1 项目综述 4 1.1 项目背景 4 1.2 安全目标 4 1.3 建设范围 5 1.4 建设依据 5 1.4.1 国家相关政策要求 5 1.4.2 等级保护及信息安全相关国家标准 5 2 云安全等保风险分析 6 2.1 合规性风险 8 2.2 系统建设风险 8 2.2.1 应用迁入阻力风险 8 2.2.2 虚拟化平台品牌选择风险 9 2.2.3 建设质量计量、监督风险 9 2.2.4 安全规划风险 9 2.2.5 建设计划风险 9 2.3 安全技术风险 10 2.3.1 物理安全风险 10 2.3.2 网络安全风险 10 2.3.3 主机安全风险 11 2.3.4 应用安全风险 12 2.3.5 数据安全风险 13 2.3.6 虚拟化平台安全风险 14 2.3.7 虚拟化网络安全风险 14 2.3.8 虚拟化主机安全风险 15 2.3.1 安全管理风险 16 2.3.2 云环境下的特有安全管理风险 16 2.3.3 安全组织建设风险 16 2.3.4 人员风险 17 2.3.5 安全策略风险 17 2.3.6 安全审计风险 17 2.4 安全运维风险 18 2.4.1 云环境下的特有运维风险 18 2.4.2 环境与资产风险 19 2.4.3 操作与运维风险 19 2.4.4 业务连续性风险 19 2.4.5 监督和检查风险 19 2.4.6 第三方服务风险 20 3 解决方案总体设计 21 3.1 设计原则 21 3.2 安全保障体系构成 22 3.2.1 安全技术体系 23 3.2.2 安全管理体系 26 3.2.3 安全运维体系 26 3.3 安全技术方案详细设计 27 3.3.1 信息安全拓扑设计 27 3.3.2 安全计算环境设计 38 3.3.3 安全区域边界设计 46 3.3.4 安全通信网络设计 49 3.3.5 安全管理中心设计 52 3.4 安全管理体系详细设计 54 3.4.1 安全管理建设设计指导思想 55 3.4.2 建立安全管理制度及策略体系的目的 55 3.4.3 设计原则 55 3.4.4 安全方针 56 3.4.5 信息安全策略框架 56 3.4.6 总体策略 56 3.4.7 安全管理组织机构 57 3.4.8 服务交付物 59 3.5 安全运维体系详细设计 61 3.5.1 门户网站安全监控 62 3.5.2 应急响应服务 65 3.5.3 安全通告服务 67 3.5.4 网络及安全设备维护 68 3.5.5 系统安全维护 69 3.5.6 网络防护 69 3.5.7 系统加固 70 4 本期采购安全产品清单 75