- 1、本文档共37页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
云等保标准研读及测评方法简介
武器vs. 战术
公安部信息安全等级保护评估中心
张振峰,2016年12月12日
等保大作战:武器& 战术
武器:基本要求 测评要求……
战术:管理办法 实施指南……
云等保战役:武器要升级要补充 战术要升级要补充
云等保的武器:系列标准的 《云计算安全扩展要求》
新修订的 《定级指南》……
云等保战术:……
一、云等保的定位
二、关于武器(标准)
三、关于战术(测评方法)
1 )如何理解《云计算安全扩展要求》与 《安全通用要求》之间的关系
2 )云等保模型
3 )测评依据不同
4 )测评指标选取的不同
5 )现场测评的方法不同
6 )得分计算方法不同
7 )报告分发的范围
8 )云平台的嵌套问题
云等保的定位
• 云等保不是新鲜的事物,而是在原等保框架下的新事物的扩展,因
此云等保各环节应与传统等保相同,包括定级、备案、建设整改、
测评、监督检查等。
• 等保框架下新增加的元素需要对原有等级保护相关工作的具体内容
进行扩充并统一。
关于武器
信息安全技术 网络安全等级保护基本要求
云计算安全扩展要求
(GB /T 22239.2 )
确保云计算服务器、承载云租户账户信息、鉴别信息、系统信
息及运行关键业务和数据的物理设备均位于中国境内; ->
物 确保云计算基础设施位于中国境内;
理 数据保密性从二级开始加入“确保云租户账户信息、鉴别
安 信息、系统信息存储于中国境内”;
全
美国国家信息与标准技术研究所(NIST )在其云定义中也明
确指出:云客户通常不必知晓和控制资源的确切物理位置,但
应能够在一个更高的抽象层次上(比如说国家、州或者数据中
心)指定资源位置。
云计算基础设施、云管理平台(云操作系统, Hypervisor )
的组件自身安全应遵循 《安全通用要求》 ;
平 登录云管理平台( Hypervisor )等的管理用户进行相应等
台 级的身份鉴别,确保云平台运维管理员和云服务管理员权限
安
分离;
全
当进行远程管理时,管理终端和云计算平台边界设备之间应
建立双向身份验证机制。
应保证云平台管理流量与云租户业务流量分离;
禁止虚拟实例直接访问宿主机上的物理硬件;
资 不同虚拟机之间的虚拟CPU指令隔离;
源
应保证分配给虚拟机的内存空间仅供其独占访问;
隔
离
应根据承载的业务系统安全保护等级划分资源池,并实现资
源池之间的隔离; ->
资 应根据云租户业务系统的重安全等级划分网络安全区域并
源
设置区域间访问控制规则;
隔
应对虚拟机逃逸行为进行检测和告警;
离
应保证虚拟机仅能迁移至相同安全保护等级的资源池。
依据访问控制策略实现虚拟机之间访问;
实现云平台管理用户权限分离机制,为网络管理员、系统管
访 理员建立不同账户并分配相应的权限;
问 确保只有在云租户授权下,云服务方或第三方才具有云租户
控
数据的管理权限;
制
云计算平台应提供开放接口或开放性安全服务,允许云租户
接入第三方安全产品或在云平台选择第三方安全服务。
应为安全审计数据的汇集提供接口,可供第三方审计;
审 应根据云服务方和云租户的职责划分实现各自控制部分的集
计
中审计;
与
应保证云服务方对云租户系统和数据的操作可被云租户审计;
文档评论(0)