等保2.0版本三級(jí)整體要求分為10個(gè)部分，其中1-5為基礎(chǔ)設(shè)施、技術(shù)產(chǎn)品相關(guān)要求，包括物理環(huán)境、通訊網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、管理中心等，此部分主要需要配合測(cè)評(píng)機(jī)構(gòu)登錄相關(guān)系統(tǒng)和設(shè)備查看產(chǎn)品功能、策略配置等形式進(jìn)行測(cè)評(píng)，本文將重點(diǎn)對(duì)這部分內(nèi)容解讀和提供建設(shè)策略建議。6-10為管理規(guī)章制度要求，包括管理制度、管理機(jī)構(gòu)、管理人員、建設(shè)管理、運(yùn)維管理等，此部分主要需要以制度文檔、過(guò)程審計(jì)記錄等形式提供證明，此部分不在本文中展開(kāi)討論，如有需要會(huì)以文檔形式輔助提供支持。

一、安全物理環(huán)境

機(jī)房場(chǎng)地應(yīng)具備

1，七防護(hù)：應(yīng)防震、防水、防火、防盜（視頻監(jiān)控）、防雷擊、防靜電、防電磁干擾

2，兩控制：機(jī)房具備溫、濕度調(diào)節(jié)，出入口設(shè)置電子門(mén)禁

3，持續(xù)供電：冗余的電力電纜線(xiàn)路、備用電力

ER（Extended requirements , 擴(kuò)展要求）：IDC建設(shè)于中國(guó)境內(nèi)

--建設(shè)策略：

建議選擇4星級(jí)以上標(biāo)準(zhǔn)機(jī)房，級(jí)別越低，提供的服務(wù)可用性和標(biāo)準(zhǔn)越低，舉個(gè)例子，電信5星機(jī)房承諾的故障次數(shù)是三年內(nèi)50%以上服務(wù)器阻斷30分鐘以上故障不超過(guò)1次，2星級(jí)承諾的是三年內(nèi)50%以上服務(wù)器阻斷2個(gè)小時(shí)以上故障不超過(guò)1次，至于2個(gè)小時(shí)以?xún)?nèi)的故障幾次不做承諾。對(duì)于公有云租戶(hù)來(lái)說(shuō)直接復(fù)用公有云物理環(huán)境等保測(cè)評(píng)結(jié)論即可。

二、安全通信網(wǎng)絡(luò)

1，網(wǎng)絡(luò)架構(gòu)

關(guān)鍵網(wǎng)絡(luò)設(shè)備要冗余，處理能力可以滿(mǎn)足業(yè)務(wù)高峰期需求

ER：

a）具備虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖繪制功能，對(duì)虛擬化網(wǎng)絡(luò)資源、網(wǎng)絡(luò)拓?fù)溥M(jìn)行實(shí)時(shí)更新；實(shí)現(xiàn)不同租戶(hù)虛擬網(wǎng)絡(luò)隔離；

b）為租戶(hù)提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制，具備租戶(hù)自主設(shè)置安全策略的能力

c）應(yīng)保證云計(jì)算平臺(tái)管理流量與云服務(wù)客戶(hù)業(yè)務(wù)流量分離；

d）應(yīng)提供開(kāi)放接口，允許云服務(wù)客戶(hù)接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù)

2，通信傳輸

采用校驗(yàn)碼技術(shù)或加解密技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性和保密性

3，可信驗(yàn)證

對(duì)通信設(shè)備的核心程序和配置參數(shù)具備動(dòng)態(tài)可信驗(yàn)證方案，關(guān)鍵環(huán)節(jié)出現(xiàn)問(wèn)題及時(shí)告警記錄

--建設(shè)策略

滿(mǎn)足租戶(hù)流量隔離、自主設(shè)置安全策略的要求，輔以邊界防火墻、WAF等設(shè)備實(shí)現(xiàn)邊界防護(hù)。同時(shí)云平臺(tái)系統(tǒng)間采用https協(xié)議交互，保證數(shù)據(jù)加密傳輸。

三、安全區(qū)域邊界

1，邊界防護(hù)

能夠?qū)Ψ鞘跈?quán)的設(shè)備從外到內(nèi)及從內(nèi)到外的網(wǎng)絡(luò)行為進(jìn)行限制或檢查

2，訪問(wèn)控制

在網(wǎng)絡(luò)區(qū)域邊界設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許策略拒絕所有通信，控制粒度為端口級(jí)

ER: 在虛擬化網(wǎng)絡(luò)邊界、不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問(wèn)控制機(jī)制，并設(shè)置訪問(wèn)控制規(guī)則。

3，入侵防范

在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；具備攻擊行為分析能力；當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警

ER: 應(yīng)能檢測(cè)到云服務(wù)客戶(hù)發(fā)起的網(wǎng)絡(luò)攻擊行為、對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類(lèi)型、攻擊時(shí)間、攻擊流量等；應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量并進(jìn)行告警。

4，惡意代碼

在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼、垃圾郵件檢測(cè)和防護(hù)，并維護(hù)對(duì)應(yīng)的防護(hù)機(jī)制升級(jí)

5，安全審計(jì)

在重要網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)重要的用戶(hù)行為、安全事件進(jìn)行行為記錄，審計(jì)記錄應(yīng)定期備份，留存時(shí)間合規(guī)，記錄應(yīng)至少包含事件日期、用戶(hù)、事件類(lèi)型、是否成功等信息

ER: 應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶(hù)遠(yuǎn)程管理時(shí)執(zhí)行特權(quán)命令進(jìn)行審計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟；應(yīng)對(duì)云服務(wù)商對(duì)云服務(wù)客戶(hù)系統(tǒng)和數(shù)據(jù)操作可被云服務(wù)客戶(hù)審計(jì)

6，可信驗(yàn)證

對(duì)核心程序和配置參數(shù)具備動(dòng)態(tài)可信驗(yàn)證方案，關(guān)鍵環(huán)節(jié)出現(xiàn)問(wèn)題及時(shí)告警記錄

--建設(shè)策略

1.推薦邊界防火墻，對(duì)進(jìn)出安全區(qū)域邊界的訪問(wèn)鏈接進(jìn)行控制，阻斷非授權(quán)訪問(wèn)；推薦堡壘機(jī)對(duì)遠(yuǎn)程執(zhí)行的命令進(jìn)行審計(jì)回放，對(duì)高危命令進(jìn)行阻斷；

2.推薦VPN、證書(shū)管理服務(wù)，采取加密措施，防止數(shù)據(jù)在傳輸過(guò)程中遇到破壞；推薦VPC網(wǎng)絡(luò)在租戶(hù)數(shù)據(jù)傳輸過(guò)程中進(jìn)行vxlan封裝實(shí)現(xiàn)租戶(hù)隔離，保證數(shù)據(jù)完整性和保密性。

3.推薦DDoS高防，云WAF服務(wù)，針對(duì)日漸增多的DDoS、Web攻擊進(jìn)行防御，精準(zhǔn)有效地實(shí)現(xiàn)對(duì)流量型攻擊和應(yīng)用層攻擊的全面防護(hù)

4，推薦日志審計(jì)服務(wù)對(duì)用戶(hù)行為日志統(tǒng)一采集、存儲(chǔ)、查詢(xún)、分析、告警

5，推薦云平臺(tái)在保證關(guān)鍵網(wǎng)絡(luò)設(shè)備架構(gòu)冗余的同時(shí)，支持劃分特定管理區(qū)域，對(duì)安全資源池設(shè)備集中管控、監(jiān)控、告警，另外金山云自研的肉雞發(fā)現(xiàn)與防御系統(tǒng)可以有效識(shí)別肉雞對(duì)內(nèi)外部網(wǎng)絡(luò)攻擊行為并自動(dòng)進(jìn)行限速、告警處理。

四、安全計(jì)算環(huán)境

1，身份鑒別

用戶(hù)密碼策略具有復(fù)雜度要求并定期更換檢測(cè)機(jī)制、限制非法登錄次數(shù)，身份鑒別技術(shù)采用兩種或兩種以上組合，其中一種至少包含如動(dòng)態(tài)口令、密碼技術(shù)、指紋識(shí)別等。

ER: 當(dāng)遠(yuǎn)程管理云計(jì)算平臺(tái)中設(shè)備時(shí)，管理終端和云計(jì)算平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制

2，訪問(wèn)控制

應(yīng)進(jìn)行角色劃分，對(duì)登錄的用戶(hù)分配賬戶(hù)和默認(rèn)最小權(quán)限；及時(shí)刪除或停用過(guò)期賬戶(hù)；對(duì)敏感信息設(shè)置安全標(biāo)記并可控制對(duì)有安全標(biāo)記資源的訪問(wèn)

ER:

a) 應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí)，訪問(wèn)控制策略隨其遷移

b) 應(yīng)允許云服務(wù)客戶(hù)設(shè)置不同虛擬機(jī)之間的訪問(wèn)控制策略

3，安全審計(jì)

啟動(dòng)安全審計(jì)功能，覆蓋到每個(gè)用戶(hù)，對(duì)重要的用戶(hù)行為和安全事件進(jìn)行審計(jì)；對(duì)審計(jì)記錄進(jìn)行定期備份，審計(jì)記錄存留時(shí)間合規(guī)；對(duì)審計(jì)程序有保護(hù)手段，防止未經(jīng)授權(quán)的中斷

4，入侵防范

能發(fā)現(xiàn)可能存在的漏洞，并及時(shí)修補(bǔ)漏洞；遵循最小安裝原則，應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、高危端口；

能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警

ER: 能夠檢測(cè)虛擬機(jī)之間的資源隔離失效、非授權(quán)新建虛擬機(jī)、惡意代碼感染在虛擬機(jī)間蔓延等情況，并進(jìn)行告警

5，惡意代碼防范

能夠檢測(cè)惡意代碼感染及在虛擬機(jī)間蔓延的情況，并提出告警

6，可信驗(yàn)證

對(duì)核心程序和配置參數(shù)具備動(dòng)態(tài)可信驗(yàn)證方案，關(guān)鍵環(huán)節(jié)出現(xiàn)問(wèn)題及時(shí)告警記錄

7，數(shù)據(jù)完整性

應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程和存儲(chǔ)過(guò)程中的完整性， 包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；

8，數(shù)據(jù)保密性

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程和存儲(chǔ)過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等

ER:

a) 應(yīng)確保只有在云服務(wù)客戶(hù)授權(quán)下，云服務(wù)商或第三方才具有云服務(wù)客戶(hù)數(shù)據(jù)的管理權(quán)限

b) 應(yīng)使用校驗(yàn)碼或密碼技術(shù)確保虛擬機(jī)遷移過(guò)程中重要數(shù)據(jù)的完整性，并在檢測(cè)到完整性受到破壞時(shí)采取必要的恢復(fù)措施

c) 應(yīng)支持云服務(wù)客戶(hù)部署密鑰管理解決方案，保證云服務(wù)客戶(hù)自行實(shí)現(xiàn)數(shù)據(jù)的加解密過(guò)程

9，數(shù)據(jù)備份恢復(fù)

應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能；應(yīng)提供異地實(shí)時(shí)備份功能；應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性

ER:

a) 云服務(wù)客戶(hù)應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份

b) 應(yīng)提供查詢(xún)?cè)品?wù)客戶(hù)數(shù)據(jù)及備份存儲(chǔ)位置的能力

c) 云服務(wù)商的云存儲(chǔ)服務(wù)應(yīng)保證云服務(wù)客戶(hù)數(shù)據(jù)存在若干個(gè)可用的副本，各副本之間的內(nèi)容應(yīng)保持一致

d) 應(yīng)為云服務(wù)客戶(hù)將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺(tái)和本地系統(tǒng)提供技術(shù)手段，并協(xié)助完成遷移過(guò)程。

10，剩余信息保護(hù)

應(yīng)保證存有敏感數(shù)據(jù)和鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除

ER: 

a) 應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲(chǔ)空間回收時(shí)得到完全清除

b) 云服務(wù)客戶(hù)刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí)，云計(jì)算平臺(tái)應(yīng)將云存儲(chǔ)中所有副本刪除

11，個(gè)人信息保護(hù)

應(yīng)采集和保存業(yè)務(wù)必需的用戶(hù)個(gè)人信息；應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶(hù)個(gè)人信息

ER: 鏡像和快照保護(hù)

a) 應(yīng)針對(duì)重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務(wù)

b) 應(yīng)提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能，防止虛擬機(jī)鏡像被惡意篡改

c) 應(yīng)采取密碼技術(shù)或其他技術(shù)手段防止虛擬機(jī)鏡像、快照中可能存在的敏感資源非法訪問(wèn)

--建設(shè)策略

1，云平臺(tái)相關(guān)包括租戶(hù)、運(yùn)維、運(yùn)營(yíng)等系統(tǒng)設(shè)計(jì)應(yīng)考慮至少2種身份認(rèn)證機(jī)制，包括密碼、動(dòng)態(tài)口令等，用戶(hù)密碼長(zhǎng)度、復(fù)雜度、更換周期等應(yīng)符合標(biāo)準(zhǔn)要求，用戶(hù)信息應(yīng)加密存儲(chǔ)；平臺(tái)用戶(hù)應(yīng)具備角色管理模塊，不同角色授予最小權(quán)限；重要的用戶(hù)行為應(yīng)具備審計(jì)功能；

2，推薦安全客戶(hù)端產(chǎn)品通過(guò)植入主機(jī)系統(tǒng)提供入侵防范、惡意代碼檢測(cè)、防病毒等功能；

3，云平臺(tái)提供遷移功能，支持業(yè)務(wù)系統(tǒng)遷移到其他平臺(tái)；提供重要數(shù)據(jù)異地實(shí)時(shí)備份和恢復(fù)功能；提供鏡像、快照功能并具備完整性校驗(yàn)，當(dāng)租戶(hù)刪除業(yè)務(wù)數(shù)據(jù)時(shí)，對(duì)應(yīng)存儲(chǔ)空間的所有副本數(shù)據(jù)完全刪除；提供租戶(hù)側(cè)自助密鑰管理解決方案如AK/SK等。

4，云平臺(tái)對(duì)相關(guān)組件、服務(wù)如openssh、mysql、apache、php等遵循最小安全原則，對(duì)已知漏洞具備發(fā)現(xiàn)和預(yù)先修補(bǔ)能力。

五、安全管理中心

1，集中管控

劃分特定管理區(qū)域，對(duì)安全設(shè)備或組件集中管控；對(duì)審計(jì)數(shù)據(jù)集中匯總和分析；對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)相關(guān)事項(xiàng)集中管理；對(duì)網(wǎng)絡(luò)、服務(wù)器、安全設(shè)備集中監(jiān)控并對(duì)發(fā)生的安全事件進(jìn)行識(shí)別、分析和報(bào)警。

ER:

a) 應(yīng)能對(duì)物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配

b) 應(yīng)保證云計(jì)算平臺(tái)管理流量與云服務(wù)客戶(hù)業(yè)務(wù)流量分離

c) 應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶(hù)的職責(zé)劃分，收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)各自的集中審計(jì)

d) 應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶(hù)的職責(zé)劃分，實(shí)現(xiàn)各自控制部分，包括虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測(cè)

--建設(shè)策略

推薦云平臺(tái)基于公有云同源架構(gòu)分別提供云服務(wù)商側(cè)視角的underlay和租戶(hù)側(cè)視角的overlay的資源監(jiān)控、審計(jì)數(shù)據(jù)、資源調(diào)度和流量分離方案。