随着《网络安全法》的颁布,等级保护制度上升到了法律层面,没有按照规定实施相关保理工作的单位,还可能被判处最高刑罚。与等保1.0相比,等保2.0的要求更高,还扩展了很多内容,等级保护对象、保护内容、保护体系等都有所改变。就拿第三级系统来说,今天这篇文章就和你一起来解读等保2.0时代的云等保。
一、云等保需求概览。
在新标准中,对于云计算平台/系统的等级保护,仍然按照“一个中心,三重保护”的体系框架,提出了具体的技术要求,并在云服务供应商选择、供应链管理、云计算环境管理等方面进行了规定。在安全建设或者安全改造的云计算平台/系统中,需要同时根据安全通用要求和安全扩展要求,建立具有相应等级安全防护能力的安全防御体系。
二、云等保的组织结构。
云等级保护的实施分为两个部分,一是组织实施,二是实施逻辑。从组织角度来看,云计算等级保护具有很好的指导、规划、试验、建设、验证、审核以及不断优化过程组织形式和过程。
三、云等保架构。
云级保护是整个等保2.0的一部分,它和等级保护中的“通用”部分构成了一个整体,对云计算平台的等级保护进行了限制,为云计算平台的安全建设设定了基线。根据系统组成对云计算等级保护的框架,对整个云计算平台的防护要求和针对云计算负载的防护需求进行了划分。
云系统分级需要综合等级保护中的安全通用要求和云计算安全两个模块的内容,进行定级。云级别保护的每一个级别根据威胁对目标的影响程度,形成了一个有梯度的防护。从总体上将需求分为技术需求和管理需求两部分,分别是云计算平台系统和云计算平台管理。三层保建项目,技术要求160余项,管理要求120余项。
等保评测流程 | 等保测评咨询微信:18300003210 张经理 |
系统定级 | 确定系统或者子系统的安全等级,准备定级报告 |
系统备案 | 持定级报告和备案表到当地公安网监进行备案 |
建设整改 | 照定级要求和标准,对信息系统整改加固 |
等级测评 | 测评机构对信息系统等级测评,形成测评报告 |
监督检查 | 向当地公关网监提交测评报告,配合完成检查 |
评测价格:等保评测上述流程全包7.5万元起 官网:www.quedun.cn 免费上门服务地区:东莞、深圳、广州 | |
四、云等保的重点内容。
1、责任分担的要求。
云平台系统一般由设备、硬件、资源抽象控制、虚拟计算资源、软件平台、应用软件等构成。按照IaaS、PaaS和SaaS的不同,云服务商和云服务的客户有不同的控制范围,安全责任的界限也不同。云计算和云计算服务的用户应根据各自的安全责任,建立相应的安全防护能力。事实上,云服务的客户通常都认为安全保护应该由云服务商来实现,只需将业务系统迁移到云上,这就需要引导云服务的客户关注等级保护,并采取相应的安全防护措施,与云服务商一起共同保护云计算平台/系统。
2、通信网络安全要求。
按照控制范围,云计算分级对象可以划分为云服务商控制部分(如云计算平台)和云服务的客户控制部分(例如业务应用系统),应该分开划分,并且云服务商控制部分比云服务客户控制部分高,对云服务的客户控制部分高,对云服务的满意度较高。当云服务提供商在安全架构时,应该向云服务客户提供安全产品或服务,但是云计算平台/系统,特别是在私有云上,只提供基础安全功能,不能满足云服务的等级保护。它要求云服务提供商能够提供第三方安全产品/服务,或者允许用户访问第三方安全产品或服务,而且云服务的用户可以自行设置安全策略。
3、区域安全边界。
相对于传统的信息系统,云计算平台/系统增加了主机、虚拟机、虚拟网络等部分。因此,在进行安全区域边界设计时,除了要注意物理区域边界和物理网络节点外,还要注意虚拟化网络边界和虚拟网络节点,以及虚拟机与物理机之间的网络流量,一方面要做好物理网络的访问控制和入侵防范,另一方面要利用云计算平台/系统的安全能力或第三方安全产品/服务,做好虚拟区域边界的访问控制和入侵防范。
四、安全计算环境。
云平台/系统中的虚拟机运行在资源共享的环境中,虚拟机迁移时有发生,虚拟机的生命周期结束后,其资源将被回收利用。因此,为了实现安全计算环境,除了做好安全通用要求外,还应做好以下几点:云服务商应提供加固的镜像,利用完整性校验防止恶意篡改;保证虚拟机CPU、内存和存储等资源隔离;当虚拟机进行迁移时,应该能够在迁移之前和之后实现统一访问控制策略,并在回收虚拟机使用的内存和存储空间时,做到数据清理。云计算用户应定期进行安全检查,加强安全防护,并使用杀毒软件保护虚拟机,在计划内迁移时,检查迁移前后虚拟机的访问控制策略。
五、安全管理中心。
随着网络环境的日益复杂,云计算平台/系统普遍采用集中化的部署方式,风险与攻击问题日益突出,安全防御体系应更加主动和动态,安全管理中心是关键。应能建立安全态势感知、攻击行为回溯分析、监视预警等功能,帮助云计算平台/系统实现对安全事件的事前预警、事中防护和事后追溯,以及对云计算平台/系统的安全状态进行持续监控。为此,应建立具有相应能力的安全管理中心,完善安全防御体系,协助云计算平台/系统实施态势感知、通报预警和安全检测。
五、云等的保定级要注意。
1、云计算平台的安全保护等级,原则上不得低于自己承载的业务系统安全保护等级;
2、国家关键信息基础设施(重要云计算平台)安全防护等级不得低于第三级;
3、在云计算环境下,云资源平台应该被作为单独的定级对象,而云用户侧的等级保护对象也应该被划分为不同的分级对象;
4、在大型云计算平台上,云计算基础设施和相关的辅助服务系统应该分为不同的分级对象。
六、云等保备案、整改和测评工作要注意。
归档:云服务提供商负责向辖区公安机关备案云计算平台的定级结果,备案地点应为运维管理端所在地。云租户负责对承载在云平台上的租户信息系统进行定级备案,备案地点为工商注册或实际业务所在地。
纠正:相对于传统信息系统的建筑整改,云计算系统保护对象中添加了虚拟化、云管理平台、镜像文件等云计算独有内容。在云计算平台的安全构建中,强调了安全能力的整合,包括统一认证、统一用户授权、统一账户管理、统一安全审计等。其中重点强调了通信的加密与认证、动态监测预警、快速应急反应能力建设、安全产品合规等。
评估:在对云租户测评时,如果云平台本身没有测评,就不能对云租户系统进行测评;对云租户系统测评打分时,不仅要考虑云租户系统自身的得分情况,还要考虑云租户系统的得分情况。
声明:有的资源均来自网络转载,版权归原作者所有,如有侵犯到您的权益 请联系邮箱:123456@qq.com 我们将配合处理!
原文地址:等保评测类别中为什么会出现云等保的概念发布于2021-07-12 13:41:56
