《信息等级保护体系在云安全中的应用》由会员分享,可在线阅读,更多相关《信息等级保护体系在云安全中的应用(25页珍藏版)》请在金锄头文库上搜索。
1、信息等级保护体系在云安全中的应用信息等级保护体系在云安全中的应用研发中心2012.7目录等保要求下的云安全2等级保护标准体系1云安全管理中心CloudFirm3中华人民共和国计算机信息系统安全保护条例(1994年 国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)政策法规1994-2005等保标准体系2005-2008测评管理体系2008-2010落地实施2010-计算机信息系统安全保护计算机信息系统安全保护等级划分准则等级划分准则GB 17859-1999GB 17859-1999信息系统安全等级保护信息系统安全等级保护实施指南实施指南 定级:定级:信
2、息系统安全保护信息系统安全保护等级定级指南等级定级指南GB/T 22240-2008 GB/T 22240-2008 建设:建设:信息系统安全等级保护信息系统安全等级保护基本要求基本要求GB/T 22239-2008GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 测评:测评:信息系统安全等级保护信息系统安全等级保护测评要求测评要求 信息系统安全等级保护测评过程指南 管理:管理:信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 网监-网安测评机构认证(100多家)测
3、评师培训认证二级系统:5万多个三级系统:2万多个四级系统:100多个2011年三级系统增加100% 等级保护发展历程等级保护基本安全要求某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查等级保护基本级别划分不同级别系统控制项的差异
4、汇总等级保护实施流程目录等保要求下的云安全2等级保护标准体系1云安全管理中心CloudFirm3云计算中心必须满足等级保护的政策要求n 云计算中心仍然是一类信息系统,需要依照其重要性不同进行分级保护。n 云计算中心的安全工作必须依照等级保护的要求来建设运维。n 云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。常见的二级系统举例地市政府办公自动化系统(内部使用的)地市政府政务公开网站(外部信息发布)地市政府间协同办公系统企业电子商务网站银行网站特点:与核心业务无关常见的三级系统举例省政府办公自动化系统(内部使用的)省政府政务公开系统(交互式)省政府公文交换系统企业ERP系统银行生产网
5、特点:与业务密切相关的常见的四级系统举例国家电力调度系统(EMS)中国人民银行官方网站财政部财政支付系统交通部应急指挥调度系统银行生产系统特点:重要部门与核心业务密切相关的云计算中心的虚拟化安全 虚拟化技术的大量使用,使得云计算中心的各种资源组成了一个大的虚拟化世界,在这个世界里迫切需要建立安全秩序。 分租户的新运营模式要求在虚拟化网络里实现安全隔离。通过vSwitch等虚拟网络技术可以实现与物理环境相当的网络层安全隔离防护。 传统安全产品虚拟化入云可以为虚拟化环境引入成熟的安全技术,从而实现四到七层的应用安全。虚拟网络隔离技术n 网络隔离n QoS配置n 流量监控n 数据包分析安全设备虚拟化
6、入云各类安全设备虚拟化入云,可实现与虚拟机绑定的安全防护虚拟安全设备目录等保要求下的云安全2等级保护标准体系1CloudFirm云安全管理体系3CloudFirm的内涵CloudFirmCloudFirm安全产品安全产品安全技术安全技术安全管理安全管理n 目标:作为独立体系化产品严格参照等保要求设计、开发,力求达到合规、实用的设计目标,满足等级保护二级要求。考虑等保三级的扩展性。做到等保成果的可视化。做到等保成果的持久化。暂时不考虑虚拟化问题。n 指导思想: 贯穿云计算中心建设、整改、测评、运维全过程,全生命周期保证系统符合等保要求。CloudFirm设计目标及指导思想n 参考规范:技术:技术
7、: 信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 管理:管理: 信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 CloudFirm设计依据CloudFirm安全技术网络安全主机安全应用安全安全巡检系统监控事件管理应急响应管理运维CloudFirm云安全体系架构物理安全数据安全备份恢复制度规范合规性检查以等保为设计指导思想为云计算中心量身订做CloudFirm的设计思路物理/虚拟安全设备管理主机安全数据安全安全域隔离安全巡检、系统监控
8、事件管理、应急响应备份管理、模拟演练制度规范系统设计文档流程、运行记录合规性检查安全管理平台安全运维平台等保合规性平台1. 安全管理平台:云计算中心安全基础设施(设备、安全软件、网络)的配置管理。包括对虚拟安全设备镜像的管理。2. 安全运维平台:云计算中心的日常运维管理,对系统运行状态、异常事件等各种安全事件进行监控、记录、维护。3. 等保合规性平台:云计算中心管理制度的管理、文档记录,方便进行等保测评及合规性检查工作。CloudFirm安全管理安全技术系统运维管理环境管理资产管理介质管理主机安全身份鉴别访问控制安全审计入侵防范网络安全结构安全访问控制安全审计边界完整性入侵防范网络设备防护数据
9、安全数据完整性备份和恢复数据保密性物理安全位置选择访问控制防静电温湿度控制防盗系统应用安全身份鉴别访问控制安全审计通信完整性通信保密性电磁防护恶意代码防范资源控制容错资源控制人员安全管理人员录用人员离岗人员考核安全培训机构安全管理岗位设置人员配置授权和审批沟通和合作审核和检查制度安全管理制度管理制定和发布评审和修订系统建设管理系统定级方案设计产品采购软件管理实施管理外部人员管理测试验收交付管理设备管理网络安全管理系统安全管理恶意代码管理变更管理备份恢复管理安全事件处理应急预案管理CloudFirm整体结构图CloudFirm运维效果总结n 等级保护体系是云计算中心建设运维的指导标准。n 云计算中心的安全必须在等级保护的框架内进行建设,同时充分考虑虚拟化和运营等新的安全问题。现阶段基于vSwitch等虚拟网络安全技术和安全设备虚拟化运用是切实可行的手段。n CloudFirm的设计思路不仅要保证云计算中心的管理安全和运维安全,同时要起到保障合规性的效果,保证云计算中心在动态运营的过程中始终满足等级保护的要求,切实达到相应的安全级别。谢谢!谢谢!
