信息安全管理的对象包括有-信息安全防护体系

信息安全防护体系设计

安全保障体系总体架构设计以网络安全等级保护要求为安全体系架构的指导思想，以实际需求为导向，以安全技术为支撑，以标准制度为依据，以安全组织和流程为保障，以安全运营为抓手，参考定级等保三级标准开展设计。

1.安全物理环境

安全物理环境主要针对环境安全防范与物理环境相关的威胁，保护系统、建筑以及相关的基础设施。从物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等几个方面来考虑。云计算平台针对物理损害和物理访问风险都需实施较完善的物理安全控制措施，同时通过完善的管理及风险的有效控制考虑到如何避免由于自然灾害（洪水、地震等）及不可抗因素造成的业务中断、数据损失。

2.安全通信网络

通用要求：安全通信网络需要考虑网络架构、通信传输、可信验证三个方面。其面向对象是整个云计算平台，要求网络架构和通信传输网的建设需要达到符合业务高峰期的要求，以及做到冗余部署；在通信过程需要采用校验技术或密码技术保证数据的完整性或整个报文的保密性；为了提高网络的安全性和可靠性，在规划网络安全建设的时候采用安全域的规划概念，一旦某个区域出现问题，可以采用隔离手段，限制损害的扩散，将威胁降到最低程度。

云计算安全扩展要求：按照标准，云计算安全扩展要求部分对安全通信网络的要求主要在网络架构方面。要求确保云计算平台不承载高于其安全保护等级的业务应用系统，即租户业务系统的定级结果不高于云平台的定级结果；同时需要实现不同云服务客户虚拟网络之间的隔离，云平台管理流量与租户业务流量分离；云平台应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云平台选择第三方安全服务，也就是说仅具备保护平台自身安全能力是不够的，云平台需要为租户提供可以选择的安全服务能力。

3.安全区域边界

通用要求：安全区域边界部分包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件、安全审计、可信验证等。同时应做好整个云计算平台的区域划分，包括明确的区域边界，互联网访问区，平台业务区，平台管理区等。

云计算安全扩展要求：按照标准要求，云计算安全扩展要求对安全区域边界部分的控制点主要在：访问控制、入侵防范、安全审计三个方面。在云平台下应在虚拟化网络边界和不同等级的网络区域边界部署访问控制机制，并设置访问控制规则；应能检测到云服务客户发起的和对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量，并在检测到网络攻击行为、异常流量情况时进行告警。应对云服务商和云服务客户相关操作进行安全审计等。

4.安全计算环境

通用要求：系统最关键的资源就是数据，而这些数据承载在网络设备、核心后台系统重要的操作系统及数据库系统。因此，网络设备、操作系统、数据库管理系统的等设备和计算本身的安全性是至关重要的。安全计算环境需要考虑身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等十一方面。随着云平台的发展，对安全计算环境要求部分提出了新的要求。首先是用户登录应用的身份鉴别需要做到采用两种或两种以上组合和鉴别技术，且其中一种鉴别技术应使用密码技术来实现，其次，对于不同权限的用户访问应用应做到最小授权原则，对于访问控制的粒度需要达到进程级，未达到防范入侵的要求需要做到：最小化组件安装：关闭不必要的端口：限定管理终端位置：发现漏洞、修补漏洞：重要节点的攻击监控和报警：再者，安全审计需要覆盖到每一个用户，审计维度包括日期、时间、用户、事件类型、事件是否成功等，且需要保护审计数据的完整性，最后，数据的存储和传输都需要采用密码技术进行保护。对于重要的系统管理数据和敏感的业务数据应采用加密或其他有效措施实现传输保密性和存储保密性，等保三级系统要求具备重要数据本地和异地备份，应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；应提供重要数据处理系统的热冗余，保证系统的高可用性。

云计算扩展要求：云计算安全扩展要求对安全计算环境部分的控

制点主要在：身份鉴别、访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护六个方面。在云平台环境中应满足，当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制。采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。云存储服务应保证云服务客户数据存在若干个可用的副本，各副本之间的内容应保持一致；应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过程。应能检测虚拟机之间的资源隔离失效，并进行告警；应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警；应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警。使用密码技术保证虚拟机迁移过程中，重要数据的保密性，防止在迁移过程中的重要数据泄露。在故障发生时，应能够继续提供一部分功能，保证能够实施必要的措施。利用通信网络将重要数据实时备份至备份场地，重要数据处理系统需要热冗余，保证系统的高可用性。

5.安全管理中心

通用要求：安全管理中心是整个网络平台的大脑核心，具有对全网安全态势及运维态势分析展示的功能，在安全管理中心部分需要关注：系统管理、审计管理、安全管理、集中管控四个方面。在云平台安全管理中心的建设中应对系统管理员、审计管理员、安全管理员的身份鉴别进行重点建设，同时对三个管理权限人员的行为和记录结果进行分析。对全网的网络链路、安全设备、网络设备和服务器进行统

一监管审计，对其运行日志、本地分析的日志等结果进行统一分析展示。

云计算安全扩展要求：在云平台环境下，应能对物理资源和虚拟资源按照策略做统一管理调度与分配；应保证云计算平台管理流量与云服务业务流量分离；应根据云服务提供方和云服务使用方的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；应根据提供方和云服务使用方的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。