、资源整合的原则,在 XXXXXX 通信信息网络机房 搭建一套完整的、尽可能承载“十三五”期间行业信息化运行和发展 建设的基础支撑环境,完善 XXXX 信息网络机房的应用支撑软件、数 据管理软件、网络资源、计算资源、存储资源及配套环境,推进 XX 行业信息化可持续发展是必要的。 1.2 项目内容(按实际情况修改) 为支撑 XXXX 应用系统的运行,本着统筹考虑、资源整合的原则, 搭建一套完整的、能够承载“十三五”中后期到“十四五”初期 XXXX 行业信息化运行和发展建设的云平台和基础支撑环境,完善 XXXX 部 通信信息网络机房的计算资源、存储资源、网络资源、安全系统、应 用支撑软件、数据管理软件及配套环境,尽可能为 XXXX 部十三五期 间的信息化建设提供先进性与实用性相结合的基础支撑条件。 本次工程建设内容主要包括以下两部分: (1)云计算基础环境建设 本工程是在 XXXX 部当前信息化建设基础上,通过扩容、替换、 增补必要的软硬件设备,建成满足 XXXX 部“十三五”中后期到“十 四五”初期各业务系统部署运行所需的云计算基础环境,包括计 算资源、存储资源、网络资源、应用支撑软件等,同时利用云管 理平台集中管理各类资源,根据应用需求和特点统筹分配和使用, 并对各类基础资源及应用系统进行监控、管理、调度和控制。 (2)云计算安全体系建设
    根据《中华人民共和国网络安全法》及《信息安全技术网络安 全等级保护基本要求》,结合 XXXX 部虚云平台的使用需求,建设 云计算平台安全体系,主要包括网络和通信安全、设备和计算安 全、应用和数据安全等多个方面。根据业务或者不同的区域构建 应用资源池。通过云管理平台将虚拟化资源池集群、数据库资源 池集群,交付给 XXXX 部各业务应用系统用户,并且提供云防火墙、 云负载均衡等多种的云安全服务。 第 2 章 云安全体系规划 2.1 体系建设依据 2.1.1.依据标准 (1)《信息安全技术云计算服务安全能力要求》(GB/T 31168—2014); (2)《信息安全技术云计算服务安全指南》(GB/T31167-2014); (3)《信息安全技术 网络安全等级保护实施指南》(GB/T 25058 ) (4)《信息安全技术 网络安全保护等级定级指南》(GB/T 22240) (5) 《 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求 》( GB/T 22239-2019) (6)《信息安全技术 网络安全等级保护测评要求》(GBT28448-2019) (7) 《 信 息 安 全 技 术 网 络 安 全 等 级 保 护 安 全 设 计 技 术 要 求 》 (GBT25070-2019) (8)《国家电子政务信息安全标准化规范性要求》
    (9)《国家电子政务外网信息安全标准体系框架》 (10)《国家电子政务外网政务云安全要求》 (11)《国家电子政务外网跨网数据安全交换技术要求与实施指南》 等 2.2 安全体系设计 2.2.1.安全需求分析 (1) 数据泄露、篡改、丢失 云平台中存储的数据具有较高的敏感性,涉及企业知识产权和商 业机密,是其核心资产的重要组成部分,有些数据资料甚至关系到国 家安全,因此对数据的窃取或者破坏将造成严重经济损失、社会影响 甚至国家安全等问题。 (2) 权限控制出现异常 单一或松散的身份验证、弱口令、不安全的密钥或证书管理都可 能导致访问权限出现异常,一旦恶意用户掌握了其不该拥有的权限后, 对云计算平台所造成的安全影响是致命的,攻击者就可以伪装成合法 用户读取、更改或者删除用户数据,进而影响企业的正常运行。 (3) 系统漏洞利用 云服务提供的基础资源属于共享设施,所以其共有的系统安全漏 洞可能会存在于所有使用者的云资源当中。这给攻击者提供了便利的 攻击途径,并节省了大量的研究成本,一个业务被攻陷后,同一个云 中的其它业务很可能会被同一种攻击类型攻击成功。
    (4) 账户劫持 攻击者通过钓鱼攻击和利用软件漏洞可以对用户的账户登录会话 进行劫持,在不知道目标账户和口令的前提下,可以仿冒合法用户的 登录会话,从而隐蔽的获取访问权。如果攻击者获取了远程管理云计 算平台资源的帐户登录信息,就可以对业务运行数据进行窃取与破坏。 (5) 恶意内部人员 人们在部署各式安全防护设备的同时,往往会忽略来自内部人员 的恶意危害,这些人其破坏面广、力度大,可辐射其整个云环境。 (6) APT 攻击 高级持续性威胁(APT)通常隐蔽性很强,很难捕获。而一旦 APT 渗透进云平台,建立起桥头堡,然后在相当长一段时间内,源源不断 地、悄悄地偷走大量数据,形同寄生虫,危害极大。 APT 攻击已经 逐渐成为当前威胁国家安全的重要问题。 (7) 拒绝服务攻击 一直以来,分布式拒绝服务(DDoS)一直都是互联网环境下的一大 威胁。在云环境中,许多用户会需要一项或多项服务保持 7×24 小 时的可用性,业务中断将造成严重的经济损失甚至是危及人员生命财 产安全的严重事故,因此应该引起额外的重视。 (8) 共享技术漏洞 云计算中采用了大量的虚拟化技术和共享技术,而这些技术本身 可能存在安全漏洞。因为其处于底层,共享技术的漏洞将对云计算构 成了严重威胁。如果一个服务组件被破坏泄露,如某个系统管理程序、
    一个共享的功能组件、或应用程序被攻击,则极有可能使整个云环境 被攻击和破坏。 2.2.2.安全体系规划 本方案将本次云计算平台安全体系分为技术和服务两个方面设计: 安全防护体系建设和安全服务体系建设。以《网络安全等级保护要求》 内容为主要指导。 云计算平台安全体系架构 安全防护体系将涵盖云边界防护、租户级防护、云内数据安全等 多方面内容。安全服务体系将以等保管理体系设计、数据安全风险管 理、安全运维服务及应急响应为主。整体方案可覆盖全部业务需求及 合规需求。 2.2.3.等保要求分析 2.2.3.1. 网络安全等级保护 2.0 随着我国信息技术的快速发展,特别是云计算、移动互联、物联
    网、大数据等新技术、新应用的出现给信息安全引入了新的安全威胁 与风险。为加强对采用云计算、移动互联、物联网、大数据等新技术 的等级保护对象的安全保护,推动新技术、新应用安全满足等级保护 合规要求,形成了等级保护系列扩展标准。 2018 年 6 月 27 日,公安部正式发布《网络安全等级保护条例(征 求意见稿)》(以下称“《等保条例》”),标志着《网络安全法》(以下 称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具 体的实施依据与有力抓手。《等保条例》共八章七十三条,包括总则、 支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监 督管理、法律责任和附则。相较于 2007 年实施的《信息安全等级保 护管理办法》(以下称“《管理办法》”)所确立的等级保护 1.0 体系, 《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更 新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新 应用发展的要求,标志着等级保护正式迈入 2.0 时代。 XXXX 云计算平台参考定级标准,需要按照等保三级要求建设,分 析如下。 2.2.3.2. 安全物理环境 通用要求 安全物理环境主要针对环境安全防范与物理环境相关的威胁,保 护系统、建筑以及相关的基础设施。从物理位置的选择、物理访问控 制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度 控制、电力供应、电磁防护等几个方面来考虑。云计算平台针对物理
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料