等保2.0時代 云等保合規(guī)建設內容一覽_第1頁
等保2.0時代 云等保合規(guī)建設內容一覽_第2頁
等保2.0時代 云等保合規(guī)建設內容一覽_第3頁
等保2.0時代 云等保合規(guī)建設內容一覽_第4頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

———等保2.0時代云等保合規(guī)建設內容一覽隨著《網絡安全法》的頒布,等級保護制度上升到法律水平。在此背景下培育等保2.0與以前的等保要求相比,等級保護的對象、保護的內容、保護的體系大不相同。

當然,云等保不是新鮮的,而是原等??蚣芟碌臄U展要求。云等保的各個環(huán)節(jié)與傳統(tǒng)等保相同,包括等級、申報、建設整改、評價、監(jiān)督檢查等,因此只需擴展和統(tǒng)一現(xiàn)有等級保護相關工作的具體內容。

傳統(tǒng)信息系統(tǒng)的網絡架構伴隨業(yè)務變化而變化,系統(tǒng)各組件功能與硬件緊耦合,在安全防護上強調分區(qū)域和縱深防御。直觀上來說,就像鐵路局各管一段,信息系統(tǒng)通常以物理網絡或者安全設備為邊界進行劃分。

但云計算系統(tǒng)的網絡結構是扁平的,業(yè)務應用系統(tǒng)和硬件平臺松耦合,就像空運一樣。若對信息系統(tǒng)進行劃分,僅以物理網絡或安全設備為邊界,則不能體現(xiàn)業(yè)務應用系統(tǒng)的邏輯關系,更不能保證業(yè)務信息的安全。

云計算系統(tǒng)邊界劃分

云計算系統(tǒng)邊界劃分基本場景包括兩個類型:

第一類場景:存在業(yè)務應用不獨占硬件物理資源或硬件物理資源上運行的基礎服務系統(tǒng)是所有業(yè)務應用公用的情況,這時定級系統(tǒng)的邊界應劃在虛擬邊界處,這個虛擬邊界就是運行業(yè)務應用所用到的最底層獨占虛擬資源,通常是虛擬機。如下圖所示:

在上圖場景中有3個業(yè)務應用,通過對業(yè)務應用的梳理,業(yè)務應用1單獨成為一個定級系統(tǒng),業(yè)務應用2和業(yè)務應用3組成另一個定級系統(tǒng)。這兩個定級系統(tǒng)共用底層服務,因此我們把底層服務連同硬件一起作為一個定級系統(tǒng)C,即云計算平臺。定級系統(tǒng)A和定級系統(tǒng)B就是云平臺上承載的業(yè)務應用系統(tǒng)。

第二類場景:業(yè)務應用對應的系統(tǒng)模塊存在相對的底層服務和硬件資源,因此可以將整個系統(tǒng)邊界劃分到硬件物理設備,從而確定兩個定級系統(tǒng),如下圖所示。如果這個場景對應的是對外服務的云計算系統(tǒng),那么定級系統(tǒng)A就是一個使用了云計算技術的應用系統(tǒng),而頂級系統(tǒng)B是另一個使用了云計算技術的應用系統(tǒng)。同理,我們依然可以在定級系統(tǒng)B上嵌套場景1,此時定級系統(tǒng)B這個云計算平臺就會承載更多的業(yè)務應用系統(tǒng)。

云等保責任共擔與定級

在對云計算系統(tǒng)進行測評時應同時滿足安全通用要求和云計算安全擴展要求部分的相關要求。在這個過程中根據云上系統(tǒng)的責任分擔不同,要對安全通用要求和云計算安全擴展要求做拆分,云服務商和云服務客戶針對應要求采取對應安全保護措施。

這時我們要考慮幾方面因素,首先要確定被測系統(tǒng)是云計算平臺還是業(yè)務應用系統(tǒng)。其次,確定被測系統(tǒng)使用哪種服務模式,以此來確定保護責任。

在確定了服務商和客戶各自保護責任之后,在定級過程中需要注意以下4點:

1、云計算平臺安全保護等級,原則上不低于其承載的業(yè)務系統(tǒng)的安全保護等級。

2、國家關鍵信息基礎設施(重要云計算平臺)的安全保護等級應不低于第三極。

3、在云計算環(huán)境中,應將云資源平臺作為單獨定級對象,云租戶側的等級保護對象也應作為單獨的定級對象定級。

4、對于大型云計算平臺,應將云計算基礎設施和有關輔助服務系統(tǒng)劃分為不同的定級對象。

云等保的備案方法

傳統(tǒng)企業(yè)IT基礎設施、運維地點、工商注冊地基本一致,備案地明確。但是,云計算系統(tǒng)基礎設施通常遍布多地,與運維地點和工商注冊地不完全一致,存在備案地點不明確的問題。

云服務商負責將云計算平臺的定級結果向所轄機關進行備案,備案地應為運維管理端所在地。云租戶負責對云平臺上承載的租戶信息系統(tǒng)進行定級備案,備案地為工商注冊或實際經營所在地。

云等保的建設整改

云等保的建設整改/測評對象與傳統(tǒng)信息系統(tǒng)建設整改/測評對象大不相同,如下表所示。云計算系統(tǒng)保護對象中增加了虛擬化、云管理平臺、鏡像文件等云計算獨有內容。

云平臺在安全建設中,強調安全能力集成,包括統(tǒng)一身份認證、統(tǒng)一用戶授權、統(tǒng)一賬戶管理、統(tǒng)一安全審計等。在平臺內部強調通訊加密與認證、動態(tài)監(jiān)測預警、快速應急響應能力建設、安全產品合規(guī)等。

云計算系統(tǒng)測評打分

在對云計算系統(tǒng)測評打分時,業(yè)務系統(tǒng)打分是不需要與云計算平臺的得分結果共同計算,只需將業(yè)務系統(tǒng)可測評項進行打分后計算即可,不可測項做"N/A'處理。

那么是否完全不考慮云平臺的得分結果呢?顯然不是,在做業(yè)務系統(tǒng)測評前首要看的就是云計算平臺是否完成等級測評,然后索要云平臺測評報告結論蓋章頁。在出具云服務客戶業(yè)務應用系統(tǒng)報告時,將云平臺測評得分一并放在最終得分一欄。如:云服務客戶業(yè)務應用系統(tǒng)測評得分為85分,云計算平臺得分為90分,則云服務客戶業(yè)務應用系統(tǒng)等級測評報告得分欄填寫"(85,90)'。

此外,需要特別注意:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論