物理与环境

物理与环境部分，依据相关标准规范，通过对整个项目的土建、机房工艺、电气智能化等建设满足要求，具体方案详见该部分设计。
根据中央网信办关于《加强党政部门云计算服务网络安全管理的意见》[2014]14号文，云服务方若在中国境内提供云服务时，必须确保其云计算基础设施位于中国境内。另外，为党政部门提供云服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。

网络与通信

• 云计算平台的等级大于等于其承载的业务应用系统的等级；
• 云计算管理平台应支持虚拟化网络拓扑结构的展现，且应能在发生虚拟化网络资源变更时（新建虚拟机、虚拟机网络接口变化、虚拟机迁移等）提供实时更新和集中监控；
• 不同云租户的虚拟网络之间应使用隔离技术（例如、vFW、VPC等）；
• 云计算管理平台应保证虚拟机只接收目的地址包括自己地址的报文，避免发生报文转发错误，造成信息泄漏；
• 通过使用不同的物理交换机来保证云平台管理流量与租户业务流量的分离；同时应能实现宿主机上业务口和管理口的分离；
• 能识别和监控虚拟机之间、虚拟机与物理机间的流量，尤其是同一台宿主机上多个虚拟机间通信，可以将流量从宿主机中引出到外部网络中来实现识别和监控目标；
• 云计算平台保持一定的开放性（例如主流的Openstack+KVM），支持开放接口接入第三方安全产品，实现租户安全服务的多样化，避免租户被绑定；
• 云服务方按需提供安全服务，而安全策略集的设置是由云租户根据自身业务需求进行自主操作，云服务方提供的安全服务应可以实现云租户安全的自服务；另外安全服务应该可编排，从而实现定义访问路径、选择安全组件、配置安全策略；

• 云计算管理平台禁止云租户虚拟机访问宿主机；
• 在云计算环境中，识别虚拟化网络边界，部署访问控制设备（vFW），并配置ACL；
• 在云环境中，安全及相关策略随虚拟机迁移，保证前后访问控制策略的一致；
• 云租户可以对自己的不同云主机之间配置访问策略；
• 不同安全等级业务系统使用不同的物理服务器来承载，同时其网络区域边界应部署访问控制设备（FW）

• 在云租户的网络边界部署入侵检测系统（IPS/IDS或NGFW），实现网络攻击的监测、告警和记录，同时保证入侵检测设备的特征库及时更新；
• 通过vIDS检测虚拟机到宿主机之间的异常流量，并进行告警；
• 云服务方应提供7*24小时的网站监测服务（websafe），全天候针对云租户互联网发布内容实时监测，发现违规有害信息及时通过短信、邮件等方式告知云租户

• 云计算安全管理平台提供权限设置功能，在保证安全的远程管理前提下，通过安全审计设备对远程用户的操作命令实时审计；
• 根据职责划分，云服务方和云租户收集各自控制部分的审计数据，相互之间不可交叉访问，云服务商和云租户的应使用各自的审计设备，数据分开存放；
• 云计算安全管理平台应提供审计接口，将安全审计数据进行汇集，同时也应能通过标准接口将审计数据提供给第三方进行审计；
• 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计；

设备与计算

• 网络策略控制器是云网络区别与传统网络的集中管理系统（一般包括网络和安全控制器），控制器端和被管设备端应支持双向身份验证机制，即控制器端验证主动接入的被管设备端，被管设备端在执行控制器端的策略时应先对其进行身份验证，目的都是防止恶意接入云网络；
• 远程管理时应首先保证传输信道的加密安全，使用VPN技术，同时远程管理终端和VPN服务端应建立双向身份验证机制；

• 根据中网办发文【2014】14号发文中“数据归属关系不变”的原则，云租户提供给云服务方或第三方的数据、设备等资源，以及在云计算平台上云租户业务系统运行过程中收集、产生、存储的数据和文档等资源属云租户所有，未经云租户授权（建议通过合同等手段进行约束），不得访问、修改、披露、利用、转让、销毁云租户数据，在服务合同终止时，应按照要求做好数据、文档等资源的移交和清楚工作；
• 云计算安全管理平台应具备精细灵活的权限划分机制，为不同的管理员分配不同不同账户并分配相应的权限，应遵循“最小权限”划分原则；

• 将云服务方对云租户系统和数据的操作审计发送给第三方审计，云租户通过第三方审计进行查看，防止云服务方的恶意删除；
• 云计算安全管理平台应提供审计接口，将安全审计数据进行汇集，同时也应能通过标准接口将审计数据提供给第三方进行审计；
• 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计；

• 入侵防范系统若发现虚拟机之间的异常访问流量，应进行告警。
• 云管理平台应通过API将非授权新建虚拟机或着重启虚拟机等记录发送给入侵防范系统，且入侵防范系统发现问题及时告警；

• 云环境中应部署恶意代码防护措施（主机和网络杀毒），对监测到的恶意行为进行清除和告警，同时要保证病毒库的及时更新；

• 云计算平台应保证虚拟机之间、虚拟机与宿主机之间的安全隔离，当某一个虚拟机故障，不应影响虚拟机监视器和其他虚拟机；
• 云计算管理平台应提供统一的资源调度管理功能，并支持策略设置，将物理资源和虚拟资源统一管理调度和分配
• 云计算平台应能做到单一虚拟机仅能使用为其分配的计算资源，防止资源隔离实效，发生资源蔓延；
• 不同等级的虚拟机，安全防护能力不同，当虚拟机发生迁移，迁移前后的资源池等级必须相同，若虚拟机在不同等级的资源池间迁移，应具备网络访问控制或隔离措施，禁止迁移；
• 云计算管理平台应提供虚拟机内存独占模式，防止发生内存泄漏
• 云计算管理平台应支持对虚拟机的虚拟网卡、虚拟交换机的端口进行QoS设置，并应能将其监控信息发送给独立的流量分析系统
• 云计算管理平台应提供接口将其监控信息上送给专业的监控平台，实现集中监控（例如SOC平台）

• 在云环境中，虚拟机的部署一般都是通过虚拟机镜像模板部署的，其安全性非常重要，为防止虚拟机镜像被恶意篡改云计算平台应具备完整性校验功能（例如文件Hash）,包括虚拟机快照；
• 针对虚拟机镜像和快照的访问，应至少设置密码，防止非授权访问。
• 可通过操作系统加固服务，按照“最小化软件部署+补丁最新+安全软件”的原则针对重要业务系统的操作系统镜像加固；

应用与数据

• 云计算安全管理平台应提供审计接口，将安全审计数据进行汇集，同时也应能通过标准接口将审计数据提供给第三方进行审计；
• 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计；
• 将云服务方对云租户系统和数据的操作审计发送给第三方审计，云租户通过第三方审计进行查看，防止云服务方的恶意删除；

• 部署监测平台（例如：态势感知平台），对应用系统运行状态监测，发现异常及时告警；
• 不同云租户的应用系统及开发平台之间应部署访问控制或隔离措施，保证资源隔离（互相不影响）、网络隔离（VPC网络）、主机隔离（不同计算资源池）；

• 云服务方应通过安全技术评估服务，对云计算平台提供的对外接口进行安全性评估；

• 云计算平台应具备虚拟机迁移过程中数据完整性的保障机制（内存拷贝、虚拟机快照、HA等）；

• 云租户敏感信息必须境内存储，未经批准不得在境外传输、处理、存储；
• 云计算平台运维过程中产生的数据（配置数据、日志信息等）不得出境；
• 虚拟机迁移网络应使用专有通道（视情况启用加密机制）保证迁移路径的安全；
• 为保障云租户云上的数据安全，云服务方应支持云租户在其平台上部署密钥管理解决方案，实现云租户自行针对其敏感数据进行加解密，同时建议密钥本地备份存储；
• 网络策略控制器与网络设备之间通信流量应使用加密技术，例如https或ssh等协议传输，防止被窃听和嗅探；

• 制定备份策略，云租户应将其云上的业务数据备份一份到自己的本地数据中心，避免云上数据丢失，造成损失；
• 云计算平台应提供查询云租户数据及备份存储位置的方式，同时做好账户和权限的分配，防止非授权访问；
• 不同云租户的审计数据建议存放于云租户自己的VPC内部；
• 现实的云计算服务过程中，往往是“上云容易下云难”，该项要求明确了云服务方在云租户退出服务应提供协助，包括不限于迁出时云计算平台的接口和方案，并按照合同约定，完成数据移交和删除工作；

对于采用PaaS服务模式的，云平台对中间件、数据库产品等进行策略的制定和规范管理，并且通过接口、协议与安全产品相结合，实现统一安全管理、监测、阻断。

• 采用加密或签名等安全技术，保障资源访问的API接口安全；
• 云平台中间件需要对应用开发API接口，以便对应用进行安全测控和异常分析，以及对开发环境的安全检测；
• 云平台需要对开放的API端口提供漏洞检测、行为及数据异常情况的监控和告警，发现问题及时通知租户，并协助租户及时处置；

• 云平台提供给租户开发环境的数据库、中间件等服务进行实时的漏洞监测，并且及时执行补丁更新；
• 云平台需要提供Web漏洞监测手段，对应用系统代码漏洞或异常及时通知租户，并督促其及时整改；
• 云平台需要对开发环境中数据库/中间件服务的使用、端口的开放及使用过程进行实时监测和控制；

• 云平台需要给所提供的中间件安装所适用的安全补丁；
• 云平台需要依据安全策略控制租户对中间件服务的访问；
• 云平台需要对应用部署的中间件服务状态进行实时监控；
• 云平台需要对租户登录访问中间件服务的所有访问和操作行为进行审计。

• 云平台需要给所提供的数据库安装其适用的所有安全补丁；
• 云平台需要提供应用部署的数据库服务状态实时监控；
• 云平台需要提供数据库审计系统对所提供的数据库访问和操作行为进行审计；
• 云平台需要提供应用部署的数据库服务的状态实时监控；
• 云平台需要依据安全策略控制租户对数据库服务的访问；
• 云平台需要通过配置人员权限控制策略，保证各司其职。

• 云平台需要在应用系统中提供双因子认证，通过CA认证系统、身份认证网关具备身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查的能力；
• 云平台需要在应用系统中提供登录控制模块对登录用户进行身份标识和鉴别，以及开发登录失败处理模块；

• 云平台需要应用系统中提供访问控制能力，可实现用户对文件、数据库表等的访问控制功能，授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；
• 云平台需要为应用系统提供网页防篡改系统和虚拟WEB防火墙能力，可达到对WEB应用的非法恶意访问行为进行有效控制。

• 云平台需要为应用系统和数据库提供用户操作行为的安全审计功能，实现对应用系统重要安全事件的审计，对审计记录数据的统计、查询、分析及生成审计报表的功能。
• 云平台需要所提供的安全审计功能，需具备收集云服务方和云租户各自控制的应用审计数据，保证审计数据的真实性和完整性，并能实现集中审计的能力；
• 云应用系统的安全审计功能具备审计数据接口，并可供第三方审计。

• 通过在应用系统中开发数据消除机制实现对系统内的文件、目录和数据库记录以及用户鉴别信息进行清除。
• 通过云综合管理平台实现对虚拟机所使用的内存和存储空间回收时完全清除。

• 通过密码技术保证通信过程中数据的完整性（详见密码和网络信任服务系统设计）。

• 通过VPN链路加密满足通信保密性的要求，具体为在通信之前进行初始化验证，并对通信过程中的整个报文或会话过程进行加密。

• 通过CA认证系统实现在访问请求的情况下为数据原发者或接收者提供数据原发证据、数据接收证据。

• 通过在应用系统中开发设置输入验证、错误信息处理、错误恢复功能满足软件容错要求。

• 通过在应用系统中开发设置资源控制功能实现服务优先级设定功能，对并发会话连接数、多重并发会话等进行限制。
• 通过VDC、VPC、VXLAN等网络技术实现不同云租户的应用系统及开发平台之间的隔离；
• 通过云平台对应用系统的运行状况进行监测，并在发现异常时进行告警；
• 部署虚拟负载设备实现云租户访问的优先级设置。
• 通过密码技术和信任服务系统对租户（用户）的隐私进行保护，防止租户内容泄漏。