云服务器 三级等保

阿里云服务器

云服务器三级等保合规建设指南

(基于《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》)

一、三级等保核心要求

定级备案

系统定级:明确云上业务属于三级系统(需专家评审)

备案流程:向省级公安机关提交《备案表》《定级报告》等材料

安全责任划分

操作系统/应用层安全配置

数据加密、访问控制、安全审计

物理环境安全(机房、供电、消防)

虚拟化层安全(Hypervisor加固、虚拟机隔离)

云服务商责任:

用户责任:

二、技术防护措施

物理与环境安全

确认云服务商具备等保三级认证资质(如机房通过ISO 27001)

要求提供双活数据中心(同城+异地容灾)

网络安全

部署HIDS(主机入侵检测系统)如阿里云云安全中心

配置流量镜像+威胁情报平台(如腾讯云天眼)

安全组最小化开放端口(如仅允许应用端口+SSH跳板机)

启用VPN/SSL VPN双因素认证

部署下一代防火墙(具备入侵防御IPS功能)

使用VPC划分安全域,配置ACL限制横向流量

边界防护:

访问控制:

入侵防范:

主机安全

安装杀毒软件(需支持云查杀,如亚信DeepSecurity)

每周执行全盘扫描+实时文件监控

关闭非必要服务(如禁用FTP、Telnet)

配置密码策略(长度≥12位,含大小写+数字+特殊字符)

系统加固:

恶意代码防范:

应用安全

使用SAST工具(如Fortify)扫描SQL注入、XSS漏洞

部署WAF(Web应用防火墙)过滤恶意请求

字段级加密(如使用MongoDB Client-Side Encryption)

传输层启用国密算法(SM2/SM3/SM4)

启用MFA(如硬件Token+短信验证码)

关键操作实现双因素认证(如财务系统转账)

身份鉴别:

数据安全:

代码审计:

数据安全与备份

每日全量备份+增量备份(保留30天)

备份文件加密后存储至不同云服务商(防供应商锁定)

EBS卷加密(使用KMS托管密钥)

数据库字段加密(如用户身份证号、银行卡号)

加密要求:

备份策略:

三、管理与运维要求

安全管理制度

制定《云服务器安全操作规程》《应急预案》等文档

每季度开展安全意识培训(含钓鱼攻击演练)

集中管控平台

部署SIEM(安全信息与事件管理)系统(如Splunk)

实现日志聚合(云平台日志+主机日志+应用日志)

应急响应

建立7×24小时应急值班机制

每年开展渗透测试(含社会工程学攻击模拟)

四、测评与持续改进

等保测评流程

初测:系统上线前通过差距分析

复测:每年一次符合性测评(需第三方测评机构)

常见整改项

漏洞扫描未覆盖云原生组件(如Kubernetes API Server)

权限最小化原则未落实(如数据库账号具备DBA权限)

未部署流量清洗设备(DDoS防护能力不足)

五、云服务商选择建议

服务商三级等保优势典型方案
阿里云通过等保三级认证机房,提供“等保助手”工具云安全中心+安骑士+堡垒机
腾讯云深度集成天御业务安全防护体系云镜+网站管家+主机安全
华为云支持国密算法,提供可信云解决方案云堡垒机+数据库审计+漏洞扫描
UCloud提供等保合规包(含测评协助服务)安全屋+日志审计+数据加密

六、合规红线提醒

禁止将三级系统部署在境外云服务商(需通过境内节点服务)

云计算平台需通过密码应用安全性评估(如使用密码机需国密局认证)

跨云数据流动需通过网闸或光闸实现物理隔离

实施建议:

优先使用云服务商合规套餐(如阿里云等保合规包)

关键系统采用“云上+托管区”混合部署模式

定期参与行业攻防演练(如金融、能源行业红蓝对抗)

建立与监管机构的沟通渠道,确保合规动态调整

(注:具体实施方案需结合《信息系统密码应用基本要求》及行业细则)