标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
DB44/T 1458-2014 云计算基础设施系统安全规范.pdf存储容错安全要求如下: a)存储系统应能够对存储的数据进行完整性校验和纠错; b)应保证存储数据局部破坏后,不会影响整体数据的完整性和可用性。
7网络和虚拟化网络安全
安全域划分安全要求如下: a)应综合考虑业务、管理和安全等各方面的因素,对云计算基础设施系统的网络划分成不同 的安全域JG/T 402-2013 热反射金属屋面板,如划分为公共域、受限域和核心域:
b)不同的安全域间采用强访问控制策略和访问控制策略进行逻辑隔离,在虚拟化环境下,可 采用子网划分、虚拟网络技术、虚拟防火墙、集群等隔离不同安全域的网络流量 同一安全域内部应采用统一的安全策略进行保护,统一管理,如根据业务需要划分子网, 采用合理的I卫P地址段等
身份鉴别安全要求如下: 应对登录网络设备和安全设备的用户进行身份标识和鉴别; 设备用户身份不应使用默认标识,口令应有复杂度要求并定期更换; C 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施: d 当对设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 应为不同用户分配不同的用户名,确保用户名具有唯一性; f 无线接入须采用无线加密措施,并进行身份鉴别和认证
访问控制安全要求如下: 应在接入传感网、无线网、互联网、虚拟网边界处实施访问控制措施; 对进出网络的流量进行过滤,实现对物理网络流量、物理网络和虚拟网络、虚拟网络内部 流量的过滤; C 应限制网络最大流量及网络连接数; d 重要网段应该采取安全措施,防止地址欺骗等网络攻击行为; 9 应采用有效安全措施(如采取限制最大接入用户数量、部署蜜网等),防止对网络、云平 台和应用系统的拒绝服务攻击,重点防止数据中心网络出入口的拒绝服务攻击。
入侵检测与防范安全要求如下: . 应在接入传感网、无线网、互联网、虚拟网的边界处采取入侵检测措施,监控和检测内网 与其他网络的数据流量及网络攻击行为(如端口扫描、强力攻击、木马后门攻击、拒绝服 务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等); 在不同安全等级的安全区域间采取入侵检测措施,检测不同安全区域间的数据流量和攻击 行为。
远程设备管理安全要求如下: . 远程管理物理网络设备或虚拟网络设备,应采用具有加密和完整性校验的协议进行连接; 应限制物理网络设备和虚拟网络设备的远程管理的IP地址、会话时间、登录失败次数; 应修改物理网络设备和虚拟网络设备默认的登录账户和密码,并通过访问控制措施限制远 程管理终端的IP地址
8主机和虚拟化主机安全
DB44/T14582014
身份鉴别安全要求如下: . 应对登录操作系统、虚拟机和数据库系统的用户进行身份标识和鉴别; 操作系统、虚拟机和数据库系统管理用户身份不应使用默认标识,口令应有复杂度要求并 定期更换; 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施: e 当对物理主机和虚拟机进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中 被窃听; 应为操作系统、虚拟机和数据库系统的不同用户分配不同的用户名,确保用户名具有唯 性; 应关闭虚拟化物理主机操作系统远程登录方式,严格控制云平台管理系统所在主机的远程 登录接入线路。
访问控制安全要求如下: 应根据业务需求设置用户,并为每个用户分配业务需要的最小权限: 应及时删除操作系统、虚拟机、云平台管理系统和数据库系统中多余的、过期的账户、避 免共享账户的存在; 应实现操作系统、虚拟机、云平台管理用户和数据库系统特权用户的权限分离 应限制操作系统、虚拟机、云平台管理用户和数据库系统中的默认账户的访问权限,重命 名系统默认账户,修改这些账户的默认口令; 应启用访问控制功能,依据安全策略控制用户对资源的访问: 门 应严格限制虚拟化主机对虚拟化层管理程序的访问; 小实菌
恶意代码防护安全要求如下: a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和病毒库; b) 应支持对物理主机和虚拟化主机的恶意代码统一管理: C 操作系统、虚拟机、云平台管理系统和数据库系统等防恶意代码产品应具有与网络防恶意 代码产品不同的恶意代码库; d 应定期对操作系统、虚拟机、云平台管理系统和数据库系统等进行漏洞扫描、漏洞修复和 补丁更新; e 系统使用的恶意代码防护软件应符合相关行政管理部门的资质、证书要求; f 确保物理主机和虚拟化主机都能够实现恶意代码软件的有效防护。
多租户隔离安全要求如下:
a) 应根据业务需求,实现主机中部署的虚拟机间的相互隔离, 限制虚拟机之间共享资源或进 行通信; b)通过隔离技术实现不同用户组的隔离,确保同一 一用户组才可以进行通信
8.5虚拟化主机镜像与快照安全
镜像与快照安全要求如下: a 应对镜像和快照进行集中化管理,将镜像和快照放在同一个位置,确保只有特定人员才可 以创建、传输、更改和加载镜像和快照,最小化不必要的镜像和快照的创建; b 应采用完整性校验技术监控并检测镜像和快照是否被非授权篡改; C 应定期对镜像和快照文件进行扫描,检测是否有恶意软件存在; d 定期对镜像和快照进行恢复测试,测试环境应与原环境的配置一样; e 应能检测镜像和快照,并对其进行定期的更新,如打补丁更新、漏洞修复、防毒软件升级 等。
远程设备管理安全要求如下: 远程管理物理主机设备或虚拟化主机设备,应采用具有加密和完整性校验的协议进行连接 6) 应限制物理主机设备或虚拟化主机设备的远程管理的IP地址、会话时间、登录失败次数; 应修改物理主机设备或虚拟化主机设备默认的登录账户和密码,并通过访问控制措施限制 远程管理终端的IP地址和物理地址
备份与恢复安全要求如下: a)应根据业务需要,设计主机及虚拟化主机系统的备份和恢复措施,并定期做恢复测试; b) 异地备份场所应提供物理环境安全保护措施: c 应对关键的主机和虚拟化主机,如云平台管理系统主机等,进行备份,
虚拟化主机迁移安全要求如下: a 云计算虚拟化主机迁移前,应评估迁往系统资源是否满足迁移系统要求,是否兼容迁移系 统的各个组件; b 云计算虚拟化主机迁移前,应评估迁往系统的安全保障措施是否符合迁移系统的业务安全 需要,是否符合国家、地方、组织的安全策略要求:
c)云计算虚拟化主机迁移前,应对主机系统软件和数据进行备份 d)云计算虚拟化主机迁移时,应确保迁移的过程通过认证。
DB44/T14582014
访问控制安全要求如下: a 云平台管理系统应独立部署在物理主机中,其物理主机应部署在高级别安全域内; b 设置安全管理员、网络管理员、运维管理员及审计员等不同角色,并明确这些角色的权限 按照最小权限原则,控制不同角色只能访问其职责范围内的内容。
安全审计要求如下: a)云平台管理系统应与可信的设备进行时钟同步,确保审计日志所记录操作时间正确; b) 应默认开启云平台管理系统的审计功能,采取措施防止未授权对审计日志的访问、篡改及 删除; c 应定期审核审计日志,若有云服务提供商,则要求云服务提供商定期提交日志报告
DB44/T1458—2014
b)使用云平台管理系统的接口,应通过云平台管理系统的认证、授权和审计; C 二次开发云平台管理系统的接口,应进行代码安全审计和安全测试,避免接口开发的应用 程序成为云平台系统的入侵点。
10终端和虚拟化终端安全
身份验证要求如下: 应在数据链路层对接入终端(如笔记本电脑、智能手机、平板电脑、瘦客户机等)采用有效 的身份鉴别措施,要求所有接入终端认证成功后才能连接网络层: b 应在网络层对接入终端采用有效的身份鉴别措施,要求所有接入的终端认证成功后才能连 接应用层; 应采取合理措施,确保终端接入前,能够检查终端软件安全情况,安全情况符合业务安全 要求,才能通过认证,准许接入云计算信息系统; 终端用户身份不应使用默认标识,口令应有复杂度要求并定期更换: e 应启用终端接入失败处理功能,可采取结束会话、限制非法接入次数和自动退出等措施; f 应对登录虚拟化终端的用户进行身份标识和鉴别,鉴别口令应有复杂度要求并定期更换,
访问控制要求如下: a 应采用有效的措施检测链路的连接和中断情况,如果连接中断能及时关闭相应的端口和链 路; 6) 应及时删除多余的、过期的账户、避免共享账户的存在; 应限制终端账户的访问权限,依据最小访问权限原则,设置终端可访问的流量、业务系统 和信息资源等; d 应严格限制虚拟化终端对虚拟化层管理程序的访问; e 应确保虚拟化终端管理系统的主机 它主机应实现隔离
恶意代码防护要求如下: 应要求接入的终端及虚拟化终端安装防恶意代码软件,并及时更新防恶意代码软件版本和 病毒库; b 系统使用的恶意代码防护软件应符合国家相关行政管理部门的资质、证书要求TCECA-G 0073-2020 “领跑者”标准评价要求 电阻焊机,
10. 4 多租户隔离
多租户隔离安全要求如下: a) 应根据终端使用用户类别,实现虚拟化终端间的相互隔离,限制虚拟化终端之间共享资源 或进行通信; b) 通过隔离技术实现不同虚拟化终端用户组的隔离,确保同一用户组才可以进行通信
安全审计要求如下: a)应对虚拟化终端的每个操作系统用户和数据库用户进行审计
DB44/T14582014
备份与恢复安全要求如下: a)应根据业务需要,设计虚拟化终端系统的备份和恢复措施,并定期做恢复测试; b)异地备份场所应提供物理环境安全保护措施; C)应对关键的终端和虚拟化终端,进行穴余备份。
SC/T 2062-2014 魁蚶 亲贝10.7虚拟化终端迁移
虚拟化终端迁移安全要求如下: a)云计算虚拟化终端迁移前,应评估迁往系统资源是否满足迁移系统要求,是否兼容迁移系 统的各个组件; D 云计算虚拟化终端迁移前,应评估迁往系统的安全保障措施是否符合迁移系统的业务安全 需要,是否符合国家、地方、组织的安全策略要求; C 云计算虚拟化终端迁移前,应对系统软件和系统数据进行备份; d 云计算虚拟化终端迁移时,应确保迁移的过程通过认证。