分类
加密貨幣去哪裡買

云平台背景下的网络安全等级保护测评策略

  • 文章作者 房凯
  • 发布日期 3月 13, 2022
云平台背景下的网络安全等级保护测评策略

Server Error in '/kcms' Application.

Description: HTTP 404. The resource you are 云平台背景下的网络安全等级保护测评策略 looking for (or one of its dependencies) could have been removed, had its name changed, or is temporarily unavailable. Please review the following URL and make sure that 云平台背景下的网络安全等级保护测评策略 it is spelled correctly.

云平台背景下的网络安全等级保护测评策略

IDC资讯网-中国IDC新闻门户,提供互联网数据中心最新资讯

IDC资讯网-中国IDC新闻门户,提供互联网数据中心最新资讯

云平台背景下的网络安全等级保护测评策略

云计算140

2.数据中心云平台安全保障设计。为满足云平台“可用性高、安全性强”要求,各省级数据中心从存储层、主机层、管理层及数据备份四个方面对虚拟机项目进行了安全保障组设计。一是存储层安全保障设计。 利用卷镜像技术实现存储虚拟化,确保故障发生时,备用存储网络设备能够快速实现业务冗余访问,避免业务中断。二是主机层安全保障设计。 利用VsphereHA解决方案,防止某个特定ESXi服务器出现故障(如宕机)时,影响业务连续性。三是管理层安全保障设计。 在vCenter高可用性方面利用HA方式保证以虚拟机形式部署的应用服务连续运行能力,在vCenter的安全保障方面具体使用限制管理员特权、同时对用户进行分组的方式实现。四是数据备份方案。采用基于VMVare的虚拟机级备份方法-VDP来实现虚拟机平台的备份。

云平台背景下的网络安全等级保护测评策略

1.云化数据中心平台整体背景。近年来,人民银行应用系统建设进入快速发展时期,作为应用系统运行的基础硬件平台,服务器需求量、维护量迅速增加,原管理模式已跟不上要求,服务器整合迫在眉睫。基层央行客户端数量庞大,桌面管理复杂程度呈指数增长,为实现“数据集中、资源整合”目标,人行各省级分支机构纷纷利用虚拟化技术,采用云终端产品将服务器、存储等IT硬件设备实现池化管理,对基础设施资源进行统一管理和运维,及时回收闲置资源,提升了硬件资源利用率,提高运维效率,逐步建成了省级数据中心云化平台。

2.数据中心云平台安全保障设计。为满足云平台“可用性高、安全性强”要求,各省级数据中心从存储层、主机层、管理层及数据备份四个方面对虚拟机项目进行了安全保障组设计。一是存储层安全保障设计。利用卷镜像技术实现存储虚拟化,确保故障发生时,备用存储网络设备能够快速实现业务冗余访问,避免业务中断。二是主机层安全保障设计。利用VsphereHA解决方案,防止某个特定ESXi服务器出现故障(如宕机)时,影响业务连续性。三是管理层安全保障设计。在vCenter高可用性方面利用HA方式保证以虚拟机形式部署的应用服务连续运行能力,在vCenter的安全保障方面具体使用限制管理员特权、同时对用户进行分组的方式实现。四是数据备份方案。采用基于VMVare的虚拟机级备份方法-VDP来实现虚拟机平台的备份。

数据中心云平台安全面临的新挑战

1.虚拟系统的安全风险。云平台的核心技术是虚拟技术,其实现方法通常为在应用层和硬件层之间搭建虚拟层,虚拟层的搭建增加了新的系统安全风险。常见的系统安全风险包括网络调整、虚拟机脱离物理安全监管、虚拟环境管理系统反攻击能力薄弱、虚拟机未及时更新系统补丁文件、杀毒软件病毒库、不同信任级别的虚拟机应用未采取应有的隔离措施引起的各种安全风险等等,这对于数据中心云平台下多用户间资源有效隔离和安全防护工作是一个新的挑战。

2.资源高利用风险。虚拟化技术将物理资源转变为可以逻辑管理的资源,并打破实体结构之间的壁垒,使用户能够更加合理、充分的利用物理服务器的处理器、内存、网络带宽等资源。但当物理服务器资源被过度利用时,将会出现硬件设备负载过重,运行性能下降,甚至硬件故障或系统崩溃等严重情况。当某物理服务器出现严重可靠性问题或重大硬件故障引起宕机时,其上运行的所有虚拟机都将停机,此时和上述虚拟机相关应用都将停止运行,这相较于传统IT架构中一台服务器停机只导致一个应用中断所带来的风险要严重得多。

3.数据完整性和保密性风险。云平台数据完整性和保密性也是等保2.0中的重要要求,包括对动态及静态数据的隔离、保护以及残余数据的清除,以确保在整个传输、处理、存储及消除过程中数据资源的保密性、完整性与可用性。纵然整个保护过程有访问管理、防火墙等安全性技术的支撑,但是由于云计算架构特点使得数据仍然存在着各个不同分散空间,很难保证数据在访问、传输过程中不被泄露。倘若没有较为完善的数据保密机制和相关的权限设置,那么将会提高云平台中数据被访问和窃取的更大风险。

4.病毒及恶意代码风险。在数据中心云平台中,虚拟机均选择稳定、可靠的模板进行派生,若模板中存在某种系统漏洞或植入了木马,则每个虚拟机均会存在该漏洞,植入的木马很可能横向完成渗透,在破坏系统可用性的同时,故意造成混乱和脆弱性,降低被发现的可能。此外,虚拟机数据的集中存储,以及虚拟机IP地址的连续性,均给病毒传播提供了便利条件。

建议及策略

1.做好云平台部署前系统评估。在云平台部署之前须做好虚拟化技术应用和建设的调研、评估等准备,将部署风险降到最低,确保获得长远效益。具体来说,首先需做好业务目标评估,使云平台建设目标与业务发展目标一致;其次需做好应用环境评估,重点考虑现有软件、硬件及网络环境是否满足虚拟化部署要求;第三做好技术水平评估,着重关注技术人员是否具有较强的业务技能,能否高效解决部署过程中出现的相应问题。

2.强化安全管理技术策略。在云平台部署过程中,要从管理策略的角度防范风险。在管理措施方面,须严格遵守信息系统安全管理规范,虚拟服务器的审计策略和安全防护策略须与物理服务器一致,定期备份监控主机和虚拟服务器上的安全日志和事件日志;在用户权限管理方面,必须遵循最低权限原则,管理人员权限须与其工作职责匹配,禁止共享账号;在监督管理方面,云平台中采用的虚拟化监控工具必须能够检测到虚拟机各类异常现象以及未经授权行为,虚拟机数量必须严格处于监控之下,努力减少入侵攻击面。

3.提高数据的安全性和保密性。在网络数据存储过程中进行加密处理是保障数据安全性和保密性的有效方式。一方面,选择信誉度高的云服务提供商,确保服务提供商能够对自身行为负责,拥有专业的技术团队,减少信息数据泄露,降低用户信息泄露的风险。另一方面,要采用加密技术高、破解难度大的主流加密技术和程序如pgp、truecrypt、hushmail来应对安全和保密风险。同时采用vontu、websense等过滤器用于数据监控,阻拦敏感数据。

4.强化云平台安全技术措施。安全技术是安全控制的重要手段,安全技术措施主要包括控制虚拟机蔓延、隔离虚拟机以及常规性安全防护等措施。在技术安全防护上一是必须对虚拟机进行严格审核、监控和追踪,防止虚拟机失控蔓延;二是为确保虚拟化平台通信安全,必须通过划分vlan对虚拟机进行逻辑隔离,在业务、管理、测试业务应用中通过虚拟网实现隔离;三是常规性安全防护须严格遵守信息系统安全管理规范,部署防病毒软件,及时安装操作系统补丁;四是强化虚拟机外置设备(如U盘、光驱等)管理,切断病毒的传入渠道,挂起或者关掉暂不使用的虚拟机。

云平台背景下的网络安全等级保护测评策略

作者作者:王洪磊 孙静2222
单位单位:山东省淄博市博山区第一中学3333
副标题副标题:探讨云平台背景下的网络安全等级保护测评策略
4444 刊期刊期刊期:网络安全技术与应用 2021,(09),89-90
5555 正文正文

云平台背景下的网络安全等级保护测评策略

1 网络安全保护的全新标准

2 云平台网络安全管理现状

近几年,我国大型企事业网络系统建设进入全新的局面,云平台作为数据管理系统中的重要组成部分,服务器维护量在不断增加,固有的平台管理模式无法契合时代发展需求,服务器整合工作也较为紧迫。比如,我国银行企业每日吸纳大量的客户信息,整体客户端数量巨大,桌面布置也较为复杂,为达到数据合理整合目标,我国银行企业开始积极应用虚拟技术,通过云端服务器及IT硬件设备完成池化管理,对基础设施进行统一管理,及时将闲置资源回收,提升资源的利用率及整合率,并构建起数据中心云计算平台。在云平台发展过程中,面对安全性要求,企事业自数据中心的主机及储存各个层面进行综合分析,并展开安全保障设计。比如,在储存层安全设计过程中,通过卷镜像技术达到储存虚拟化目标,一旦发生故障,备用网络设备可完成业务访问,以免业务再进行中断。在主机层安全设计过程中,选择Vsphere HA方案处理,避免ESXi服务器发生故障,对业务连续性产生影响。在管理层安全管理过程中,选择HA方案对网络数据情况进行观察,确定服务器的持续运行能力,v Center在网络保护过程中,对管理员权限进行限制,对系统中的用户进行分组,合理对用户进行管理。