建设单位:
X年X月X日
云计算及大数据中心硬件基础平台作为区县智慧城市的核心和承载基础。本平台的具体建设内容包括:云计算基础环境、基础设施即服务层(IaaS)、云安全体系、管理规范体系、运营运维体系。
云中心基础环境:提供机房、机柜、供配电、安防等基础环境,为上层的托管设备、IaaS设备提供基础支撑。
基础设施即服务层(IaaS):基于城市云操作系统提供基础的计算、存储、网络服务;服务于只希望共享计算、存储、网络的项目,这个服务主要针对原有已建成系统的迁移,在这个层次上,除了可享受基础资源的虚拟化服务外,还通过资源的池化,实现资源的动态分配、再分配和回收。基础设施层资源池主要包括计算资源池、存储资源池和网络资源池,为上层的软件和数据等服务提供支撑。
云安全体系:在城市云中心,计算资源、信息资源的集中和共享造成了传统安全边界的消失,为安全保障提出了新的挑战。任何单一的安全技术都无法有效保证城市云中心内部各项资源以及对外提供服务的安全性,必须综合利用多种安全防范技术以及完善的安全管理制度构建完善的云安全防范体系。
管理规范体系:城市云中心的良好运营需要管理规范和技术标准体系进行保障。城市云中心的管理规范涉及到对云中心基础设施的维护、对数据的管理、对应用系统开发的监管、对运维体系的管理、对SaaS服务应用效果的评价等方面;而技术标准体系包括了城市云中心基础设施、数据和应用的标准规范。
运营运维体系:为保障城市云中心的正常运行,提供资源管理、调度管理、监控管理等运维功能,以及业务管理、流程管理、订单管理等运营功能以及相应的组织制度保障措施。门户Portal包括运维管理门户和运营管理门户,是城市云中心对外提供服务的界面。
具体建设内容包括:实现包括:200个虚拟化服务器计算能力、200TB的存储能力以及相应网络、安全设施平台,建设完成后满足业务支撑需求,完成管理规范体系和运维体系的建设,为这些委、办、局的业务应用提供统一、集约化的基础设施支撑和运维服务。
今后,随着区县智慧城市集约化建设进程的加快,可以基于以上平台,不断扩展各类资源(包括:网络、安全、计算和存储资源等),以快速满足业务应用集约化、政务资源整合共享、商业应用的需求需求。
信息安全建设方案
1.等保三级要求
本方案中提供的云计算安全等级保护三级要求,是《信息安全技术 信息安全等级保护 第二分册 云计算安全技术要求》中的内容,不包含《信息安全技术 信息安全等级保护 第一分册 基本要求》中的内容。
《信息安全技术 信息安全等级保护 第二分册 云计算安全技术要求》是针对当前云计算特点对《信息安全技术 信息安全等级保护 第一分册 基本要求》的补充内容,所以,在整个区县云计算及大数据中心云平台信息安全建设中,需要同时参考《信息安全技术 信息安全等级保护 第一分册 基本要求》和《信息安全技术 信息安全等级保护 第二分册 云计算安全技术要求》两部分内容。
以下将以网络安全技术要求等保三级具体内容举例:
结构安全
1.应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
2.应避免将重要网络区域部署在网络边界处且直接连接外部信息系统;
3.应保证重要网络区域与其他网络区域之间采取可靠的技术隔离手段;
4.应可按照业务服务的重要程度分配带宽,保证在网络发生拥堵的时候优先保障重要业务。
5.应实现不同云租户之间网络资源的隔离,并避免网络资源的过量占用;
6.应绘制与当前运行情况相符的虚拟网络拓扑结构图,并能对虚拟网络资源、网络拓扑进行实时更新和集中监控;
7.应保证虚拟机只能接收到目的地址包括自己地址的报文;
8.应保证云平台管理流量与云租户业务流量分离;
9.应能识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量;
10.应提供开放接口,允许接入第三方安全产品,实现云租户的网络之间、安全域之间、虚拟机之间的网络安全防护;
11.应根据云租户的业务需求定义安全访问路径。
边界防护
1.应明确系统边界,保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;
2.应能够对非授权设备私自联到内部网络的行为进行检查,并对其进行有效阻断;
3.应能够对内部网络用户私自联到外部网络的行为进行检查,并对其进行有效阻断。
访问控制
1.应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
2.应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
3.应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
4.应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
5.应在关键网络节点处对进出网络的信息内容进行过滤,实现对应用的访问控制。
6.应在虚拟网络边界部署访问控制设备,并设置访问控制规则;
7.应依据安全策略控制虚拟机间的访问。
远程访问
1.应具有远程访问的用户数量,按照远程访问控制规则控制用户对系统的远程访问;
2.应保证远程访问会话通信的机密性和完整性;
3.应提供在规定的时间内迅速断开或禁用远程访问系统的能力。
4.应实时监视云服务远程连接,并在发现未授权连接时,采取恰当的应对措施;
5.应对远程执行命令进行,采取严格的保护措施并进行审计;
6.当进行远程管理时,管理终端和云平台边界设备之间应建立双向身份验证机制。
入侵防范
1.应在关键网络节点处检测、防止或从外部发起的以下网络攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
2.应在关键网络节点处检测和从内部发起的以下网络攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
3.应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。
4.当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事
5.应能检测到云租户对外的攻击行为,并能记录攻击类型、攻击时间、攻击流量;
6.应具备对异常流量的识别、监控和处理能力;
7.应对发布到互联网的有害信息进行实时监测和告警。
恶意代码防范
1.应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
2.应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
安全审计
1.应启用设备安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3.应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
4.应提供对审计数据进行查询、统计、分析的功能或工具,定期对审计数据进行分析;
5.审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。
6.应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
7.应根据云服务方和云租户的职责划分,收集各自控制部分的审计数据;
8.应为安全审计数据的汇集提供接口,并可供第三方审计;
9.应根据云服务方和云租户的职责划分,实现各自控制部分的集中审计。
集中管控
1.应对各种设备的运行状况、网络流量、用户行为等进行监测和报警;
2.应划分出特定的管理区域,利用技术手段或工具对分布在网络中的系统安全组件或安全功能进行集中管控;
3.应能够建立一条安全的信息传输路径,对网络中的系统安全组件或安全功能进行管理;
4.应对安全策略、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理和分析,对安全事件进行监测和分析。
网络设备防护
1.应对登录网络设备的用户进行身份标识和鉴别,身份标识具有唯一性;
2.用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
3.应具有登录失败处理功能,应配置并启用结束会话、非法登录次数和当网络登录连接超时自动退出等相关措施;
4.应禁用网络设备中不必要的功能、端口、协议和服务。
5.应重命名系统默认帐户或修改这些帐户的默认口令,删除或停用多余的、过期的帐户;
6.应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行;
7.当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
8.应根据管理用户的角色建立不同账户并分配权限,仅授予管理用户所需的最小权限,实现管理用户的权限分离。
9.应采用一定的技术手段或工具,对可能存在的漏洞进行监测,并在经过充分测试评估后,及时修补漏洞;
10.应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的。
11.应在网络策略控制器和网络设备(或设备代理)之间建立双向身份验证机制;
12.应采取必要措施防止网络策略控制器和网络设备(或设备代理)之间的网络通信被窃听和嗅探。
除了网络安全技术要求外,等保安全技术要求还包含:“物理安全技术要求”、“主机技术要求”、“应用安全技术要求”和“备份恢复安全技术要求”。
当然,除了安全技术要求之外,还包含管理安全要求。而这些内容不在此详细描述。
2.安全体系建设
对于区县云计算及大数据中心的安全需求,可以从物理层、资源抽象和虚拟化控制层、多租户IaaS服务层、PaaS/SaaS应用层及安全管理体系建设的角度进行安全体系的建设,以达到等级保护3级的设计要求,详细的体系框架如下面所示:
图 区县云计算及大数据中心安全体系框架图
物理层安全
云计算物理层面临着对计算机网络与计算机系统的物理装备的威胁,是指由于周边系统环境和物理特性导致的网络安全设备和线路的不可用,从而造成所承载的网络应用不可用。主要表现在自然灾害、电磁辐射、三防(防火、防水、防尘)及恶劣的工作环境方面,而相应的防范措施包括抗干扰系统、物理隔离、防辐射系统、供电系统的冗余设计和可靠性备份,采取前后上下等多种通风方式。
(1)机房环境安全
区县云计算及大数据中心建设机房、电源、监控等场地设施和周围环境及消防安全,须严格遵循国标GB50174-2008《计算机信息系统机房设计规范》、GB/T2887-2011《计算机场地通用规范》和GB9361-2011《计算站场地安全要求》等国家相关标准要求设计建设。机房应具备防震、防风、防水、防火、防尘、防盗、防雷、防静电以及温湿度可控等安全防护措施;设置防雷保护器,灭火器设备;配置稳压器和过电压防护关键设备和磁介质实施电磁屏蔽;设置机房智能监控、防盗报警系统。同时,应制定出入机房管理规范、卫生管理规范、值班巡视制度,进入机房的来访人员须经过审批方可进入,控制、鉴别和记录进入的人员,以满足业务应用24小时不间断运行的要求。
(2)物理线路安全
●通信线路安全
通信线路是实现数据传输的物理线路,包括网线、光纤等。应符合以下要求:
1、通信线路采用铺设或租用专线方式建设;
2、通信线路应远离强电磁场辐射源,埋于地下或釆用金属套管;
3、定期测试信号强度,以确定是否有非法装置接入线路;特别是在线路附近有新的网络架设、电磁企业开工时,应该请专业机构负责检 测;
4、定期检查接线盒及其他易被人接近的线路部位,防止非法接入或干扰。
●骨干线路冗余防护
骨干线路冗余防护应符合以下要求:
1、骨干线路实现跨城域的广域IDC互联,提供与多个出口的互联,实现高性能的路由选路
2、骨干线路的网络设备应有冗余电源配置,保障线路正常运转;
●核心设备防雷击措施
通信线路骨干线路和核心设备,应该具备防雷击的措施。
(3)设备安全
区县云计算及大数据中心应用系统的硬件设备一旦被损坏而又不能及时修复,可能会产生严重的后果。因此,必须加强对应用系统硬件设备的使用管理。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等
(4)安全在线监控
区县云计算及大数据中心通过安全在线监控设备实现实时在线监控能力。
资源抽象与虚拟化控制层安全
虚拟化软件导致的安全漏洞风险有两方面:
一方面,以虚拟化应用程序本身可能存在的安全漏洞将影响到整个物理主机的安全。黑客在利用漏洞入侵到主机系统之后,可以对整个主机上的虚拟机进行任意的配置破坏,从而导致系统业务不可用,或者是将相关数据进行窃取,如果黑客侵入了虚拟机配置管理程序,则会直接影响到其管理的全部虚拟机的安全。
另一方面,基于虚拟化环境开发的各种第三方应用程序的漏洞安全。这些应用程序是云服务交付的核心组成,包括Web前端的应用程序、各种中间件应用程序及数据库程序等,即使在传统网络安全环境下,他们仍然会因为编程技术的缺陷而存在多个安全漏洞,在云计算环境下,这些安全漏洞会继续存在,典型如各种WEB会话控制漏洞、会话劫持漏洞及各种注入攻击漏洞。同时为了适应或使用虚拟化环境下的各种API管理接口,也可能产生一些新的安全漏洞。
云计算虚拟机流量交换的安全新风险:在虚拟化环境下,单台物理服务器上可以虚拟化出多个完全对立的虚拟机并运行不同的操作系统和应用程序,各虚拟机之间可能存在直接的二层流量交换,而这种二层交换并不需要经过外置的二层交换机,管理员对于该部分流量既不可控也不可见,在这种情况下,管理员需要判断VM虚拟机之间的访问是否符合预定的安全策略,或者需要考虑如何设置策略以便实现对VM之间流量的访问控制。
针对虚拟化的资源安全防护手段主要从两个方面入手,一方面通过漏洞扫描设备周期性的扫描主机及操作系统存在的漏洞,从而进行相应的安全调整加固;另一方面,通过在网络中部署东西向安全资源池,通过服务链技术把流量引出来引导安全资源池中进行安全防护。
多租户IaaS服务层安全
多租户环境下的基础安全服务主要体现在IaaS服务层。IaaS作为云计算的重要组成部分,其将基础设施包括网络、存储、计算等资源进行虚拟化等处理,能够为每个用户提供相对的服务器计算资源、存储资源以及在承载网上设定专有的数据转发通道。
在区县云计算及大数据中心安全平台的建设过程中,基于IaaS模型下的各种安全服务体系的建设是其重点所在,根据现阶段的需求来看,这部分服务主要包括针对云计算防火墙服务、云计算负载均衡业务。不同的租户可以根据自身的业务需求,合理的选择部署云安全防火墙服务或者是防火墙叠加负载均衡业务。部署该安全服务后,每个租户可以获得逻辑上完全属于自己的防火墙和负载均衡。租户可以根据自身需求,设定自身的各种安全防护策略,生成自身独有的安全日志分析报告。同时对于部分需要负载均衡的业务,也可以设置的负载均衡的算法,以保证业务的可靠性运行。当然,考虑到应用层的安全风险一直是互联网的重点防护对象之一,各种基于web应用层的安全攻击会导致用户业务系统的权限被窃取以及关键数据的泄露,也可以考虑增加一些新的诸如WAF、IPS入侵检测等增值服务,用户可以根据自身业务系统的安全级别合理选择是否租用该漏洞防护服务等。这部分的内容后续将作为重点进行论述。
PaaS/SaaS应用层数据安全
在区县云计算及大数据中心安全平台的建设过程中,PaaS和SaaS的安全建设也非常重要。和IaaS的建设思路不同,PaaS的安全建设,其关键在于平台开放的思想下,开发者应用平台及数据库系统对于多开发者数据安全的适配。典型问题包括针对开发者的用户身份认证,开发者的平台和数据库的访问使用权限控制,不同开发者数据的安全隔离及操作行为审计等内容。为此需要在数据库的开发及平台应用环境开发过程中考虑到上述安全风险的防护。而在SaaS模型下,应用系统级的多租户共享涉及到的应用层安全问题,除了多租户身份认证和权限控制及数据库安全隔离等需求外,还需要考虑针对应用环境的代码级的安全审计等问题,确保提供给租户的应用程序本身的安全具备很高的水平,不会轻易被黑客等攻击者利用其内在的各种安全漏洞。在本项目建设过程中,建议这部分的安全通过合理配置数据库及应用程序来进行保证。
3.各功能区域安全架构设计
核心交换区
(1)组网模式
核心交换区在不改变原有网络基础架构的前提下,在核心交换区域的核心交换机旁挂相应的安全设备,如WAF、LB、防DDos设备等,来保证核心交换区的安全合规性,同时加固了整体云平台的安全性。
图 核心交换区安全设计组网图
(2)功能概述
核心区的功能概述如下:
WAF:实现各类SQL注入、跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为等攻击防护,并有效防护0day攻击,支持网页防篡改,帮助用户解决目前所面临的各类网站安全问题
LB:实现对网络设备和服务器带宽的有效扩展,充分利用多台服务器的业务处理能力,通过合理的调度算法和健康检查算法,有效感知服务器的负载并将业务流量调度到最恰当的服务器上,从而提高网络的灵活性和可用性。
互联网出口区
(1)组网模式
互联网出口区部署防火墙、IPS、防毒墙、防DDoS,在政务云的内网和之间构建一套坚固的安全屏障。
图 互联网出口区安全设计组网图
(2)功能概述
互联网出口区的功能概述如下:
配置防火墙,支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,有效的保证网络的安全;
配置入侵防御系统,当攻击发生或者短时间内大规模爆发的病毒导致网络流量激增时,能自动发现并阻断攻击和异常流量,以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭各种恶意攻击,保证关键业务的通畅,检测和阻断来自外部的攻击。
配置防毒墙,对网络中传输的病毒进行安全过滤,保护内网业务系统免受病毒攻击。
配置防DDoS:通过专业的防DDoS设备来帮助部署在云上的主机等资源抵御DDoS攻击,攻击类型包含网络层、传输层、应用层的所有分布式拒绝服务攻击,并实时通知用户攻击行为。
云管理区
(1)组网模式
在云管理平台子区以及带外管理区配置相应的安全设备,如安全管理检测中心以及堡垒机等来保证云整体架构在管理整个云基础架构系统的时候,加固了整体云平台的安全性。
图 云管理区安全设计组网图
(2)功能概述
云管理区的功能概述如下:
堡垒机:通过堡垒机实现统一运维接口,实现身份管理、访问控制、权限控制和操作审计。
云安全监测中心:利用深度挖掘及分析技术,对数据中心安全事件进行收集、分析与响应,解决网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,提高工作效率,集中精力关注核心业务。
漏洞扫描:利用漏洞扫描设备对网络内的数据库、WEB、操作系统进行探测并扫描,对可能存在漏洞,如弱口令、注入漏洞等进行综合分析,针对主机操作系统、中间件、主流网络设备、浏览器等进行脆弱性扫描,分析潜在风险并提供加固建议。
数据库系统区
(1)组网模式
在数据库区域的汇聚交换机层面旁挂相应的安全设备,如数据库审计来保证数据库区域的安全合规性,同时加固了整体云平台的安全性。
图 数据库系统区安全设计组网图
功能概述
数据库系统区的功能概述如下:
数据库审计:全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源;跟踪敏感数据访问行为轨迹,建立访问行为模型,及时发现敏感数据泄漏;检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议;为数据库安全管理与性能优化提供决策依据;提供符合法律法规的报告,满足等级保护、企业内控等审计要求。
政务出口区
(1)组网模式
图 政务出口区设计组网图
两台核心交换机通过光纤与对端政务外息中心机房两台核心交换机全互联进行链路带宽备份。
资源池区
(1)组网模式
在网络中单独部署一个东西向安全资源池区,部署NFV产品形态的VFW、VLB。
图 安全资源池区设计组网图
(2)功能概述
业务系统区的功能概述如下:
虚机间的流量访问控制及威胁检测须依赖NFV资源池。NFV资源池中的VFW建议支持透明模式部署,满足内部VM间安全防护需求;支持透明模式部署,提供对数据中心内VM间流量防护:
1)设置安全策略控制对VM虚拟机之间的访问,对这些VM之间的流量访问进行允许或禁止;
2)对VM之间的流量互访进行攻击检测,及时发现内部攻击行为。
本项目建议采用的VFW实际是作为一个特殊的虚拟机运行在虚拟平台中,正常情况下VM间访问流量直接经过vSwitch互访,当需要对其进行安全防护时,管理员配置通过SDN控制器创建服务链策略,当VM间第一次发生交互流量时,vSwitch会向控制器申请的引流策略(包含服务链策略的流表), 策略下发后,vSwitch根据流表内容对流量进行匹配,将需要防护的流量引流到VFW中,由VFW对虚拟机间流量进行防护处理,最后经VFW处理过的流量再回到vSwtich中进行正常转发。
虚拟主机安全防护
1)像保护物理机那样保护虚拟机
运行在虚拟机中的客户操作系统也存在与物理系统相同的安全风险。虚拟化无法消除这样的风险。不过,对单个虚拟机的攻击只会危及该虚拟机自身的安全,而不会危害到运行该虚拟机的虚拟化服务器。因此,关键在于对虚拟机采取与物理服务器相同的安全保护措施。安装通常安装于物理服务器上的防病毒代理、间谍软件过滤器、入侵防御系统以及其他所有安全工具,同时确保随时更新所有的安全工具,包括必要的应用修补程序。
2)利用模板增加虚拟机安全
通过在模板中获取加强了安全性的基本操作系统映像(未安装任何应用程序),可以确保创建的所有虚拟机都具有己知基准级别的安全性。随后便可以使用该模板创建其他特定于应用程序的模板,也可以使用应用程序模板部署虚拟机。确保随时更新模板中的修补程序和安全工具。
3)防止虚拟机抢占资源
虚拟化平台能够精确控制主机资源的分配。通过使用云平台的资源管理功能,如份额和,可以控制虚拟机所消耗的服务器资源,因此,受到攻击的虚拟机不会对在同一台物理主机运行上的其他虚拟机造成影响。可以利用这一机制来抵御拒绝服务攻击,此攻击会导致被入侵的虚拟机消耗大量的主机资源,致使同一台主机上的其他虚拟机无法运行其指定功能。
4)从虚拟机到物理主机的数据流
虚拟机可以将故障排除信息写入虚拟机日志文件,该文件存储于云平台系统中。对虚拟机用户和进程有意或无意的配置会导致其滥用日志记录功能,将大量数据注入日志文件。经过一段时间后,日志文件会占用物理主机文件系统的大量空间,将硬盘填满,致使主机系统无法再正常运行,这就构成了拒绝服务攻击。可配置系统使其在日志文件达到一定容量后轮换或删除日志文件。
存储资源安全
在区县云计算及大数据中心云计算平台运营后,平台上既存有政务应用所产生的业务数据、也存有社会公众应用而产生的业务数据,另外还包括普通公众用户上传的各类隐私信息,虽然云计算应用设计时已采用诸如数据标记等技术以防非法访问混合数据,但通过应用程序的漏洞仍可实现非法访问,为了根本的解决这一问题,必须通过存储区域划分的方式来实现数据隔离,把存储资源分隔为四个数据区,分别作为政务云业务数据区、产业云业务数据区、社会云业务数据区和灾备云业务数据区(未来扩展),可较好的解决数据存储安全问题。
4.业务可持续服务安全
为了保证业务应用系统在业务高峰期时段,具备可持续提供服务能力,在云计算环境中,通过部署负载均衡设备,并与计算资源管理平台相融合,业务应用虚拟服务器实现在业务高峰期自动弹性资源扩展,在业务度过高峰期后,自动弹性资源回收。从而保证业务按需自动调度资源,保证服务能力。
5.安全管理体系建设
建立安全组织机构
成立的安全领导小组,制定安全策略、落实信息安全责任,并下发到相关部门。建议在区县云计算及大数据中心内部设立以下安全管理组织机构,明确智能定位和职责权力,有效落实安全管理各项事务工作。
1)信息安全管理委员会
定义:信息安全管理委员会是信息系统安全管理的最高管理机构。
职责:负责对信息系统的安全管理进行决策和监督;对下级安全部门的领导层进行委任和授权。
2)信息安全管理部门
定义:信息安全管理部门是信息系统安全管理工作的具体执行部门。
职责:总体负责信息系统的安全管理,执行具体的日常管理工作,对信息系统的安全进行维护和监督;设立安全主管、安全管理专员等安全管理岗位,明确定义各岗位的具体职责;安全管理部向信息安全管理委员进行汇报。
3)安全管理员、系统管理员、审计管理员
定义:安全管理员、系统管理员、审计管理员分别为信息系统安全管理工作、系统管理工作、审计管理工作的具体执行者。
职责:按照制定的安全管理策略,对信息系统的安全进行日常的维护与监督;安全管理员、系统管理员、审计管理员向信息安全管理部门进行汇报。
4)应急管理小组
定义:信息系统安全事故发生时,启动应急机制,对应急预案进行执行和决策的组织。
职责:建立信息系统运行应急机制,制定系统应急方案,内容包括各种紧急状态的启动条件、应急处理程序、后备程序、恢复措施、维护计划要求、员工意识培养和教育、人员的责任。定期或不定期的对应急预案中涉及的设备、人员、方案进行检查和审核等,确保应急预案的可用性。
以下是各责任人的职责定义:
系统运维管理员:系统运维部门管理人员。目前为运维单位信息科科长,对整个系统运维部门进行管理。
系统管理员:系统权限管理员。对所有系统进行管理、建设、维护的相关人员,需要有广泛的知识面,丰富的理论和实际操作经验。
网络管理员:网络设备管理员。所有网络设备、安全设备的维护人员,需要有丰富的理论和实际操作经验。
数据库管理员:网络设备管理员。所有应用数据库的管理和维护人员,需要有丰富的理论和实际操作经验。
文档管理员:资料管理员。记录各类设备、系统操作,维护、整理相关文档,以及日志备份等相关信息。
机房管理员:设备物理安全保障员。记录机房进出相关记录,包括系统管理员、系统用户以及文档管理员的相关记录;对计算机硬件进行检修、维护;对物理环境的维护等。
开发管理员:软件安全保障员。监督软件开发工作的安全性措施实施情况,制定软件开发的安全标准。
安全应急小组:安全事件紧急响应小组。应急响应中心组长由系统运维部主管担任,组员包括:系统管理员,网络管理员,数据库管理员。
制度体系的梳理与构建
安全管理体系需要配套的相关制度才能得以落实并体现出效果,在目前现有的管理制度基础上,需要重点加强以下方面的建设工作。
(1)管理制度体系内容
区县云计算及大数据中心应制定严格的安全管理制度,主要包括:(但不限于以下内容)
《安全管理制度--信息安全组织建设规定》
《安全管理制度--机房安全管理规定》
《安全管理制度--人员安全管理程序》
《安全管理制度--介质管理规定》
《安全管理制度--信息交换管理规定》
《安全管理制度--信息备份管理程序》
《安全管理制度--信息安全审计程序》
《安全管理制度--信息系统开发与维护程序》
《安全管理制度--口令使用规定》
《安全管理制度--口令管理程序》
《安全管理制度--基础设施故障处理流程》
《安全管理制度--安全事故管理程序》
《安全管理制度--网络故障应急处理流程》
《安全管理制度--数据恢复程序》
《安全管理制度--物理访问程序》
《安全管理制度--用户角色管理程序》
《安全管理制度--系统访问管理规定》
《安全管理制度--网络设备安全配置管理规定》
《安全管理制度--管理评审程序》
《安全管理制度--外包服务管理程序》
(2)管理制度发布流程
管理制度的编制与制定:管理制度应该由信息安全管理部门,根据有关法规、、标准的要求,结合单位内信息系统的实际情况进行编制和制定;
管理制度的评审:原有管理制度的修改或新制定的管理制度,应组织有关人员进行充分论证和审定,评审通过后,再根据新编制度的级别送信息安全管理委员会或信息安全管理部门进行审批。
管理制度的发布:原有管理制度的修改或新制定的管理制度,通过信息安全管理委员会审批后,方可正式发布、执行。管理制度应注明发布范围、有效时限等,通过正式、有效的方式进行发布,对收发文进行登记,并指定有关部门对制度的执行进行监督和审查。
管理制度的修订:信息安全管理部门应定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
管理制度的管理:管理制度应该由信息安全管理部门进行管理与解释;所有制度文本应具有统一的格式,并进行版本控制。
加强人员安全管理建设
(1)人员录用
严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;
所有录用人员都应该根据其所接触的信息敏感级别签订相应的保密协议;
关键性岗位人员必须从内部人员中选拔,并签订相应的安全协议。
(2)人员离岗
应严格规范人员离岗过程,应及时终止和收回离岗员工的所有访问权限;
应将离岗人员身份证件、钥匙等以及机构提供的软硬件设备及时收回;
应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
(3)安全培训与考核
信息安全管理部门制定《信息系统安全意识与技能培训制度》,针对不同的岗位制定不同的培训计划,对各类人员的安全意识、安全基础知识、岗位技能、岗位操作规程、安全技术等进行培训,并将培训的情况和结果进行记录并归档保存;
信息安全管理部门制定《信息系统安全意识与技能考核制度》,定期对各个岗位的人员安全意识与技能进行考核,对关键性岗位人员的考核应该更加的全面与严格,并将考核的情况和结果进行记录并归档保存。
(4)外部人员访问管理
信息安全管理部门制定《外部人员访问管理规定》,对外部人员的访问行为进行规定和约束;外部人员在访问受控区域前必须先提出书面申请,批准后方可进入,且访问过程必须由专人全程陪同;访问情况应登记备案。
提升整体安全运维水平
区县云计算及大数据中心在信息安全管理体系的建设过程中必须充分考虑到信息系统运维过程中各个安全方面的要求,制定全面规范的运维安全管理文档体系,确保信息系统的持续安全运行。中心应从网络通信、信息系统操作、信息系统备份/恢复以及安全事件/故障处理等方面考虑运维过程中的安全风险,制定完善的运行维护流程和信息系统的操作和使用规程,对重要的资产制定备份/恢复策略和计划,并定期进行恢复测试;还应该制定重要信息系统的安全监控策略,制定计划定期对重要信息系统的日志进行检查分析,制定安全事件的处理流程,严格按流程处理安全事件;同时,还应该建立运维安全管理的评估和改进计划。
在运维安全管理方面,最终要形成包括运行管理流程、通信与操作规范、检查与监控制度,事件处理流程和备份恢复策略等一系列文档。下载本文
