公安部:等級保護2.0標準今年4月有望出臺
3月26日 在網絡安全論壇上,公安部網絡安全保衛局的處長祝國邦做了題為“等級保護標準2.0解讀”的精彩演講。祝國邦透露,等級保護步入了一個新的階段,等級保護2.0標準今年4月份有望出臺。
等保2.0的新標準,修訂了2008年出臺的一系列的等級保護的基本要求,安全設計技術要求,等級保護的測評要求等一系列標準。據悉,2.0的標準還會發布整個雲計算、大數據、物聯網、移動互聯等級保護的標準,有一套全新的工作機制,推動整個網絡安全等級保護制度的落實,進一步加強整體的安全防護。
雲環境下的等級保護
傳統的等級保護標準主要面向靜態的具有固定邊界的系統環境。然而,對於雲環境而言,保護對象和保護區域邊界都具有動態性。因此,雲計算環境下的等級保護將面臨全新的挑戰。
雲計算服務的安全合規目前主要有等級保護、27001、CSA雲計算聯盟的相關認證。其中等級保護是一項基本政策,比如用戶的一個等級保護三級的業務,採用雲計算模式時,一定要求雲計算服務必須達到三級的要求。
那麼問題來了,等保2.0中雲計算安全擴展要求(三級系統)都有什麼呢?
首先你要確保你的雲計算基礎設施要在“ 中國境內”
8.2.2 安全通信網絡
8.2.2.1 網絡架構
本項要求包括:
a) 應保證雲計算平臺不承載高於其安全保護等級的業務應用系統;
b) 應實現不同雲服務客戶虛擬網絡之間的隔離;
c) 應具有根據雲服務客戶業務需求提供通信傳輸、邊界防護、入侵防範等安全機制的能力;
d) 應具有根據雲服務客戶業務需求自主設置安全策略的能力,包括定義訪問路徑、選擇安全組件、配置安全策略;
e) 應提供開放接口或開放性安全服務,允許雲服務客戶接入第三方安全產品或在雲計算平臺選擇第三方安全服務。
8.2.3 安全區域邊界
8.2.3.1 訪問控制
本項要求包括:
a) 應在虛擬化網絡邊界部署訪問控制機制,並設置訪問控制規則;
b) 應在不同等級的網絡區域邊界部署訪問控制機制,設置訪問控制規則。
8.2.3.2 入侵防範
本項要求包括:
a) 應能檢測到雲服務客戶發起的網絡攻擊行為,並能記錄攻擊類型、攻擊時間、攻擊流量等;
b) 應能檢測到對虛擬網絡節點的網絡攻擊行為,並能記錄攻擊類型、攻擊時間、攻擊流量等;
c) 應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量;
d) 應在檢測到網絡攻擊行為、異常流量情況時進行告警。
8.2.3.3 安全審計
本項要求包括:
a) 應對雲服務商和雲服務客戶在遠程管理時執行的特權命令進行審計,至少包括虛擬機刪除、虛擬機重啟;
b) 應保證雲服務商對雲服務客戶系統和數據的操作可被雲服務客戶審計。
8.2.4 安全計算環境
8.2.4.1 身份鑑別
當遠程管理雲計算平臺中設備時,管理終端和雲計算平臺之間應建立雙向身份驗證機制。
8.2.4.2 訪問控制
本項要求包括:
a) 應保證當虛擬機遷移時,訪問控制策略隨其遷移;
b) 應允許雲服務客戶設置不同虛擬機之間的訪問控制策略。
8.2.4.3 入侵防範
本項要求包括:
a) 應能檢測虛擬機之間的資源隔離失效,並進行告警;
b) 應能檢測非授權新建虛擬機或者重新啟用虛擬機,並進行告警;
c) 應能夠檢測惡意代碼感染及在虛擬機間蔓延的情況,並進行告警。
8.2.4.4 鏡像和快照保護
本項要求包括:
a) 應針對重要業務系統提供加固的操作系統鏡像或操作系統安全加固服務;
b) 應提供虛擬機鏡像、快照完整性校驗功能,防止虛擬機鏡像被惡意篡改;
c) 應採取密碼技術或其他技術手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問。
8.2.4.5 數據完整性和保密性
本項要求包括:
a) 應確保雲服務客戶數據、用戶個人信息等存儲於中國境內,如需出境應遵循國家相關規定;
b) 應確保只有在雲服務客戶授權下,雲服務商或第三方才具有云服務客戶數據的管理權限;
c) 應使用校驗碼或密碼技術確保虛擬機遷移過程中重要數據的完整性,並在檢測到完整性受到破壞時採取必要的恢復措施;
d) 應支持雲服務客戶部署密鑰管理解決方案,保證雲服務客戶自行實現數據的加解密過程。
8.2.4.6 數據備份恢復
本項要求包括:
a) 雲服務客戶應在本地保存其業務數據的備份;
b) 應提供查詢雲服務客戶數據及備份存儲位置的能力;
c) 雲服務商的雲存儲服務應保證雲服務客戶數據存在若干個可用的副本,各副本之間的內容應保持一致;
d) 應為雲服務客戶將業務系統及數據遷移到其他雲計算平臺和本地系統提供技術手段,並協助完成遷移過程。
8.2.4.7 剩餘信息保護
本項要求包括:
a) 應保證虛擬機所使用的內存和存儲空間回收時得到完全清除;
b) 雲服務客戶刪除業務應用數據時,雲計算平臺應將雲存儲中所有副本刪除。
8.2.5 安全管理中心
8.2.5.1 集中管控
本項要求包括:
a) 應能對物理資源和虛擬資源按照策略做統一管理調度與分配;
b) 應保證雲計算平臺管理流量與雲服務客戶業務流量分離;
c) 應根據雲服務商和雲服務客戶的職責劃分,收集各自控制部分的審計數據並實現各自的集中審計;
d) 應根據雲服務商和雲服務客戶的職責劃分,實現各自控制部分,包括虛擬化網絡、虛擬機、虛擬化安全設備等的運行狀況的集中監測。
8.2.6 安全建設管理
8.2.6.1 雲服務商選擇
本項要求包括:
a) 應選擇安全合規的雲服務商,其所提供的雲計算平臺應為其所承載的業務應用系統提供相應等級的安全保護能力;
b) 應在服務水平協議中規定雲服務的各項服務內容和具體技術指標;
c) 應在服務水平協議中規定雲服務商的權限與責任,包括管理範圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等;
d) 應在服務水平協議中規定服務合約到期時,完整提供雲服務客戶數據,並承諾相關數據在雲計算平臺上清除;
e) 應與選定的雲服務商簽署保密協議,要求其不得洩露雲服務客戶數據。
8.2.6.2 供應鏈管理
本項要求包括:
a) 應確保供應商的選擇符合國家有關規定;
b) 應將供應鏈安全事件信息或安全威脅信息及時傳達到雲服務客戶;
c) 應將供應商的重要變更及時傳達到雲服務客戶,並評估變更帶來的安全風險,採取措施對風險進行控制。
8.2.7 安全運維管理
8.2.7.1 雲計算環境管理
雲計算平臺的運維地點應位於中國境內,境外對境內雲計算平臺實施運維操作應遵循國家相關規定。
以下是《信息安全技術 網絡安全等級保護基本要求》報批稿中雲計算安全擴展要求三級信息系統的具體技術與管理要求,雖然是報批稿,但是e小安認為和即將發佈的標準差距不會太大,供大家研究等保2.0中關於雲計算安全應該如何去做。
閱讀更多 e安教育 的文章
