云安全等保防護(hù)解決方案0001

1、精品文檔 概述 隨著美國(guó)棱鏡門事件以來(lái)，信息安全受到越來(lái)越多的國(guó)家和企業(yè)的重視，特 別是今年從國(guó)家層面成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，因此就某種程度而言， 2014年可以說(shuō)是真正的信息安全元年。就當(dāng)前的信息安全建設(shè)驅(qū)動(dòng)來(lái)看，主要 來(lái)自政策性合規(guī)驅(qū)動(dòng)和市場(chǎng)需求驅(qū)動(dòng)是兩個(gè)重要的驅(qū)動(dòng)點(diǎn)。 從政策層面看國(guó)家成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，強(qiáng)調(diào)自主可控是信 息安全領(lǐng)域國(guó)家的基本意志體現(xiàn)。同時(shí)也出臺(tái)了相關(guān)的政策要求對(duì)信息安全產(chǎn) 品、云計(jì)算服務(wù)等進(jìn)行安全審查，通過(guò)政策、法律、規(guī)范的合規(guī)性要求加強(qiáng)對(duì)信 息安全的把控。 從需求層面來(lái)看，隨著愈演愈烈各種的信息泄密事件、大熱的APT攻擊等， 大量的企業(yè)對(duì)信息安全的

2、認(rèn)識(shí)已經(jīng)從過(guò)去的 “被動(dòng)防御”轉(zhuǎn)變成“主動(dòng)防御”，尤其 是新型的互聯(lián)網(wǎng)金融、 電商業(yè)務(wù)、云計(jì)算業(yè)務(wù)等都前瞻性企業(yè)都把安全當(dāng)做市場(chǎng) 競(jìng)爭(zhēng)的重要砝碼，并尋求各種資源不斷提升用戶對(duì)其信任性。 用戶選擇云計(jì)算服務(wù)的角度來(lái)看，我們了解了很多的云計(jì)算用戶或潛在的 云計(jì)算用戶，用戶的一項(xiàng)業(yè)務(wù)在往云計(jì)算中心遷移時(shí)考慮的前三位的要素一般是 安全、技術(shù)成熟度和成本， 其中首要考慮的是安全。 因?yàn)橛捎谠品?wù)模式的應(yīng)用， 云用戶的業(yè)務(wù)數(shù)據(jù)都在云端， 因此用戶就擔(dān)心自己的隱私數(shù)據(jù)會(huì)不會(huì)被其他人看 到，數(shù)據(jù)會(huì)不會(huì)被篡改， 云用戶的業(yè)務(wù)中斷了影響收益怎么辦， 云計(jì)算服務(wù)商聲 稱的各種安全措施是否有、 能否真正起作用等， 云

3、用戶不知道服務(wù)提供商提供的 云服務(wù)是否真的達(dá)到許諾的標(biāo)準(zhǔn)等擔(dān)憂。 1. 云環(huán)境下的等級(jí)保護(hù)問(wèn)題研究 綜上所述，用戶在選擇云計(jì)算的時(shí)候首先會(huì)考慮安全性，對(duì)普通用戶來(lái)說(shuō)， 云計(jì)算服務(wù)的合規(guī)性是安全上很重要的參考依據(jù)。 云計(jì)算服務(wù)的安全合規(guī)目前主 要有等級(jí)保護(hù)、27001、CSA云計(jì)算聯(lián)盟的相關(guān)認(rèn)證。其中等級(jí)保護(hù)是一項(xiàng)基本 政策，比如用戶的一個(gè)等級(jí)保護(hù)三級(jí)的業(yè)務(wù)， 采用云計(jì)算模式時(shí)， 一定要求云計(jì) 算服務(wù)必須達(dá)到三級(jí)的要求。 1.1 等級(jí)保護(hù)挑戰(zhàn) 傳統(tǒng)的等級(jí)保護(hù)標(biāo)準(zhǔn)主要面向靜態(tài)的具有固定邊界的系統(tǒng)環(huán)境。 然而，對(duì)于 云計(jì)算而言， 保護(hù)對(duì)象和保護(hù)區(qū)域邊界都具有動(dòng)態(tài)性。 因此， 云計(jì)算環(huán)境下的等 級(jí)保護(hù)

4、面臨新的挑戰(zhàn) : 業(yè)務(wù)可控性 云計(jì)算環(huán)境下， 數(shù)據(jù)可能會(huì)在數(shù)據(jù)中心和物理主機(jī)之間移動(dòng)， 導(dǎo)致用戶無(wú)法 知道數(shù)據(jù)真實(shí)存儲(chǔ)位置。 另外，云平臺(tái)引入了虛擬抽象層， 其覆蓋范圍可以涵蓋 不同區(qū)域的物理設(shè)施，傳統(tǒng)的等級(jí)保護(hù)并沒有考慮這種情況。 核心技術(shù)的自主可控 由于云計(jì)算中許多核心技術(shù)仍然控制在國(guó)外企業(yè)手中， 許多所謂的自主產(chǎn)品 也可能是對(duì)國(guó)外購(gòu)買的商業(yè)產(chǎn)品的改良，本質(zhì)就是買下了推廣他人產(chǎn)品的權(quán)利， 隨著國(guó)內(nèi)云市場(chǎng)的不斷發(fā)展，對(duì)云環(huán)境的自主可控性帶來(lái)很大的挑戰(zhàn)。 虛擬化安全 在云計(jì)算安全保障中， 僅僅采用傳統(tǒng)的安全技術(shù)是不夠的， 虛擬化帶來(lái)了新 的安全風(fēng)險(xiǎn)。 當(dāng)前，對(duì)云計(jì)算虛擬化安全技術(shù)還不成熟， 對(duì)

5、虛擬化的安全防護(hù)和 保障技術(shù)測(cè)評(píng)則成為云環(huán)境等級(jí)保護(hù)的一大難題。 1.2 等級(jí)保護(hù)研究現(xiàn)狀分析 當(dāng)前，云計(jì)算依然面臨各種安全風(fēng)險(xiǎn)。 等級(jí)保護(hù)作為應(yīng)對(duì)云計(jì)算安全的重要 手段，得到了人們廣泛的關(guān)注。 1 歡。迎下載 精品文檔 對(duì)于云計(jì)算環(huán)境下的等級(jí)保護(hù)建設(shè)問(wèn)題，沈昌祥提出云計(jì)算中心是特殊的信 息系統(tǒng)，可參照GB/T25070-2010信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求，把 云計(jì)算中心從用戶網(wǎng)絡(luò)接入、訪問(wèn)應(yīng)用邊界、計(jì)算環(huán)境和管理平臺(tái)進(jìn)行劃分，構(gòu) 建在安全管理中心支持下的可信通信網(wǎng)絡(luò)、可信應(yīng)用邊界和可信計(jì)算環(huán)境三重安 全防護(hù)框架，并按照GB/17859評(píng)估準(zhǔn)則進(jìn)行評(píng)估。 對(duì)于云計(jì)算安全中的等級(jí)保護(hù)要求和

6、評(píng)測(cè)問(wèn)題，朱圣才從應(yīng)用安全和系統(tǒng)安 全兩個(gè)角度給出了云計(jì)算安全中的等級(jí)保護(hù)要求。 張京海等人設(shè)計(jì)了基于云服務(wù) 架構(gòu)的等級(jí)保護(hù)要求。從5個(gè)層面的技術(shù)要求和5個(gè)層面的管理要求對(duì)傳統(tǒng)等級(jí) 保護(hù)要求進(jìn)行了擴(kuò)展。趙繼軍等人指出了等級(jí)保護(hù)測(cè)評(píng)中需要關(guān)注的控制項(xiàng)和風(fēng) 險(xiǎn)。姜政偉等人則提出了基于等級(jí)保護(hù)的云計(jì)算安全評(píng)估模型。構(gòu)建了云計(jì)算安 全評(píng)估指標(biāo)體系。 上述工作表明，云計(jì)算環(huán)境下的等級(jí)保護(hù)問(wèn)題得到了廣泛的關(guān)注。 2.云計(jì)算的等級(jí)保護(hù)建設(shè)方案闡述 2.1云業(yè)務(wù)模式的發(fā)展 云計(jì)算已經(jīng)深刻的影響到了 IT架構(gòu)、業(yè)務(wù)系統(tǒng)部署方式，以及服務(wù)模式 形成了端（終端）、管（管道）、云（云端）的IT架構(gòu)。 業(yè)務(wù)系統(tǒng)和數(shù)據(jù)集

7、中部署在云端，即云數(shù)據(jù)中心的資源池內(nèi)。有利于統(tǒng)一的 數(shù)據(jù)安全保護(hù)和業(yè)務(wù)系統(tǒng)的統(tǒng)一部署、管理，提升 IT資源利用率降低成本、資 源消耗。同時(shí)，移動(dòng)互聯(lián)網(wǎng)絡(luò)、4G技術(shù)的發(fā)展極大拓寬了管道的寬度，使得更 加豐富的終端接入提供了良好條件。 在終端側(cè)，對(duì)終端設(shè)備的性能、規(guī)格要求更 加寬泛，終端類型也在不斷豐富， 尤其各類移動(dòng)終端使得終端用戶可以更加靈活、 隨時(shí)隨地的享用云端各類服務(wù)。 “端、管、云 ”的新型模式，可以讓用戶快速、彈性、按需、隨時(shí)隨地的獲取 到 IT 資源和服務(wù)， 實(shí)現(xiàn) IT 即服務(wù)的轉(zhuǎn)變， 是重要的一次信息化變革。 但這種新 型的 IT 架構(gòu)，也帶來(lái)了新的安全挑戰(zhàn)和安全需求。 2.2 云

8、計(jì)算安全需求 終端側(cè)：主要考慮用戶終端的安全。采用桌面云的方式是解決云計(jì)算環(huán)境 下終端安全問(wèn)題的很好的辦法。終端的處理能力（包括CPU和硬盤）集中到云計(jì)算 資源中心，個(gè)人終端變成瘦客戶端，終端本地不保存數(shù)據(jù)，保障信息安全性，并 且不提供計(jì)算能力 ;通過(guò)桌面云平臺(tái)，給每個(gè)終端提供虛擬化的 “計(jì)算機(jī) ”或推送 應(yīng)用的界面， 每個(gè)終端所使用的資源都是共享的， 計(jì)算資源動(dòng)態(tài)伸縮， 實(shí)現(xiàn)對(duì)資 源的“按需分配 ”的管理。 傳輸（管道）:主要考慮用戶側(cè)到云端傳輸信息加密、用戶接入的認(rèn)證和授 權(quán)等安全措施。 云計(jì)算中心（云端）:針對(duì)云計(jì)算中心區(qū)域邊界、計(jì)算環(huán)境、虛擬化環(huán)境， 云計(jì)算中心綜合采用身份認(rèn)證、 訪問(wèn)

9、控制、 入侵檢測(cè)、 惡意代碼防范、 安全審計(jì)、 防病毒、數(shù)據(jù)加密等多種技術(shù)和措施， 實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的可用性、 完整性和保密性 保護(hù)。 云數(shù)據(jù)安全建設(shè)，依據(jù)客戶實(shí)際需求和相關(guān)安全合規(guī)標(biāo)準(zhǔn)， 進(jìn)行數(shù)據(jù)創(chuàng)建、 傳輸、存儲(chǔ)、使用、共享和銷毀在內(nèi)的全生命周期的云環(huán)境下的數(shù)據(jù)安全設(shè)計(jì)， 以及數(shù)據(jù)安全體系建設(shè)。 保障用戶數(shù)據(jù)在云環(huán)境下的安全使用， 保護(hù)云環(huán)境中的 數(shù)據(jù)的機(jī)密性、可用性、完整性。 2.3 云環(huán)境下的等保安全防護(hù)思路 云計(jì)算從安全域的角度，可以分為安全計(jì)算域、安全網(wǎng)絡(luò)域和安全管理域。 安全計(jì)算域是相同安全保護(hù)等級(jí)的物理主機(jī) / 服務(wù)器的集合，安全網(wǎng)絡(luò)域是由通信網(wǎng)絡(luò)和接入網(wǎng)絡(luò)構(gòu)成。安全管理域是對(duì)整體

10、云計(jì)算中安全事件收集與管控報(bào)警 的系統(tǒng)平臺(tái)。 云計(jì)算安全部署結(jié)構(gòu)，如下圖所示： 圖云計(jì)算部署架構(gòu) 云計(jì)算的各安全域涵蓋了云計(jì)算中的計(jì)算環(huán)境、云邊界、云通信網(wǎng)絡(luò)及管理 中心，對(duì)應(yīng)的安全措施如下： (1)云計(jì)算計(jì)算環(huán)境安全 云計(jì)算計(jì)算環(huán)境包含私有云安全計(jì)算域、 公共云安全計(jì)算域。其中私有云安 全計(jì)算域是進(jìn)行安全設(shè)備部署的重點(diǎn)，可采取的安全措施主要包括：4A系統(tǒng)、 虛擬安全網(wǎng)關(guān)、主機(jī)加固和加密機(jī)等設(shè)備和手段。公共云安全計(jì)算域，應(yīng)采取基 礎(chǔ)平臺(tái)安全審查、 評(píng)定，托管鏡像加密和租用應(yīng)用加固的安全措施， 保障擴(kuò)散到 公共云平臺(tái)上的資源、數(shù)據(jù)安全可靠。 (2) 云計(jì)算邊界安全 云計(jì)算邊界環(huán)境由物理的接入網(wǎng)絡(luò)

11、邊界和虛擬化網(wǎng)絡(luò)邊界組成， 物理網(wǎng)絡(luò)接 入邊界的防護(hù)， 采取傳統(tǒng)安全網(wǎng)關(guān)即可。 針對(duì)虛擬化平臺(tái)中， 應(yīng)在虛擬平臺(tái)中部 署虛擬安全網(wǎng)關(guān)進(jìn)行虛擬安全邊界防護(hù)。 (3) 云計(jì)算通信網(wǎng)絡(luò)安全 在云計(jì)算環(huán)境下， 通信網(wǎng)絡(luò)包括傳統(tǒng)網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)兩部分。 對(duì)于從外部網(wǎng) 絡(luò)接入云計(jì)算中心的通信網(wǎng)絡(luò)，應(yīng)借助在網(wǎng)絡(luò)接入邊界處部署的VPN設(shè)備實(shí)現(xiàn) SSL IPSEC的安全隧道通信；在云計(jì)算平臺(tái)節(jié)點(diǎn)內(nèi)部的虛擬網(wǎng)絡(luò)，可通過(guò)部署在 虛擬化平臺(tái)內(nèi)部的VPN組件實(shí)現(xiàn)安全隧道功能。 (4) 云計(jì)算安全管理中心 云計(jì)算環(huán)境安全管理中心對(duì)私有云和公共云中的所屬資產(chǎn)、資源的運(yùn)行狀 況，以及相關(guān)行為、安全事件、安全預(yù)警等進(jìn)行集中監(jiān)管。通過(guò) SNMP Syslog 、 ODBC API 等協(xié)議接口和數(shù)據(jù)文件，進(jìn)行綜合分析形成安全報(bào)表、整體安全態(tài)勢(shì) 報(bào)告。使得安全風(fēng)險(xiǎn)可視化、 風(fēng)險(xiǎn)告警全面化和風(fēng)險(xiǎn)處置專業(yè)化， 從而實(shí)現(xiàn)安全 風(fēng)險(xiǎn)集中化管控。 3. 總結(jié) 云計(jì)算的高速發(fā)展需要有等級(jí)保護(hù)措施提供基本保障。 現(xiàn)有的許多等級(jí)保護(hù) 建議和方案主要針對(duì)獨(dú)立的云環(huán)境。 本文闡述了云計(jì)算環(huán)境下等級(jí)保護(hù)面臨的挑 戰(zhàn)，指出了當(dāng)前云環(huán)境的等級(jí)保護(hù)要求研究工作的不足， 提出