政务云安全建设规范及相关建
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应的虚拟端口 VM的ip、mac地址绑定防地址欺骗及网络嗅探 VPC、安全组防火墙隔离租户网络 物理内存、物理存储重分配前清
其他云产品租户隔离
用户数据打标签隔离存储 基于身份验证进行访问控制
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
实现终端统一管理,当插入证书时, 应立即断开互联网连接,并对相关 文档加密存入本地硬盘
责任认定,对访问人的行为、内容 等进行审计
支持云计算环境的瘦客户端模式或 BYOD方式
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
云数据存储和管理体系架构
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
制定《政务云建设安全技术要求》(1)
按等级保护的要求,在云环境内应分区域部署、按信息系统分等级保护的思想要充分体现在 政务云的标准中(如互联网在公用云上,也应按信息系统分区域、分等级保护来进行) 对重要信息系统和数据的加密存储要求
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
云服务器租户隔离
虚拟机隔离
Xen HVM模式,基于VT-x技术隔离CPU 硬件辅助EPT技术隔离内存 分离设备驱动I/O模型隔离存储 交换型vSwitch,不同VM的数据包被转发到对
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
安全评估 服务
安全优化 服务
防火墙
流量清洗
安网 全络
VPN接入 网络病毒防护
安全域划分 安全数据交换
入侵检测/入侵防御
虚拟化安全 数据安全 安全管理
Cloud管理 应用加固
HyperVisor 加固
恶意虚拟机 防护
安全数据交换
安全信息 事件管理
数据加密 密钥管理
安全策略 管理
虚拟机模板 安全加固
虚拟机隔离
国家电子政务外网管理中心
National E-Gov Network Administration Center
政务云安全建设规范及相关建议
邵国安 国家电子政务外网管理中心办公室安全
管理处处长
什么是网络安全?
没有网络安全,就没有国家安全 网络安全是什么?
是网络空间中攻与防不断演进的一个动态过程 是国家、组织、个人之间智力博弈的场所,且不分时间、空间、地域限制 是贯穿于整个信息系统生命周期内 是从发现、验证、溯源、定位、设备与人员联动处置及评估形成一个闭环过程 需要专业化的分析队伍,7x24小时,实时分析并对来自互联网的攻击行为进行分类、溯源、
物理防火墙
集群管理
业务应用1
业务应用2
身份认证系统
VM VM VM VM
VM VM VM VM
主机监控审计
杀毒软件
远程管控
Hypervisor-KVM linux
Hypervisor-KVM
虚拟化层监控审计
虚拟化入侵检测、 入侵防御
三权分立 虚拟防火墙
linux
操作系统加固系统
安全NAS
安全云管理平台 独立产品
大数据分析、预警及应急处置服务等专业服务,安全即是服务
需要我们改变观念,从单纯的网络安全防护、被动防御转向主动防御转变
引用马歇尔·麦克卢汉(Marshall McLuhan,20世纪原创媒介理论家)的一段话 “第三次世界大战是一场信息游击战,而且无法区分是军事行动或是民间行为。”
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
承载重要信息系统的宿主机和虚机应能进行服务的加固要求,尤其是针对第三级信息系统的 安全要求,是否需要对宿主机和虚机同时加固? 业务流与管理流分开,应区分运维管理人员、公务人员及公众访问类的业务 对于重要部门进行分布式部署宿主机和虚机及统一管理的可能性 跨区域的信息共享与交换要求(互联网区、共享区及各部门业务区之间)
网络管理
系统管理
用户管理
逻辑资源池 (计算资源、存储资源、网络资源)
……
云运营中心 身份安全 网络安全 数据安全 内容安全 安全管理
数据中心 基础设施
CloudBase 模块化数据中心
CloudBase 集装箱数据中心
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
政务云与政务外网、互联网的关系及要求
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
政务云安全框架设计
ຫໍສະໝຸດ Baidu
安全服务
安全集成 实施服务
安应 全用 安主 全机
电子邮件安全
WEB应用防火墙
WEB网页防篡改
OS安全加固
服务器病毒防护
云计算参考架构
服务层
软件即服务SaaS
平台即服务PaaS
数据存储即服务DaaS
基础设施即服务IaaS
云运营中心
服务目录管理 服务水平管理 服务流程管理
服务管理
客户项目管理 生命周期管理 计费账单管理
业务管理
云基础架构平台
企业数据总线 应用服务器 关系数据库 NoSQL DB 分布式计算
资源调度
存储管理
数据销毁
弱点管理
物理设施安全
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
统一认证及授权管理
业务系统
网络信任体系要求
身
单
访
份
点
问
认
登
控
证
录
制
安全认证网关
访问行为上报 综合审计 系统
身份认证
权限获取与校验
资源管理模块
身份认证模块
身份真实性校验
权限管理系统
统一身份认证及授权系统
基于PKI的数据证书对身份地验证
所有信息系统定级为三级,其访问 系统均应通过数字证书
通过访问控制网关,访问信息系统 时应基于身份、角色的访问控制并 审计
其他云产品租户隔离
用户数据打标签隔离存储 基于身份验证进行访问控制
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
实现终端统一管理,当插入证书时, 应立即断开互联网连接,并对相关 文档加密存入本地硬盘
责任认定,对访问人的行为、内容 等进行审计
支持云计算环境的瘦客户端模式或 BYOD方式
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
云数据存储和管理体系架构
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
制定《政务云建设安全技术要求》(1)
按等级保护的要求,在云环境内应分区域部署、按信息系统分等级保护的思想要充分体现在 政务云的标准中(如互联网在公用云上,也应按信息系统分区域、分等级保护来进行) 对重要信息系统和数据的加密存储要求
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
云服务器租户隔离
虚拟机隔离
Xen HVM模式,基于VT-x技术隔离CPU 硬件辅助EPT技术隔离内存 分离设备驱动I/O模型隔离存储 交换型vSwitch,不同VM的数据包被转发到对
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
安全评估 服务
安全优化 服务
防火墙
流量清洗
安网 全络
VPN接入 网络病毒防护
安全域划分 安全数据交换
入侵检测/入侵防御
虚拟化安全 数据安全 安全管理
Cloud管理 应用加固
HyperVisor 加固
恶意虚拟机 防护
安全数据交换
安全信息 事件管理
数据加密 密钥管理
安全策略 管理
虚拟机模板 安全加固
虚拟机隔离
国家电子政务外网管理中心
National E-Gov Network Administration Center
政务云安全建设规范及相关建议
邵国安 国家电子政务外网管理中心办公室安全
管理处处长
什么是网络安全?
没有网络安全,就没有国家安全 网络安全是什么?
是网络空间中攻与防不断演进的一个动态过程 是国家、组织、个人之间智力博弈的场所,且不分时间、空间、地域限制 是贯穿于整个信息系统生命周期内 是从发现、验证、溯源、定位、设备与人员联动处置及评估形成一个闭环过程 需要专业化的分析队伍,7x24小时,实时分析并对来自互联网的攻击行为进行分类、溯源、
物理防火墙
集群管理
业务应用1
业务应用2
身份认证系统
VM VM VM VM
VM VM VM VM
主机监控审计
杀毒软件
远程管控
Hypervisor-KVM linux
Hypervisor-KVM
虚拟化层监控审计
虚拟化入侵检测、 入侵防御
三权分立 虚拟防火墙
linux
操作系统加固系统
安全NAS
安全云管理平台 独立产品
大数据分析、预警及应急处置服务等专业服务,安全即是服务
需要我们改变观念,从单纯的网络安全防护、被动防御转向主动防御转变
引用马歇尔·麦克卢汉(Marshall McLuhan,20世纪原创媒介理论家)的一段话 “第三次世界大战是一场信息游击战,而且无法区分是军事行动或是民间行为。”
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
承载重要信息系统的宿主机和虚机应能进行服务的加固要求,尤其是针对第三级信息系统的 安全要求,是否需要对宿主机和虚机同时加固? 业务流与管理流分开,应区分运维管理人员、公务人员及公众访问类的业务 对于重要部门进行分布式部署宿主机和虚机及统一管理的可能性 跨区域的信息共享与交换要求(互联网区、共享区及各部门业务区之间)
网络管理
系统管理
用户管理
逻辑资源池 (计算资源、存储资源、网络资源)
……
云运营中心 身份安全 网络安全 数据安全 内容安全 安全管理
数据中心 基础设施
CloudBase 模块化数据中心
CloudBase 集装箱数据中心
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
政务云与政务外网、互联网的关系及要求
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
政务云安全框架设计
ຫໍສະໝຸດ Baidu
安全服务
安全集成 实施服务
安应 全用 安主 全机
电子邮件安全
WEB应用防火墙
WEB网页防篡改
OS安全加固
服务器病毒防护
云计算参考架构
服务层
软件即服务SaaS
平台即服务PaaS
数据存储即服务DaaS
基础设施即服务IaaS
云运营中心
服务目录管理 服务水平管理 服务流程管理
服务管理
客户项目管理 生命周期管理 计费账单管理
业务管理
云基础架构平台
企业数据总线 应用服务器 关系数据库 NoSQL DB 分布式计算
资源调度
存储管理
数据销毁
弱点管理
物理设施安全
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
地址:北京市西城区三里河路58号 邮编:100045 电话:010-68527618 68557203 传真:010-68533919
统一认证及授权管理
业务系统
网络信任体系要求
身
单
访
份
点
问
认
登
控
证
录
制
安全认证网关
访问行为上报 综合审计 系统
身份认证
权限获取与校验
资源管理模块
身份认证模块
身份真实性校验
权限管理系统
统一身份认证及授权系统
基于PKI的数据证书对身份地验证
所有信息系统定级为三级,其访问 系统均应通过数字证书
通过访问控制网关,访问信息系统 时应基于身份、角色的访问控制并 审计