XXX云资源池安全建设方案

1

1 XXX云资源池安全建设方案

1.需求分析

等级保护管理规范和技术标准作为增强系统安全防护能力的重要政策，是综合性的安全系统工程，等级保护制度同样适用于云环境，在云环境中，各私有云之间和各用户之间的边界模糊化，无法划分区域，从而导致无法根据不同区域

面临的防护需求制定不同的安全策略，无法满足等保要求。

云和虚拟化的安全首先是要解决虚拟环境中网络流的调度，其次根据网络流所属的安全域，提供不同的检测和防护手段，最后应能满足云环境中弹性扩展对

安全管理策略弹性迁移的的要求。

XXX云资源池对安全的需求为：

实现集中采集

根据XXX云资源池的网络结构和应用特点，应采用“流量集中采集、安全

产品自主分流”的方式，避免多头采集带来的性能损耗。

实现集中管理和部署

实现对安全产品的统一管理。使得网络的安全管理人员能在一个入口上

完成不同安全产品的配置、修改和查询，而不必面对多个管理入口，从

而有效提高管理效率。

实现虚拟安全域可视化

能够直观的展现虚拟安全域的网络流连接情况，使得网络安全管理人员

可以从不同层次查看虚拟安全域的IP资产情况，资产之间的实际流量连

接关系拓扑等。从而有效的避免虚拟资产黑箱化的风险。

实现虚拟流量的入侵检测

能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、

缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为（如P2P上传/

下载、网络游戏、视频/音频、网络炒股）等威胁进行检测能力，防止利

用虚拟机被作为攻击跳板的行为。

实现虚拟流量的网络及数据库行为审计

能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、