等保2.0版本三級整體要求分為10個部分，其中1-5為基礎設施、技術產品相關要求，包括物理環(huán)境、通訊網(wǎng)絡、區(qū)域邊界、計算環(huán)境、管理中心等，此部分主要需要配合測評機構登錄相關系統(tǒng)和設備查看產品功能、策略配置等形式進行測評，本文將重點對這部分內容解讀和提供建設策略建議。6-10為管理規(guī)章制度要求，包括管理制度、管理機構、管理人員、建設管理、運維管理等，此部分主要需要以制度文檔、過程審計記錄等形式提供證明，此部分不在本文中展開討論，如有需要會以文檔形式輔助提供支持。

一、安全物理環(huán)境

機房場地應具備

1，七防護：應防震、防水、防火、防盜（視頻監(jiān)控）、防雷擊、防靜電、防電磁干擾

2，兩控制：機房具備溫、濕度調節(jié)，出入口設置電子門禁

3，持續(xù)供電：冗余的電力電纜線路、備用電力

ER（Extended requirements , 擴展要求）：IDC建設于中國境內

--建設策略：

建議選擇4星級以上標準機房，級別越低，提供的服務可用性和標準越低，舉個例子，電信5星機房承諾的故障次數(shù)是三年內50%以上服務器阻斷30分鐘以上故障不超過1次，2星級承諾的是三年內50%以上服務器阻斷2個小時以上故障不超過1次，至于2個小時以內的故障幾次不做承諾。對于公有云租戶來說直接復用公有云物理環(huán)境等保測評結論即可。

二、安全通信網(wǎng)絡

1，網(wǎng)絡架構

關鍵網(wǎng)絡設備要冗余，處理能力可以滿足業(yè)務高峰期需求

ER：

a）具備虛擬網(wǎng)絡拓撲結構圖繪制功能，對虛擬化網(wǎng)絡資源、網(wǎng)絡拓撲進行實時更新；實現(xiàn)不同租戶虛擬網(wǎng)絡隔離；

b）為租戶提供通信傳輸、邊界防護、入侵防范等安全機制，具備租戶自主設置安全策略的能力

c）應保證云計算平臺管理流量與云服務客戶業(yè)務流量分離；

d）應提供開放接口，允許云服務客戶接入第三方安全產品或在云平臺選擇第三方安全服務

2，通信傳輸

采用校驗碼技術或加解密技術保證通信過程中數(shù)據(jù)的完整性和保密性

3，可信驗證

對通信設備的核心程序和配置參數(shù)具備動態(tài)可信驗證方案，關鍵環(huán)節(jié)出現(xiàn)問題及時告警記錄

--建設策略

滿足租戶流量隔離、自主設置安全策略的要求，輔以邊界防火墻、WAF等設備實現(xiàn)邊界防護。同時云平臺系統(tǒng)間采用https協(xié)議交互，保證數(shù)據(jù)加密傳輸。

三、安全區(qū)域邊界

1，邊界防護

能夠對非授權的設備從外到內及從內到外的網(wǎng)絡行為進行限制或檢查

2，訪問控制

在網(wǎng)絡區(qū)域邊界設置訪問控制規(guī)則，默認情況下除允許策略拒絕所有通信，控制粒度為端口級

ER: 在虛擬化網(wǎng)絡邊界、不同等級的網(wǎng)絡區(qū)域邊界部署訪問控制機制，并設置訪問控制規(guī)則。

3，入侵防范

在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部或內部發(fā)起的網(wǎng)絡攻擊行為；具備攻擊行為分析能力；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警

ER: 應能檢測到云服務客戶發(fā)起的網(wǎng)絡攻擊行為、對虛擬網(wǎng)絡節(jié)點的網(wǎng)絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量并進行告警。

4，惡意代碼

在關鍵網(wǎng)絡節(jié)點處對惡意代碼、垃圾郵件檢測和防護，并維護對應的防護機制升級

5，安全審計

在重要網(wǎng)絡節(jié)點對重要的用戶行為、安全事件進行行為記錄，審計記錄應定期備份，留存時間合規(guī)，記錄應至少包含事件日期、用戶、事件類型、是否成功等信息

ER: 應對云服務商和云服務客戶遠程管理時執(zhí)行特權命令進行審計，至少包括虛擬機刪除、虛擬機重啟；應對云服務商對云服務客戶系統(tǒng)和數(shù)據(jù)操作可被云服務客戶審計

6，可信驗證

對核心程序和配置參數(shù)具備動態(tài)可信驗證方案，關鍵環(huán)節(jié)出現(xiàn)問題及時告警記錄

--建設策略

1.推薦邊界防火墻，對進出安全區(qū)域邊界的訪問鏈接進行控制，阻斷非授權訪問；推薦堡壘機對遠程執(zhí)行的命令進行審計回放，對高危命令進行阻斷；

2.推薦VPN、證書管理服務，采取加密措施，防止數(shù)據(jù)在傳輸過程中遇到破壞；推薦VPC網(wǎng)絡在租戶數(shù)據(jù)傳輸過程中進行vxlan封裝實現(xiàn)租戶隔離，保證數(shù)據(jù)完整性和保密性。

3.推薦DDoS高防，云WAF服務，針對日漸增多的DDoS、Web攻擊進行防御，精準有效地實現(xiàn)對流量型攻擊和應用層攻擊的全面防護

4，推薦日志審計服務對用戶行為日志統(tǒng)一采集、存儲、查詢、分析、告警

5，推薦云平臺在保證關鍵網(wǎng)絡設備架構冗余的同時，支持劃分特定管理區(qū)域，對安全資源池設備集中管控、監(jiān)控、告警，另外金山云自研的肉雞發(fā)現(xiàn)與防御系統(tǒng)可以有效識別肉雞對內外部網(wǎng)絡攻擊行為并自動進行限速、告警處理。

四、安全計算環(huán)境

1，身份鑒別

用戶密碼策略具有復雜度要求并定期更換檢測機制、限制非法登錄次數(shù)，身份鑒別技術采用兩種或兩種以上組合，其中一種至少包含如動態(tài)口令、密碼技術、指紋識別等。

ER: 當遠程管理云計算平臺中設備時，管理終端和云計算平臺之間應建立雙向身份驗證機制

2，訪問控制

應進行角色劃分，對登錄的用戶分配賬戶和默認最小權限；及時刪除或停用過期賬戶；對敏感信息設置安全標記并可控制對有安全標記資源的訪問

ER:

a) 應保證當虛擬機遷移時，訪問控制策略隨其遷移

b) 應允許云服務客戶設置不同虛擬機之間的訪問控制策略

3，安全審計

啟動安全審計功能，覆蓋到每個用戶，對重要的用戶行為和安全事件進行審計；對審計記錄進行定期備份，審計記錄存留時間合規(guī)；對審計程序有保護手段，防止未經(jīng)授權的中斷

4，入侵防范

能發(fā)現(xiàn)可能存在的漏洞，并及時修補漏洞；遵循最小安裝原則，應關閉不需要的系統(tǒng)服務、高危端口；

能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警

ER: 能夠檢測虛擬機之間的資源隔離失效、非授權新建虛擬機、惡意代碼感染在虛擬機間蔓延等情況，并進行告警

5，惡意代碼防范

能夠檢測惡意代碼感染及在虛擬機間蔓延的情況，并提出告警

6，可信驗證

對核心程序和配置參數(shù)具備動態(tài)可信驗證方案，關鍵環(huán)節(jié)出現(xiàn)問題及時告警記錄

7，數(shù)據(jù)完整性

應采用校驗碼技術或密碼技術保證重要數(shù)據(jù)在傳輸過程和存儲過程中的完整性， 包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等；

8，數(shù)據(jù)保密性

應采用密碼技術保證重要數(shù)據(jù)在傳輸過程和存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等

ER:

a) 應確保只有在云服務客戶授權下，云服務商或第三方才具有云服務客戶數(shù)據(jù)的管理權限

b) 應使用校驗碼或密碼技術確保虛擬機遷移過程中重要數(shù)據(jù)的完整性，并在檢測到完整性受到破壞時采取必要的恢復措施

c) 應支持云服務客戶部署密鑰管理解決方案，保證云服務客戶自行實現(xiàn)數(shù)據(jù)的加解密過程

9，數(shù)據(jù)備份恢復

應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能；應提供異地實時備份功能；應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性

ER:

a) 云服務客戶應在本地保存其業(yè)務數(shù)據(jù)的備份

b) 應提供查詢云服務客戶數(shù)據(jù)及備份存儲位置的能力

c) 云服務商的云存儲服務應保證云服務客戶數(shù)據(jù)存在若干個可用的副本，各副本之間的內容應保持一致

d) 應為云服務客戶將業(yè)務系統(tǒng)及數(shù)據(jù)遷移到其他云計算平臺和本地系統(tǒng)提供技術手段，并協(xié)助完成遷移過程。

10，剩余信息保護

應保證存有敏感數(shù)據(jù)和鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除

ER: 

a) 應保證虛擬機所使用的內存和存儲空間回收時得到完全清除

b) 云服務客戶刪除業(yè)務應用數(shù)據(jù)時，云計算平臺應將云存儲中所有副本刪除

11，個人信息保護

應采集和保存業(yè)務必需的用戶個人信息；應禁止未授權訪問和非法使用用戶個人信息

ER: 鏡像和快照保護

a) 應針對重要業(yè)務系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務

b) 應提供虛擬機鏡像、快照完整性校驗功能，防止虛擬機鏡像被惡意篡改

c) 應采取密碼技術或其他技術手段防止虛擬機鏡像、快照中可能存在的敏感資源非法訪問

--建設策略

1，云平臺相關包括租戶、運維、運營等系統(tǒng)設計應考慮至少2種身份認證機制，包括密碼、動態(tài)口令等，用戶密碼長度、復雜度、更換周期等應符合標準要求，用戶信息應加密存儲；平臺用戶應具備角色管理模塊，不同角色授予最小權限；重要的用戶行為應具備審計功能；

2，推薦安全客戶端產品通過植入主機系統(tǒng)提供入侵防范、惡意代碼檢測、防病毒等功能；

3，云平臺提供遷移功能，支持業(yè)務系統(tǒng)遷移到其他平臺；提供重要數(shù)據(jù)異地實時備份和恢復功能；提供鏡像、快照功能并具備完整性校驗，當租戶刪除業(yè)務數(shù)據(jù)時，對應存儲空間的所有副本數(shù)據(jù)完全刪除；提供租戶側自助密鑰管理解決方案如AK/SK等。

4，云平臺對相關組件、服務如openssh、mysql、apache、php等遵循最小安全原則，對已知漏洞具備發(fā)現(xiàn)和預先修補能力。

五、安全管理中心

1，集中管控

劃分特定管理區(qū)域，對安全設備或組件集中管控；對審計數(shù)據(jù)集中匯總和分析；對安全策略、惡意代碼、補丁升級相關事項集中管理；對網(wǎng)絡、服務器、安全設備集中監(jiān)控并對發(fā)生的安全事件進行識別、分析和報警。

ER:

a) 應能對物理資源和虛擬資源按照策略做統(tǒng)一管理調度與分配

b) 應保證云計算平臺管理流量與云服務客戶業(yè)務流量分離

c) 應根據(jù)云服務商和云服務客戶的職責劃分，收集各自控制部分的審計數(shù)據(jù)并實現(xiàn)各自的集中審計

d) 應根據(jù)云服務商和云服務客戶的職責劃分，實現(xiàn)各自控制部分，包括虛擬化網(wǎng)絡、虛擬機、虛擬化安全設備等的運行狀況的集中監(jiān)測

--建設策略

推薦云平臺基于公有云同源架構分別提供云服務商側視角的underlay和租戶側視角的overlay的資源監(jiān)控、審計數(shù)據(jù)、資源調度和流量分離方案。