DB44∕T 1458-2014 云计算基础设施系统安全规范(广东省).pdf
《DB44∕T 1458-2014 云计算基础设施系统安全规范(广东省).pdf》由会员分享,可在线阅读,更多相关《DB44∕T 1458-2014 云计算基础设施系统安全规范(广东省).pdf(12页珍藏版)》请在咨信网上搜索。
1、一ICS 35.020 L 80 备案号44731-2015DB44 广东省地方标准DB44/T 1458-2014 .1 云计算基础设施系统安全规范The specifications of cloud computing infrastructure system security 2014-11-10发布2015-02-10实施广东省质量技术监督局柿、1目IJ1=1 本标准按照GB/T1. )-2009给出的规则起草。本标准由广东省质量技术监督局提出并归口。DB44/T 1458-2014 本标准起草单位:广州市标准化研究院、国云科技股份有限公司、广州杰赛科技股份有限公司。本标准主要起草
2、人:陈棋、谢学富、张颖、刘敬光、沈斗士宅、徐超、石桂花、刘祥涛、赵淦森、张浩、李惊生、纪求华、莫展鹏、黄薇、王显昕、萤菊芹。本标准为首次发布。2 0844/T 1458-2014 云计算基础设施系统安全规范1 范围本标准规定了云计算基础设施系统安全的物理环境安全、存储和虚拟化存储安全、网络和l虚拟化网络安全、主机和虚拟化主机安全、云平台管理系统安全及终端和虚拟化终端安全六个方面的要求.本标准适用于指导组织在云计设施系统的安全规聆盹实现和运行维护过程中,开展信息安全保障工作。2 规范性引用文件3. 1 3. 2 虚拟基础设施v 虚拟基础虚拟化网络、虚拟化主机、3. 3 多租户multi-tena
3、ncy 一个单独的软件实例可以为多个客户服务,是云的一个重要元素.3. 4 多租户隔离multi-tenancy isolation 同个服务提供商的多个客户之间分享的操作系统、应用程序、网络在物理上或逻辑上的隔离.4 总则3 4 DB44/ T 1458-2014 4. 1 本标准规范云计算基础设施的系统安全要求,包捐物理环缆、存储和虚拟化存储、网络和虚拟化化网络、主机和1虚拟化主机、云平台管理系统、终端及虚拟化终端的安全要求,主要通过在云计算基础设施中部署软硬件并正确的配置其安全功能来实现.4. 2 依据本标准对物理环镜、存储和威拟化存储、网络和虚拟化网络、主机和虚拟化主机、云平台管理系统
4、、终端及虚拟化终端采取安全措施时,应考虑总体性要求,铺构建纵深的防御体系、采取E补的安全指施、进行集中的安全管理。4. 3 应从通信网络、局域网络边界、局域网络内部、虚拟网络内部等各个层次洛实本标准中提到的各种安全措施,从外到内形成纵深防御体系.4. 4 应考虑各个安全控制措施的互补性,关注各个安全控制措施实现不同安全功能产生的连接、交旦、依赖、协调、协同等相互关联关系,保证各个安全控制措施共同综合作用于云计算基础设施的系统安全功能。4. 5 应建立安全管理中心,集中管理去计算基础设施中的各个安全控制措施,支持统一安全行理,保证分散于物理环缆、存储和应拟化石储、网络和虚拟化化网络、主机和虚拟化
5、主机、云平台管理系统、终端及虚拟化终端的安全功能在统一策略的指导下实现,各个安全控制措施在可控情况下发挥各自的作用.5 物理环境安全5. 1 物理安全根据云计算基础设施承载业务系统的重要性,其物理安全应符合GB/T22239-2008的物理安全要求。5. 2 机房设计机房设计应满足GB50174的要求.5. 3 终瑞环境安全终瑞环境安全要求如下a) 固定终端应存放在具有防盗、防水等安全控制措施的区域内,确保终端不会被非授权查看、使用、破坏或者盗取;b) 移动终端应指定责任人,并固定存放位置,规范移动终端外带、外H,i管理要求:c) 在公共场所使用移动终端,应防止移动终端丢失,防止查看信息时被拍
6、照,远离非授权人员的视线范因.6 存储和虚拟化存储安全6. 1 存储加密存储加密安全要求如下:a) 在储系统应能够对存储的数据进行加密存储:b) 用户能够通过系统对指定数掘进行不同强度的加密.6. 2 密钥管理密钥管理安全要求如下:2 DB44/T 1458-2014 a) 云存储系统应采用成熟的密钥管理方案,对密钥的生命周期(产生、使用、存储、各份、恢复、轮换和删除进行管理;b) 云存储系统应在存储、传输和备份中都采用密钥保护措施,建立安全的密钥分配机制和密钥访问机制:c) 对密钥进行备份,并定期进行恢复测试:d) 不同用户组应采用不同的密钥进行数据加l密.6. 3 访问控制访问位制安全要求
7、如下:a) 云存储系统应依据最小访问权限原则设计访问控制措施,防止对数据的非授权访问:b) 云存储系统应根据不同的访问权限提供不同的访问策略,如对公共数据允许匿名用户访问,对用户共亭的数据,只能被授权共亭的用户才可访问,c) 应对不同租户存储的数据进行隔离,防范多租户攻击-6. 4 备份与恢复备份与恢复安全要求如下a) 应根据业务需要,制定各份恢复策略,确保恢复时间点和恢复时间目标满足业务简求:b) 应依据备份恢复策略,设计备份和l恢复措施,并定期做恢复测试;c) 异地备份场所应提供物理环境安全保护措施.6. 5 存储容错存储容错安全要求如下a) 存储系统应能够对存储的数据进行完整性校验和纠错
8、:b) 应保证存储数据局部破坏后,不会影响整体数据的完整性和可用性.7 网络和虚拟化网络安全7.1 网络结构安全网络结构安全要求如下:a) 根据云计算基础设施承载业务系统的重要性,其网络结构安全应符合GB/T22239-2008的网络结构安全要求;b) 合理设讨总体网络结构,合理设计虚拟化网络结构和物理网络结构,确保网络设备和链路的性能、处理速度满足业务需求:c) 合理设计网络安全区域,确保安全城之间的安全网络隔离,如重要云平台管理服务器、虚拟化服务器、接入终端和其他服务器划分不同网段,实现路由隔离;d) 应依据业务服务的重要程度划分不同服务等级,设计合理带宽分配优先级,确保主要业务的网络性能
9、和安全.7. 2 安全城划分安全域tJJ分安全要求如下:a) 应综合考虑业务、管理和安全等各方面的因素,对云计算基础设施系统的网络划分成不同的安全域,如划分为公共域、受限域和核心域:3 5 6 DB44/ T 1458-2014 b) 不同的安全城问采用强访问控制策略和访问控制策略进行逻辑隔离,在虚拟化环境下,可采用子网划分、虚拟网络技术、虚拟防火地、集群等隔离不同安全域的网络流量:c) 同一安全域内部应采用统一的安全策略进行保护,统一管理,如根据业务需要划分子网,采用合理的IP地址段等7. 3 身份鉴别身份鉴别安全要求如下:a) 应对登录网络设备和安全设备的用户进行身份标识和鉴别,b) 设备
10、用户身份不应使用默认标识,口令应有复杂度要求并定期更换;c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d) 当对设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听:e) 应为不同用户分配不同的用户名,确保用户名具有唯一性:f) 无线接入须采用无线加密措施,并进行身份鉴别和认证.7. 4 访问控制访问控制安全要求如下:a) 应在接入传感陶、无线阀、互联网、虚拟网边界处实施访问控制措施:b) 对迸出网络的流盘进行过滤,实现对物理网络流量、物理网络和虚拟网络、虚拟网络内部流莹的过滤:c) 应限制网络最大流量及网络连接数:d) 重要网段应该采取安全措
11、施,防止地址欺骗等网络攻击行为;e) 应采用有效安全措施(如采取限制是大接入用户数菇、部署蜜网等).防止对网络、 云平台和应用系统的拒绝服务攻击,重点防止数据中心网络出入口的拒绝服务攻击.7. 5 入侵检测与防范入侵检测与防范安全要求如下:a) 应在接入传感网、无线网、互联网、虚拟网的边界处采取入侵检测措施,监控和检测内网与其他网络的数据流量及网络攻击行为(如揣口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等); b) 在不同安全等级的安全区域间采取入侵检测措施,检测不同安全区域间的数据流量和攻击行为.7. 6 远程设备管理远程设备管理安全要求如下:a
12、) 远程管理物理网络设备或虚拟网络设备,应采用具有加密和完整性校验的协议进行连接.b) 应限制物理网络设备和虚拟网络设备的远程管理的IP地址、会话时间、登录失败次数:c) 应修改物理网络设备和虚拟网络设备默认的登录账户和密码,并通过访问控制措施限制远程管理,终端的IP地址.7. 7 安全审计安全审计要求如下:a) 应对虚拟网络设备的运行状况、网络流晕、用户行为等进行日忘记录;b) 审计记录应包括虚拟网络安全事件的日期和时间、用户、事件类型、事件是否成功及其他OB44/T 1458-2014 与审计相关的信息。自主机和虚拟化主机安全8. 1 身份鉴别身份鉴别安全要求如下.a) 应对登录操作系统、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB44T 1458-2014 云计算基础设施系统安全规范广东省 DB44 1458 2014 计算 基础设施 系统安全 规范 广东省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。