● 等级保护2.0标准体系两大变化
● 等级保护对象大扩展
● 等级保护标准体系大升级
● 等级保护对象变化
● 原:信息系统
● 新:等级保护对象
● 安全等级保护的对象包括网络基础设施、云计算、大数据、物联网、工业控制系统、移动互联技术
● 等级保护要求的变化
● 原:安全要求
● 新:安全通用要求和安全扩展要求
● 安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求
● 标准的变化
● 云计算安全扩展要求增加的特殊保护要求
● 云计算安全扩展要求针对云计算提出了特殊的保护要求
● 基础设施的位置
● 虚拟化安全保护
● 镜像和快照保护
● 云服务商选择
● 云计算环境管理等方面
● 安全通用要求和安全扩展要求的使用场合
● 安全通用要求针对共性保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应等级的安全通用要求
● 安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景实现安全扩展要求
● 等级保护对象的保护:安全通用要求+安全扩展要求
● 云计算扩展要求的使用范围
● 适用于采用了云计算技术构建的信息系统
● 云计算平台、云服务客户业务应用系统、使用云计算技术构建的业务应用系统
● 适用于主流的三种云计算服务模式
● 基础设施即服务(laas)
● 云服务商将计算、资源、存储和网络资源封装成服务给客户使用
● 平台即服务(paas)
● 云服务商提供软件开发、测试、部署和管理所需的软硬件资源
● 应用即服务(saas)
● 云服务商将应用软件封装成服务、是客户通过网络获取服务
● 本部分内容适用于多种不是部署模式
● 公有云
● 私有云
● 社区云
● 混合云
● 云计算服务的五个特征
● 按需自助
● 无所不在的网络访问
● 资源池化
● 快速弹性
● 可度量的服务
● 基本概念--------云计算安全责任主体
● 云服务商
● 云计算服务的供应方
● 云服务商管理、运营、支撑的计算基础及软件,通过网络交付云计算的资源
● 云服务客户
● 为使用云计算服务同云服务商建立业务关系的参与方
● 某些情况下“云服务商”与“云服务客户”为同一实体机构或自然人
● 云计算系统实施等保建设/测评的基本原则一:
● 责任分担原则
● 区别于传统信息系统,云计算环境中通过中通常有两个或两个以上的安全责任主体,各安全责任主体根据管理权限的范围划分安全责任边界。云计算环境中多个安全责任主体的安全保护呢能力之和共同构成了整个云计算的安全防护能力
● 特例:当“云服务商”于“云服务客户”为同一实体机构或自然人时,云计算环境的安全责任主体只有一个,就是该系统的建设运行的使用单位/个人
● 云计算服务模式适用性原则
● 云计算环境中可能承载一种或多种云服务模式,每种云服务模式下提供了不同的云计算服务及相应的安全防护措施
● 云计算系统实施等级保护建设/测评时应仅关注每种特定云服务模式下。与其提供的云服务相对应的安全防护措施的有效性
● 例如:在SaaS服务模式下,在云服务商应用的租户隔离情况,此时不需要关注由iaas服务提供的虚拟机的安全隔离情况、虚拟网络的安全防护情况。因为虚拟机的安全隔离及虚拟网络的安全防护时作为iaas服务相对应的安全防护措施进行建设和测评的
● 不同服务模式下安全责任变化
● 不同部署模式下安全责任变化
● 云计算平台/系统采用不同的部署模式,也会造成安全责任的变化。在确定具体安全责任的时候要根据系统实际情况而定
● 自建私有云并独立承担云上业务应用,云计算平台及其上的云服务应用的责任主体一致
● 云计算系统等级测评实施------系统调研
● 测评机构人员在编制等级保护测评方案前,对云计算平台/系统调研阶段应至少明确一下内容
● 一、云计算服务商
● 二、云计算形态,即被测系统是云计算平台还是云服务客户业务应用系统
● 被测对象为云计算平台需明确一下内容
● 云部署模式:公有云、私有云(社区云)、混合云
● 云计算平台运维
● 云服务模式
● 被测对象为云服务客户业务应用系统,需明确一下内容
● 所部署的云计算平台定级情况及等级测评情况(等级测评报告编号及等级测评所评得分)
● 业务系统部署使用云服务模式
● 云服务客户业务应用系统可根据业务选择,选用某一个或多个云服务商的单一或多种混合的服务模式,系统调研时,应明确云服务商客户业务应用系统所选用的云服务模式
● 三、调研被测系统基本信息情况(参见新修订的等级保护2.0测评报告模板)
● 测评对象选择
● 测评机构在方案编制阶段选取测评对象时,应遵循重要性、安全性、共享性、全面性和符合性的原则,除包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档外,还需针对云计算平台/系统的属性考虑
● 虚拟设备、包括虚拟机、虚拟网络设备、虚拟安全设备
● 云操作系统、云业务管理平台、虚拟监视器
● 云租户网络控制器、云应用开发平台等
● 对定级系统为云服务客户业务应用系统时,测评机构在选取测评对象时可参照此表
● 进一步根据责任分档原则,选择与安全责任主体相对应的测评对象范围
● 测评指标选择
● 测评机构在测评指标选取时,在明确等级保护级别的情况下,应在级别控制点基础上根据以下步骤进行安全控制点选取:
● 1、等级保护对象在云计算环境下的角色
● 2、云计算服务模式
● 3、云计算环境中责任主体是否一致
● 4、云计算计算实现方式对测评指标选取的影响
● 以上四步充分体现了云计算信息系统实施等保建设/测评的两个基本原则
● 责任分担原则
● 云服务模式适应性原则
● 云计算安全扩展要求条款本身为全局能力要求,不要作为对某一测评对象或设备的要求
● GB/T 22239-2019信息安全技术 网络安全等级保护基本要求 云计算安全扩展要求
● 云计算安全扩展要求控制点及要求相分布
● 安全物理环境------基础设施位置
● 应保证云计算基础设施位于中国境内
● 安全通信网络-----网络架构
● 应保证云平台不承载高于安全保护等级的业务应用系统
● 应实现不同云服务客户虚拟网络之间的间隔
● 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力
● 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略
● 应提供开发接口或开放性安全服务,运行云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务
● 安全区域边界----访问控制
● 应该虚拟化网络边界部署访问控制机制,并设置访问控制规则
● 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则
● 安全区域边界-----入侵防范
● 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等
● 应能检测到对虚拟网络节点的攻击行为,并能记录攻击类型、攻击时间、攻击流量等
● 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量
● 应在检测到网络攻击行为、异常流量情况时进行告警
● 安全区域边界-----安全审计
● 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启
● 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计
● 安全计算环境----身份鉴别
● 当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制
● 安全计算环境----访问控制
● 应保证当虚拟机迁移时,访问控制策略随其迁移
● 应允许云服务客户设置不同虚拟机之间的访问控制策略
● 安全计算环境----入侵防御
● 应能检测虚拟机之间的资源隔离失效,并进行告警
● 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警
● 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警
● 安全计算环境----镜像和快照保护
● 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务
● 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改
● 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问
● 安全技术环境----数据完整性和保密性
● 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定
● 应确保只有云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限
● 应使用效验码或密码技术确保虚拟机迁移过程中重要数据完整性,并在检测到完整性受到破坏时采取必要的恢复措施
● 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程
● 安全计算环境---数据备份恢复
● 云服务客户应当在本地保存其业务数据的备份
● 应提供查询云服务客户数据及备份存储位置的能力
● 云服务商在云存储应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致
● 应为云服务客户将业务数据及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程
● 安全技术环境----剩余信息保护
● 应保证虚拟机所使用的内存和存储控制回收时得到完成清楚
● 云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除
● 安全管理中心----集中管控
● 应能对物理资源和虚拟资源按照策略做统一管理调度与分配
● 应保证云计算平台管理流量与云服务客户业务流量分离
● 应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计
● 应根据云服务商各云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等运行状况的集中监测
● 安全建设管理----云服务商选择
● 应选择安全合规的云服务商,其所投云计算平台应为其所承载业务应用系统提供相对应等级的安全保护能力
● 应在服务水平协议中规定云服务的各项服务内容和具体技术指标
● 应在服务商水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等
● 应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清楚
● 应选定的云服务商签署保密协议,要求其不得泄露云服务客户数据
● 安全建设管理----供应链管理
● 应确保供应商的选择符合国家有关规定
● 应将供应链安全事件信息或安全威胁及时传达到云服务客户
● 应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采用措施对风险进行控制
● 安全运维管理----云计算环境管理
● 云计算平台运维地点位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定