六、技术支持资料6.1、技术方案等级保护管理规范和技术标准作为增强系统安全防护能力的重要政策,是综合性的安全系统工程,等级保护制度同样适用于云环境,在云环境中,各私有云之间和各用户之间的边界模糊化,无法划分区域,从而导致无法根据不同区域面临的防护需求制定不同的安全策略,无法满足等保要求。云和虚拟化的安全首先是要解决虚拟环境中网络流的调度,其次根据网络流所属的安全域,提供不同的检测和防护手段,最后应能满足云环境中弹性扩展对安全管理策略弹性迁移的的要求。按照《信息安全等级保护管理办法》的有关要求进行实施,遵循国家和省市有关计算机信息系统的安全保密规定,同步实施系统的安全保密体系,以确保数据的保密、完整、可用,确保系统的安全、可靠、稳定和实用。从物理安全、网络架构、应用架构、代码开发、系统配置、人员管理等多角度来保障信息安全。1.安全机制系统具有严格的安全机制,包括真正的三层结构(数据层、应用层、WEB层)、严格的身份和访问授权机制(绑定MAC地址、按角色、数据表、字段等授权)、对敏感数据(如个人信息等)实时监控预警等。2.集中和分级管理系统可实现集中管理和分级管理相结合。3.多级别管理权限系统具有灵活多样的访问与管理权限体系。总体来看,权限级别包括办公室人员、管理人员、领导层等多个级别,在各个级别之中具有不同的具体权限设置与分配机制,可以轻松的实现多角色权限自定义操作。4.日志记录系统提供详细的日志记录和相应的数据操作跟踪,日志是系统操作过程中保留的重要信息,是追踪和保护系统数据安全的痕迹数据。该模块能够记录每个用户的操作类型、所使用的模块、访问时间、操作时所使用的计算机名、IP地址等/可性可性安全管理L甲/通信平台7网第平安全管理平台系统平信息,供系统管理员需要时进行跟踪。6.1.1、系统安全体系安全体系是一个三维结构:第一维(X轴)是安全服务特性,给出了7种安全属性;第二维(Y轴)是系统单元,给出了信息网络系统的组成;第三维(Z轴)是协议层次,给出了国际标准化组织ISO的开放系统互连(OSI)模型。安全体系的具体模型如图所示。6.1.1.1、安全服务维安全服务源于ISO7498-2,并做了适当扩展。具体如下:身份认证,用于确认所声明的身份的有效性;访问控制,防止非授权使用资源或以非授权的方式使用资源数据保密,数据存储和传输时加密,防止数据窃取、窃听;数据完整,防止数据篡改;不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认;审计管理,设置审计记录措施,分析审计记录;可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的条件下尽可能少地受到侵害者的破坏。6.1.1.2、协议层次维由ISO/OSI参考模型的七层构成。与TCP/IP层次对应,可以把会话层、表示、应用层统一为“表示层”。6.1.1.3、系统单元维系统单元维描述了信息网络的各个成分:通信平台,信息网络的通信平台;网络平台,信息网络的网络系统;数据平台,信息网络的资源数据库群;系统平台,信息网络的操作系统平台;应用平台,信息网络各种应用的开发、运行平台;物理环境,信息网络运行的物理环境及人员管理。6.1.1.4、安全管理贯穿于上述三个方面的各个层次。通过技术手段和行政管理手段,涉及到各系统单元在各个协议层次提供的各种安全服务。6.1.2、数据安全6.1.2.1、有限授权用户只能进行与当前角色相应的操作和访问权限范围内的数据。对于没有授权的操作和数据,用户无法执行和访问。6.1.2.2、功能分级控制对管理工作,系统管理员负责所管理办公系统的整体系统管理工作;其他系统功能的管理则由相应的各级管理员负责,实现管理工作的分级管理控制。系统审计与系统管理分开,增加系统安全性。6.1.3、操作安全6.131、IP安全控制系统能够设置一定IP地址段范围内的机器访问系统,不在IP地址范围内的无法登陆系统。6.1.3.2、日志审计系统提供日志审计的功能,并由管理员设置是否开通日志功能,日志功能包括记录用户的登录与退出系统的情况,记录系统的管理中任何的设置动作,记录系统重要模块数...
