华为FusionSphere6.0云套件安全技术白皮书(云数据中心)

华为FusionSphere 6.0 云套件安全技术白皮书（云数据中心）文档版本发布日期V1.02016-04-30HUAWEI华为技术有限公司华为FusionSphere 6.0云套件安全技术白皮书（云数据中心）Doc Number:OFFE00019187_PMD966ZHRevision:A拟制 /Prepared by: chenfujun ;评审 /Reviewed by: huangdenghui 00283052;zouxiaowei 00348656;pengzhao jun 00286002;youwe nwei 00176512;ya nzhon gwei 00232184批准 /Approved by: youwenwei 001765122015-12-29HUAWGIHuawei Technologies Co., Ltd.华为技术有限公司All rights reserved版权所有侵权必究版权所有？华为技术有限公司2016。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传 播。商标声明m和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务 或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示 的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本 文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址:1云计算平台安全威胁分析错误！未定义书签1.1概述 错误！未定义书签。1.2云安全威胁分析 错误！未定义书签。传统的安全威胁 错误！未定义书签。云计算带来的新的安全威胁 错误！未定义书签。1.3云计算的安全价值错误！未定义书签。2 Fusi on Sphere 安全方案错误！ 未定义书签2.1 FusionSphere总体安全框架 错误！未定义书签。2.2 FusionSphereOpenstack安全框架错误！未定义书签。2.3网络安全 错误！未定义书签。网络平面隔离 错误！未定义书签。2.3.2 VLAN 隔离 错误！未定义书签。安全组 错误！未定义书签。防IP及MAC仿冒 错误！未定义书签。隔离 错误！未定义书签。2.4虚拟化安全 错误！未定义书签。调度隔离安全错误！未定义书签。内存隔离错误！未定义书签。内部网络隔离错误！未定义书签。磁盘I/O隔离 错误！未定义书签。2.5数据安全 错误！未定义书签。数据访问控制 错误！未定义书签。剩余信息保护错误！未定义书签。数据备份 错误！未定义书签。控制台登录虚拟机支持密码认证 错误！未定义书签。2.6运维管理安全错误！未定义书签。管理员分权分域管理错误！未定义书签。账号密码管理错误！未定义书签。日志管理 错误！未定义书签。传输加密 错误！未定义书签。未定义书签 未定义书签 未定义书签 未定义书签 未定义书签 未定义书签 未定义书签数据库备份 错误！2.7 基础设施安全 错误！操作系统加固 错误！2.7.2 Web 安全 错误！2.7.3 数据库加固 错误！2.7.4 安全补丁 错误！2.7.5 防病毒 错误！1 云计算平台安全威胁分析1.1概述云计算平台作为一种新的计算资源提供方式，用户在享受它带来的便利性、低成本等优 越性的同时，也对其自身的安全性也存在疑虑。如何保障用户数据和资源的机密性、完 整性和可用性成为云计算系统急需解决的课题。本文在分析云计算带来的安全风险和威胁基础上，介绍了华为云计算平台针对这些风险和威胁所采取策略和措施，旨在为客户 提供安全可信的云数据中心解决方案。1.2云安全威胁分析传统的安全威胁来自外部网络的安全威胁的主要表现-传统的网络ip攻击如端口扫描、IP地址欺骗、Land攻击、IP选项攻击、IP路由攻击、IP分片报文 攻击、泪滴攻击等。-操作系统与软件的漏洞在计算机软件（包括来自第三方的软件，商业的和免费的软件）中已经发现了 不计其数能够削弱安全性的缺陷（bug）。黑客利用编程中的细微错误或者上下文依赖关系，已经能够控制操作系统，让它做任何他们想让它做的事情。常见 的操作系统与软件的漏洞有：缓冲区溢出、滥用特权操作、下载未经完整性检 查的代码等。-病毒、木马、蠕虫等。-SQL注入攻击攻击者把SQL命令插入 Web表单的输入域或者页面请求的查询字符串中，欺骗服务器执行恶意的 SQL命令，在某些表单中，用户输入的内容直接用来构造 （或 者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到 SQL注入攻击。-钓鱼攻击钓鱼攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获取如 用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称 来自于著名的社交网站，拍卖网站，网络银行，电子支付网站或网络管理者， 以此来诱骗受害者的轻信。网钓通常是通过email 或者即时通讯进行。- 零日攻击 过去，安全漏洞被利用一般需要几个月时间。现在这个时间越来越短。如果一 个漏洞被发现后，当天或更准确的定义是在 24 小时内，立即被恶意利用，出现 对该漏洞的攻击方法或出现攻击行为，那么该漏洞被称为“零日漏洞” ，该攻击 被称为“零日攻击” 。系统被发现存在漏洞后，由于原厂商需要时间确认漏洞的 存在，需要时间评估漏洞的风险，也需要时间来确定漏洞修正的方法，实现该 方法后还要验证、评估和质检，因此很难在当日就拿出补丁。由于厂商缺少补 丁，而最终用户又缺少防范意识，从而能够造成巨大破坏。现在针对新漏洞的 攻击产生速度比以前要快得多。不光有“零日攻击” ，还有“零时攻击” 。来自内部网络的安全威胁的主要表现- 攻击方法日新月异，内部安全难以防范 主要问题表现在 ARP 欺骗问题与恶意插件泛滥问题等新的安全问题，被攻破的 内网主机中可能被植入木马或者其它恶意的程序，成为攻击者手中所控制的所 谓 “肉鸡 ”，攻击者可能以此作为跳板进一步攻击内网其它机器，窃取商业机密， 或者将其作为 DDOS 工具向外发送大量的攻击包，占用大量网络带宽。员工浏 览嵌有木马或病毒的网页、收看带有恶意代码的邮件，都可能给攻击者带来可 乘之机。- 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大 由于网络内的各种平台的主机和设备存在安全漏洞但没有及时安装最新的安全 补丁，或者主机和设备的软件配置存在隐患，杀毒软件的病毒特征库更新滞后 于新病毒的出现或者未及时得到更新，给恶意的入侵者提供了可乘之机，使病 毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪， 业务无法正常进行。- 非法外联难以控制、内部重要机密信息泄露频繁发生 员工通过电话线拨号、 VPN 拨号、 GPRS 无线拨号等方式绕过防火墙的监控直 接连接外网，向外部敞开了大门，使得企业内网的 IT 资源暴露在外部攻击者面 前，攻击者或病毒可以通过拨号线路进入企业内网；另一方面，内部员工可能 通过这种不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损 失但又不易取证。- 移动电脑设备随意接入、网络边界安全形同虚设 员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接 入各种网络环境使用，如果管理不善，很有可能携带有病毒或木马，一旦未经 审查就接入企业内网，可能对内网安全构成巨大的威胁。- 软硬件设备滥用、资产安全无法保障内网资产（ CPU 、内存、硬盘等）被随意更换，缺乏有效的技术跟踪手段；员 工可以随时更改自己所使用的机器的 IP 地址等配置，不仅难于统一管理，而且 一旦出现攻击行为或者安全事故，责任定位非常困难。- 网络应用缺乏监控，工作效率无法提高上网聊天、网络游戏等行为严重影响工作效率，利用QQ，MSN ，ICQ 这类即时通讯工具来传播病毒，已经成为新病毒的流行趋势；使用 BitTorrent 、电驴等 工具大量下载电影、 游戏、 软件等大型文件， 关键业务应用系统带宽无法保证。- 缺乏外设管理手段，数据泄密、病毒传播无法控制 外设是数据交换的一个最要途径，包括 U 盘、光驱、打印、红外、串口、并口 等；由于使用的方便性，近几年成为数据泄密、病毒感染的出入口。通过封贴 端口、制度要求等方式无法灵活对外设进行管理，特别是对 USB 接口的管理， 所以必须通过其它技术手段解决存在的问题。- 管理制度缺乏技术依据，安全策略无法有效落实 尽管安全管理制度早已制定，但只能依靠工作人员的工作责任心，无法有效地 杜绝问题；通过原始方式：贴封条、定期检查等相对松散的管理机制，没有有 效灵活实时的手段保障，无法使管理政策落实。1.2.2 云计算带来的新的安全威胁 云计算系统的计算资源使用方式和管理方式的变化，带来了新的安全风险和威胁。 对管理员而言主要存在以下风险和威胁：虚拟管理层成为新的高危区域 云计算系统通过虚拟化技术为大量用户提供计算资源， 虚拟管理层成为新增的高危 区域。恶意用户难以被追踪和隔离 资源按需自助分配使得恶意用户更易于在云计算系统中发起恶意攻击， 并且难以对 恶意用户进行追踪和隔离。云计算的开放性使云计算系统更容易受到外部攻击 用户通过网络接入云计算系统， 开放的接口使得云计算系统更易于受到来自外部网 络的攻击。而对最终用户而言，使用云计算服务带来的主要风险和威胁如下： 数据存放在云端无法控制的风险 计算资源和数据完全由云计算服务提供商控制和管理带来的风险， 包括提供商管理 员非法侵入用户系统的风险；释放计算资源或存储空间后，数据能否完全销毁的风 险；数据处理存在法律、法规遵从风险。资源多租户共享带来的数据泄漏与攻击风险 多租户共享计算资源带来的风险， 包括由于隔离措施不当造成的用户数据泄漏风险； 遭受处在相同物理环境下的恶意用户攻击的风险。网络接口开放性的安全风险 网络接入带来的风险：云计算环境下，用户通过网络操作和管理计算资源，鉴于网 络接口的开放性，带来的风险也随之升高。1.3 云计算的安全价值统一、全面的安全策略 计算资源集中管理使得边界防护更易于部署。 可以针对计算资源提供全面的安全策 略、统一数据管理、安全补丁管理、以及突发事件管理等安全管理措施。对用户而 言，也意味着能够有专业的安全专家团队对其资源和数据进行安全保护。低安全措施成本 多个用户共享云计算系统的计算资源，在集中的资源上统一应用安全措施， 可以降 低各用户的安全措施平均成本，即更低的投资会给用户带来同样安全的保护措施。按需提供安全防护 利用快速、弹性分配资源的优势，云计算系统可以为过滤、流量整形、加密、认证 等提供安全防护措施，动态调配计算资源，提高安全措施处理效率。2 Fusi on Sphere 安全方案图2-1所示。2.1 FusionSphere总体安全框架根据云计算面临的威胁与挑战，华为提供虚拟化平台安全解决方案，如曲堕一 / J 竺理!吸J空空dciu:InternetI O&M ManAa&mfirt SecurilyData slarag& , device |VW KQldltLinpSM rranasement11security1 Ji Cloud PlatformSecurity.ctoud niaiaQSTAni dSM图2-1安全解决方案框架Netwnik tra i ut ssonsecurky分层简要介绍如下:厶平台安全-数据存储安全从隔离用户数据、控制数据访问、保护剩余信息、加密虚拟机磁盘、备份数据 等方面保证用户数据的安全和完整性。-虚拟机隔离实现同一物理机上不同虚拟机之间的资源隔离，避免虚拟机之间的数据窃取或 恶意攻击，保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时，仅能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证虚拟机隔离安全。-网络传输安全通过网络平面隔离、引入防火墙、传输加密等手段，保证业务运行和维护安全。运维管理安全从帐号密码、用户权限、日志、传输安全等方面增强日常运维管理方面的安全措施。除上述安全方案外，还通过修复Web应用漏洞、对操作系统和数据库进行加固、安装安全补丁和防病毒软件等手段保证各物理主机的安全。2.2 FusionSphereOpenstack 安全框架FSO( FushionSphereOpenstack)OpenStack开源社区版本构建的云服务平台，实现云平台的计算、网络、存储资源的管理和分配。FSO对外提供管理接口 (REST API)，以及用户身份的认证过程。2.3网络安全网络平面隔离将FushionSphereOpenstack的网络通信平面划分管理网络、租户网络、存储网络，网络 之间采用VLAN隔离。各个租户的网络采用VXLAN隔离。通过网络平面隔离保证管理平台操作不影响业务运行，最终用户不能破坏基础平台管理。FushionSphereOpenstack的网络平面隔离如 图2-2所示。图2-2网络平面隔离示意图Computinc and manaoemenl nodesStorsga nodes租户网络为用户提供业务通道，为虚拟机之间通信平面，对外提供业务应用。每个租户下可创建多个租户网络，租户下的虚拟机可接入租户网络，实现虚拟机之 间的互通 存储网络为块存储设备提供通信平面，并为虚拟机提供存储资源，但不直接与虚拟机通信， 而通过虚拟化平台转化。管理网络负责整个云计算系统的管理、业务部署、系统加载等流量的通信。232 VLAN 隔离通过虚拟网桥实现虚拟交换功能，虚拟网桥支持 VLAN tagging功能，实现VLAN隔离，确保虚拟机之间的安全隔离。虚拟网桥的作用是桥接一个物理机上的虚拟机实例。虚拟机的网卡ethO, ethl,，称为前端接口( front-end )。后端(back-end)接口为vif，连接到Bridge。这样，虚拟机的 上下行流量将直接经过 Bridge转发。Bridge根据mac地址与vif接口的映射关系作数据 包转发。Bridge支持VLAN tagging功能，这样，分布在多个物理机上的同一个虚拟机安全组的 虚拟机实例，可以通过 VLAN tagging对数据帧进行标识，网络中的交换机和路由器可 以根据VLAN标识决定对数据帧路由和转发，提供虚拟网络的隔离功能。图2-3 VLAN组网图VLAN 4VlAhyLcal Server 1l-hysicolVlanzV.M/如图所示，处于不同物理服务器上的虚拟机通过VLAN技术可以划分在同一个局域网内，同一个服务器上的同一个 VLAN内的虚拟机之间通过虚拟交换机进行通信，而不同服务器上的同一 VLAN内的虚拟机之间通过交换机进行通信，确保不同局域网的虚拟机之间的网络是隔离的，不能进行数据交换。233安全组图2-4安全组示意图Tenant A Tenan t B I Tenants用户根据虚拟机安全需求创建安全组，每个安全组可以设定一组访问规则。当虚拟机加 入安全组后，即受到该访问规则组的保护。用户通过在创建虚拟机时选定要加入的安全 组来对自身的虚拟机进行安全隔离和访问控制。同一个安全组中的虚拟机可能分布在多个物理位置分散的物理机上，一个安全组内的虚拟机之间是可以相互通信，而不同的安全组之间的虚拟机默认是不允许进行通信的，可 配置为允许通信。防IP及MAC 仿冒通过IP和MAC绑定方式实现：防止虚拟机用户通过修改虚拟网卡的IP、MAC地址发起IP、MAC仿冒攻击，增强用户虚拟机的网络安全。隔离支持对虚拟机的 DHCP隔离，禁止用户虚拟机启动 DHCP Server服务，防止用户无意识 或恶意启动DHCP Server服务，影响正常的虚拟机 IP地址分配过程。2.4虚拟化安全Hypervisor能实现同一物理机上不同虚拟机之间的资源隔离，避免虚拟机之间的数据窃 取或恶意攻击，保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时,仅能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证虚拟机隔离安全。虚拟机隔离如图所示。图2-5虚拟机相关资源隔离os 乏aAAHVM1p1 g 1:VCPU 胆EEcry百 NICVM2VCPU jMemory：! N|C如.EllaEIAIwn 匸AppComputing Resources UniformDislritution ModuleIS 1 I-I1 1 VCPU1 cLrvCPU2厂 VCPU3 |LLIMemory 7cMemory :VM3OS |ndVCPU : Morroryf百忖 f NICvS witch2.4.1 vCPU调度隔离安全X86架构为了保护指令的运行，提供了指令的4个不同Privilege特权级别，术语称为Ring ,优先级从高到低依次为Ring 0 （被用于运行操作系统内核）、Ring 1 （用于操作系统服务）、Ring 2 （用于操作系统服务）、Ring 3 （用于应用程序），各个级别对可以运行 的指令进行限制。vCPU的上下文切换，由 Hypervisor负责调度。Hypervisor使虚拟机 操作系统运行在 Ring 1上，有效地防止了虚拟机 Guest OS直接执行所有特权指令；应 用程序运行在Ring 3上，保证了操作系统与应用程序之间的隔离。内存隔离虚拟机通过内存虚拟化来实现不同虚拟机之间的内存隔离。内存虚拟化技术在客户机已有地址映射（虚拟地址和机器地址）的基础上，引入一层新的地址一一“物理地址”。在虚拟化场景下，客户机OS将虚拟地址”映射为 物理地址”；Hypervisor负责将客户机的 物理地址”映射成 机器地址”，实际物理地址后，再交由物理处理器来执行。内部网络隔离Hypervisor提供虚拟防火墙路由器（VFR，Virtual Firewall - Router ）的抽象，每个客户虚拟机都有一个或者多个在逻辑上附属于VFR的网络接口 VIF（ Virtual In terface ）。从一个虚拟机上发出的数据包，先到达Domain 0,由Domain 0来实现数据过滤和完整性检查，并插入和删除规则； 经过认证后携带许可证，由Domain 0转发给目的虚拟机；目的虚拟机检查许可证，以决定是否接收数据包。磁盘 I/O 隔离华为 Hypervisor 采用分离设备驱动模型实现 I/O 的虚拟化。该模型将设备驱动划分为前 端驱动程序、后端驱动程序和原生驱动三个部分，其中前端驱动在 GuestOS 中运行，而 后端驱动和原生驱动则在HostOS中运行。前端驱动负责将GuestOS的I/O请求传递到HostOS 中的后端驱动， 后端驱动解析 I/O 请求并映射到物理设备， 提交给相应的设备驱 动程序控制硬件完成 I/O 操作。换言之，虚拟机所有的 I/O 操作都会由 Hypervisor 截获 处理； Hypervisor 保证虚拟机只能访问分配给它的物理磁盘空间，从而实现不同虚拟机 存储空间的安全隔离。2.5 数据安全2.5.1 数据访问控制系统对每个卷定义不同的访问策略，没有访问该卷权限的用户不能访问该卷，只有卷的 真正使用者 （或者有该卷访问权限的用户） 才可以访问该卷， 每个卷之间是互相隔离的。2.5.2 剩余信息保护对高安全要求的场景，保证数据的安全，支持在卷回收时默认对逻辑卷的所有bit 位进行清零。在非高安全场景，系统可配置为将逻辑卷的前 10M 空间进行清零。数据中心的物理硬盘更换后， 需要数据中心的系统管理员采用消磁或物理粉碎等措施保 证数据彻底清除。2.5.3 数据备份FushionSphereOpenstack 的数据存储采用多重备份机制，每一份数据都可以有一个或者 多个备份，即使存储载体（如硬盘）出现了故障，也不会引起数据的丢失，同时也不会 影响系统的正常使用。系统对存储数据按位或字节的方式进行数据校验， 并把数据校验信息均匀的分散到阵列 的各个磁盘上；阵列的磁盘上既有数据，也有数据校验信息，但数据块和对应的校验信 息存储于不同的磁盘上，当某个数据盘被损坏后，系统可以根据同一带区的其他数据块 和对应的校验信息来重构损坏的数据。2.5.4 控制台登录虚拟机支持密码认证用户通过控制台访问虚拟机时，支持密码认证。虚拟机的控制台登录密码是在创建虚拟 机时随机创建的。通过控制台，用户只能访问自己创建的虚拟机。2.6 运维管理安全在运维管理方面，主要的安全威胁包括：管理员权限不支持精细化控制；采用弱密码，且长期不进行修改，导致密码泄露；管理员恶意行为无法监控、回溯；2.6.1 管理员分权分域管理管理员通过 Portal 登录管理云系统，包括查看资源、发放虚拟机等。系统支持对 Portal 用户进行访问控制，支持分权分域管理，便于维护团队内分职责共同 有序地维护系统。2.6.2 账号密码管理密码符合为了增强系统安全性，请定期修改用户密码，避免密码泄露等安全风险。密码长度建议至少为 8 位。密码必须为如下 4 种字符组合的 3 种：小写字母、大写字母、数字、特殊字符：!#$%A&*()-_=+|；：”,/?和空格、密码不能为帐号或者帐号的倒写。确保密码的保密性。例如：可以设置密码最小长度、密码是否含特殊字符、密码有效时 长等。密码在系统中不会明文存储。2.6.3 日志管理FusionSphere 支持以下三类日志：操作日志操作日志记录操作维护人员的管理维护操作， 日志内容详实， 包括用户、 操作类型、 客户端IP、操作时间、操作结果等内容，以支撑审计管理员的行为，能及时发现不 当或恶意的操作。操作日志也可作为抗抵赖的证据。运行日志 运行日志记录各节点的运行情况，可由日志级别来控制日志的输出。各节点的运行日志包括级别、线程名称、运行信息等内容，维护人员可通过查看运 行日志，了解和分析系统的运行状况，及时发现和处理异常情况。黑匣子日志黑匣子日志记录系统严重故障时的定位信息， 主要用于故障定位和故障处理，便于 快速恢复业务。 其中计算节点产生的黑匣子日志汇总到日志服务器统一存放，而管 理节点、存储节点产生的黑匣子日志本地存放。2.6.4 传输加密管理员访问管理系统，均采用 HTTPS 方式，传输通道采用 TLS 加密。2.6.5 数据库备份为保证数据安全，必须对数据库进行定期的备份，防止重要数据丢失。GaussDB 数据库支持本地在线备份方式和异地备份方式：本地备份：数据库每天定时执行备份脚本完成备份。异地备份：数据异地备份到第三方备份服务器。2.7 基础设施安全基础设施安全是指 FusionSphere 中各设备、节点以及组件的操作系统、 数据库等安全性。 例如，云计算系统中大量使用的OS、DB 等通用软件，其软件自身的漏洞、不安全的账号和口令、不当的配置和操作、开启不安全的服务等等为病毒、黑客、蠕虫、木马等的 入侵提供了方便之门， 使得系统容易遭受病毒入侵、 漏洞攻击、 拒绝服务等等安全威胁， 从而影响系统的运营。保障基础设施的安全性，是维持系统正常运行、构建网络安全和 应用安全的基础。操作系统加固FusionSphere 中计算节点、管理节点均使用 SUSE Linux 操作系统，为保证此类设备的 安全，必须对 SUSE Linux 操作系统进行基础的安全配置，基础安全配置的主要内容如 下：最小化服务：禁用多余或危险的系统后台进程和服务，如邮件代理、图形桌面、tel net、编译工具等服务加固：对 SSH、 Xinetd 等常用服务进行安全加固 内核参数调整：修改内核参数，增强操作系统安全性，如禁用IP 转发、禁止响应广播请求、禁止接受 /转发 ICMP 重定向消息 文件目录权限设置：结合业界加固规范及应用要求，保证文件权限最小化。帐号口令安全 ：启动口令复杂度检查、密码有效期、登录失败重试次数等。 系统认证和授权：禁止 root 远程登录、尽量不用 root 账号安装运行进程。 日志和审计：记录服务、内核进程运行日志，可以与日志服务器对接安全FusionSphere 各 Web 服务具有的安全功能如下：防止 SQL 注入式攻击SQL 注入式攻击是指，攻击者把 SQL 命令插入到 Web 表单的输入域或页面请求的 查询字符串，欺骗服务器执行恶意的 SQL 命令。防暴力破解暴力破解是指， 攻击者猜想用户的密码， 然后不断进行尝试登陆获取对应的用户信 息和权限。 Web-UI 当前对用户登陆的密码错误进行统计，连续错误 5 次则锁定该 账号 5 分钟口令安全 口令复杂度要求：大写字母、小写祖母、数字、特殊字符，至少3 种组合口令长度要求：至少 8 个字符2.7.3 数据库加固FusionSphere 中包含的数据库类型如下：GaussDB 数据库数据库必须进行基础的安全的配置，保证数据库运行安全，各数据库的主要安全配置如下：GaussDB数据库-设置高复杂度的帐户密码。-记录数据库的操作日志。安全补丁软件因自身设计缺陷而存在很多漏洞，需要定期为系统安装安全补丁以修补这些漏洞， 以防止病毒、蠕虫和黑客利用操作系统漏洞对系统进行攻击。华为FusionSphere提供安全补丁方案如下：虚拟化平台安全补丁用户可以通过升级工具，将系统安全补丁安装到虚拟化平台上。用户虚拟机安全补丁Fusi on Sphere没有针对用户虚拟机提供额外的安全补丁机制。请客户根据操作系统 安全补丁官方的发布情况，结合实际的使用需求，为用户虚拟机定期安装安全补丁。防病毒在FusionCompute各管理节点或虚拟机上部署防病毒软件，防止FusionSphere遭受病毒入侵。管理节点防病毒管理节点提供外部操作维护Portal，与外界存在交互操作，存在病毒感染风险。但管理节点采用加固的Linux操作系统，病毒感染风险低。用户可以自行选择为管理节点部署兼容Suse lin ux 11的防病毒软件。说明1、用户为管理节点部署防病毒 软件时，需对该防病毒软件做兼容性 测试。2、管理节点主要指VRM所在的节点。3、 对计算节点（CNA），由于采用裁剪及安全加固的Linux操作系统，病毒感染 风险极低，不建 议安装防病毒软件。用户虚拟机防病毒提供趋势、瑞星等基于华为虚拟化平台的最佳实践部署，提升病毒扫描效率、降低 病毒扫描的资源占用、提升虚拟机密度，防止用户虚拟机遭受病毒入侵。