網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
云計(jì)算安全擴(kuò)展要求
   
    等級(jí)保護(hù)對(duì)象形態(tài)的不同，面臨的威脅與風(fēng)險(xiǎn)也不同，安全防護(hù)需求也存在一定的差異。便于對(duì)等級(jí)保護(hù)對(duì)象共性和個(gè)性化的保護(hù)，網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求分為通用要求和擴(kuò)展要求。
    云計(jì)算擴(kuò)展要求覆蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心以及云計(jì)算安全管理方面。

01
安全物理環(huán)境

基礎(chǔ)設(shè)施位置
應(yīng)保證云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)。
    云服務(wù)商為云服務(wù)客戶提供的云計(jì)算基礎(chǔ)設(shè)施服務(wù)所涉及的硬件設(shè)備、數(shù)據(jù)中心均位于中國境內(nèi)。

02
安全通信網(wǎng)絡(luò)
網(wǎng)絡(luò)架構(gòu)
a)應(yīng)保證云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)；    
b)應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離；    
c)應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力；  d)應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力，包括定義訪問路徑、選擇安全組件、配置安全策略；    
e)應(yīng)提供開放接口或開放性安全服務(wù)，允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云計(jì)算平臺(tái)選擇第三方安全服務(wù)；  
    云服務(wù)商對(duì)云計(jì)算平臺(tái)確定安全防護(hù)等級(jí)，在明確云計(jì)算平臺(tái)安全防護(hù)等級(jí)的情況下，不允許在云平臺(tái)上部署高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)，如云平臺(tái)安全保護(hù)等級(jí)為第三級(jí)，此時(shí)云平臺(tái)只能承載3級(jí)及3級(jí)以下系統(tǒng)，不能承載4級(jí)及以上系統(tǒng)。
    云上部署眾多的業(yè)務(wù)系統(tǒng)，為保證業(yè)務(wù)系統(tǒng)的安全性，首先確保不同用戶間的網(wǎng)絡(luò)是隔離的，如常見的專有網(wǎng)絡(luò)VPC；為保證云上業(yè)務(wù)應(yīng)用系統(tǒng)的安全、有效的運(yùn)行，云平臺(tái)在為云服務(wù)客戶提供基礎(chǔ)服務(wù)（網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)）的同時(shí)，需為云服務(wù)客戶提供網(wǎng)絡(luò)通信服務(wù)和安全防護(hù)手段，如云防火墻、流量監(jiān)控、入侵檢測、防病毒等，且允許用戶根據(jù)業(yè)務(wù)需求自主設(shè)置訪問控制策略，保證用戶的自主選擇性；為進(jìn)一步提升云上業(yè)務(wù)系統(tǒng)的安全性，云服務(wù)商應(yīng)支持云服務(wù)客戶根據(jù)需求選擇第三方安全產(chǎn)品的接入，以提升業(yè)務(wù)系統(tǒng)的安全防護(hù)措施。
03
安全區(qū)域邊界
訪問控制
a)應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機(jī)制，并設(shè)置訪問控制規(guī)則；   
b)應(yīng)在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制，設(shè)置訪問控制規(guī)則。
    虛擬化是云計(jì)算的一大特性，網(wǎng)絡(luò)虛擬化在幫助用戶節(jié)省資源利用的同時(shí)，應(yīng)保證不同用戶虛擬網(wǎng)絡(luò)的安全，如虛擬網(wǎng)邊界安全防護(hù)，在虛擬網(wǎng)絡(luò)邊界配置恰當(dāng)?shù)脑L問控制策略，有效避免非法訪問，越權(quán)訪問；基于傳統(tǒng)系統(tǒng)的分區(qū)分域的安全防護(hù)思想，在虛擬網(wǎng)絡(luò)中劃分不同的安全防護(hù)區(qū)域，并在不同的區(qū)域邊界配置訪問控制規(guī)則，如在VPC中，基于ACL規(guī)則劃分邏輯區(qū)域，并制定恰當(dāng)?shù)脑L問控制規(guī)則。

入侵防范 
a)應(yīng)能檢測到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等；   
b)應(yīng)能檢測到對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等；   
c)應(yīng)能檢測到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量；   
d)應(yīng)在檢測到網(wǎng)絡(luò)攻擊行為、異常流量情況時(shí)進(jìn)行告警。
    通用的安全邊界防護(hù)只能有效的解決南北向流量安全防護(hù)，而云計(jì)算環(huán)境下，虛擬網(wǎng)絡(luò)的“無邊界化”，使得虛擬網(wǎng)中的東西向流量呈快速增長勢態(tài)，東西向流量的“不可視化”使得安全防護(hù)變得尤為困難。為有效保證虛擬網(wǎng)絡(luò)中流量安全，可對(duì)全網(wǎng)流量進(jìn)行集中監(jiān)測及流量牽引監(jiān)測、清洗等方式進(jìn)行安全防護(hù)。從網(wǎng)絡(luò)安全等級(jí)保護(hù)的角度出發(fā)，云服務(wù)商應(yīng)能檢測到云服務(wù)客戶的非法攻擊，并進(jìn)行攻擊行為收集、異常行為告警等。

安全審計(jì)    
a)應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟；   
b)應(yīng)保證云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計(jì)。
    安全審計(jì)有助于系統(tǒng)運(yùn)維方對(duì)安全事故的審查和恢復(fù)能力，在執(zhí)行一些重要的操作時(shí)，必須進(jìn)行安全審計(jì)，以便出現(xiàn)安全事故時(shí)進(jìn)行恢復(fù)和問題追溯。云服務(wù)商原則上絕不允許觸碰云服務(wù)客戶數(shù)據(jù)，但在一些特殊情形下，又不得不幫助用戶處理一些疑難問題，為確保云服務(wù)商對(duì)云服務(wù)客戶數(shù)據(jù)操作的安全性，云服務(wù)商應(yīng)向云服務(wù)客戶提供相關(guān)的操作審計(jì)記錄。
04
安全計(jì)算環(huán)境

   
身份鑒別
當(dāng)遠(yuǎn)程管理云計(jì)算平臺(tái)中設(shè)備時(shí)，管理終端和云計(jì)算平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制。  
     在進(jìn)行遠(yuǎn)程管理時(shí)，需進(jìn)行雙向認(rèn)證，保證接入云平臺(tái)的管理終端的有效性、合法性。


訪問控制 
a)應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí)，訪問控制策略隨其遷移；   
b)應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略。 
    虛擬資源的動(dòng)態(tài)擴(kuò)展，在虛擬機(jī)遷移時(shí)，訪問控制策略應(yīng)進(jìn)行同步遷移，云服務(wù)商應(yīng)支持云服務(wù)客戶在不同的虛擬機(jī)間基于業(yè)務(wù)需求配置訪問控制策略。


入侵防范  
a)應(yīng)能檢測虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警；   
b)應(yīng)能檢測非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)，并進(jìn)行告