1、大数据中心安全解决方案大数据中心安全解决方案大数据中心安全解决方案 1安全通用要求 2安全物理环境 2安全通信网络 3安全区域边界 4安全计算环境 5安全管理中心 7安全管理制度 8安全管理机构 8安全管理人员 10安全建设管理 11安全运维管理 13云计算安全扩展要求 17安全物理环境 17安全通信网络 17安全区域边界 17安全计算环境 18安全建设管理 19安全运维管理 20移动互联网安全扩展要求 20安全物理环境 20安全区域边界 20安全计算环境 21安全建设管理 21物联网安全扩展要求 22安全物理环境 22安全区域边界 22安全运维管理 22工业控制系统安全扩展要求 23安全物理
2、环境 23安全通信网络 23安全区域边界 24安全计算环境 25安全建设管理 251.1安全通用要求1.1.1安全物理环境基本要求控制项控制措施建设需求物理位置选择1机房场地应选择在具有防震、防 风和防雨等能力的建筑内;2机房场地应避免设在建筑物的顶 层或地下室,否则应加强防水和 防潮措施。物理访问控制1机房出入口应配置电子门禁系 统,控制、鉴别和记录进入的人 员;电子门禁系统防盗窃和防破坏1应将设备或主要部件进行固定, 并设置明显的不易除去的标记;2应将通信线缆铺设在隐蔽安全 处;防雷击1应将各类机柜、设施和设备等通 过接地系统安全接地;防火1机房应设置火灾自动消防系统, 能够自动检测火情、
3、自动报警,并 自动灭火;火灾自动消防系统2机房及相关的工作房间和辅助房 应采用具有耐火等级的建筑材 料;防水和防潮1应采取措施防止雨水通过机房窗 户、屋顶和墙壁渗透;2应釆取措施防止机房内水蒸气结 露和地下积水的转移与渗透;防静电1应安装防静电地板或地面并采用 必要的接地防静电措施;防静电地板温湿度控制1应设置温、湿度自动调节设施,使 机房温、湿度的变化在设备运行 所允许的范圉之内。机房空调/精密空 调电力供应1应在机房供电线路上配置稳压器 和过电压防护设备;稳压器、UPS2应提供短期的备用电力供应,至 少满足主要设备在断电情况下的 正常运行要求;电磁防护1电源线和通信线缆应隔离铺设, 避免互
4、相干扰;1. 12安全通信网络基本要求控制项控制措施建设需求网络架构1应划分不同的网络区域,并按照 方便管理和控制的原则为各网络 区域分配地址根据服务器功能 区的作用,划分了 VLAN核心交换机/核心 路山器/防火墙等2应避免将重要网络区域部署在网 络边界处,重要网络区域与其他 网络区域之间应采取可黑的技术 隔离手段通过划分不同区 域并防火隔离措 施通信传输1应采用校验技术保证通信过程中 数据的完整性使用校验技术保 障数据的完整性 及保密性VPN设备可信验证1可基于可信根对通信设备的系统 引导程序、系统程序、重要配置参 数和通信应用程序等进行可信验 证,并在检测到其可信性受到破 坏后进行报警,
5、并将验证结果形 成审计记录送至安全管理中心1. 1.3安全区域边界基本要求控制项控制措施建设需求边界防护1应保证跨越边界的访问和数据流 通过边界设备提供的受控接口进 行通信;端口级访问控制防火墙、网闸、路 由器和交换机访问控制1应在网络边界或区域之间根据访 问控制策略设置访问控制规则, 默认情况下除允许通信外受控接 口拒绝所有通信;边界访问控制策 略防火墙、网闸、路 由器和交换机2应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访 问控制规则数量最小化;应用配置项3应对源地址、U的地址、源端口、 忖的端口和协议等进行检查,以 允许/拒绝数据包进出;应用配置项4应能根据会话状态信息为数
6、据流 提供明确的允许/拒绝访问的能 力;对进出网络的数 据流实现基于应 用协议和应用内 容的访问控制入侵防范1应在关键网络节点处监视网络攻 击行为;关键网络节点双 向(外部发起攻击 和内部发起攻击 行为)网络攻击行 为检测、防止或限 制防火墙、IPS、IDS恶意代码和垃圾邮件防范1应在关键网络节点处对恶意代码 进行检测和清除,并维护恶意代 码防护机制的升级和更新;防御网络恶意代 码防火墙(开启防病 毒模块)防毒墙 网关安全审计1应在网络边界、重要网络节点进 行安全审计,审计覆盖到每个用 户,对重要的用户行为和重要安 全事件进行审计;(路由器、交换机 和防火墙等设备) 启用日志功能日志审计系统、
7、堡 垒机、上网行为管 理、防火墙、VPN2审计记录应包括事件的日期和时 间、用户、事件类型、事件是否成应用配置项功及其他与审计相关的信息;3应对审计记录进行保护,定期备 份,避免受到未预期的删除、修改 或覆盖等;应用配置项可信验证1可基于可信根对通信设备的系统 引导程序、系统程序、重要配置参 数和通信应用程序等进行可信验 证,并在检测到其可信性受到破 坏后进行报警,并将验证结果形 成审计记录送至安全管理中心1.1. 4安全计算环境基本要求控制项控制措施建设需求身份鉴别1应对登录的用户进行身份标识和 鉴别,身份标识具有唯一性,身份 鉴别信息具有复杂度要求并定期 更换;设备设置登录认 证功能VPN
8、运维堡垒主 机2应具有登录失败处理功能,应配 置并启用结束会话、限制非法登 录次数和当登录连接超时自动退 出等相关措施;_E机启用设备自 身策略:密码策 略、用户管理、登 录失败处理功能, 启用结束会话、限 制非法登录次数 和当登录连接超 时自动退出等相 关措施3当进行远程管理时,应釆取必要 措施,防止鉴别信息在网络传输 过程中被窃听;远程管理时,使用 SSH、HTTPS 加密访问控制1应对登录的用户分配账号和权 限;主机配置项:登录 的用户账户和权 限合理分配防火墙, 运维堡垒主机2应重命名或删除默认帐户修改默 认帐户的默认口令;重命名或删除默 认账户,修改默认 账户的默认口令3应及时删除或
9、停用多余的、过期 的帐户,避免共享帐户的存在;及时删除或停用 多余的、过期的账 户,避免共享账户 的存在4应授予管理用户所需的最小权 限,实现管理用户的权限分离;管理用户的权限 分离安全审计1应启用安全审计功能,审计覆盖 到每个用户,对重要的用户行为 和重要安全事件进行审计;启用网络设备、安 全设备、服务器等 日志功能,并设置 独立审计员账号 进行安全审计防火墙、日志审计 系统、网络安全审 计、数据库审计2审计记录应包括事件的日期和时 间、用户、事件类型、事件是否成 功及其他与审计相关的信息;应用配置项3应对审计记录进行保护,定期备 份,避免受到未预期的删除、修改 或覆盖等;对审计记录进行 保
10、护入侵防范1应遵循最小安装的原则,仅安装 需要的组件和应用程序;仅安装需要的组 件和应用程序漏洞扫描系统、入 侵检测系统、EDR、 网络防病毒系统2应关闭不需要的系统服务、默认共享和同危端1 1;关闭不需要的系 统服务、默认共享 和高危端口3应通过设定终端接入方式或网络 地址范用对通过网络进行管理的 管理终端进行限制;应用配置项4应提供数据有效性检验功能,保 证通过人机接口输入或通过通信 接口输入的内容符合系统设定要 求;系统配置项(如登 录对输入框输入 的内容进行长度、 位数及复杂度验 证等)5应能发现可能存在的已知漏洞, 并在经过充分测试评佔后,及时 修补漏洞;恶意代码防范1应安装防恶意代
11、码软件或配置具 有相应功能的软件,并定期进行 升级和更新防恶意代码库。安装杀毒软件并 及时更新库EDR、网络防病毒 系统可信验证1可基于可信根对计算设备的系统 引导程序、系统程序、重要配置参 数和应用程序等进行可信验证, 并在检测到其可信性受到破坏后 进行报警,并将验证结果形成审 计记录送至安全管理中心数据完整性1应采用校验技术保证重要数据在 传输过程中的完整性;采用校验技术或 者加密通道通信VTN数据备份恢复1应提供重要数据的本地备份与恢 复功能;数据备份软件、容 灾备份系统2应提供异地实时备份功能,利用 通信网络将重要数据定时批量备 份至备份场地;应用配置项剩余信息保护1应保证鉴别信息所在
12、的存储空 间,被释放或重新分配前得到完 全清除;应用配置项个人信息保护1应仅釆集和保存业务必需的用户 个人信息;上网行为管理2应禁止未授权访问和非法使用用 户个人信息应用配置项1. 15安全管理中心基本要求控制项控制措施建设需求系统管理1应对系统管理员进行身份鉴别, 只允许其通过特定的命令或操作 界面进行系统管理操作,并对这 些操作进行审计;运维堡垒机、网管 系统、网络安全管 理平台等2应通过系统管理员对系统的资源 和运行进行配置、控制和管理,包 括用户身份、系统资源配置、系统 加载和启动、系统运行的异常处 理、数据和设备的备份与恢复等。应用配置项审计管理1应对审计管理员进行身份鉴别, 只允许
13、其通过特定的命令或操作数据库审计、日志 审计、运维堡垒机界面进行安全审计操作,并对这 些操作进行审讼;2应通过审讣管理员对审计记录进 行分析,并根据分析结果进行处 理,包括根据安全审计策略对审 计记录进行存储、管理和查询等。应用配置项1.1. 6安全管理制度序号基本要求控制项是否满足已有措施需求安全策略a应制定网络安全工作的总 体方针和安全策略,阐明机 构安全工作的总体H标、范 围、原则和安全框架等。满足已建立,不 断完善管理制度a应对安全管理活动中的各 类管理内容建立安全管理 制度;满足已建立,不 断完善b应对要求管理人员或操作 人员执行的日常管理操作 建立操作规程;满足已建立,不断完善制定和发布a应指定或授权专门的部门 或人员负责安全管理制度 的制定;满足已建立,不断完善b安全管理制度应通过正式、 有效的方式发布,并进行版 本控制;满足已建立,不 断完善评审和修订a应定期对安全管理制度的 合理性和适用性进行论证 和审定,对存在不足或需要 改进的安全管理制度进行 修订。满足已建立,不断完善1.1. 7安全管理机构序号基本要求控制项是否满足已有措施需求岗位设置a应设立网络安全管理工作 的职能部门,设立安全主 管、安全管理各个方面
