云数据中心安全规划设计

云数据中心安全规划设计

目录

1前言 (2)

1.1背景 (2)

1.2文档目的 (2)

1.3适用范围 (2)

1.4参考文档 (2)

2安全 (3)

2.1信息安全背景 (3)

2.2工作方法说明 (3)

2.3集团安全目标 (5)

2.4集团安全体系功能服务组件框架 (8)

2.5集团云安全规划路线 (30)

1.1背景

集团信息中心中心引入日趋成熟的云计算技术，建设面向全院及国网相关单位提供云计算服务的电力科研云，支撑全院各个单位的资源供给、数据共享、技术创新等需求。实现云计算中心资源的统一管理及云计算服务统一提供；完成云计算中心的模块化设计，逐渐完善云运营、云管理、云运维及云安全等模块的标准化、流程化、可视化的建设；是本次咨询规划的主要考虑。

1.2文档目的

本文档为集团云计算咨询项目的咨询设计方案，将作为集团信息中心云计算建设的指导性文件和依据。

1.3适用范围

本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设计人员、维护人员、工程师等，以便通过参考本文档资料指导集团云计算数据中心的具体建设。

1.4参考文档

《集团云计算咨询项目访谈纪要》

《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）

《信息系统灾难恢复规范》（GB/T20988-2007）

《OpenStack Administrator Guide》（/）

《OpenStack High Availability Guide》（/）

《OpenStack Operations Guide》（/）

《OpenStack Architecture Design Guide》（/）

2.1信息安全背景

2.1.1.1.1综述

集团将秉承“努力超越、追求卓越”的企业精神，坚持自觉服从、服务于公司科学发展的大局，进一步统一思想，坚定信心，业务取得了快速发展。

随着业务的发展，集团对信息安全要求越来越高，希望打造满足等级保护三级要求和满足集团信息安全要求的高合规的安全体系。

为实现此目标，项目组从物理、网络、主机、应用和数据五个方面分别对集团现阶段及三年后的业务规模、对现有安全措施的整合、对网内外纵深防御的安全技术点进行分析和规划。

2.1.1.1.2集团安全现状概况

当前整体信息安全风险不受控，易发生安全事件，造成安全事故。

组织：缺失专业的安全人员，没有集团自己的安全团队，更多依据经验或者外包进行安全规划，缺乏安全防范统一规划能力；

管理：管理制度体系有统一的信息安全管理标准和流程规范，但有缺失，存在安全事件的发生；

技术：信息技术手段及安全设备支撑能力不足，存在安全产品配置不规范的现象存在。

2.2工作方法说明

2.2.1.1.1工作方法流程

项目组参考了ISO15408等国际安全标准，进行了安全技术架构规划，总体工作思路如下图所示，具有三个要点：

●统一遵循高合规架构化方法来规划集团的安全技术架构；

●基于规范化的架构规划方法（MASS），根据集团的业务需求来确定所需具

备的信息安全技术能力，完成安全技术功能服务组件框架定义与部署设计；

● 在安全技术功能服务组件定义和服务组件运行部署设计确定的基础上，根据集团的安全技术现状，提出3年的安全建设规划。

图1 安全技术架构规划总体工作思路

● 步骤一 安全需求梳理，在本项目中，我们将从近期集团信息安全技术风险需

求、来总结和梳理信息安全技术建设的要求，并在此基础上总结安全技术目标和安全技术架构设计原则。

● 步骤二 安全技术架构功能服务组件框架（静态模型），在步骤一工作的基础

上，制定集团的安全技术架构功能框架，它由一系列的安全技术功能服务组件所构成，每个安全技术功能服务组件的选择都是基于信息安全技术建设的需求，这些安全技术用于实现集团的安全技术目标。

● 步骤五 安全技术建设项目规划，总结集团的安全技术体系建设规划的工作

重点，定义安全技术建设项目。每个识别出集团需要进行建设的安全技术项目，都是为了建设集团的安全技术服务平台。通过一系列项目建设来实现集团安全技术架构的构建。

架构化方法

Method for Architecting Secure Solution -MASS

步骤六安全技术建设阶段规划，在每个安全技术项目定义明确的基础上，分析每个项目建设的轻重缓急，整理出符合集团实际的安全建设阶段划分，为今后3年的信息安全技术建设规划提供建议。

2.2.1.1.2参考标准

“信息技术安全技术信息技术安全性评估准则（简称CC），ISO/IEC 15408：

国际标准化组织在现有多种评估准则的基础上，统一形成的。2001年，我国将ISO/IEC15408直接引入为国家标准，命名为GB/T18336。

ISO/IEC 27001：《信息技术、安全技术、信息安全管理体系要求》ISO/IEC 27002：《信息技术、安全技术、信息安全管理实用规则》。

等级保护：《信息系统安全等级保护基本要求第1部分通用安全要求》、《信息系统安全等级保护基本要求第2部分云计算安全技术要求》

2.3集团安全目标

2.3.1.1.1安全需求总结

为了全面掌握集团的安全技术需求，项目组从集团信息安全组织架构、管理制度、安全技术、业务发展需求等多个方面来总结和梳理信息安全技术建设的要求。

而传统安全与云安全存在不同，特别需要关注虚拟机之间的安全、数据迁移的安全、数据存储的安全等。具体如下图：