基于云计算平台的信息系统如何开展等级保护工作
近几年随着云计算技术的快速发展,以及其的广泛应用,云计算系统作为新拓展的保护对象已纳入等级保护工作范围,今天有幸在此就基于云计算平台的信息系统如何开展等级保护工作的一些工作方
|
近几年随着云计算技术的快速发展,以及其的广泛应用,云计算系统作为新拓展的保护对象已纳入等级保护工作范围,今天有幸在此就基于云计算平台的信息系统如何开展等级保护工作的一些工作方法做下讨论及分享。 一、概念阐释1.1、云计算 一种通过网络提供计算资源的服务模式,在该模式下,云租户按需动态自助供给、管理各类计算资源。 1.2、云计算平台 由云服务方提供的云计算基础设施及其上服务层软件的集合。 1.3、云服务方 云服务的提供者,包括与云租户建立商业关系或没有商业关系的云服务提供者。 1.4、云租户 租用或使用云计算资源的客户,包括计费的和不计费的云服务的机构和个人。 1.5、云服务 由云服务方使用云计算提供的服务。 二、云服务模式及安全责任主体阐析 结合公安部信息安全等级保护评估中心牵头组织编制的《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》(GB/T 22239.2—XXXX)的内容,分别对云服务的模式及不同云服务模式下的安全管理责任主体作阐述分析,具体内容如下: 2.1、云服务模式阐析 云服务的服务模式包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS),具体如下: 2.2、云服务模式安全管理责任主体阐析2.2.1、基础设施即服务 Infrastructure As A Service(IaaS) 层面 安全要求 安全组件 责任主体 物理和环境安全 物理位置选择 数据中心及物理设施 云服务方 网络和通信安全 网络结构、访问控制、远程访问、入侵防范、安全审计 物理网络及附属设备、虚拟网络管理平台 云服务方 云租户虚拟网络安全域 云租户 设备和计算安全 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等 云服务方 云租户虚拟网络设备、虚拟安全设备、虚拟机等 云租户 应用和数据安全 安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 云管理平台(含运维和运营)、 镜像、快照等 云服务方 云租户应用系统及相关软件组件、云租户应用系统配置、云租户业务相关数据等 云租户 安全管理机构和人员 授权和审批 授权和审批流程、文档等 云服务方 系统安全建设管理 安全方案设计、测试验收、云服务商选择、供应链管理 云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息 云服务方 云服务商选择及管理流程 云租户 系统安全运维管理 监控和审计管理 监控和审计管理的相关流程、策略和数据 云服务方、云租户 2.2.2、平台即服务 Platform As A Service(PaaS) 层面 安全要求 安全组件 责任主体 物理和环境安全 物理位置选择 数据中心及物理设施 云服务方 网络和通信安全 网络结构、访问控制、远程访问、入侵防范、安全审计 物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域 云服务方 设备和计算安全 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等 云服务方 应用和数据安全 安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 云管理平台(含运维和运营)、 镜像、快照等 云服务方 云租户应用系统及相关软件组件、云租户应用系统配置、云租户业务相关数据等 云租户 安全管理机构和人员 授权和审批 授权和审批流程、文档等 云服务方 系统安全建设管理 安全方案设计、测试验收、云服务商选择、供应链管理 云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息 云服务方 云服务商选择及管理流程 云租户 系统安全运维管理 监控和审计管理 监控和审计管理的相关流程、策略和数据 云服务方 2.2.3、软件即服务 Software As A Service(SaaS) 层面 安全要求 安全组件 责任主体 物理和环境安全 物理位置选择 数据中心及物理设施 云服务方 网络和通信安全 网络结构、访问控制、远程访问、入侵防范、安全审计 物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域 云服务方 设备和计算安全 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等 云服务方 应用和数据安全 安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 云管理平台(含运维和运营)、镜像、快照等、应用系统及相关软件组件 云服务方 云租户应用系统配置、云租户业务相关数据等 云租户 安全管理机构和人员 授权和审批 授权和审批流程、文档等 云服务方 系统安全建设管理 安全方案设计、测试验收、云服务商选择、供应链管理 云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息 云服务方 云服务商选择及管理流程 云租户 系统安全运维管理 监控和审计管理 监控和审计管理的相关流程、策略和数据 云服务方 三、基于“云”的信息系统如何开展等保工作3.1、定级备案工作 在云计算环境中,将会存在云服务方及云租户两个关键的安全管理责任主体,在进行相应的定级备案工作的过程中,应将云服务方所提供的云计算平台单独作为定级对象进行定级,将云租户运行在云服务方所提供云计算平台上的信息系统单独作为定级对象进行定级;在分别对云服务方及云租户的定级对象作定级时,应遵从等级保护定级的“就高”原则,也就是说,如果云租户运行在云服务方所提供云计算平台上的信息系统为等保二、三级的,则云服务方提供的云计算平台应定级为等保三级,而该云计算平台则不能承载等保四级及以上的云租户信息系统。 在进行信息系统安全等级保护备案工作过程中,云服务方和云租户应分别在其所在地市级以上的公安机关网监部门进行信息系统的备案工作,并获取相应的信息系统安全等级保护备案证明。 3.2、安全建设工作 云服务方及云租户在开展信息系统建设的初期,应充分结合《信息安全技术 网络安全等级保护基本要求 第1部分安全通用要求》(GB/T 22239.1—XXXX)、《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》(GB/T 22239.2—XXXX)中的相关安全要求内容进行安全设计,并依照开展相应信息系统的安全建设工作,同时在信息系统安全建设完进入系统运维阶段时,云服务方及云租户还需重点关注自身安全管理体系的建设工作。 3.3、等保测评工作 云服务方及云租户在分别对云计算平台和云租户信息系统开展等保测评工作时,应委托具有具有公安部认证资质的测评机构,并依据信息安全技术 网络安全等级保护基本要求第1部分 安全通用要求》(GB/T 22239.1—XXXX)、《信息安全技术网络安全等级保护基本要求 第2部分:云计算安全扩展要求》(GB/T22239.2—XXXX)开展等保测评工作。 云服务方在等保测评工作中,应对其提供云服务的云计算平台的物理基础设施、网络(含物理网络及虚拟网络)环境及设备(含网络通信及安全防护设备)、承载云服务的物理/虚拟主机、云管理应用业务平台、数据安全保护(含备份恢复)、安全策略及管理制度、安全管理机构及人员、安全建设管理、安全运维管理等方面开展等保测评获取相应的测评数据云计算管理系统,并分析评估输出正式的《测评报告》。 云租户在等保测评工作中,应重点对其运行在云服务方提供的云计算平台上的信息系统的网络(主要是虚拟网络)环境及设备(含虚拟网络通信及虚拟安全防护设备资源)、承载业务应用的虚拟主机、云租户的应用系统及相关软件组件、安全策略及管理制度、安全管理机构及人员、安全建设管理、安全运维管理等方面开展等保测评获取相应的测评数据,并分析评估输出正式的《测评报告》。 在云租户开展等保测评工作中有涉及到需要获取云服务方的测评数据的,云租户应与云服务方协调并签署相应的《保密协议》后,再有云服务方将其相应的测评数据进行提供给云租户。 四、总结 云服务方及云租户应严格遵从“谁使用谁负责,谁主管谁负责,谁运营谁负责”的原则,严格按照《中华人民共和国网络安全》、国家及行业的网络安全规范及标准开展等保工作,履行好相应的网络安全保护责任及义务,切实做好网络安全保护工作,保障系统的稳定运行。 同时,云服务方应切实认真做好云计算平台的基础安全保护,才能更好的向云租户提供优质安全的云服务;云租户不能因为自己的信息系统托管存放在云服务方的云计算平台上,就认为其所管理及使用的信息系统的安全责任全部归属云服务方全权负责;安全责任重于泰山,云服务方与云租户应合力共同做好网络安全保护的相关工作,为国家的网络安全工作贡献一份力,没有网络安全就没有国家安全。
(编辑:温州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
