工业云安全防护参考方案
目录
工业云安全防护参考方案 (1)
目录 (3)
1 工业云概述 (1)
1.1 工业云概念 (1)
1.2 工业云典型应用 (3)
1.3 工业云典型架构 (5)
1.4 工业云的国内外发展现状 (6)
1.4.1 国内发展现状 (6)
1.4.2 国外发展现状 (7)
2 工业云安全威胁及相关安全标准 (9)
2.1 工业云安全威胁 (9)
2.2 工业云安全标准 (12)
2.2.1 国外云安全标准现状 (12)
2.2.2 国内云安全标准现状 (14)
3 工业云安全防护方案 (17)
3.1 工业云安全总体方案 (17)
3.2 工业云安全职责划分 (19)
3.2.1 工业云关键角色与职责划分 (19)
3.2.2 工业云安全组织架构与职责 (19)
3.3 工业云分区分域设计 (23)
3.3.1 总体安全域划分 (23)
3.3.2 安全域边界防护 (24)
3.4 工业云安全检测 (25)
3.4.1 网络层安全检测 (25)
3.4.2 物理机层安全检测 (26)
3.4.3 虚拟化层安全检测 (26)
3.4.4 虚拟机层安全检测 (27)
3.4.5 应用层安全检测 (28)
3.4.6 数据层安全检测 (28)
3.4.7 设备层安全检测 (28)
3.4.8 全网检测 (29)
3.5 工业云安全防御 (30)
3.5.1 网络层安全防御 (30)
3.5.2 物理机层安全防御 (30)
3.5.3 云主机层安全防御 (30)
3.5.4 应用层安全防御 (32)
3.5.5 数据层安全防御 (33)
3.5.6 边界访问与接入防御 (35)
3.6 工业云安全运维 (36)
3.6.1 带外管理模式 (36)
3.6.2 分级管理模式 (36)
3.7 工业云安全响应 (37)
3.7.1 重点工作内容 (37)
3.7.2 安全应急流程 (38)
3.8 工业云安全恢复 (41)
3.8.1 恢复能力 (41)
3.8.2 云平台智能恢复 (41)
3.9 工业云安全过程管理 (41)
3.9.1 安全事件管理 (41)
3.9.2 环境和资产管理 (42)
3.9.3 网络和系统管理 (42)
3.9.4 可移动介质管理 (42)
3.9.5 恶意代码防护管理 (42)
3.9.6 变更管理 (43)
3.9.7 补丁管理 (43)
3.9.8 安全监控管理 (43)
3.9.9 日志管理 (43)
4 工业云安全发展与展望 (44)
1 工业云概述
1.1 工业云概念
工业云是在国家工信部“工业云创新行动计划”的背景之下提出的,是充分利用云计算、物联网、大数据等新一代信息技术,结合“资源及能力整合”业务手段,汇集各类加快新型工业化进程的成熟资源,面向工业企业,通过网络将弹性的、可共享的资源和业务能力,以按需自服务方式供应和管理的新型服务模式。工业云为工业转型升级、产业创新发展提供重要支持,通过构建安全、稳定、知识共享及高度适应且可扩展的云端能力资源集,为“互联网+”和工业实践相结合的“中国制造2025”提供保障。
本文中说描述的工业云指工业互联网产业联盟发布的《工业互联网体系架构(版本1.0)》中“应用支撑的实施”部分和<<工业互联网平台通用要求>>中的工业互联网平台架构中所描述的工业云和工厂云平台,从实施部署角度,工业云可以部署在工厂内部,也可以部署在工厂外部,如图1所示。
图1工业互联网平台部署示意
工业云的典型构成如下图2所示:
图2 工业云典型构成图
工业云面向工业产品研发设计、生产、销售以及订单化生产的全生命周期所需制造资源和制造能力实施整合与池化,为工业企业方便、快捷地提供各种制造服务,以实现社会制造资源的共享与制造能力的协同。在工业云,服务提供者与服务客户角色并不固定。作为服务提供者向工业云贡献制造资源、制造能力、制造技术和知识。同时,服务客户角色可以在工业云上获取所需的制造资源、制造能力、制造技术和知识开展活动。工业云能够利用云计算理论开展服务业务,快速叠加多种类型的资源与能力。面对工业用户的需求,工业云通过解决方案契合,合理调度用户所需的服务,推动用户从以订单和产品为中心的传统制造模式向以需求为中心的制造模式转变,实现新一代工业转型升级。
工业云整合了云计算的基础设施和工业制造的基础设施,为工业云平台资源服务和软件应用服务层提供运行最基础的设施支撑,同IT云IaaS一样,工业云亦可向外提供基础设施服务;工业云亦包括制造资源(智能机器人、3D打印、智能仪表等)、工业软件(CAX、MES、ERP、PLM
等)、IT资源(计算资源、存储资源、网络资源等)、大数据资源(设备数据、物料数据、客户数据、知识库等),不仅可以直接向产业用户提供资源服务,也可通过软件应用将资源服务封装之后,作为应用向最终用户提供。
作为关联产业生态新模式建立,企业智能生产的支撑要素,工业云的在线资源及服务对安全性的依赖程度极高。在工业云提供服务的全过程中,以风险控制,运行、数据安全保障,业务合规核查,冗余副本机制为主要内容的安全保障体系贯穿全局,为工业云的资源能力整合、资源准入、工业云运行以及企业服务交付应用提供全方位的安全保障。
1.2 工业云典型应用
从云计算和工业技术角度来看,典型的应用包括云存储、云应用、云制造、云社区、云设计、云生产、云管理。
1) 云存储
云存储是工业云基于互联网或者分布式存储理论提供的存储解决方案。该服务提供面向工业智能化应用需要实施的查询、实时监管、仿真、渲染、量级归档、流程化或离散化工作逻辑集中的存储服务。
云存储提供给企业分散、分步、分时、分区域的灵活存储方式,并在工业企业生产组织整个生产周期中提供对数据的整体管理、灵活调用。云存储的按需交付、成本低廉,灵活定制、扩展自如等特性使得工业企业或工业智能应用专注生产制造、智能化支撑的核心业务而无需为复杂、逻辑繁琐、权限横向集成要求高的存储业务进行投入。
2) 云应用
工业云应用通过资源整合、能力池化并进一步实施产品化特征封装集群化服务。云应用服务在集成工业资源、工业能力过程中,面向工业企业的宽泛、个性需求,形成产品化落实。
工业云应用包含一系列通用型的信息化管控服务。如:企业管理、企业在线营销、企业信息化协同办公等。还包括一系列面向工业生产制造专项服务。如:生产制造智能化支撑:设备运行优化、虚拟设计(PDM)、CAD、CAM、在线3D打印服务、工业管理(WPM)、制造执行(MES)、质量管理(QMS)、供应链(SCM)、产品管理(PLM)、设备远程维护、能源管理、环节管理。
云应用可以把传统软件“本地安装、本地运算”的使用方式变为”即取即用”的服务,通过互联网或局域网连接并操控远程服务器集群,完成业务逻辑或运算任务的一种新型应用,云应用不但可以帮助用户降低IT成本,更能大大提高工作效率。
3) 云社区
云社区是工业云集合各个工业产业内外的应用厂商、用户、专家,以灵活多样的形式,实施知识库收集、经验分享、专业化咨询和权威辅导的在线交流平台,同一主题的社区集中了具有共同需求的访问者。
云社区作为工业云平台的服务,一方面可以向企业用户推送消息,使得企业用户随时随地及时地了解最新的行业政策,知晓国内外的行业动向。用户和企业可以在社区中发布相关信息、需求、问题,从不同的拥有直接经验或者权威理论的用户、企业、专家处得到帮助。打造面向新时期工业产业知识汇集的社区化虚拟空间。在知识汇集的基础上,整合专业化服务和资源,向工业企业提供供需对接和资源共享服务,包括:企业资源信息发布、供需对接、企业沟通社交、设计标准、零部件库、设计案例、培训教程等。
4) 云设计
云设计服务于产品研发,为工业企业整体提升研发、创新竞争力提供支持。通过聚合顶端的设计资源和设计人才,打造“工业设计仿真验证快速成型”全流程设计服务,推行网络化协作以及众包的设计模式。从技术角度实现计算机辅助设计(CAD)、计算机辅助工程(CAE)等先进设计工具同生产排产制造的有机融合。以云计算的理论为指导,按需租用将设计软件及周边辅助类应用提供给工业企业,辅以社区专家技术指导,企业能够在极大的成本可控前提下,方便、快捷的完成专业化产品创新研发设计。显著缩短研发周期、提高研发效率。利用协同设计模式,亦能够将企业外部设计能力引入到产品设计之中,使企业更好利用外部智力,提升自体产品竞争力。
5) 云制造
云制造为通过云计算技术为工业企业提供生产管理环节所需的信息技术手段。云制造提供的业务能力服务覆盖计划、排程、制造、质量、能源、设备、库存等各环节。保证生产制造过程的高效、高质、低耗、灵活、准时。
6) 云管理
云管理是指借助云计算和其他相关技术,通过集中式管理系统建立完善的数据体系和信息共享机制。工业云通过资源与能力的整合,将通常意义上的云服务资源管理与企业管理应用进行合并,并封装为云管理应用。是应用互联网、云计算等新兴技术所带来的创新型管理模式,以实现经营管理优化为目的,提升总体管理的信息化与自动化程度。云管理平台服务中,用户可以实现对各种云资源和云服务的运维管理,包括资源管理、服务管理、用户管理、权限管理、费用查询和支付管理等功能。同时,云管理打破传统的组织局限、突破时空局限、突破资源局限,进一步
整合企业资源管理、客户关系管理、制造执行管理、财务管理、进销存管理、成本管理等应用软件,帮助企业构建云端管理新模式。
1.3 工业云典型架构
工业云是在云计算模式下对工业企业提供TI服务,使工业企业的社会资源实现共享化。它是传统云与专业的工业软件和定制化管理系统的结合。是通过信息资源整合为工业提供服务支持的一种云计算创新服务模式,通过将云计算、工业软件、物联网、大数据和其他相关技术的有机结合为制造业构建了一种特有的IT服务生态链系统,以PaaS和SaaS模式为主体向工业企业提供云存储服务、云资源服务、云应用服务、云社区服务、云管理服务和云制造服务等。
图3 工业云典型架构
工业云与云计算的架构相同,由基础设施服务层(IaaS)、平台资源服务层(PaaS)、软件应用服务层(SaaS)。
基础设施服务层(IaaS)包含云计算的基础设施和工业制造的基础设施,通过工业云亦可向外提供基础设施服务。基础设施服务层为工业云的平台资源服务和软件应用服务层提供运行最基础的设施支撑。
平台资源服务层(PaaS)包括制造资源(智能机器人、3D打印、智能仪表等)、工业软件(CAX、MES、ERP、PLM等)、IT资源(计算资源、存储资源、网络资源等)、大数据资源(设备数据、物料数据、客户数据、知识库等),不仅可以直接向客户提供资源服务,也可通过软件应用将资源服务封装之后,作为应用向最终客户提供。
软件应用服务层(SaaS)提供制造全生命周期的软件应用,包括:营销应用、研发应用、生产应用、服务应用、测评应用、仿真应用,可针对客户的需求提供各种不同的软件应用,通过软件应用也可将基础设施服务和平台资源服务进行封装,向外提供软件应用服务。
1.4 工业云的国内外发展现状
1.4.1 国内发展现状
我国高度重视工业云的发展。近年来,国家出台了一系列政策鼓励工业云的发展,把工业云作为推动两化深度融合和“互联网+”的重要抓手,初步形成“政府引导,企业主体,平台共享,联盟推进”的基本方针。工业云政策发展历程见图1。
图4 工业云政策发展历程
除了政府主导搭建以外,各地有条件的企业也在工业云领域加紧布局,对工业云的发展模式进行了全新探索,进一步丰富了工业云的内涵,扩大了工业云产业的规模。
智能云科整合广泛的社会资源,打造社会化协同的云制造服务平台,提供一站式的云制造、个性化定制及工业人才教育服务。
航天云网搭建的工业云平台满足企业以较低的成本获取制造所需的关键资源与服务,高效完成制造业务,支持企业进行产业链条管控与跨企业协同的产业及协作服务,提供协同研发、采购、营销、生产、售后等协作服务,帮助企业打通内外信息流、业务流、物流、资金流。中国电信基于电信云网一体化资源,构建云网合一的工业专网云平台,面向工业企业提供设计协同、制造协同、供应链协同、服务协同、资源共享等服务。
三一重工旗下的树根互联已接入23万多台设备,实时采集5000多个运行参数,为众多客户提供精准的大数据分析、预测、运营支持及商业模式创新服务。
此外,一些企业也陆续推出了自己的工业云平台,将核心业务向云平台迁移,用云计算模式改造原有生态系统,动态优化配置资源,实现生产制造全过程、全产业链、产品全生命周期的优
化管理,培育企业内部全流程信息共享和业务协同新模式。
沈阳机床基于i5智能数控系统实现了从机床的智能化到车间、工厂智能化的机床加工行业全链条解决方案,诞生了以智能设备互联、基于数据和信息分享的工业云平台,以此为载体连接社会的制造资源,实现社会化生产力协同的“i5新生态”。
经过几年的建设与发展,国内工业云平台已初具规模,并初显成效,为提高企业信息化水平、研发水平和制造能力、促进企业转型升级发挥了积极的作用。据不完全统计,国内公共工业云服务平台累计注册用户已超过1500万,推动了工业云服务的应用落地,合力打造出“化云为雨”的新局面。
1.4.2 国外发展现状
国外主要工业国家,如德国、美国,正在大力推广和应用工业云。德国在产业政策上对工业云相关的技术和应用给予了大力的支持。德国提出的工业4.0,是以信息物理融合系统(CPS)为基础,基于云计算平台来处理问题,实现生产高度数字化、网络化。德国在中小企业中进行试点示范,为中小型企业在物联网产业和互联网中的项目提供资金,尤其是数字产品,以及适应数字化进程和网络商业模式的开发测试。美国在未来智能制造中,不遗余力地支持工业云。美国提出的工业互联网是要将工业系统与云计算、分析、感应技术以及互联网连接融合,构建制造新模式。美国工业互联网联盟在2015年发布了《工业互联网参考体系架构》,助力软硬件厂商开发与工业互联网兼容的产品,实现企业、云计算系统、网络等不同类型实体互联。
工业云的产业化应用也得到了各个企业的重视,而投身其中的,不仅有工业企业,还有信息技术企业。
2014年,GE就发布了首个工业互联网云平台Predix,该平台将机器、数据、人和其他设备连接起,实现分布式计算、大数据分析、数据资产管理和机器间通信,提高生产效率。到2014年底,Predix平台每天监测和分析来自1000万个传感器的5000万项元数据,这些数据涉及资产价值高达数万亿美元,2015年底GE宣布Predix营收50亿美元,并宣布开放其云平台,使用户可以开发个性化的应用,这将促使Predix快速增长并形成垄断优势。
2016年西门子推出了开放工业云平台MindSphere,可以提供预防性维护、能源数据管理以及工厂资源优化等数字化服务。菲尼克斯电气为工业定制的云技术“ProfiCloud”,是其在工业物联网领域最创新的产品。日本发那科与思科、罗克韦尔自动化发布了FANUC Intelligent Edge Link and Drive(FIELD)system,FIELD system能实现自动化系统中的机床、机器人、周边设备及传感器
的连接并可提供先进的数据分析。
另外,北欧最大的IT业务提供商叠拓(Tieto Information Technology)也推出了工业云服务,并将其称为工业社区云(Industry Community Clouds)。
欧洲另一家IT服务提供商Prevas公司也推出了工业云服务。由42Q公司提供的基于云的MES(制造企业生产过程执行管理系统)更便于部署和配置,并且更快更便宜。国外的研究机构针对工业云进行了一些列研究工作,欧盟委员会部署的欧洲合作项目IMC-AESOP (ArchitecturE for Service-Oriented Process—Monitoring and Control)就是典型的代表,该项目从系统架构、技术难点和工程实现等角度对工业云进行了深入的研究。
亚马逊等电商也开始探索工业云服务。亚马逊公司旗下的Amazon Web Services(AWS)发布了全新平台AWS IoT,旨在让制造业客户硬件设备能够方便地连接AWS服务。SAP、Oracle等信息技术公司依靠本企业在信息化领域的领先程度,从云计算操作系统(云OS)、工业软件等方面推进工业云的发展。
2 工业云安全威胁及相关安全标准
2.1 工业云安全威胁
安全问题是阻碍工业云发展的重要因素,近些年国内外很多组织都发布过云安全威胁的报告,在这里我们列举出一些工业云可能需要面对的安全威胁:
1)数据泄露、篡改、丢失
工业云中存储的数据具有较高的敏感性,涉及工业企业知识产权和商业机密,是其核心资产的重要组成部分,有些数据资料甚至关系到国家安全,因此对数据的窃取或者破坏将造成严重经济损失、社会影响甚至国家安全等问题。
2)权限控制出现异常
单一或松散的身份验证、弱口令、不安全的密钥或证书管理都可能导致访问权限出现异常,一旦恶意用户掌握了其不该拥有的权限后,对云计算平台所造成的安全影响是致命的,攻击者就可以伪装成合法用户读取、更改或者删除用户数据,进而影响工业企业的正常运行。
3)API安全
工业云在提供其服务时会提供一些用户API接口。IT人员利用他们对云服务进行配置、管理、协调和监控,也在这些接口的基础上进行开发,并提供附加服务。而API是工业云系统中最暴露的部分,更容易成为攻击目标。
4)系统漏洞利用
工业云服务提供的基础资源属于共享设施,所以其共有的系统安全漏洞可能会存在于所有使用者的云资源当中。这给攻击者提供了便利的攻击途径,并节省了大量的研究成本,一个业务被攻陷后,同一个云中的其它业务很可能会被同一种攻击类型攻击成功。
5)账户劫持
攻击者通过钓鱼攻击和利用软件漏洞可以对用户的账户登录会话进行劫持,在不知道目标账户和口令的前提下,可以仿冒合法用户的登录会话,从而隐蔽的获取访问权。如果攻击者获取了远程管理云计算平台资源的帐户登录信息,就可以对业务运行数据进行窃取与破坏。
6)恶意内部人员
人们在部署各式安全防护设备的同时,往往会忽略来自内部人员的恶意危害,这些人其破坏面广、力度大,可辐射其整个云环境。
7)APT攻击
高级持续性威胁(APT)通常隐蔽性很强,很难捕获。而一旦APT渗透进云平台,建立起桥
头堡,然后在相当长一段时间内,源源不断地、悄悄地偷走大量数据,形同寄生虫,危害极大。APT攻击已经逐渐成为当前威胁国家安全的重要问题,由于工业云平台涉及到更多国家安全层面的问题,因此工业云可能会遭受到很多的APT攻击。
8)拒绝服务攻击
一直以来,分布式拒绝服务(DDoS)一直都是互联网环境下的一大威胁。在工业云中,许多用户会需要一项或多项服务保持7×24小时的可用性,业务中断将造成严重的经济损失甚至是危及人员生命财产安全的严重事故,因此应该引起额外的重视。
9)共享技术漏洞
云计算中采用了大量的虚拟化技术和共享技术,而这些技术本身可能存在安全漏洞。因为其处于底层,共享技术的漏洞将对云计算构成了严重威胁。如果一个服务组件被破坏泄露,如某个系统管理程序、一个共享的功能组件、或应用程序被攻击,则极有可能使整个云环境被攻击和破坏。
10)设备接入安全
工业云平台可能涉及到智能设备的接入,针对这些设备的可能存在非法接入,非法控制,连接窃听等问题,一旦这些智能设备被攻击后,如果工业云平台对智能设备的安全接入考虑不周全时,攻击者可以利用智能设备作为跳板对工业云系统进行攻击。
云计算平台与工业系统最近也受到了很大的挑战,越来越多的安全事件在最近几年频繁的爆发。
2014年,代码空间(Code Spaces)的亚马逊AWS账户没有采用多因素认证,攻击者对其成功进行了账户劫持,获得控制权后删除了所有数据,导致其该公司破产。
2015年,反病毒公司BitDefender托管在亚马逊AWS公有云应用中的一些客户用户名和密码被黑客窃取,并索要15000美元的赎金;
2014年到2015年间,英国电信供应商TalkTalk在发生了多起安全事故,导致400万客户的个人信息被盗。
2010年,StuxNet病毒感染了伊朗14个工厂的PLC,其中包含一个铀浓缩车间,病毒修改了离心机的控制程序导致多台离心机损坏;
2011年,一个钢铁车间的控制系统遭受黑客的鱼叉攻击,造成高炉的非正常关闭;
2015年,两名黑客展示了如何通过漏洞,完全实现对一辆汽车的远程控制。
另外,最近越来越多的安全漏洞被发现,根据国家信息安全漏洞共享平台(CNVD)所收录的漏洞数据显示,截至到2016年底,收录的云及虚拟化相关的漏洞数以千计,经关键字查询计有1383个,并且自2010年以来云计算技术及应用服务发展迅速,同时云及虚拟化相关系统的脆弱性问题日益受到安全业内的关注,云及虚拟化相关的漏洞数量也呈快速增长的趋势,如图5所示。而这些漏洞也势对工业云安全构成巨大的安全威胁。
图5 快速增长的云及虚拟化相关漏洞数
利用云及虚拟化相关漏洞所造成的安全威胁,主要涉及未授权的信息泄露、管理员访问权限获取、拒绝服务攻击、未授权的信息修改以及普通用户的访问权限获取等。根据CNVD收录的云及虚拟化漏洞的统计分析可知,未授权的信息泄露、管理员访问权限获取以及拒绝服务相关的漏洞占了大多数,也就是说云计算相关的应用及服务系统的安全防护的重点将是云上的数据安全、系统管理员的账户安全以及提升抗拒绝服务攻击能力以保障云服务的业务连续性(图6)。对比2016年新增的云及虚拟化漏洞的危害性分析情况(图7),可知涉及数据安全类的漏洞数据增幅明显,可造成信息泄露和信息修改的两类漏洞合计占比高达2016年新增漏洞的三分之二。从漏洞危害性的角度来看,在云及虚拟化领域,数据安全类漏洞占有很大的比例。显然,这些漏洞被利用所造成的数据安全威胁将是云及虚拟化安全领域首要解决的问题。
图6 云及虚拟化相关漏洞的危害性分析
图7 2016年新增的云及虚拟化漏洞的危害性分析
从这些安全事件和安全漏洞统计结果可以看出,云计算领域的安全威胁主要是服务异常和信息泄露,这些威胁同样会存在于工业云。工业系统需要稳定的服务保持正常运转,信息系统故障导致停工将造成严重的损失,因此保证云服务的稳定性至关重要,工业云中的企业数据是企业核心资产的一部分,信息泄露也将造成严重损失,而针对工业控制系统的攻击将直接造成严重经济损失或者不可挽回的严重后果,因此工业云的安全性要求将远远高于传统云计算系统。
2.2 工业云安全标准
在工业云安全的标准的研制方面,国外与国内都处于起步阶段,大部分已发布和在研的标准都是针对云计算安全的。
2.2.1 国外云安全标准现状
目前,国际上已经有众多标准化组织开展云安全领域的标准制定,相关的机构主要如下所示:
1、ISO/IEC第一联合技术委员会(ISO/IEC JTC1)
2、美国国家标准技术研究所(NIST)
3、欧洲网络与信息安全管理局(ENISA)
4、云安全联盟(CSA)
5、国际电信联盟—电信标准化部(ITU-T)
6、区域标准组织(美国)CIO委员会
7、开放式组织联盟(TheOpenGroup)
8、结构化信息标准促进组织(OASIS)
9、分布式管理任务组(DMTF)
上述标准组织在云安全领域的主要进展如下:
(1)ISO/IEC:在云计算领域的标准化工作主要由JTC1下工作组SC38来完成。
相关标准研究成果有:《开放虚拟机格式》、《云计算安全与隐私管理系统》、ISO/IEC 27017《基于ISO/IEC 27002的云计算服务的信息安全控制措施使用规则》、ISO/IEC 27018《公共云计算服务的数据保护控制措施实用规则》、ISO/IEC 27009《ISO/IEC 27001在特定行业/服务的认可的第三方认证中的使用和应用》。
目前,ISO/IEC JTC1/SC27在研的云计算安全标准研究项目有:《云和新数据相关技术的风险管理》、《云安全用例和潜在的标准差距》、ISO/IEC 27036-4《供应商关系的信息安全—第四部分:云服务安全指南》。
(2)NIST:为美国联邦政府提供云架构以及相关的安全和部署策略,包括制定云定义、云安全架构、云风险缓解措施等。
具体标准包括:《云计算参考体系架构》)、《完全虚拟化技术安全指南》、《云计算安全障碍与缓和措施》、《公共云计算中安全与隐私》、《通用云计算环境》、《美国政府云计算安全评估与授权的建议》。
(3)ENISA:自2009年,就启动了云计算安全的相关研究工作,云安全标准化方面主要关注云计算中风险评估和风险管理等,由ENISA下WG NRMP工作小组负责。
与云安全相关标准包括:《云计算—信息安全保障框架》、《云计算—信息安全的好处,风险和建议》、《政府云的安全和弹性》。
(4)CSA:电信安全联盟CSA(Cloud Security Alliance),2009年4月成立,目标是推广云安全的最佳实践方案,开展云安全培训。组织包括100多家来自全球IT企业加盟,并与ITU、ENISA 等二十家标准组织及机构合作,在云安全最佳实践与标准制定方面具有很大的影响力。
在云安全标准化方面工作:以白皮书的形式向全球发布云安全方面的参考与建议,已完成《云
计算面临的严重威胁》、《关键领域的云计算安全指南》、《身份隐私与接入安全》等3项标准化建议,发布了《如何保护云数据》、《定义云安全:六种观点》等2项云安全相关的建议书。2016年10月,发布了《云计算安全技术要求(草案)》(包括总则及IaaS安全技术标准要求、SaaS安全技术标准要求和PaaS安全技术标准要求的草案)。
(5)ITU-T:ITU-T(国际电信联盟通信局)主要关注云安全架构、虚拟化安全等方面,其中SG13研究成立了云计算专项工作组,旨在促进电信支持云计算的相关标准开发工作。
ITU-T下的云计算焦点组(Focus Group on Cloud Computing,PG Cloud)制定了《云安全、威胁与需求》标准、电信云安全研究小组-SG17制定了《电信领域云计算安全指南》标准。
(6)CIO委员会:2010年2月,与MIST、GSA(General Services Administration)以及ISIMC (Information Security Management Committee)一起合作完成《美国政府云计算风险评估方法》。基于标准化流程的的风险评估:提出将云计算置于联邦监控之下的方法及流程,明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责。
(7)TheOpenGroup:云安全相关的工作组为云工作组(Cloud Work Group),于2009年10月成立,工作组的标准由组织成员制定,但非成员也可以参与讨论。
云安全标准主要包括《云计算标准》、《云安全和SOA参考架构》。
(8)OASIS:结构化信息标准促进组织(OASIS)。与云安全相关活动:云身份(IDCloud)技术委员会,2010年成立,致力于解决云计算中身份管理带来的严重的安全挑战,包括成员Red Hat,TBM,Microsoft等大型IT企业。云安全相关标准主要为《身份在云中的使用》。
(9)DMTF:分布式管理任务组(DMTF)。云安全相关的工作组及活动:2009年4月,成立了工作组—开放云标准孵化器(Open Cloud Standard Incubator);2010年7月成立了云管理工作组;2011年4月成立了云审计数据联邦工作组,它致力于促使云供应商提高安全能力。云安全相关标准主要为《云管理体系结构》。
2.2.2 国内云安全标准现状
在安全问题上,目前国内针对工业云安全的方案与标准还没有制定及发布,近几年国内标准化组织主要是针对云计算发布了一些标准。
国务院发布了《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发(2015)5号)。全国信息安全标准化技术委员会(一下简称信安标委)组织研究制定了亟需的云计算安全标准,已发布了GB/T 31167-2014《信息安全技术云计算服务安全指南》和GB/T 31168-2014《信息安全技术云计算服务安全能力要求》2项国家标准。
目前正在研制的关于云计算安全的国家标准还有《信息安全技术云计算安全参考框架》和《信息安全技术云计算服务安全能力评估方法》,信安标委也正在组织专家研究、制定云计算安全技术路线图,完成云计算安全标准的框架设计,研究和制定我国云计算安全的系列标准。
我国云安全标准处于起步阶段,尚未正式出台,主要由CCSA和TC260两个组织制定。
(1)中国通信标准化协会(CCSA)
正在制定的标准有:
◆在云计算的总体架构方面,有《云安全标准体系研究》、《公有云安全基线要求》、《云计算安
全威胁和需求》等;
◆在访问控制方面,有《云计算身份识别与访问管理应用场景及技术要求》、《云计算的可信技
术研究》等;
◆在云中隐私和数据保护方面,有《公有云数据安全要求》、《公有云中隐私保护措施》等;
◆在行业云方面,有《基于云计算的电子政务公共平台安全》、《基于云计算的居民健康服务平
台安全框架》等;
◆在基于云计算的IDC方面,有《基于云计算的互联网数据中心信息安全技术要求》和《基于
云计算的互联网数据中心信息安全管理要求》;
◆在云计算应用安全方面,有《云计算应用安全运营技术要求》等。
(2)全国信息安全标准化委员会(TC260)
由公安部和全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口的标准《信息系统等级保护安全设计技术要求云计算安全》于2016年7月已形成初稿;
由全国信息安全标准化技术委员会提出和归口的标准《信息安全等级保护基本要求第2部分:云计算安全扩展要求》于2016年7月已形成征求意见稿;
在信安标委内部设立了专门对云计算及安全进行研究的课题,正在制定的标准有:《云计算安全及标准研究报告V1.0》、《政府部门云计算安全》、《基于云计算的因特网数据中心安全指南》等。
2016年6月21日在南京举办了一场专业会议—全国信息技术标准化技术委员会云计算标准工作组工业云标准编制会,为中国制造2025起到了添砖加瓦的作用。本次会议期间,来自全国的共计十余家单位的二十余位专家将对《工业云服务模型》(解决工业云的定义与范围)、《工业云服务能力总体要求》(解决通过工业云服务为智能制造提供业务支撑的问题)的标准内容进行讨论,并形成标准草案。除此之外,《工业云服务服务水平协议(SLA)规范》(解决工业云服务质量的
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.doczj.com/doc/9c86385.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.doczj.com/doc/9c86385.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.doczj.com/doc/9c86385.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.doczj.com/doc/9c86385.html,
5
云安全管理平台解决方案 北信源云安全管理平台解决方案北京北信源软件股份有限公司 2010 云安全管理平台解决方案/webmoney 2.1问题和需求分析 2.2传统SOC 面临的问题................................................................... ...................................... 4.1资产分布式管理 104.1.1 资产流程化管理 104.1.2 资产域分布 114.2 事件行为关联分析 124.2.1 事件采集与处理 124.2.2 事件过滤与归并 134.2.3 事件行为关联分析 134.3 资产脆弱性分析 144.4 风险综合监控 154.4.1 风险管理 164.4.2 风险监控 174.5 预警管理与发布 174.5.1 预警管理 174.5.2 预警发布 194.6 实时响应与反控204.7 知识库管理 214.7.1 知识共享和转化 214.7.2 响应速度和质量 214.7.3 信息挖掘与分析 224.8 综合报表管理 245.1 终端安全管理与传统SOC 的有机结合 245.2 基于云计算技术的分层化处理 255.3 海量数据的标准化采集和处理 265.4 深入事件关联分析 275.5 面向用户服务的透明化 31云 安全管理平台解决方案 /webmoney 前言为了不断应对新的安全挑战,越来越多的行业单位和企业先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等等,构建起了一道道安全防线。然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。更为严重地,这些复杂的资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。对于一个完善的网络安全体系而言,需要有一个统一的网络安全管理平台来支撑,将整个网络中的各种设备、用户、资源进行合理有效的整合,纳入一个统一的监管体系,来进行统一的监控、调度、协调,以达到资源合理利用、网络安全可靠、业务稳定运行的目的。云安全管理平台解决方案 /webmoney 安全现状2.1 问题和需求分析在历经了网络基础建设、数据大集中、网络安全基础设施建设等阶段后,浙江高法逐步建立起了大量不同的安全子系统,如防病毒系统、防火墙系统、入侵检测系统等,国家主管部门和各行业也出台了一系列的安全标准和相关管理制度。但随着安全系统越来越庞大,安全防范技术越来越复杂,相关标准和制度越来越细化,相应的问题也随之出现: 1、安全产品部署越来越多,相对独立的部署方式使各个设备独立配置、管理,各产品的运行状态如何?安全策略是否得到了准确落实?安全管理员难以准确掌握,无法形成全局的安全策略统一部署和监控。 2、分散在各个安全子系统中的安全相关数据量越来越大,一方面海量数据的集中储存和分析处理成为问题;另一方面,大量的重复信息、错误信息充斥其中,海量的无效数据淹没了真正有价值的安全信息;同时,从大量的、孤立的单条事件中无法准确地发现全局性、整体性的安全威胁行为。 3、传统安全产品仅仅面向安全人员提供信息,但管理者、安全管理员、系统管理
政府门户网站安全防护方案 ■文档编号■密级内部使用 ■版本编号V 1.0 ■日期2015-05-25 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XX科技所有,受到有关产权及版权法保护。任何个人、机构未经XX科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 目录 一. 概述 二. 政府门户网站安全建设必要性 2.1合规性要求 2.2面临的安全威胁 2.3政府网站安全管理现状 三. 政府门户网站安全防护方案 3.1安全防护方案示意图 3.2网络层安全防护 3.2.1安全域访问控制
3.2.2拒绝服务攻击防护 3.3系统层安全防护 3.3.1 Web系统漏洞发现与管理 3.3.2 Web系统安全加固 3.4应用层安全防护 3.4.1 Web应用防护 3.4.2网页防篡改 3.5网站安全云监护 3.5.1网站安全监测服务 3.5.2 WEB应用防护系统及可管理安全服务 3.5.3抗拒绝服务系统及可管理安全服务 注:可支持接入XX安全云的设备型号及版本清单 四. 安全设备及服务主要适用场景 一. 概述 政府网站是政府职能部门信息化建设的重要内容,主要实现国家对政府网站的三大功能定位:信息公开、在线办事、公众参与。政府网站是政府部门履行职能、面向社会提供服务的窗口,是实现政务信息公开、服务企业和社会公众、方便公众参与的重要渠道,同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台,是国家重要信息系统。 而近年来,随着政府网站所承载业务的数量和重要性逐渐增加以及其面相公众的性 质,使其越来越成为攻击和威胁的主要目标。据CNCERT/CC的统计数据,2012年全年,中国大陆有16388万个网站被黑客篡改,数量较2011年增加6.1%,但其中被篡改的政府网站高达1802个,与2011年相比大幅增长21.4%。被暗中植入后门的政府
基础教育云服务平台解决方案 需求差异或资源标准不统一等原因,使用效果也不太理想。 协作教研的现状 团队教研的协同工作受地域限制,开展的难度比较大,特别是偏远中小学教师参加教研活动 难度大,参加高层次培训的可能性小,自我提升的空间受到一定的制约。各区县、学校尚未采用信息化的手段辅助教科研活动的开展,尚未采用网络化的手段辅助跨校的教研互动交流。 学校教学的现状 学生的课业负担普遍较重,学生在校时间较长,缺乏自主利用数字资源的时间。由于缺乏有针对性的学习指导,导致学习资源不足或过度。同学之间互帮互学的协作不够。在自主学习过程中很难得到个性化的指导,过分依赖聘请家教或到校外上补习班。总体上,尚未有优质的网络教学系统可供使用。 家校沟通的现状 家校沟通的主要渠道是每学期一到两次的家长会,教师与家长之间的沟通和交流大多是通过 短信通知和家长签字。 家长非常期待能够深入地了解孩子的学业水平、在校表现、个性发展、心理发展等情况,希望和学校形成良性的互动,但由于缺乏有效的沟通平台和手段,使得他们对孩子的成长过程了解得不够广泛、深入。 教育网站建设的现状 教育局系统以及中小学校的网站由于建设的历史原因,通常存在着各级网站孤岛分散建设, 缺乏统一的建设标准,不同机构之间的信息共享困难;信息化投入少,信息技术维护人员能力低,网站更新、内容运维情况差;重复建设现象严重,硬件和网络建设成本高;网站水平 参差不齐且升级困难,网络安全风险很高 基础教育云服务平台建设的总体目标是:建成符合国家规范和课程改革需要的、具有本地化基础教育特色的教学指导与服务系统,注重课程文化建设与教学文化建设,促进基础教育数字化教学资源的共建共享,形成覆盖本区域的教育信息化公共服务体系。 具体目标是: 1)为教育局提供可以随时查看各级各类学校(教育单位)的行政管理、教学规划、教学质 量、资产经费、办学绩效和发展趋势,支持区域化、智慧化的行政事务网上办公和信息发布。2)为学校领导提供网络化、智能化、精细化的管理平台,掌握学校整体运行状况,发现问 题、及时调整、辅助决策、节省行政运行成本,同时提供区域办学经验交流分享的平台。 3)为教师提供高效便捷的办公环境,教学资料和科研成果资源的共建共享环境,与家长实 时互动的沟通渠道,使区域范围内的教师信息化素养、教研能力、教学水平得到全方位的促进和提升。 4)为学生提供丰富、精粹、便利的共享学习资源,可自主学习与泛在学习,通过区域范围 内的师生学习交流互动,提升自主学习能力,增强学生的信息化素养、探究能力。 5)为家长提供可以与学校(教育单位)实时沟通,及时获取学生在校情况,学校教育情况 和活动信息的平台,协助学校共同教育学生成长。 6)为社会大众提供政务公开、教育招生、行政审批、咨询投诉等教育信息服务。基础教育 云服务平台解决方案 2. 系统规划框架
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。 保险行业数据库安全 解决方案 ■文档编号 ■密级■版本编号v1.0■日期2019.1 ?2019安华金和
目录 保险行业数据库安全 (1) 解决方案 (1) 一.背景概述 (4) 二.保险业务与威胁分析 (6) 2.1系统分析 (6) 2.1.1外网业务系统 (6) 2.1.2内网业务系统 (6) 2.2人员分析 (6) 2.3安全威胁分析 (7) 2.3.1数据库系统具有脆弱性 (7) 2.3.2敏感信息存在泄密威胁 (8) 2.3.3外部SQL注入攻击威胁 (8) 2.3.4违规操作非法篡改风险 (8) 2.3.5安全职责无法准确界定 (8) 2.3.6管理流程缺乏有效手段 (9) 2.3.7出现安全事件取证困难 (9) 三.数据库安全防护方案 (9) 3.1主动防御 (9) 3.1.1细粒度访问控制 (9) 3.1.2网络可信接入 (10) 3.1.3应用身份识别 (10) 3.1.4抵御SQL注入 (10) 3.1.5阻断漏洞攻击 (11) 3.1.6行为有效监控,违规无法抵赖 (11) 3.2底线防守 (11) 3.2.1防止明文存储引起的数据泄密 (11) 3.2.2防止高权限用户进行数据泄密 (11) 3.2.3防止利用合法用户的身份,进行违规数据访问 (12) 四.方案优势 (12) 4.1周期防护构建纵深 (12)
网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.doczj.com/doc/9c86385.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;
随着云计算在企业内应用,大多数企业都认识到了云计算的的重要性,因为它可以实现资源分配的灵活性、可伸缩性并且提高了服务器的利用率,降低了企业的成本。但是随着企业信息化程度的越来越高、信息系统支持的业务越来越复杂,管理的难度也越来越大,所以就需要选择一个合理的解决方案来支撑企业信息系统的管理和发展。 云管理平台最重要的两个特质在于管理云资源和提供云服务。即通过构建基础架构资源池(IaaS)、搭建企业级应用、开发、数据平台(PaaS),以及通过SOA架构整合服务(SaaS)来实现全服务周期的一站式服务,构建多层级、全方位的云资源管理体系。那么有没有合适的云管理平台解决方案可以推荐呢? SmartOps作为新一代多云管理平台,经过6年多的持续研发和实际运营,已经逐渐走向成熟,能通过单一入口广泛支持腾讯云、阿里云、华为云、AWS等超大规模公有云的统一监控、资源编排、资产管理、成本管理、DevOps 等管理功能,同时也支持私有云和物理裸机环境的统一纳管。SmartOps平台具有统一门户、CMDB配置
数据库、IT服务管理、运维自动化和监控告警等主要模块,支持客户自助在线处理订单、付款销账、申报问题、管理维护等商务运营流程,而且对客户的管理、交付、技术支持也都完全在平台上运行,这极大提升了整体运营效率并大幅降低成本,业务交付速度更快、自动化程度更高、成本更具竞争力、用户体验更佳。 同时,SmartOps正在构建适应业务创新发展的云管理平台,实现从服务中提炼普惠性的服务方案,并构建软件化、工具化、自动化的快速上线对外提供服务的通道。SmartOps不仅是一个云管平台,也是一个面向企业用户的服务迭代的创新平台,一切有利于企业用户数字化发展的个性化服务,都有可能在普遍落地后实现技术服务产品化、工具化的再输出。不仅如此,下一步,SmartOps还将融入更多的价值,包括借助人工智能的技术,面向企业用户领导决策提供参考价值。借助平台化的管理工具,为企业财务人员提供有价值的成本参
编号:密级: 1. 概 要 项目名称:计划日期:客户方项目负责人信息安全防护方案 一期实施计划书 xxx 有限公司 二〇一六年十一 月
软件实施人员: 实施规划书重要说明: 1.本实施规划书编制的目的是为接下来的南京交通厅信息安全防护项目实施 培训工作提供指导性的文件,以便使该项目的实施工作更有计划性与条理性; 2.实施日程的具体计划,xxx 有限公司将在软件购销及服务协议签署之后 做详细调研(不超过3 个工作日)后提供,经双方负责人同意确认之后,严格执行;xxx 有限公司不允许由于软件公司实施工程师工作延误的原因导致实际项目实施结案时间超过本实施规划十个工作日。过此期限,导致实施结案延误,其责任归软件公司自行承担;xxx 有限公司必须就此南京交通厅信息安全防护实际实施完毕并得到客户方确认方可结案; 3.本实施规划书是一份对双方均有约束力的一份文件,对双方的工作内容 有明确的规定,请详细阅读,各步骤完成之后需相关人员签字确认,将作为项目结案文档重要文件,作为实施进度及工作评估的最重要依据,并成为xxx 有限公司南京交通厅信息安全防护项目实施结案及收取合同相关协议款项的依据。
2. 问题阐述 2.1数据安全 通常,机构的用户数据都存储在数据库中。而信息泄露的主要途径是对数据库以及运行数据库的各类访问行为。随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的数据泄露问题变得日益突出起来。机构在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地规范设备厂商和代维人员的操作行为, 是各类机构面临的一个关键问题。 2.2日志管理 1、数据库重要数据增删改操作 2、应用系统操作 2.3服务器异地备份 1、服务器异常 2、网络节点异常
文件编号:RHD-QB-K2164 (解决方案范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 电力系统安全防护总体方案标准版本
电力系统安全防护总体方案标准版 本 操作指导:该解决方案文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时进行更好的判断与管理。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 一、总则 电力二次系统安全防护总体方案是依据电监会5号令以及电监会[2006]34号文的规定并根据电网二次系统系统的具体情况制定的,目的是规范和统一电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全、稳定、经济运行。 电力二次系统是指各级电力监控系统和调度数据网络(SPDnet)以及各级调度管理信息系统(OMS)
和电力数据通信网络(SPInet)构成的大系统。本方案确定电力二次系统的安全区的划分原则,确定各安全区之间在横向及纵向上的防护原则,提出电力二次系统安全防护的总体方案,严格执行“安全分区、网络专用、横向隔离、纵向认证”的规定,并指导各有关单位具体实施。 二、 1) 安全分区。分区防护、突出重点。根据系统中的业务的重要性和对一次系统的影响程度进行分区,重点保护生产控制以及直接生产电力生产的系统。 2) 网络专用。电力调度数据网SPDnet与电力数据通信网SPInet实现安全隔离,并通过采用MPLS-VPN或IPSEC-VPN在SPDnet和SPInet 分别形成多个相互逻辑隔离的VPN实现多层次的保
云OA ----走在OA云端 帝隆云-云OA平台领导者
云计算技术崛起 云计算的产生 云计算概念是由Google提出的,这是一个美丽的网络应用模式。狭义云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源;广义云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的,也可以是任意其他的服务,它具有超大规模、虚拟化、可靠安全等独特功效;“云计算”图书版本也很多,都从理论和实践上介绍了云计算的特性与功用。 什么是云计算 云计算(Cloud Computing)是网格计算(Grid Computing)、分布式计算(Distributed Computing)、并行计算(Parallel Computing)、效用计算(Utility Com puting)网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。Cloud Computing的一个核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力! OA的产生 OA是Office Automation的缩写,指办公室自动化或自动化办公。随着计算机技术、通信技术和网络技术的突飞猛进,尤其是近年云OA技术打破了OA软件所有的硬件需求桎梏,开启了OA的云时代。关于OA的描述正在不断充实,但至今还没有人对OA下过最权威、最科学、最全面、最准确的定义。之所以如此是因为OA内容和应用技术不曾停歇的变革。OA系统作为类似于人体中的神经网络系统般的存在,传递领导理念、指令,协调全身肌肉、四肢和谐运行,愉快工作,使企业充满生命力和战斗力,为企业提供一种有新技术融合的管理新方式。 多极办公应用的融合体: 它是一切可满足于企事业单位的、综合型的、能够提高单位内部信息交流、共享、流转处理的和实现办公自动化和提高工作效率的各种信息化设备和应用软件;它不是孤立存在的,而是与企事业单位其它各类管理系统(如电子政务系统、电子商务系统、CRM系统、ERP系统、财务系统)密切相关、有机整合。一个独立存在的OA办公自动化系统生命力及作用是薄弱的
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
云平台建设原则 1、标准化 当前云服务在整个信息产业中还不够成熟,相关的标准还没有完善。为保障方案前瞻性,在设备选型上力求充分考虑对云服务相关标准的扩展支持能力,保证良好的先进性,以适应未来的信息产业化发展。 2、高可用 为保证数据业务网的核心业务的不中断运行,在网络整体设计和设备配置上都是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。 具有良好扩展性,网络建设完毕并网后应可以进行大规模改造、服务器集群、软件功能模块应可以不断扩展。 良好的易用性。简化系统结构,降低维护量。对突发数据吸附,缓解端口拥塞压力,能保证业务的流畅性等。 3、增强二级网络 云平台下,虚拟机迁移与集群式两种典型的应用模型,这两种模型均需要二层网络支持。随着云计算资源池的不断扩大,二层网络的范围正在逐步扩大,甚至扩展到多个数据中心内,大规模部署二层网络则带来一个必然的问题就是二层环路问题。采用传统的STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二级网络技术(如IRF/VSS、TRILL等)的应用,以解决传统技术带来的问题。 4、虚拟化 虚拟资源池化是网络发展的重要趋势,将可以大大提高资源利用率,降低运营成本。 应有效开展服务器、存储的虚拟资源池技术建设,网络设备的虚拟化也应进行设计实现。 服务器、存储器、网络及安全设备应具备虚拟化功能。 5、高性能 由于云服务网络中的流量模型发生了变化,随着整个云平台相关业务的开展,业务
数据安全加密保护方案 数据泄露事件而引起的浪潮,已经在不停的冲刷企业内部筑起的数据安全堤坝。在国内甚至全球,数据安全已经成为了急需解决的重点问题,数据防泄密也不 止一次两次被个人及企业提及关注。很多人在说,却也不是很懂。数据防泄密 系统到底是什么?数据防泄密技术真能有效保护数据安全吗?数据防泄密能防 哪些泄密? 数据防泄密是通过一定的技术手段,例如加密技术,防止企业的重要数据或信 息资产被内部内鬼窃取或者外部网络攻击而流出。工作中,文档数据的流通包 含括创建、存储、使用和传输等几个主要过程。数据防泄密系统就是保护企业 的机密信息不被非法存储、使用和传输。做到文档数据的全生命周期管控,全 程管控信息流通的各个环节,企业数据安全就受到严密的保护。 从这个意义上说,数据防泄密系统是一个全方位的体系。在这个体系中,数据 全程处于保护状态,一切对数据的操作都会被加密控制。形象的说,数据被加 上一个透明的外壳。数据在"壳"里自由流动。未经许可,里面的数据出不来, 外面的人拿不到。 数据防泄密系统的功能很多,能防范的泄密也很多。用红线防泄密系统以下一 些案例来详细说明。 1 防止窃取和泄密红线防泄密系统以数据加密为基础。日常所有类型的文件,都能被加密。加密过的文档,未经许可及对应权限即无法打开,即使被拷贝走 打开也是密文显示,无法查看真实内容。无论内部人员或外部入侵都无法造成 数据泄密。 2 防止越权访问管理员通过权限控制,能精确控制人员对文件的访问、编辑(包括复制、截屏、打印)权限,同时划分文件密级,有效防止越权访问。常 见的通过U盘拷贝、邮件发送等方式的泄露手段都将无用武之地。 3 防止二次扩散企业内部文档数据在创建后即被强制自动加密,采用透明加密技术,可自由设置所支持的自动透明加解密应用,在文档数据需要外发时,需 申请管理员审批解密。防止二次扩散。
信息安全数据泄露防护DLP解决方案Copyright HESUN COMPUTER INFORMATION SYSTEMS
目录 信息安全数据泄露防护DLP解决方案 (1) 一、概述 (3) 1.背景 (3) 2.数据泄露防护技术DLP (3) 二、解决方案 (4) 1.目标 (4) 2.分析信息外泄的途径 (4) 3.DLP防护指导思想 (5) 4.信息安全的特点和保护策略 (6) 三、产品功能介绍 (7) 1.Windows数据防丢失子系统功能列表 (7) 2.Linux数据防丢失子系统功能列表 (10) 3.安全网关子系统功能列表 (11) 四、产品规格 (12) 1.Windows系统支持规格 (12) 2.Linux系统支持规格 (13) 3.Windows 加密与Linux加密兼容 (13) 五、产品技术 (13) 1. Windows文件加密系统优势 (13) 六、项目实施 (15) 1.确认可信域 (15) 2.信息安全评估 (15) 3.选择部署策略 (15) 4.软件实施过程 (16)
一、概述 1.背景 有一农户在杀鸡前的晚上喂鸡,不经意地说:快吃吧,这是你最后一顿!第二日,见鸡已躺倒并留遗书:爷已吃老鼠药,你们别想吃爷了,爷他妈也不是好惹的。 当对手知道了你的决定之后,就能做出对自己最有利的决定。——纳什均衡理论 所以加强信息内容安全的管理很重要。 当今信息技术高度发达,人们早已习惯了用电子化平台获取信息,企业的数据、信息以电子档案形式处理,传输,存储已成主流。但是信息化就像一把双刃剑,给企业运营带来极大便利的同时,也相应地存在安全隐患。威胁企业信息安全的方式多种多样,计算机犯罪、网络“黑客”行为、内部泄密、信息丢失、人为错误,甚至自然灾害、意外事故等都能造成信息侵害。要保障企业信息安全,一方面是要加强内部管理,提高人员道德修养和技术水平,防止内部泄密或者因技术水准不高而引发的失误性损害;另一方面是加强信息技术软硬件建设,做好信息安全防护工作。 实际上,随着信息化发展,企业的信息安全管理开始重视,可是相关调查显示,多数企业并未设立专业的信息管理团队,因此信息安全形势不容乐观。一旦信息被破坏或泄露,要挽回损失,将面临取证困难和法律规范将是两大难点。因此,企业建立完备的信息安全体系势在必行。 2.数据泄露防护技术DLP 信息安全威胁主要来源于外部的黑客攻击和内部员工的信息泄露。通过防火墙、防毒软件等手段可以阻挡外部的入侵,但是事实上90%以上的信息泄密事件源于企业内部,针对企业内部数据泄露防护技术DLP应运而生。DLP主要是提供文档加密、身份认证、行为管理、监控审计等功能对信息安全进行防护。防火墙是由外而内的信息安全防护,DLP的是由内而外的信息安全防护,两者相辅相成,一起构筑了企业的信息安全环境。
浪潮私有云平台解决方案 云计算的发展 近几年,国内外IT信息技术快速发展,以云计算为代表的新兴技术已经为解决传统IT信息化建设困局找到了突破性的解决方案,并已经在国内企业、政府、金融、电信等众多关键领域取得了成功。 云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计 算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少 的管理工作,或与服务供应商进行很少的交互。 云计算分为三种服务模式:软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)。 云计算根据部署部署方式的不同分为:公有云(Public Cloud)、私有云(Private Cloud)、社区云(Community Cloud)、混合云(Hybrid Cloud)。 其中私有云是为一个客户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。私有云 可部署在企业数据中心的防火墙内,也可以部署在一个安全的主机托管场所,私有云的核心属性是专有资源。 主要优势体现在以下方面: 1.数据安全 虽然每个公有云的提供商都对外宣称其服务在各方面都是非常安全,特别是对数据的管理。但是对企业而言,特别是大型企业以及对安全要求较高的企业而言,和业务有关的数据是其的生命线,是不能受到任何形式 的威胁,而私有云在这方面是非常有优势的,因为它一般都构建在防火墙后。 2、SLA(服务质量) 因为私有云一般在防火墙之后,而不是在某一个遥远的数据中心里,所以当公司员工访问那些基于私有云 的应用时,它的SLA会非常稳定,不会受到网络不稳定的影响。 3、不影响现有IT管理的流程 对大型企业而言,流程是其管理的核心,如果没有完善的流程,企业将会成为一盘散沙。不仅与业务有关 的流程非常繁多,而且IT部门的管理流程也较多,比如在数据管理和安全规定等方面。 客户面临由虚拟化向云服务转型的挑战 服务器虚拟化作为云计算的基础,已经被越来越多的客户认可,虚拟化已经成为数据中心建设过程中的首 选方案,将服务器物理资源抽象成逻辑资源,让一台服务器变成几台甚至上百台互相隔离的虚拟服务器,用户 将不再受限于物理上的界限,而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”,从而提 高资源的利用率,简化系统管理,实现服务器整合,让IT对业务的变化更具适应力。通过部署服务器虚拟化,用户能够获得如下收益: ?降低TCO成本,提高硬件资源利用率,节省了机房空间成本;
云上智慧课堂解决方案 无边界教学新体验
智慧地球: 下一代领导人议程 首次提出智慧地球 智慧概念深入教育行业 教育信息化十年发展规划( ) 正式宣告中国开启教育信息化时代全国教育信息化工作电视电话会议进一步明确以“三通两平台”的教育信息化为抓手 政府工作报告李克强总理提出,在教育等多领域推进“互联网+”,强调发展公平有质量的教育教育信息化行动计划强调以信息化全面推动教育现代化,到年基本实现“三全两高一大”发展目标 中国教育现代化 强调到 年,教育现代化取得重要进展强调技术对于教育优质和均衡的推动到年,总体实现教育现代化,迈入教育强国
大学高职高专培训机构为高校和高职高专院校提供科研(网上科研空间)教学(线上线下一体化教学平台)智慧校园(安防移动化校园服务形成数据闭环)产业学院 突出移动化、混合式、智能化、多场景、全流程为 核心能力的新一代教学平台 新模式(虚商模式混合云模式)下的高校科研, 为高校打造更便利,更高效、更节约的科研环境 为学校构建智慧安防,园区,打通信息中台,人脸库 提供校园指引、停车等全信息化中台,结合教务、教学 等系统,实现校园数字化端平台:钉钉(主)支付宝优酷能力平台(终身学习账户)产业学院(阿里云大学淘宝大学学科生态) 基于云边的基础能力的云服务外延, 如混合云管控、安全合规、实验沙箱等 基于达摩院的能力,提供的基于语音识别、 图像识别等教学场景的智能服务, 如英文评测、公式识别、行为评测(监考)等 以不同学科的科研场景为主的软件工具平台的 打造,可作为科研云学科服务的支撑能力 以不同学科的科研场景为主的开放数据平台, 可作为科研云学科服务的支撑能力 提供的专有云服务和超算平台的服务基于公有云实现科研、教学等场景的服务提供云服务、、应用、产业学院的多类型一体机能力
第1章引言 (7) 1.1国家政策推动企业上云 (7) 1.2云安全规范指导文件 (14) 1.3软件定义数据中心(SDDC) (15) 1.4软件定义安全(SDSec) (18) 第2章云安全风险分析 (19) 2.1业务牵引风险分析 (19) 2.2技术牵引风险分析 (21) 2.3监管牵引风险分析 (22) 第3章云安全需求分析 (25) 3.1云安全防护体系安全需求 (25) 3.1.1基础安全保障 (25) 3.1.2主机安全保障 (25) 3.1.3应用安全保障 (25) 3.2云安全运营体系安全需求 (25) 3.2.1安全审计服务 (25) 3.2.2安全运营服务 (26) 3.2.3态势感知服务 (26) 3.3多云/混合云架构安全联动管理需求 (26) 第4章方案设计思路 (27) 4.1软件定义安全的设计思路 (27) 4.2国际先进性参考模型 (28) 4.3方案场景适用性说明 (29) 第5章云安全管理平台产品技术方案 (30) 5.1方案概述 (30) 5.2方案架构设计 (31) 2
5.3产品功能简述 (32) 5.3.1安全市场 (32) 5.3.2组件管理 (36) 5.3.3资产管理 (37) 5.3.4租户信息同步 (38) 5.3.5监控告警 (39) 5.3.6订单管理 (41) 5.3.7工单管理 (42) 5.3.8计量计费 (42) 5.3.9报表管理 (43) 5.3.10云安全态势 (44) 5.3.11日志审计 (46) 5.4部署架构设计 (47) 5.4.1部署方案 (47) 5.4.2部署方案技术特点 (48) 5.5平台主要功能技术特点 (52) 5.5.1用户与资产结构 (52) 5.5.2自助服务模式 (54) 5.5.3安全服务链编排 (54) 5.5.4计量计费模式 (56) 5.5.5云安全态势感知 (56) 5.5.6在线/离线升级服务 (57) 5.5.7平台稳定可靠 (58) 第6章CSMP安全资源介绍部分 (60) 6.1CSMP安全服务清单介绍 (60) 6.2各安全组件产品级解决方案汇总 (62) 第7章CSMP方案核心价值 (62) 7.1安全产品服务化-合规高效 (62) 7.2安全能力一体化-智慧易管 (62) 3
易讯通 云管理平台解决方案 北京易讯通信息技术股份有限公司 26
2016年5月 26
目录 1总论3 1.1概述 3 1.2建设背景 3 2需求分析3 2.1客户现状 3 2.2客户需求 3 3建设方案5 3.1总体架构及组成 5 3.1.1系统架构图 (6) 3.1.2存储架构设计 (7) 3.1.3网络架构设计 (13) 3.1.4部署架构设计 (20) 3.2功能设计 21 3.2.1异构资源管理 (21) 3.2.2用户管理 (21) 3.2.3监控告警 (22) 26
3.2.4存储管理 (22) 3.2.5应用管理 (22) 3.2.6流程管理 (22) 3.2.7资源调度管理 (22) 4建设方案亮点23 4.1规模化的虚拟化数据中心 23 4.2兼容异构的虚拟化 23 4.3灵活的管理方式 24 4.4可靠的安全保障 25 4.5自动化的运维 25 4.6健壮的运维保障 26 26
1总论 1.1概述 1.2建设背景 2需求分析 2.1客户现状 2.2客户需求 1)提高运维管理效率,降低成本 目前管理维护人员都是进入机房,在机架旁操作服务器,但由于各主机都有自己的维护界面,造成系统维护人员需要逐个进行维护管理,显然这种单点式的维护需要耗费大量的人员成本,且效率很低。 2)提升数据中心安全性 通常在出现问题的情况下,可能进入机房进行查看与维护,而由于各系统的数量及种类在不断增加,以往单一的管理模式已经不能满足数据中心发展的需求,需要一个统一的管理门户来对数据中心进行管理维护,且在整个过程中,保证公安系统的安全,做到一站式的授权、认证,操作,审计。 3)业务保密性、可用性,稳定性 公安系统相关涉密系统都需要特别管理,对其上所载的业务需要做到安全、稳定,可用。尤其在在特殊服务器出现宕机等情况下,不能及时的连接或查看相关故障,延误了时间,可能会造成损失,这就需要做到服务器主机的高可用,高稳定,高安全。 26
. 1.1网络安全方案 1.1.1.网络现状及安全需求 网络现状分析 由于XXX市医院网络安全防护等级低,存在病毒、非法外联、越权访问、被植入木马等各种安全问题。 网络安全需求分析 通过前述的网络系统现状和安全风险分析,目前在网络安全所面临着几大问题主要集中在如下几点: ●来自互连网的黑客攻击 ●来自互联网的恶意软件攻击和恶意扫描 ●来自互联网的病毒攻击 ●来自部网络的P2P下载占用带宽问题 ●来自部应用服务器压力和物理故障问题、 ●来自部网络整理设备监控管理问题 ●来自数据存储保护的压力和数据安全管理问题 ●来自部数据库高级信息如何监控审计问题 ●来自部客户端桌面行为混乱无法有效管理带来的安全问题 ●来自机房物理设备性能无法有效监控导致物理设备安全的问题
1.1. 2.总体安全策略分析 为确保XXX市医院网络系统信息安全,降低系统和外界对网数据的安全威胁,根据需求分析结果针对性制定总体安全策略: ●在网关处部署防火墙来保证网关的安全,抵御黑客攻击 ●在网络主干链路上部署IPS来保证部网络安全,分析和控制来自互连网的恶 意入侵和扫描攻击行为。 ●在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁 ●在网络主干链路上部署上网行为管理设备来控制部计算机上网行为,规P2P 下载等一些上网行为。 ●在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题 ●在网络部部署网络运维产品,对网络上所有设备进行有效的监控和管理。 ●在服务器前面部署网闸隔离设备,保证访问服务器数据流的安全性 ●在服务器区域部署存储设备,提供数据保护能力以及安全存储和管理能力 ●部署容灾网关,提供应用系统和数据系统容灾解决办法,抵御灾难事件带来 的应用宕机风险。 ●部署数据库审计系统,实时监测数据库操作和访问信息,做到实时监控。 ●部署网安全管理软件系统,对客户端进行有效的安全管理 ●部署机房监控系统,对机房整体物理性能做到实时监控,及时了解和排除物 理性能的安全隐患。