本方案针对政务云的特点,对照“一个中心、三重防护”的指导思想,设计了 “2、3、3、2、1(2个重点、3个体系、3个维度、3个合规、2个阶段、1套班子)”的整体安全体系框架,并进行了相关安全措施部署设计,给出了明确说明。包括:
2个重点:围绕云环境下的特殊安全风险和安全合规两个重点问题进行着重解决;
3个体系:进行技术体系、管理体系、运维体系设计,使得政务云能够得到完善的安全保护,科学有序的安全管理,动态、安全、持续的安全运维保障;
3个维度:从防护、检测、响应三个维度着手,在传统纵深防护+事后审计的基础上,着重对边界被攻破后的持续安全检测手段进行了丰富,使得云内安全可视、可控和快速响应成为现实。
3个合规:严格参照信息系统安全等级保护标准、云计算服务安全指南/能力要求(GBT31168/67)、电子政务外网相关安全标准,三标合一,最大限度保障合规性;
2个阶段:给出了基础安全保障体系建设,自动化安全运维提升两个阶段的建设建议、清单列表,保障建设方案的可操作性、可落地性。
1套班子:针对运维管理阶段,本方案还给出了构建统一的安全管理和运维班子的建议和参考模型,力求最大限度保障政务云的持续、有序安全运转和应急响应。
目录
1. 项目概述 4
1.1. 项目建设背景 4
1.2. 项目建设目标 4
1.3. 项目参考标准 5
1.4. 安全整改原则 6
2. 系统现状分析 7
2.1. 系统定级情况说明 7
2.2. 业务系统说明 8
2.3. 逻辑网络结构说明 8
2.4. 云平台的安全措施说明 8
3. 安全风险和需求分析 8
3.1. 网络安全风险和需求分析 8
3.1.1. 虚拟网络边界的隔离 8
3.1.2. 虚拟流量的入侵检测 9
3.1.3. 云租户方控制网络流量的集中审计 9
3.1.4. 远程管理的通信加密 9
3.2. 主机安全风险和需求分析 9
3.2.1. 虚拟机日志的集中审计 9
3.2.2. 虚拟机的防病毒 10
3.2.3. 补丁管理与安全加固 10
3.2.4. 运维管理安全 10
3.3. 应用安全风险和需求分析 10
3.3.1. 业务系统漏洞的挖掘 10
3.3.2. 源代码审计 11
3.4. 数据安全风险和需求分析 11
3.4.1. 云环境下的应用交付 11
3.4.2. 本地备份 11
4. 对云平台的安全要求 12
4.1. 云平台应通过等级保护三级测评 12
4.2. 互联网出口的安全防护 12
4.3. 带宽保障 12
4.4. 虚拟化平台的安全 12
4.5. 数据安全 13
5. 总体安全设计 13
5.1. 总体设计目标 13
5.2. 总体安全体系设计 14
5.3. 总体网络架构设计 16
5.4. 安全域划分说明 16
6. 详细方案设计技术部分 17
6.1. 安全计算环境设计 17
6.1.1. 虚拟机防病毒设计 17
6.1.2. 运维安全管理 18
6.1.3. 补丁管理与安全加固 18
6.1.4. 云环境下的应用交付 18
6.1.5. 数据的本地备份 18
6.1.6. 业务系统漏洞挖掘和源代码审计 18
6.2. 安全区域边界设计 19
6.2.1. 虚拟边界隔离 19
6.2.2. 虚拟流量的入侵检测 19
6.2.3. 虚拟流量的集中审计 19
6.2.4. 有害信息的监测和告警 19
6.3. 安全通信网络设计 20
6.3.1. 远程管理的通信完整性和保密性 20
6.3.2. 数据本地备份的传输加密 20
6.4. 安全管理中心设计 20
7. 详细方案设计管理部分 20
8. 方案优势 20
8.1. 虚拟流量的可视 20
8.2. 虚拟流量的持续检测和快速响应 21
8.3. 运维简单 21
8.4. 完善的数据安全解决方案 21
9. 项目预算与配置清单 22
下载地址:https://t.zsxq.com/aiE6eAI