1、DB44/T1458-2014)云存储系统应采用成熟的密钥管理方案,对密钥的生命周期(产生、使用、存储、备份、恢复、轮换和删除)进行管理:b)云存储系统应在存储、传输和备份中都采用密钥保护措施,建立安全的密钥分配机制和密钥访问机制:c)对密钥进行备份,并定期进行恢复侧试:d)不同用户组应采用不同的密钥进行数据加密。6.3访问控制访问控制安全要求如下:)云存储系统应依据最小访问权限原则设计访问控制措施,防止对数据的非授权访问:b)云存储系统应根据不同的访问权限提供不同的访问策略,如对公共数据允许匿名用户访问,对用户共享的数据,只能被授权共享的用户才可访问:c)应对不同租户存储的数据进行隔离,防范
2、多租户攻击。6.4备份与恢复备份与恢复安全要求如下:)应根据业务需要,制定备份恢复策略,确保恢复时间点和恢复时间目标满足业务需求:b)应依据备份恢复策略,设计备份和恢复措施,并定期做恢复测试:c)异地备份场所应提供物理环境安全保护措施。6.5存储容错存储容错安全要求如下:a)存储系统应能够对存储的数据进行完整性校验和纠错:b)应保证存储数据局部破坏后,不会影响整体数据的完整性和可用性。7网络和虚拟化网络安全7.1网络结构安全网络结构安全要求如下:)根据云计算基础设施承载业务系统的要性:,其网络结构安全应符合GB/T22239-2008的网络结构安全要求:)合理设计总体网络结构,合理设计虚拟化网络结物理网络结构,确保网络设备和链路的性能、处理速度满足业务需求;c)合理设计网络安全区域,确保安全域之间的安全网络隔禽,如垂要云平台管理服务器、虚拟化服务器、接入终端和其他服务器划分不同网段,实现路由隔离:d)应依据业务服务的重要程度划分不同服务等级,设计合理带宽分配优先级,你保主要业务的网络性能和安全。7.2安全域划分安全域划分安全要求如下:)应综合考虑业务、管理和安全等各方面的因素,对云计算基础设施系统的网络划分成不同的安全域,如划分为公共域、受限域和核心域:5
