YD_T 2807.1-2015云资源管理技术要求 第1部分：总体要求.pdf

ICS 33.030M 21YD中华人民共和国通信行业标准YD/T2807.1-2015云资源管理技术要求第1部分：总体要求Technicalrequirements ofcloud resource managementPart1:generaltechnical requirements2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T 2807.12015目录前言1范围·2规范性引用文件3术语和定义·4缩略语·云资源管理平台的系统架构..6综合管理平台的整体功能要求.6.1 概述6.2综合管理平台门户6.3 用户管理6.4调度管理·6.5资源管理6.6 监控管理.6.7日志管理6.8统计分析..6.9 系统管理分平台技术要求7.1分平台系统架构…7.2门户7.3系统管理7.4接口管理7.5资源管理7.6设备管理7.7监控管理·7.8日志管理·7.9统计分析7.10安全管理..资源管理接口·平台安全性要求9.1网络安全9.2虚拟机安全·9.3数据安全9.4物理服务器安 YD/T 2807.12015一支持深层协议检测防御攻击。9.2虚拟机安全虚拟机使用权限控制：虚拟化平台需要支持对不同用户账号、角色的权限管理，投权用户必须在正确登录认证后才能使用系统。不同用户被赋予不网的虚拟化平台或指定虚拟机操作权限，包括：一指定虚拟机的资源操作权限，例如系统和用户磁盘、磁盘快照、虚报机快照、虑报机屏幕显示等：一指定虚拟机创建、修改、运行、终止和删除等全生命周期管理权限；一指定虚拟机运行状态控制权限，例如启动、关阅虚拟机；一指定虚拟机外部访间查看权限：一—每个虚拟机上的用户权限只限于本虚拟机之内，以保障系绕平台的安全性。共享访问保护：由于虚拟机之间共享物理资源，虚拟化平台必须提供相应的技术机制，保护在内存、I/O等硬件资源共享过程中虚报机的信息安全，虚报机之间应该防止互相访问到未经许可的信息。补丁安装：虚拟机本身应支持在线操作系统补丁更新和安装，或增设补丁服务器对虚拟机的操作系统提供自动补更新服务。9.3数据安全9.3.1概述综合管理平台应具备有良好的安全机制保障业务数据的安全性，严格控制业务数据的直接访问，并必须定期对业务数据进行内部备份或备份到外部存储器等。业务数据安全的要求包括静态数据安全、动态数据安全、数据销毁安全和数据安全的统一管理等。9.3.2静态数据安全对在云资管管理平台系统中静态存储和归档存储的数据的安全管理要求，涵益信息生命周期从创建、存储、使用、共享、归档、销毁六个环节中的存储和归档两个环节。加密：提供对不同租户的敏感数据的机密存储的功能。支持密钥的生成、发放、回收等密钥管理功能。权限管理：加强综合管理平台维护人员对数据操作的权限管理，支持对不用户数据的访问控制与授权管理，包括：访问对象（数据）、读写权限等访问控制内容。文件访间管理：支持对归档和存储在综合管理平台的数据，进行文件访间的审计，记录访间操作的帐号、访间的操作（读、写）、访间的内容、访间的时间。9.3.3动态数据安全对在平台中被使用、传输、共享的数据的安全管理要求，涵盖信息生命周期从创建、存储、使用、共享、归档、销毁六个环节中的使用和共享两个环节。涉及通过网络协议、外设接口、维护终端等多种方式泄密的途径，保证在这些途径上的数据保密性、完整性。加密：提供加密传输手段，对综合管理平台应用中传输的数据进行加密保护。受保护的应用包括但不限于：邮件、文件传输：可采用的安全协议包括但不限于：SSL、sccure-FTP等9.3.4数据销毁安全对在平台中需销毁的租户数据，确保其被完全消除或使其无法恢复使用。该安全要求是针对信息生命周期从创建、存储、使用、共享、归档、销吸六个环节中的最后一个环节，7 YD/T2807.1-2015水久粉碎：支持永久性到除文件、文件突的功能，不会遗留任何数据片段在硬盘上。磁盘空间回收：支持被粉碎和物理删除的文件磁盘空间的回收。未完全销毁检查：支持内容识别方式，通过扫描已被销吸的数据区域，发现是否存在未经永久删除的数感数据。9.3.5数据安全统一管理对在云资管管理平台系绕中的主要数据安全技术，通过统一的加密管理、泄密及违规监控管理要求，爱盖信息的整个生命周期。统一加密平台：上述静态、动态数据安全中涉及的加密要求销入统一的加密平台管理，平台支持。密钥管理：自动生成密钥、导入/导出公钥或密钥对等有关密钥的创建、分配和存放管理，从面保持只有组织充许的授权人员访问加密的数据。统一策略制定：策略执行：传送集中操控的加密策略配置：报告和记录：提供可见的加密保护的当前状态，以帮助和满足管理员和审查员的要求。9.4物理服务器安全9.4.1Windows防病毒要求结合目前新的病毒威胁和病毒检测与扫描机制，针对应用环境