安全資訊

【摘要】 伴隨著(zhù)網(wǎng)絡(luò )安全法的出臺，等級保護工作進(jìn)入2.0時(shí)代，其中有哪些最引人注目的變化？ 等級保護對象從原來(lái)單純的信息系統拓展到了很多個(gè)領(lǐng)域，其中云計算系統是等級保護重點(diǎn)要關(guān)注的一個(gè)領(lǐng)域。 而等級保護的標準體系也進(jìn)行了大的升級，在原等級保護核心標準（基本要求、測評要求、設計要求）的基礎上，進(jìn)行重新修訂，整個(gè)標準體系制定為一個(gè)矩陣，針對每一個(gè)特定的安全領(lǐng)域，做了相應的擴展要求
伴隨著(zhù)網(wǎng)絡(luò )安全法的出臺，等級保護工作進(jìn)入2.0時(shí)代，其中有哪些最引人注目的變化？

等級保護對象從原來(lái)單純的信息系統拓展到了很多個(gè)領(lǐng)域，其中云計算系統是等級保護重點(diǎn)要關(guān)注的一個(gè)領(lǐng)域。

而等級保護的標準體系也進(jìn)行了大的升級，在原等級保護核心標準（基本要求、測評要求、設計要求）的基礎上，進(jìn)行重新修訂，整個(gè)標準體系制定為一個(gè)矩陣，針對每一個(gè)特定的安全領(lǐng)域，做了相應的擴展要求，比如云計算領(lǐng)域，制定云計算擴展要求。

在這種情況下：

云等保如何落地？

云服務(wù)商該如何做？

云租戶(hù)該如何做？

面對這些問(wèn)題，我們特邀來(lái)自公安部信息安全等級保護評估中心的專(zhuān)家深度解讀《云計算環(huán)境下的等級保護》：
首先，需要對云計算環(huán)境中的安全責任進(jìn)行明確

不同的服務(wù)模式下，不同責任主體的責任也是不同的。云服務(wù)商，云租戶(hù)的責任劃分需要明晰。
IaaS服務(wù)模式下：云服務(wù)方責任硬件及虛擬化層的防護。虛擬化以上的客戶(hù)機的安全防護，數據庫防護以及中間件和應用及數據的防護，這都是租戶(hù)需要去面對的問(wèn)題。

PaaS服務(wù)模式下：客戶(hù)將虛擬機的安全防護責任交給了云服務(wù)商，云租戶(hù)更應該關(guān)心在這之上，如軟件開(kāi)發(fā)平臺以及應用和數據本身的安全防護。

SaaS服務(wù)模式下：進(jìn)一步上移，這個(gè)時(shí)候作為租戶(hù)來(lái)講，需要關(guān)心的其實(shí)就是應用提供側相關(guān)的安全配置，以及數據安全的防護，這都是租戶(hù)需要考慮的內容。

數據安全防護，無(wú)論IaaS、PaaS到SaaS，對于云租戶(hù)來(lái)講，這是始終要面對的重要問(wèn)題。

不同的責任劃分下，云等保究竟該怎么做？

云等保不是新鮮的事物，而是在原等?？蚣芟聦π率挛锏臄U展。在云計算架構之下，等級保護依然需要落地，包括定級、備案、建設整改、等級測評、監督檢查五個(gè)規定動(dòng)作。

不同的是等?？蚣芟滦略黾拥脑匦枰獙υ械燃壉Ｗo相關(guān)工作的具體內容進(jìn)行擴充并統一。

一、系統的定級  

傳統的信息系統，強調分區分域、縱深防御，網(wǎng)絡(luò )架構伴隨業(yè)務(wù)變化而變化，系統各組件能與硬件緊耦合。信息系統的系統劃分其實(shí)是以物理網(wǎng)絡(luò )/安全設備為邊界的硬件設備的劃分。


云的環(huán)境下，把虛擬邊界作為系統定級的邊界。

云計算系統網(wǎng)絡(luò )架構扁平化，業(yè)務(wù)應用系統與硬平臺松耦合。信息系統的系統劃分，像傳統單純的以物理網(wǎng)絡(luò )/安全設備為邊界的劃分方法已經(jīng)無(wú)法體現出業(yè)務(wù)應用系統的邏輯關(guān)系，也無(wú)法體現對業(yè)務(wù)信息安全和系統服務(wù)安全。


所以，定級需要從業(yè)務(wù)應用的角度出發(fā)梳理有哪些業(yè)務(wù)應用，及對應哪些模塊
場(chǎng)景一：

如每種應用都需要使用物理基礎支撐平臺，則業(yè)務(wù)應用系統可不包含基礎支撐的物理硬件部分，根據業(yè)務(wù)應用的關(guān)聯(lián)性，進(jìn)行切分定級。像公共云就是這種狀態(tài)，如果定級系統C的運行主體是云服務(wù)商的話(huà)，上面就是云租戶(hù)的業(yè)務(wù)應用系統。

場(chǎng)景二：

如基礎支撐平臺可以對應到不同業(yè)務(wù)應用系統，則將基礎支撐平臺的物理設備一同劃入相應定級系統。

業(yè)務(wù)應用是可以跟承載的硬件平臺有對應關(guān)系的，比如說(shuō)某一個(gè)應用固定的使用一堆的硬件服務(wù)器，獨立成一個(gè)平臺，那這個(gè)時(shí)候就可以一刀切作為一個(gè)單獨的定級系統。如說(shuō)像淘寶的很多系統就是這樣的架構，比如說(shuō)我們可以在定級系統B這一塊還可以在切分一下，那可能這一邊又變成一個(gè)小的一朵云，下面是一個(gè)云平臺。上面是整個(gè)的各個(gè)的承載的業(yè)務(wù)應用系統，就是云租戶(hù)的系統。

在定級當中存在兩個(gè)重要誤區：

誤區一：我的系統已經(jīng)上云了，系統就不用去定級了？

答案是不行！要分開(kāi)定級，新的定級指南里明確說(shuō)明，云計算平臺和云上的租戶(hù)應用系統要分開(kāi)定級。


誤區二：云平臺的等級跟云租戶(hù)的等級沒(méi)有關(guān)系

云平臺的等級要不低于云上租戶(hù)的業(yè)務(wù)應用系統的最高級。且明確規定“國家關(guān)鍵信息基礎設施（重要云計算平臺）的安全保護等級應不低于第三級”。比如一個(gè)互聯(lián)網(wǎng)金融公司，運營(yíng)的系統定到了四級，那么選擇上的云平臺必須是四級的云平臺，如果去三級的云平臺去備案的時(shí)候會(huì )遇到一些問(wèn)題，而且即便是上了以后，云平臺在監管這塊也無(wú)法達到不合規要求。

二、備案
  
去哪備案？

傳統的系統備案很簡(jiǎn)單，IT基礎設施、運維地點(diǎn)、工商注冊地基本上都是一致，去所在地市局、網(wǎng)安或者是分局去備案就可以。

但是云的這種狀態(tài)下，特別是對于云服務(wù)商來(lái)講就比較典型了，工商注冊地、辦公地點(diǎn)都不一樣。比如說(shuō)像云平臺，注冊地在北京，運維地點(diǎn)在天津，然后機房遍布全國各地。云租戶(hù)也是這個(gè)問(wèn)題，公司開(kāi)在北京，可能技術(shù)人員、運維人員都在北京，但是你上的這種云可能他的物理位置或者不知道，或者是即便知道有可能也不在北京，那這個(gè)時(shí)候怎么辦？

所以我們現在有這樣一個(gè)原則，對于云上的系統，不管是云平臺還是云租戶(hù)，以你的運維人員的所在地為備案地點(diǎn)。原因與公安機關(guān)方便監管相關(guān)，案件發(fā)生后，公安機關(guān)需要運維人員配合去調取相關(guān)證據，做證據固定、數據采集。

三、建設整改  

云計算系統等級保護標準制定專(zhuān)家建議可以從以下幾個(gè)方面入手：

統一思維去考量，統一認證、統一賬戶(hù)管理、統一授權，統一安全審計。其中關(guān)于安全審計方面，標準條款里有明確要求，主機的安全審計、網(wǎng)絡(luò )的審計、數據庫的安全審計都必不可少。側重動(dòng)態(tài)監測預警、快速應急響應能力建設以及服務(wù)安全產(chǎn)品合規。如果用戶(hù)自己搭建私有云，那么建議一定要有這樣的能力.重點(diǎn)保護的是業(yè)務(wù)數據安全和用戶(hù)的隱私安全。數據安全這塊真的是很重要，我們在安全擴展里有明確要求，一個(gè)是數據庫的安全審計。要求云服務(wù)商開(kāi)放第三方接口，支持第三方的安全審計的產(chǎn)品接入；還有一個(gè)就是對于云租戶(hù)，同樣要求要有自己的審計。在做云租戶(hù)的系統檢查或者測評的時(shí)候，一樣要看你有沒(méi)有做安全審計。

 四、測評  

云計算系統保護措施通常是以系統整體能力體現，云計算安全擴展要求作為全局對待，在報告結構上等同于全局測評，各測評項不再重復對應一個(gè)或多個(gè)測評對象


版權聲明】本文為華為云社區用戶(hù)原創(chuàng )內容，轉載時(shí)必須標注文章的來(lái)源（華為云社區），文章鏈接，文章作者等基本信息，否則作者和本社區有權追究責任。如果您發(fā)現本社區中有涉嫌抄襲的內容，歡迎發(fā)送郵件至：cloudbbs@huaweicloud.com進(jìn)行舉報，并提供相關(guān)證據，一經(jīng)查實(shí)，本社區將立刻刪除涉嫌侵權內容。