HY/T 240-2018 海洋信息云计算服务平台安全规范

ICS07.060

A45

中华人民共和国海洋行业标准

/—

HYT2402018

海洋信息云计算服务平台安全规范

Securitsecificationsofcloudcomutinservices

yppg

platformforoceaninformation

2018-07-09发布2018-10-01实施

中华人民共和国自然资源部发布

/—

HYT2402018

目次

前言…………………………Ⅰ

1范围………………………1

2规范性引用文件…………………………1

、………………………

3术语定义和缩略语1

4体系框架…………………1

5云平台基础环境安全保障………………2

6云平台业务和数据安全保障……………5

7云平台安全服务…………………………6

/—

HYT2402018

前言

本标准按照/—给出的规则起草。

GBT1.12009

本标准由中华人民共和国自然资源部提出。

(/)。

本标准由全国海洋标准化技术委员会SACTC283归口

:、、、。

本标准起草单位国家海洋信息中心中国海洋大学东北大学上海大学

:、、、、、、、、、

本标准主要起草人石绥祥李占斌秦勃王波涛徐凌宇刘培顺曲海鹏林喜军魏红宇

、、、、、。

蔡仁翰钟纪文张镭程义远周雪张延德

Ⅰ

/—

HYT2402018

海洋信息云计算服务平台安全规范

1范围

,

本标准规定了海洋信息云计算服务平台的安全体系框架以及海洋信息云计算服务平台的基础环

、、。

境安全保障业务和数据支撑安全保障安全服务

,

本标准适用于海洋信息云计算服务平台的安全使用也可以作为第三方服务机构开展海洋信息云

计算服务平台安全保障服务的指导。

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

/—信息安全技术信息系统安全等级保护基本要求

GBT222392008

、

3术语定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

海洋信息云计算服务平台cloudcomutinserviceslatformforoceaninformation

pgp

、、、,、、

统筹利用已有的网络存储计算数据等信息资源为涉海领域提供基础设施支撑软件应用系

、、。

统数据资源运行保障和信息安全等服务的海洋综合业务信息化系统

3.2缩略语

下列缩略语适用于本文件。

:()

IaaS基础设施即服务InfrastructureasaService

:()

PaaS平台即服务PlatformasaService

:()

SaaS软件即服务SoftwareasaService

:()

VPN虚拟专用网络VirtualPrivateNetworks

:()

VLAN虚拟局域网VirtualLocalAreaNetwork

:()

IP网络协议InternetProtocol

:()

USB通用串行总线UniversalSerialBus

:()

CPU中央处理单元CentralProcessinUnit

g

:()

API应用程序接口AlicationProramminInterface

ppgg

4体系框架

4.1安全架构

(“”)、、

海洋信息云计算服务平台以下简称云平台的安全保障范畴涵盖IaaS安全PaaS安全SaaS安

1

/—

HYT2402018

,。:

全其安全架构见图具体内容如下

1

)、、()、

aIaaS安全指云平台的物理环境网络主机物理主机和虚拟主机云平台所承载数据和云平

台支撑业务软件等安全;

)、、

bPaaS安全指云平台内存储的数据计算模型计算资源以及海洋数据产品等资源的安全和云

平台内海洋业务的安全;

),、、、

cSaaS安全指云平台的安全服务包括网络安全服务业务支撑安全服务系统安全服务认证

服务和数据安全服务等。

图1云平台安全架构示意图

4.2安全要求

,

云平台安全的总体要求应根据平台内业务和数据的安全等级平台的建设安全标准与平台服务的

,/—。

最高安全标准一致按照GBT222392008安全要求进行建设和运维

5云平台基础环境安全保障

5.1网络资源安全

5.1.1网络身份标识和认证

网络身份标识和认证应符合以下要求:

),,

a应对云服务用户进行标识确保所标识用户在云平台系统生存周期内的唯一性并将用户标识

与安全审计相关联;

),。

b应在云用户实施动作之前先对提出该动作要求的用户成功进行鉴别

2

/—

HYT2402018

5.1.2网络访问控制

网络访问控制应符合以下要求:

),,,

a应在网络内划分不同的域不同的域之间启用边界访问控制应设置对应的网络访问策略按

照安全域安全级别进行访问控制;

),;

b应利用虚拟防火墙功能实现虚拟环境下的逻辑分区边界防护和分段的集中管理与配置

),,

c应在创建客户虚拟机的同时根据具体的拓扑和可能的通信模式在虚拟网卡和虚拟交换机上

配置防火墙;

),、,

d虚拟交换机应启用虚拟端