安全管理制度
- 安全管理体系
本环境云平台的运维采取三权分立的方式,实现用户单位用户、用户单位管理员、云平台系统管理员、云平台操作员等角色三权分立的角色安全管理体系。
用户单位用户可访问虚拟机上的业务系统。
用户单位管理员主要职责是维护各自业务系统,保证相关主机和虚拟机系统的安全性。
云平台系统管理员对云平台的服务器、网络设备具备管理权限,可以进行平台的配置更改、维护操作。
云平台操作员进行日常运维的监控和巡检,只具备对系统的查看功能,不能对系统进行更改。
信息化服务中心拥有对云平台的监管职责,可以查看平台资源的使用情况便于监督。
云平台的权限分配由系统管理员负责,并做好登记,记录在《云平台权限分配登记表上》
- 机房安全管理
- 机房具备7*24警卫和出入管理服务的安防服务,巡视及监控机房区域及周边环境,安全控制中心设置在机房大厦内,安防系统采用独立的供电系统。
- 机房巡检包括:机楼经警安保巡检(每天三次);机房现场巡检(每天三次);动力设备巡检(每天三次);消防安全巡检(每天两次);物业保洁(每天清洁)等。
- 建立有严格和规范的人员与设备进出管理规范,进出有详细的书面记录。人员进出须有xxx认可的证件或证明方可进出,设备的进出需由用户维护人员搬运并有机房开据的放行证明,方可进出。
- 使用门禁IC卡对所有区域进行控制,保留一年的刷卡记录。
- 机柜区域配备专用门禁和24小时监控系统。
- 中心机房等关键安全区域的布置与建设严格审核,全程监控,安装适当的安全监控设施;
- 安全区域由适合的入口控制来保护,以确保只有授权人员访问;
- 对安全区域的访问者予以监督,并记录进出时间,仅允许他们访问已授权目标;
- 安全区域的选择和设计考虑防止火灾、水灾、爆炸等自然或人为灾难的可能性,尽量降低事故发生时的损失;
- 主机安全管理
本环境的主机包括以下几类:
- 虚拟化平台主机
- 用户托管的主机
- 用户租赁的物理机
本环境为用户托管的主机和租赁的物理机划分独立的隔离区。其中在机房里的物理机是和虚拟化平台主机分开机柜的。而在网络上采取逻辑隔离的方法。这样各个用户的物理机不会相互影响。
各委办局为了访问云管理平台、管理虚拟机、物理服务器需要连接到电子政务云平台的管理网络。按照安全管理隔离策略,委办局不能直接访问到管理平台,需要对委办局在管理网络内的操作进行审计,在电子政务云平台放置一台堡垒机,委办局管理服务器时需要对用户的行为进行记录。
平台管理员在维护虚拟化平台主机时,必须使用各自分配的账号登录,并由虚拟化平台提供操作审计。如需要对主机做重大维护,如主机关机、重启、升级等操作,必须经由信息化服务中心审批后才允许操作。具体操作参考《变更管理制度》
虚拟化软件及虚拟机操作系统,在安全管理和安全配置上采取服务最小化原则:虚拟机管理器接口应严格限定为管理虚拟机所需的服务端口,关闭其他无关的服务组件和协议端口。虚拟机自身,应关闭非系统关键服务和进程,如远程访问、Telnet等服务
用户租赁和托管的物理机,相应账号密码均由用户自行保管。运维人员不得随意登录机器、对机器进行开关机操作、操作机器上的线缆。
安全管理员应对云平台的主机和云平台的数据库进行漏洞扫描,形成扫描报告,并分析扫描结果,对发现的漏洞制定漏洞修复计划和方案,在保证系统业务正常运作的前提下进行漏洞修复。扫描的周期根据附件安全巡检表规定的周期执行。
- 网络安全管理
- 网络接入控制
- 运维人员进行内部维护需通过堡垒机登录,便于形成操作记录。
- 运维人员如需使用个人笔记本设备、U盘等接入电子政务云平台网络,需保证个人的设备是安全的,无病毒的,如由于个人设备导致整个网络出现安全问题,则运维人员需承担相关责任。
- 非特殊情况下,运维人员不得在同一台设备上同时登录信息化服务中心网络和互联网。
- 委办局用户应使用办公室内专用电脑连入电子政务云网络,未经许可,不得将自带电脑和存储设备连入该网络
- 网络密码管理
- 运维操作人员操作核心设备应有各自互不相通的用户名、口令,并定期更换。严禁操作人员泄露自己的操作口令,如有泄露并造成不良后果,由口令所有人负责。
- 核心设备的超级管理员口令和密码要定期更换(至少半年一次),使用额密码必须具有一定复杂性(8位以上,至少包括数字、字母、特殊符号组合,并且不能使用通用密码),更换后管理员要销毁原记录,将新密码或口令记录封存。如发现密码及口令有外泄迹象,管理员要立刻报告运维负责人,同时要保护好现场并记录,在接到上一级主管部门或单位批示后再更换密码和口令。
- 云平台超级管理员密码、相关密钥均需妥善保存。运维人员创建的新的密钥文件,必须统一上传到指定位置进行保存
- 网络安全审计
- 电子政务云平台的网络和安全设备需开启设备日志记录与网络安全相关的操作与活动,并定期对记录进行评审,将评审结果进行记录。
- 云平台提供内部设备及软件的统一日志存储管理服务,保存云平台所有用户及系统(含超级管理)的登录、操作及错误日志,日志保存周期一年以上
- 由堡垒机提供审计功能,对用户的IT运维人员能够提供主机、服务器、网络设备、安全设备的管理维护行为进行直观的操作审计,
- 网络设备管理
- 网络维护工程师应定期对网络配置、网络设备日志进行备份,备份周期参考附件《安全巡检表》;
- 网络维护工程师根据厂家提供的软件升级版本对网络设备进行更新,更新前要做好评估,并且经过信息化服务中心审批后才能执行。更新前要对现有的重要文件进行备份;
- 网络维护工程师需定期对设备口令进行更新(至少半年一次)。
- 网络维护工程师需定期对网络安全设备进行病毒库、漏洞库的升级,保证系统及时性,升级前要做好评估,并且经过信息化服务中心审批后才能执行。
- 网络安全检查
- 网络维护工程师编写网络安全检查方案,并定期对网络安全进行检查和评估,确保网络配置与安全策略保持一致,并对检查结果进行记录。
- 网络维护工程师定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
- 网络安全工程师应该根据巡检制度(参考附件安全巡检表)定期执行安全检查任务。
- 网络攻击防范
防止ARP地址欺骗和解析协议中毒,做好相应防范措施:
- 运维人员的管理机器连接到内网需要进行IP/MAC地址绑定,并且及时安装最新补丁和防病毒软件;
- 交换机上配置网关的IP/MAC地址绑定
- 云平台渗透测试
定期对云平台进行渗透测试,测试可由第三方组织实施。
- 数据安全管理
- 数据隔离和访问控制
根据安全域的不同划分,防火墙上会提供政务中心外网与云平台之间访问的安全策略。数据存储网络、业务网络、备份网络进行三层路由安全隔离。
电子政务云平台保证各个用户的数据相互隔离,防止网络层的嗅探攻击。电子政务云平台为每个用户提供的主机之间默认实现隔离,而用户内部主机之间按需隔离。
由于云平台里面的数据传输并不是都采取加密模式,云平台实现的数据传输的保护力度是用户网络通信安全传输级别。用户的应用系统需要从应用层面考虑数据传输的安全。
- 剩余数据删除
用户在释放租赁的资源时,由于用户业务的特殊性,需要用户明确数据是否要应删除。在确定需要应删除后,运维人员会将释放的虚拟机、高端存储空间、中端存储空间以及低端存储空间全部写“0”或写”1”填充后分配给其它业务应用。
- 用户访问控制
SAN交换机上通过划分不同逻辑区域来实现不同类型业务数据的隔离,它是将连接在SAN网络中的设备(主机和存储),逻辑上划到为不同的区域内,使得不同区域中的设备相互间不能FC网络直接访问,从而实现网络中的设备之间的相互隔离。
在政务外网的三个子云中,不同子云存在类似的逻辑区域规划。业务专网子云、互联网接入网子云和安全岛子云都存在对应的逻辑区域划分。不同子云相同的逻辑区域是不相通的。
- 敏感数据安全处理
电子政务云中所有用户数据都属于敏感数据,因此针对这些用户数据,需要做到:
- 用户数据相互隔离,防止网络层的嗅探攻击;
- 未经用户许可,云平台运维人员不得进入用户设备,查看用户任何的数据;
- 存放用户数据的存储介质(包括磁盘和磁带)应该具有标识,并且和其他数据分开存储;
- 如果存放用户数据的介质(包括磁盘和磁带)出现损坏,应进行消磁或销毁处理;
- 未经许可不准把用户数据的存储介质(包括磁盘和磁带)带离机房
- 人员安全管理
每个季度至少安排一次人员安全管理培训。培训前需拟定培训计划,对安全管理制度、安全管理操作等方面进行培训,加强人员的安全意识。
- 安全事件管理
无论通过何种方式发生了安全事件,并且已经造成了故障,均采取逐一上报形式,由运维人员汇报运维总监,运维总监汇报项目总监,项目总监汇报信息化服务中心。并按照故障处理流程进行处理。如果安全事故还未造成故障,只是存在隐患,则由运维总监提出安全整改方案,交由信息化服务中心审核后进行操作。
- 附件.安全巡检表
| 电子政务云安全检查 | ||||
| 检查人 | 检查日期: | |||
| 一、设备日志检查(每天一次) | ||||
| 检查内容 | 检查方法 | 检查项目 | 检查情况 | 备注 |
| 防火墙日志 | 登录备份服务器,查看syslog服务器窗口日志信息 | 有无设备异常信息 | ||
| 接入层交换机日志 | 登录备份服务器,查看syslog服务器窗口日志信息 | 有无设备异常信息 | ||
| 核心交换机日志 | 登录备份服务器,查看syslog服务器窗口日志信息 | 有无设备异常信息 | ||
| 二、操作审计检查(每天一次) | ||||
| 云平台登录日志 | 登录BCC,平台管理–>审计–>操作日志 | 有无非异常登录,如非预期的用户登录或者非预期时间登录 | ||
| 云平台操作日志 | 登录BCC,平台管理–>审计–>操作日志 | 有无异常操作,例如未预期的删除、修改等操作 | ||
| 堡垒机操作日志 | 登录堡垒机web,日志管理–>操作日志、审计日志 | 有无非异常登录,如非预期的用户登录或者非预期时间登录 | ||
| 三、设备配置备份检查(每月一次) | ||||
| 防火墙配置 | 登录防火墙web,系统管理–>配置文件,导出配置文件至备份服务器目录 | 设备配置进行每月保存,并且保存到备份服务器 | ||
| 核心交换机配置 | 通过终端工具登录,copy配置文件至tftp服务器(备份服务器目录 | 设备配置进行每月保存,并且保存到备份服务器 | ||
| 云平台数据库备份(每日1次) | 通过控制台登录云控制器,进入 | 查看是否生成每日备份 | ||
| 四、漏洞扫描(每季度一次) | ||||
| 漏洞扫描设备更新 | 登录http://www.venustech.com.cn/Down/ ,检查是否有最新离线升级包 | 检查设备是否有最新升级包并进行了更新 | ||
| 用户租用设备漏洞扫描 | 登录漏洞扫描系统,任务管理–>漏洞扫描任务,添加新扫描任务 | 对用户租用设备进行漏洞扫描,检查是否有重大漏洞(需要用户提供扫描权限) | ||
| 五、病毒扫描(每周一次) | ||||
| 防病毒设备更新 | 登录防毒墙web,检查病毒库是否有可用更新 | 检查趋势防病毒特征库是否进行了定期更新 | ||
| 病毒扫描 | 登录防毒墙web,检查网络病毒日志是否有异常 | 检查是否有发现病毒 | ||
| 六、入侵防御检查(每周一次) | ||||
| 入侵防御 | 登录web入侵防御系统,检查是否有异常入侵行为 | 登录入侵防御设备,查看设备配置是否正常,查看日志是否能对数据进行入侵防御 | ||
| 七、镜像模版定期更补丁(每季度一次) | ||||
| 镜像模版升级 | 定期登录操作系统官网查看是否有较大版本补丁需升级 | 定期查看镜像操作系统版本是否较大补丁版本升级并评估升级的安全性和可行性 | ||
| 结论 | ||||
| 检查人签字: | 运维总监签字: |