《等级保护20时代的云等保合规与云安全基本要求解读v23_20171220》由会员分享,可在线阅读,更多相关《等级保护20时代的云等保合规与云安全基本要求解读v23_20171220(53页珍藏版)》请在金锄头文库上搜索。
1、等级保护2.0时代的云等保合规与云安全基本要求解读张振峰公安部信息安全等级保护评估中心网络安全法简介 案例与重点条款解读02等级保护2.0 概念与落地措施介绍03云安全基本要求 重点条款介绍0401等级保护编年史 等级保护制度演进简述目录 CONTENTS网络安全法意义重大我国第一部专门 针对网络空间安 全综合性法律我国网络安全 从此有法可依保障我国网络安 全、维护国家总 体安全总体框架,共7章79条。目录如下:第一章 总 则第二章 网络安全支持与促进第三章 网络运行安全第一节 一般规定第二节 关键信息基础设施的运行安全第四章 网络信息安全第五章 监测预警与应急处置第六章 法律责任第七章 附
2、则主要内容1、国家承担的责任义务2、职责任务3、国家网络安全等级保护制度4、网络运营者基本责任义务5、关键信息基础设施的运行安全6、数据境内存储和跨境提供7、网络产品、服务要求8、网络信息安全9、监测预警与应急处置国家网络安全等级保护制度 网络运营者基本责任义务(基本制度、基本国策,上升为法律) 第二十一条 国家实行网络安全等级保护制度。网络运营者应当 按照网络安全等级保护制度的要求,履行下列安全保护义务,保 障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露 或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责 人,落实网络安全保护责任; (二)采取防范计算机病毒
3、和网络攻击、网络侵入等危害网络 安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术 措施,并按照规定留存相关的网络日志不少于六个月;(日 志留存) (四)采取数据分类、重要数据备份和加密等措施;(数据 安全) (五)法律、行政法规规定的其他义务。法律责任 第五十九条 网络运营者不履行本法第二十一条、第二十 五条规定的网络安全保护义务的,由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处一万 元以上十万元以下罚款;对直接负责的主管人员处五千元以上 五万元以下罚款。关键信息基础设施的运营者不履行本法第 三十三条、第三十四条、第三十六条、第三十八条规定
4、的网 络安全保护义务的,由有关主管部门责令改正,给予警告;拒 不改正或者导致危害网络安全等后果的,处十万元以上一百 万元以下罚款;对直接负责的主管人员处一万元以上十万元以 下罚款。第一级,信息系统受到破坏后, 会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序
5、和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。监督检查监督检查定级定级备案备案安全建设整改安全建设整改等级测评等级测评等级保护五个规定动作2 2 3 3 网网络安安全全法法 确确立立制制度度地地位位。 。n 21条规定: 国家实行网络安全等级保护制度。 n 31条规定: 国家对关键信息基础设施, 在网络 安全等级保护制度的基础上, 实行重点保护。网网络安安全全引引起起空空前前关关注注。 。n 作用: 辅助系统 - 支撑平台 - 基础设施; n 关注: 信息安全 - 信息保障 - 网络安全; n 重视: 网络安全法 千呼万唤终颁
6、布。等等级保保护外外延延进一一步步丰丰富富和和完完善善。 。n 等级保护对象形态不断扩充( 工业控制系统、 云计算平台等) ; n 工作内容更加完善( 供应链安全、 通报预警等) 。等等级保保护政政策策体体系系进一一步步细化化和和完完善善。 。n 等级保护管理条例关键信息基础设施保 护条例启动制修订; n 配套管理规范细则启动编制。等等级保保护标准准体体系系进一一步步提提升升适适用用性性和和 可可操操作作性性。 。 n 核心标准启动修订 n 基本要求等标准扩充为系列标准新新形形势下下的的等等级保保护4 45 51 1伴随网络安全法 孕育等保2.02.0时代,等级保护空前重要2.0时代,等级保护
7、制度上升为法律2.0时代,等级保护对象大扩展2.0时代,等级保护内容大不同2.0时代,等级保护体系大升级等保1.0 定级 备案 建设整改 等级测评 监督检查等保2.0 五个规定动作 风险评估 安全检测 通报预警 案事件调查 数据防护 灾难备份 应急处置 等级保护内容大不同基本要求测评要求设计要求基础通用部分云计算领域大数据领域工控领域移动互联领域物联网领域基本要求 安全通用要求基本要求 云计算安全扩展要求基本要求 大数据安全扩展要求基本要求 工控安全扩展要求基本要求 移动互联扩展要求基本要求 物联网安全扩展要求测评要求 安全通用要求测评要求 云计算安全扩展要求测评要求 大数据安全扩展要求测评要
8、求 工控安全扩展要求测评要求 移动互联扩展要求测评要求 物联网安全扩展要求设计要求 安全通用要求设计要求 云计算安全扩展要求设计要求 大数据安全扩展要求设计要求 工控安全扩展要求设计要求 移动互联扩展要求设计要求 物联网安全扩展要求标准关系矩阵等 级 保 护 体 系 大 升 级等级保护2.0落地措施的变化监管角度:监管对象更广执法依据扩充,公安机关网络安全等级保护执法检查规范升级执法检查手段进一步加强等级保护备案制度更加完善等级保护2.0落地措施的变化合规测评角度:测评对象扩充,如在云计算领域引入更多虚拟对象测评依据扩展,安全通用要求+专业领域扩展要求等级测评报告模板升级,引入云平台与云上租户
9、系统得分依赖关系等级测评结论复用,引入云平台测评结果复用等级保护2.0落地措施的变化合规建设角度:强调云平台安全能力集成:统一身份认证、统一用户授权、统一账户管理、统一安全审计侧重:平台内部通讯加密与认证,动态监测预警、快速应急响应能力建设、安全服务产品合规1、按需自助(On-demand Self-service)2、无所不在的网络访问(Broad Network Access)3、资源池化(Resource Pooling)4、快速弹性(Rapid Elasticity)5、可度量的服务(Measured service)云计算服务的五个基本特征NIST定义的云计算模型SP 800- 14
10、6GB/T 31168:2014云计算模式与控制范围云计算模式与控制范围IaaSIaaS组件栈和控制范围组件栈和控制范围ISO/IEC17789ISO/IEC17789- -20142014 云计算层次框架云计算层次框架云计算典型模型 运维服务系统运维服务系统 业务运营系统业务运营系统 安全系统安全系统 集成集成 开发开发IaaS模式下保护责任云服务方云租户PaaS模式下保护责任云服务方云租户SaaS模式下保护责任云服务方云租户云等保的定位云等保不是新鲜的事物,而是在原等保框架下的新事物的扩展,因此云等保各环节应与传统等保相同,包括定级、备案、建设整改、测评、监督检查等。等保框架下新增加的元素
11、需要对原有等级保护相关工作的具体内容进行扩充并统一。安全通用要求云计算安全扩展要求移动互联安全扩展要求物联网安全扩展要求工业控制安全扩展要求大数据安全扩展要求基本要求云计算系统定级方面的变化传统信息系统强调分 区分域、纵深防御, 网络架构伴随业务变 化而变化,系统各组 件功能与硬件紧耦 合类似铁路系统造成:直观上,信息 系统的系统划分隐含 的就是以物理网络/ 安全设备为边界的硬 件设备的划分。-路 局各管一段云计算系统网络架 构扁平化,业务应 用系统与硬平台松 耦合类似航空运 输造成:信息系统的 系统划分,单纯的 以物理网络/安全 设备为边界的划分 方法无法体现出业 务应用系统的逻辑 关系,无
12、法体现对 业务信息安全和系 统服务安全。-以 机场划分各航空公 司不适用业务应用1业务应用2业务应用3需要进一步梳理各主要业务应用模块的逻辑关系 如每种应用都需使用物理基础支撑平台,则业务应用系统可不包含基础 支撑的物理硬件部分定级系统A定级系统B定级系统C场 景 1业务应用1业务应用2业务应用3如基础支撑平台可以对应到不同业务应用系统,则将基础 支撑平台的物理设备一同划入相应定级系统A系统B系统场 景 2等保合规中的注意事项-定级应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级国家关键信息基础设施(重要云计算平台)的安全保护等
13、级应不低于第三级在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象运营运营 系统系统运维运维 系统系统对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。以IaaS为例,在云计算环境中应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。云等保中的备案方法传统企业IT基础设施、运维地点、工商注册地基本一致,备案地明确云计算系统基础设施通常遍布多地,与运维地点和工商注册地不完全一致,存在备案
14、地点不明确的问题云服务提供商负责将云计算平台的定级结果向所辖公安机关进行备案,备案地应为运维管理端所在地;云租户负责对云平台上承载的租户信息系统进行定级备案,备案地为工商注册或实际经营所在地。 建设整改/测评对象的变化:引入新的对象层面云计算平台建设整改/测评对 象传统信息系统建设整改/测评 对象物理和环境 安全机房及基础设施机房及基础设施网络和通信 安全网络结构、网络设备、安全设 备、虚拟化网络结构、虚拟网 络设备、虚拟安全设备传统的网络设备、传统的安 全设备、传统的网络结构设备和计算 安全网络设备、安全设备、虚拟网 络设备、虚拟安全设备、物理 机、宿主机、虚拟机、虚拟机 监视器、云管理平台
15、、数据库 管理系统、终端传统主机、数据库管理系统、 终端应用和数据 安全应用系统、云应用开发平台、 中间件、云业务管理系统、配 置文件、镜像文件、快照、业 务数据、用户隐私、鉴别信息 等应用系统、中间件、配置文 件、业务数据、用户隐私、 鉴别信息等云等保中的建设整改强调云平台安全能力集成:统一身份认证、统一用户授权、统一账户管理、统一安全审计侧重:平台内部通讯加密与认证,动态监测预警、快速应急响应能力建设、安全服务产品合规云等保中的注意事项-建设整改 评分过程的变化:云平台得分影响租户系统得分在对云租户系统测评时,首先应关注云平台是否已经测评,如未测评,则无法开展对云租户系统的测评对云租户系统
16、测评打分时,不但要考虑云租户系统自身得分,还应关注云平台得分,云平台得分高低将影响租户系统得分举例:某租户系统自身安全得分90,部署在得分为100分的平台上综合得分为90,部署在得分为60分的系统上,综合得分为60这反映出云平台对租户系统提供安全支撑的价值,客观上迫使云服务商努力提升云平台的安全防护能力云计算系统在建设整改/测评时的变化信息安全技术 网络安全等级保护基本要求云计算安全扩展要求( GBT 22239-201X,送审稿) 编制方法梳理云计算技术带来新的安全威胁、归纳出新的安全防护能力需求,进一步形成要求项 结构上与新的安全通用要求部分保持一致,在条款上扩展只写与云计算安全相关的内容 新增个别控制点设备和计算安全方面新增镜像和快照保护,针对云平台上云租户系统的镜像和快照提出保护要求应用和数据安全方面新增接口安全,针对云平台上对第三方安全服务提供接口提出保护要求安全建设管理方
