網(wǎng)絡(luò)架構(gòu)

-根據(jù)云租戶業(yè)務(wù)需求自主設(shè)置安全策略集，包括定義訪問路徑、選擇安全組件、配置安全策略

訪問控制

-在不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制，設(shè)置訪問控制規(guī)則

通信傳輸

-應(yīng)采用校驗(yàn)碼技術(shù)或加解密技術(shù)保證通信過程中數(shù)據(jù)的完整性

邊界防護(hù)

-應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信

入侵防范

-應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警

建設(shè)策略

-推薦安全組、網(wǎng)絡(luò)ACL通過設(shè)置基本的訪問控制策略，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問

-推薦VPN、安全證書服務(wù)，采取加密措施，防止數(shù)據(jù)在傳輸過程中遇到破壞、竊取等各種攻擊

-推薦DDoS高防，云WAF服務(wù)，針對日漸增多的DDoS、Web攻擊進(jìn)行防御，精準(zhǔn)有效地實(shí)現(xiàn)對流量型攻擊和應(yīng)用層攻擊的全面防護(hù)

身份鑒別

-當(dāng)進(jìn)行遠(yuǎn)程管理時，管理終端和云計(jì)算平臺邊界設(shè)備之間建立雙向身份驗(yàn)證機(jī)制

安全審計(jì)

-根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)集中審計(jì)

入侵防范

-虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警

數(shù)據(jù)備份恢復(fù)

-云服務(wù)客戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份；應(yīng)提供查詢云服務(wù)客戶數(shù)據(jù)及備份存儲位置的能力；

惡意代碼防范

-應(yīng)能夠檢測惡意代碼感染及在虛擬機(jī)間蔓延的情況，并提出告警

建設(shè)策略

-推薦堡壘機(jī)、數(shù)據(jù)庫安全服務(wù)對服務(wù)器和數(shù)據(jù)庫的運(yùn)維及操作行為進(jìn)行審計(jì)

-管理員使用各自的賬戶進(jìn)行管理，管理員的權(quán)限僅分配其所需的最小權(quán)限，在制定好的訪問控制策略下進(jìn)行操作，杜絕越權(quán)非法操作

-推薦主機(jī)安全服務(wù)，防止各類具有針對性的入侵威脅，發(fā)現(xiàn)常見操作系統(tǒng)存在的各種安全漏洞，及時更新惡意代碼庫

-推薦云備份、存儲容災(zāi)服務(wù)，為云主機(jī)提供本地?cái)?shù)據(jù)備份及異地?cái)?shù)據(jù)備份

系統(tǒng)管理

-通過安全管理中心對被保護(hù)系統(tǒng)和安全管理中心自身的運(yùn)行狀態(tài)進(jìn)行監(jiān)控

審計(jì)管理

-通過部署安全管理中心、業(yè)務(wù)安全審計(jì)平臺，對被保護(hù)系統(tǒng)和安全管理中心的相關(guān)重要安全事件和用戶操作行為進(jìn)行審計(jì)

安全管理

-通過部署安全管理中心、業(yè)務(wù)安全審計(jì)平臺，并對安全管理員進(jìn)行身份鑒別，對主體進(jìn)行授權(quán)，配置可信驗(yàn)證策略等

集中管控

-通過部署安全管理中心、業(yè)務(wù)安全審計(jì)平臺、APT威脅檢測系統(tǒng)，并對分布在網(wǎng)絡(luò)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測與管控

建設(shè)策略

-通過安全事件管理等模塊協(xié)助實(shí)施應(yīng)急響應(yīng)機(jī)制

-確保用戶行為的可追溯性，及時發(fā)現(xiàn)異常的安全行為，同時為綜合分析提供數(shù)據(jù)支撐

-數(shù)據(jù)收集、安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項(xiàng)和各類安全事件進(jìn)行集中管理，分析

安全管理制度

- 應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的信息安全管理制度體系

安全管理機(jī)構(gòu)

- 應(yīng)成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)

安全管理人員

- 人員錄用、人員離崗、人員考核、安全意識教育及培訓(xùn)、外部人員訪問管理

安全建設(shè)管理

- 應(yīng)根據(jù)保護(hù)對象的安全保護(hù)等級及與其他級別保護(hù)對象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì)，并形成配套文件

安全運(yùn)維管理

- 應(yīng)采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進(jìn)行修補(bǔ)或評估可能的影響后進(jìn)行修補(bǔ)

- 應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電

建設(shè)策略

- 企業(yè)應(yīng)制定完善的安全管理制度，根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)，梳理管理文件，明確組織人員的崗位職責(zé)，定期進(jìn)行全面安全檢查，特別是系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等

- 推薦漏洞掃描服務(wù)、安全體檢服務(wù)，檢測租戶站點(diǎn)的漏洞，提前防范黑客利用漏洞進(jìn)行攻擊，防止利益損失和數(shù)據(jù)泄露