第三章第三章 信息系统安全信息系统安全扩展要求扩展要求 第三章第三章 -3.1 -3.1 云计算云计算 3.1.1 云计算信息系统概述云计算信息系统概述 软件即服务(软件即服务(SaaS)平台即服务(平台即服务(PaaS)基础设施即服务(基础设施即服务(IaaS)第三章第三章 -3.1 -3.1 云计算云计算 3.1.1 云计算信息系统概述云计算信息系统概述图3-1 云计算服务模式与控制范围的关系第三章第三章 -3.1 -3.1 云计算云计算 3.1.2 云计算平台面临的安全威胁云计算平台面临的安全威胁 数据丢失、窜改或泄露数据丢失、窜改或泄露网络攻击网络攻击利用不安全接口的攻击利用不安全接口的攻击云服务中断云服务中断越权、滥用与误操作越权、滥用与误操作滥用云服务滥用云服务第三章第三章 -3.1 -3.1 云计算云计算 3.1.2 云计算平台面临的安全威胁云计算平台面临的安全威胁 利用共享技术漏洞进行的攻击利用共享技术漏洞进行的攻击过度依赖过度依赖数据残留数据残留第三章第三章 -3.1 -3.1 云计算云计算 3.1.2 云计算平台面临的安全威胁云计算平台面临的安全威胁 面临安全问题及其对等级保护和等级测评造成的影响:面临安全问题及其对等级保护和等级测评造成的影响:身份与权限控制。
身份与权限控制计算层并行计算的干扰计算层并行计算的干扰第三章第三章 -3.1 -3.1 云计算云计算 3.1.2 云计算平台面临的安全威胁云计算平台面临的安全威胁 表表3-1 云计算系统与传统信息系统保护对象的差异云计算系统与传统信息系统保护对象的差异层面云计算系统保护对象传统信息系统保护对象物理和环境安全机房及基础设施机房及基础设施网络和通信安全网络结构、网络设备、安全设备、虚拟化网络结构、虚拟网络设备、虚拟安全设备传统的网络设备、传统的安全设备、传统的网络结构设备和计算安全网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管理平台、数据库管理系统、终端传统主机、数据库管理系统、终端应用和数据安全应用系统、云应用开发平台、中间件、云业务管理系统、配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息等系统安全建设管理云计算平台接口、云服务商选择过程、SLA、供应链管理过程等N/A第三章第三章 -3.1 -3.1 云计算云计算 3.1.3 云计算安全扩展要求云计算安全扩展要求 1物理和环境安全物理和环境安全 二级:要求服务器和其他物理设备位于境内,二级:要求服务器和其他物理设备位于境内,IDC 应具有相应的应具有相应的资质;资质;三级:与二级相同;三级:与二级相同;四级:与三级相同。
四级:与三级相同第三章第三章 -3.1 -3.1 云计算云计算 3.1.3 云计算安全扩展要求云计算安全扩展要求 2网络和通信安全网络和通信安全第三章第三章 -3.1 -3.1 云计算云计算 3.1.3 云计算安全扩展要求云计算安全扩展要求第三章第三章 -3.1 -3.1 云计算云计算 3.1.3 云计算安全扩展要求云计算安全扩展要求第三章第三章 -3.1 -3.1 云计算云计算 3.1.3 云计算安全扩展要求云计算安全扩展要求第三章第三章 -3.1 -3.1 云计算云计算 3.1.3 云计算安全扩展要求云计算安全扩展要求第三章第三章 -3.1 -3.1 云计算云计算 3.1.4 安全扩展要求项分布安全扩展要求项分布第三章第三章 -3.2 -3.2 物联网物联网 3.2.1 物联网系统概述物联网系统概述 物联网(物联网(Internet of Things,IOT),顾名思义,就是),顾名思义,就是“物物相物物相连的网络连的网络”,是指通过各种信息传感设备(如传感器、射频识别技术、全,是指通过各种信息传感设备(如传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术),实时采集任球定位系统、红外感应器、激光扫描器等各种装置与技术),实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学等各种需要的信息,与互联网结合形成的一个巨大网络。
化学等各种需要的信息,与互联网结合形成的一个巨大网络第三章第三章 -3.2 -3.2 物联网物联网 3.2.1 物联网系统概述物联网系统概述 物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素图3-2 物联网系统构成第三章第三章 -3.2 -3.2 物联网物联网 3.2.2 物联网对等级测评技术的影响物联网对等级测评技术的影响 信号易被干扰信号易被干扰 针对性入侵技术针对性入侵技术 通信安全通信安全第三章第三章 -3.2 -3.2 物联网物联网 3.2.3 物联网安全扩展要求物联网安全扩展要求 1物理和环境安全物理和环境安全第三章第三章 -3.2 -3.2 物联网物联网 3.2.3 物联网安全扩展要求物联网安全扩展要求 2网络和通信安全网络和通信安全第三章第三章 -3.2 -3.2 物联网物联网 3.2.3 物联网安全扩展要求物联网安全扩展要求 3设备和计算安全设备和计算安全第三章第三章 -3.2 -3.2 物联网物联网 3.2.3 物联网安全扩展要求物联网安全扩展要求 4应用和数据安全应用和数据安全第三章第三章 -3.2 -3.2 物联网物联网 3.2.3 物联网安全扩展要求物联网安全扩展要求 5安全策略和管理制度安全策略和管理制度 一级:建立等级保护对象移动互联安全管理规范,并纳入等级保护对象管理安全制度;一级:建立等级保护对象移动互联安全管理规范,并纳入等级保护对象管理安全制度;二级:除一级要求外,还要求对管理人员或移动终端操作人员执行的日常管理操作建立二级:除一级要求外,还要求对管理人员或移动终端操作人员执行的日常管理操作建立 操作规程;操作规程;三级:除二级要求外,还要求等级保护对象管理制度中建立移动终端管理服务端操作使三级:除二级要求外,还要求等级保护对象管理制度中建立移动终端管理服务端操作使 用管理规定;用管理规定;四级:与三级相同。
四级:与三级相同第三章第三章 -3.2 -3.2 物联网物联网 3.2.3 物联网安全扩展要求物联网安全扩展要求 6安全建设管理安全建设管理第三章第三章 -3.2 -3.2 物联网物联网 3.2.3 物联网安全扩展要求物联网安全扩展要求 7安全运维管理安全运维管理第三章第三章 -3.2 -3.2 物联网物联网 3.2.4 安全扩展要求项分布安全扩展要求项分布第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.1 移动互联网系统概述移动互联网系统概述 移动互联网(移动互联网(MI)是一种通过智能移动终端,采用移动无线通信方式获取业务)是一种通过智能移动终端,采用移动无线通信方式获取业务和服务的新兴业务,包含终端、运行环境和应用三个层面和服务的新兴业务,包含终端、运行环境和应用三个层面采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。
对象一起定级第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.1 移动互联网系统概述移动互联网系统概述 图3-3 采用移动互联技术等级保护对象构成第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.2 移动互联网安全威胁移动互联网安全威胁 操作系统安全漏洞操作系统安全漏洞恶意吸费恶意吸费信息窃取信息窃取垃圾信息垃圾信息钓鱼欺诈钓鱼欺诈位置信息窃取位置信息窃取通话窃听通话窃听 后台拍摄后台拍摄 其他其他第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.3 移动互联安全扩展要求移动互联安全扩展要求 1物理和环境安全物理和环境安全 一级:为无线接入设备的安装选择合理位置;一级:为无线接入设备的安装选择合理位置;二级:与一级相同;二级:与一级相同;三级:与二级相同;三级:与二级相同;四级:与三级相同四级:与三级相同第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.3 移动互联安全扩展要求移动互联安全扩展要求 2网络和通信安全网络和通信安全第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.3 移动互联安全扩展要求移动互联安全扩展要求 3设备和计算安全设备和计算安全第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.3 移动互联安全扩展要求移动互联安全扩展要求 4应用和数据安全应用和数据安全第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.3 移动互联安全扩展要求移动互联安全扩展要求 5安全策略和管理制度安全策略和管理制度 一级:建立等级保护对象移动互联安全管理规范,并纳入等级保护对象管理安全制度;一级:建立等级保护对象移动互联安全管理规范,并纳入等级保护对象管理安全制度;二级:除一级要求外,还要求对管理人员或移动终端操作人员执行的日常管理操作建立二级:除一级要求外,还要求对管理人员或移动终端操作人员执行的日常管理操作建立 操作规程;操作规程;三级:除二级要求外,还要求等级保护对象管理制度中建立移动终端管理服务端操作使三级:除二级要求外,还要求等级保护对象管理制度中建立移动终端管理服务端操作使 用管理规定;用管理规定;四级:与三级相同。
四级:与三级相同第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.3 移动互联安全扩展要求移动互联安全扩展要求 6安全管理机构和人员安全管理机构和人员第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.3 移动互联安全扩展要求移动互联安全扩展要求 7安全建设管理安全建设管理第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.3 移动互联安全扩展要求移动互联安全扩展要求 8安全运维管理安全运维管理第三章第三章 -3.3 -3.3 移动互联网移动互联网 3.3.4 安全扩展要求项分布安全扩展要求项分布第三章第三章 -3.4 -3.4 工业控制系统工业控制系统 3.4.1 工业控制系统概述工业控制系统概述 工业控制系统(工业控制系统(ICS)是几种类型控制系统的总称,包括数据采集与监视控制)是几种类型控制系统的总称,包括数据采集与监视控制系统系统(SCADA)系统、集散控制系统()系统、集散控制系统(DCS)和其他控制系统从广义上说,工业控制系统是)和其他控制系统从广义上说,工业控制系统是对工业生产过程安全、信息安全和可靠运行产生作用和影响的人员、硬件和软件的集合。
对工业生产过程安全、信息安全和可靠运行产生作用和影响的人员、硬件和软件的集合第三章第三章 -3.4 -3.4 工业控制系统工业控制系统 3.4.1 工业控制系统概述工业控制系统概述 图3-4 SCADA 系统实施示意图第三章第三章 -3.4 -3.4 工业控制系统工业控制系统 3.4.1 工业控制系统概述工业控制系统概述 图3-5 DCS 系统实施示意图 DCS 系统主要由过程级、操作级和管理级构成DCS 主要的特点是利用局域网对控制回路进行集中监视和分散控制,主要应用于过程控制行业,如发电厂、炼油厂、水和废水处理、食品和医药加工等第三章第三章 -3.4 -3.4 工业控制系统工业控制系统 3.4.1 工业控制系统概述工业控制系统概述 图3-6 PLC 系统实施示意图 PLC 是可编程逻辑控制器的简称,广泛应用于几乎所有的工业生产过程中第三章第三章 -3.4 -3.4 工业控制系统。