|
《網(wǎng)絡(luò)安全等級保護(hù)測評要求 第2部分:云計算安全擴(kuò)展要求》解讀 編者按 Editors Note 由國家信息中心負(fù)責(zé)牽頭編制的《網(wǎng)絡(luò)安全等級保護(hù)測評要求第2部分:云計算安全擴(kuò)展要求》(以下簡稱“云計算測評要求”)作為云計算安全等級測評的重要合規(guī)性評價標(biāo)準(zhǔn)備受矚目,。本期我們邀請第一編制人國家信息中心祿凱處長為大家作詳細(xì)解讀。 云計算安全等級保護(hù)測評標(biāo)準(zhǔn)要點解讀 ╱ 引言╱ 云計算作為廣泛應(yīng)用的新技術(shù),,越來越深入的影響著社會生活的各個領(lǐng)域,。全國各地政務(wù)云、金融云,、教育云等建設(shè)的如火如荼,,越來越多的云計算系統(tǒng)承擔(dān)著重要的基礎(chǔ)性服務(wù)。 在高速發(fā)展的同時,,安全隱患和威脅也如影隨形,,如:不安全接口、服務(wù)中斷,、越權(quán),、濫用與誤操作、共享技術(shù)漏洞和信息殘留等問題時刻影響著云計算的健康發(fā)展,。云計算信息系統(tǒng)應(yīng)具備什么樣的安全防護(hù)措施,,如何通過等級保護(hù)測評工作去檢查和驗證安全措施的合規(guī)性和有效性,已經(jīng)成為云計算系統(tǒng)建設(shè)者,、運營者,、監(jiān)管者以及使用者所關(guān)心的重要問題。 等級保護(hù)工作作為國家網(wǎng)絡(luò)安全法明確的重要制度,,已在我國信息系統(tǒng)安全保駕護(hù)航中發(fā)揮著重要作用,。為應(yīng)對新技術(shù)、新應(yīng)用發(fā)展所帶來的安全問題,,公安部網(wǎng)絡(luò)安全保衛(wèi)局組織開展了大規(guī)模的等級保護(hù)系列標(biāo)準(zhǔn)的修訂,。云計算等級保護(hù)系列標(biāo)準(zhǔn)作為安全通用要求之后的第二分冊,標(biāo)準(zhǔn)編制開始至今,,受到相關(guān)各方的高度廣泛關(guān)注,,收到了很多寶貴意見和建議。 由國家信息中心負(fù)責(zé)牽頭編制的《網(wǎng)絡(luò)安全等級保護(hù)測評要求 第2部分:云計算安全擴(kuò)展要求》(以下簡稱“云計算測評要求”)作為云計算安全等級保護(hù)測評的實施依據(jù)備受矚目,。下面由標(biāo)準(zhǔn)的主要編制人員為大家解讀標(biāo)準(zhǔn),,希望作為云計算安全等級保護(hù)測評工作的實踐指引,,給大家提供指導(dǎo)和幫助,。云計算等級保護(hù)測評的講解和技術(shù)研討也將后續(xù)開展,,也希望大家踴躍參加。 根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2013年10月確定的國家標(biāo)準(zhǔn)制修訂計劃,本次研編云計算等保系列標(biāo)準(zhǔn)包括三個:《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求 第2部分:云計算安全擴(kuò)展要求》(以下簡稱“云計算基本要求”)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求 第2部分:云計算安全擴(kuò)展要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)設(shè)計技術(shù)要求 第2部分:云計算安全擴(kuò)展要求》(以下簡稱“云計算設(shè)計要求”),。 第二分冊作為第一分冊安全通用要求的擴(kuò)展和補充,主要用以應(yīng)對云計算技術(shù)所帶來的威脅與風(fēng)險,,在測評實施中要以安全通用要求為基礎(chǔ),,同時參考定級指南等相關(guān)標(biāo)準(zhǔn),共同完成云計算安全等級保護(hù)的測評工作,。 要點一: 系統(tǒng)定級與管理職責(zé)劃分 云計算服務(wù)帶來了“云主機”等虛擬計算資源,,將傳統(tǒng)IT環(huán)境中信息系統(tǒng)運營、使用單位的單一安全責(zé)任轉(zhuǎn)變?yōu)樵谱鈶艉驮品?wù)商雙方“各自分擔(dān)”的安全責(zé)任,,使得云計算環(huán)境下定級工作相對比較復(fù)雜,。 云計算系統(tǒng)的定級對象在原有定級對象基礎(chǔ)上進(jìn)行了擴(kuò)展,原有定級對象主要是信息系統(tǒng)和相關(guān)基礎(chǔ)網(wǎng)絡(luò),,而云計算將定級對象擴(kuò)展為云服務(wù)商的云平臺和云租戶的應(yīng)用系統(tǒng),。 云計算系統(tǒng)定級時,云服務(wù)商的云平臺和云租戶的應(yīng)用系統(tǒng)應(yīng)分別定級,,云平臺等級應(yīng)不低于應(yīng)用系統(tǒng)的安全保護(hù)等級,。對于公有云,定級流程為云平臺先定級測評,,再提供云服務(wù),。對于私有云,定級流程為云平臺先定級測評,,再將已定級應(yīng)用系統(tǒng)向云平臺遷移,。 云計算系統(tǒng)定級的重點在于定級對象管理職責(zé)的劃分,職責(zé)的劃分根據(jù)不同云計算服務(wù)模式采取不同劃分方式,。 (一) 對于IaaS基礎(chǔ)設(shè)施服務(wù)模式,云服務(wù)商的職責(zé)范圍包括虛擬機監(jiān)視器和硬件,,云租戶的職責(zé)范圍包括操作系統(tǒng),、中間件和應(yīng)用等。 (二) 對于PaaS平臺即服務(wù)的服務(wù)模式,,云服務(wù)商的職責(zé)范圍包括硬件,、虛擬機監(jiān)視器、操作系統(tǒng)和中間件,,云租戶的職責(zé)范圍為應(yīng)用,。 (三) 對于SaaS軟件服務(wù)模式,云服務(wù)商的職責(zé)范圍包括硬件,、虛擬機監(jiān)視器,、操作系統(tǒng),、中間件和應(yīng)用,云租戶的職責(zé)范圍包括部分應(yīng)用職責(zé)及用戶使用職責(zé),。 云計算服務(wù)模式以及角色的不同決定著定級對象的管理職責(zé)不同,,從而決定著定級的系統(tǒng)范圍的不同。 要點2: 云計算系統(tǒng)保護(hù)對象的擴(kuò)展 由于虛擬化等新技術(shù)的應(yīng)用,,IaaS/PaaS/SaaS按需服務(wù)模式的引入,,相對于傳統(tǒng)信息系統(tǒng),云計算系統(tǒng)的保護(hù)對象有所增加,。云計算系統(tǒng)的保護(hù)對象與傳統(tǒng)信息系統(tǒng)保護(hù)對象對照如下表所示,,其中加黑的對象為云計算系統(tǒng)所特有的保護(hù)對象:
云計算系統(tǒng)保護(hù)對象除包含傳統(tǒng)信息系統(tǒng)保護(hù)對象外,還包含云計算系統(tǒng)特有保護(hù)對象,。在進(jìn)行云計算系統(tǒng)等級保護(hù)測評時,,針對不同保護(hù)對象實施不同測評內(nèi)容,既要對云計算系統(tǒng)特有保護(hù)對象依據(jù)云安全測評要求進(jìn)行測評,也要對云計算系統(tǒng)選取安全通用要求相關(guān)指標(biāo)進(jìn)行測評,。 |
|
|
