10 元
下载资源

等保2.0解读

上传人:猪** 文档编号:243355629 上传时间:2024-09-21 格式:PPT 页数:50 大小:7.88MB
返回 下载 相关 举报
等保2.0解读_第1页
第1页 / 共50页
等保2.0解读_第2页
第2页 / 共50页
等保2.0解读_第3页
第3页 / 共50页
点击查看更多>>
资源描述
,2019-07-02,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,等保,1.0,&,等保,2.0,标准对比,等级保护发展历程简介,第九条:,计算机信息系统实行安全等级保护。,1994,年,-,国务院,147,号令,信息安全保障纲领性文件。,第二条:,实行信息安全等级保护。,2003,年,-,中办发,27,号文,强制性标准:,规定了我国计算机信息系统安全保护能力的五个等级。,1999,年,-GB,17859,第二十一条:,国家实行网络安全等级保护制度。,2017,年,-,网络安全法,等保与,网络安全法,及应对思路,第二十一条,国家,实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,:,(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;,(,二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,;,(,三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月,;,(,四)采取数据分类、重要数据备份和加密等措施,;(,五)法律、行政法规规定的其他义务。,第三十一条,国家,对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,,可能严重危害国家安全、国计民生、,公共利益的关键信息基础设施,,在网络安全等级保护制度的基础上,实行重点保护。,关键信息基础设施的具体范围和安全保护办法由国务院制定,。,关键信息基础设施的安全保护等级,不低于第三级,不做等保就是违法!,违反,网络安全法,需承担相关法律责任,第五十九条,网络运营者,不履行本法,第二十一条、第二十五条,规定的网络安全保护义务的,由有关主管部门,责令改正,给予警告,;,拒不改正或者导致危害网络安全等后果的,,处一万元以上十万元以下罚款,;,对,直接负责的主管人员,处五千元以上五万元以下罚款。,关键信息基础设施的运营者,不履行本法,第三十三条、第三十四条、第三十六条、第三十八条,规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,;,拒不改正或者导致危害网络安全等后果的,,处十万元以上一百万元以下罚款,;,对,直接负责的主管人员,处一万元以上十万元以下罚款。,网络安全法,部分执法案例,信息来源:“公安三所网络安全法律研究中心”微信公众号,等级保护工作实施流程,1.,确定信息系统的安全防护等级,形成定级报告。,2.,持定级,报告和备案表到,当地公安机关网监部门进行备案。,3.,参照信息系统当前等级要求和标准,对信息系统进行整改加固。,4.,委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告。,5.,向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。,定级,备案,建设整改,等级测评,监督检查,信息来源:中国网络安全等级保护网,等保,2.0,来了,业界重新洗牌,,大家都在同一起跑线上!,等保,2.0,标准发布情况介绍,已发布,(,公安行标,),信息安全技术 网络安全等级保护定级指南,GA/T 1389-2017,信息安全技术 网络安全等级保护基本要求 第,2,部分:云计算安全扩展要求,GA/T 1390.2-2017,信息安全技术 网络安全等级保护基本要求 第,3,部分:移动互联安全扩展要求,GA/T 1390.3-2017,信息安全技术 网络安全等级保护基本要求 第,5,部分:工业控制系统安全扩展要求,GA/T 1390.5-2017,未发布,(,国标,),信息安全技术 网络安全等级保护基本要求(送审稿),GB/T,22239-20XX,信息安全技术 网络安全等级保护安全设计技术要求(送审稿),GB/T,25070-20XX,信息安全技术 网络安全等级保护测评要求(送审稿),GB/T,28448-20XX,信息安全技术 网络安全等级保护实施指南(送审稿),GB/T,25058-20XX,1,等保,2.0,核心变化介绍,等级,保护,2.0,时代,2016,年,10,月,10,日,第五届等级保护大会在昆明召开,,业界一致认为,,本次大会的召开,标志着等级保护进入,2.0,时代,。,标准历程,2014,年初,公安部牵头组织信息技术新领域等级保护标准申报工作。,2015,年初,标委会批准立项,建议形成基本要求和测评要求的系列标准。,2015,年中,标委会批准设计要求修订立项,形成设计要求系列标准。,2017,年初,草案经信安标委会投票通过,成为公开征求意见稿。,4,月,推进为送审稿,核心变化:重点保障关键信息基础设施,等级保护,1.0,网站,信息系统,传统,IT,环境,等级保护,2.0,关键信息基础设施,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,云计算、物联网、移动互联、工控、大数据等新,IT,环境,保护需求变化,2024/9/21,面对关键信息基础设施,等级保护,基本要求,需要创新发展:,适应新型的系统形态和网络架构,面对新技术新应用的扩展,使基本指标具有动态、可扩展性,从合规测评到,CIIP,安全状态评价,管理策略的变化,围绕关键信息基础设施保护特点,,,信息,安全等级保护的管理策略也将发生相应变化。,自主定级、自主保护、监督指导,明确等级、增强保护、常态监督,保护方法的变化,通用要求中的基本指标,行业标准的增加、增强指标,新技术、新应用的扩展指标,定级对象的特殊安全需求指标,从基本,安全,-,到相对,安全,从统一基线,-,到针对性保护,等级保护,2.0,围绕关键信息基础设施保护,信息安全等级保护制度进入新的历史阶段!,等级保护,2.0,时代,2.0,时代,等级保护空前重要(我们要顺势而为),2.0,时代,等级保护制度上升为法律,2.0,时代,等级保护对象大扩展,2.0,时代,等级保护内容,大不同,2.0,时代,等级保护体系大升级,定级对象大扩展,2024/9/21,定级对象,信息系统,业务处理类对象,信息系统、工业控制系统,、物,联网系统等,基础服务类对象,网络,、,云服务平台、大数据分析平台等,数据资源类对象,定级指南,修订,定级对象的扩展,定级方法的变化,定级方法的变化,云服务方的云平台与云租户的应用系统应分别定级,平台等级不低于所承载的应用系统的安全保护等级。,移动互联应用、物联网应用和工业控制系统依据业务系统重要性确定等级。,等级保护体系大升级,2024/9/21,等保内容大不同,2024/9/21,等级保护,1.0,定级,备案,建设整改,等级测评,监督检查,等级保护,2.0,五个规定动作,风险评估,安全检测,通报预警,案事件调查,数据防护,灾难备份,应急处置,与时俱进的等级保护工作,监督检查,定级备案,建设整改,等级测评,监督检查,定级备案,建设整改,信息共享,态势感知,应急演练,。,等级测评,按需定制,线上线下,攻防对抗,。,运营使用单位,/,厂商,测评机构,监管机构,受侵害,的客体,对相应客体的侵害程度,一般损害,严重损害,特别严重损害,公司、法人和其他组织的合法利益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,信息系统,重要程度,危害程度,网络基础设施、信息系统、大数据、云计算、物联网、移动互联、工控系统等,第三级,不同等级的安全保护对,象,信息安全等级保护基本要求,技术要求,物理安全类,控制点,10,具体要求项,33,网络安全类,控制点,7,具体要求项,32,主机安全类,控制点,9,具体要求项,36,应用安全类,控制点,11,具体要求项,36,数据安全及备份恢复类,控制点,3,具体要求项,11,管理要求,安全管理制度类,控制点,3,具体要求项,14,安全管理机构类,控制点,5,具体要求项,20,人员安全管理类,控制点,5,具体要求项,18,系统建设管理类,控制点,11,具体要求项,48,系统运维管理类,控制点,13,具体要求项,70,信息系统,方面,类,控制点,项,组织方式:等保,1.0,方面,控制点,项,类,保护对象,网络安全,等级保护基本要求(,1,),安全通用要求,技术要求,物理和环境安全,控制点,10,具体要求项,24,网络和通信,控制点,8,具体要求项,34,设备和计算安全,控制点,6,具体要求项,28,应用和数据安全,控制点,10,具体要求项,29,管理要求,安全策略和管理制度,控制点,4,具体要求项,8,安全管理机构和人员,控制点,9,具体要求项,27,安全建设管理,控制点,10,具体要求项,35,安全运维管理,控制点,14,具体要求项,50,组织方式:等保,2.0,方面,控制类,二级,三级,四级,技术要求,物理安全,10,10,10,网络安全,6,7,7,主机安全,6,7,9,应用安全,7,9,11,数据安全及备份恢复,3,3,3,管理要求,安全管理制度,3,3,3,安全管理机构,5,5,5,人员安全管理,5,5,5,系统建设管理,9,11,11,系统运维管理,12,13,13,合计,/,66,73,77,级差,/,/,7,4,方面,控制类,二级,三级,四级,技术要求,物理和环境安全,10,10,10,网络和通信安全,6,8,8,设备和,计算安全,6,6,6,应用和数据安全,9,10,10,管理要求,安全策略和管理制度,3,4,4,安全管理机构和人员,9,9,9,系统安全建设管理,9,10,10,系统安全运维管理,14,14,14,合计,/,66,71,71,级差,/,/,5,/,级差:控制点的,分布,方面,控制类,二级,三级,四级,技术要求,物理安全,19,32,33,网络安全,18,33,32,主机安全,19,32,36,应用安全,19,31,36,数据安全及备份恢复,4,8,11,管理要求,安全管理制度,7,11,14,安全管理机构,9,20,20,人员安全管理,11,16,18,系统建设管理,28,45,48,系统运维管理,42,62,70,合计,/,175,290,318,级差,/,/,115,28,方面,控制类,二级,三级,四级,技术要求,物理和环境安全,16,21,24,网络和通信安全,14,33,34,设备和,计算安全,17,28,28,应用和数据安全,21,35,29,管理要求,安全策略和管理制度,5,7,8,安全管理机构和人员,16,24,27,系统安全建设管理,25,34,35,系统安全运维管理,33,49,50,合计,/,147,231,235,级差,/,/,84,4,级差:控制项的,分布,2,等保,2.0,核心标准介绍,等保,2.0,标准解读,安全通用要求,2024/9/21,物理安全,物理与环境安全(三级),2024/9/21,要求项,变化内容解读,物理位置的选择,降低要求,以前明确要求不得在顶层戒者地下室,现在是可以,只要有加强措施即可。,物理访问控制,降低要求,原三级丏人职守和电子门禁等其他很多内容,新要求都取消了值要求配置电子门禁即可。,防盗窃和防破坏,取消要求,:,不再要求介质安全,不再要求光电报警、监控报警等,防雷击,取消要求,取消建筑物的避雷要求,这方面要求对于,IT,部门往往不好实现。,防火,表述方式调整,更加精准可实施,基本内容不变。,防水和防潮,取消要求,取消水管安装不得穿过机房屋顶和活劢地板下的要求。,防静电,新增要求,提出需要静电消除器、防静电手环等。,温湿度控制,无变化,电力供应,增强要求,:,原备用电力供应,(UPS),只要求支持关键设备,现在要求支持 所有设备。取消要求,:,取消备用供电系统,(,发电机,),的要求,电磁防护,取消要求,:,取消电磁屏蔽要求,电磁屏蔽对三级来讲要求过高。,网络安全,网络与通信安全(三级),2024/9/21,要求项,变化内容解读,网络结构,-,网络架构,增强要求,:,原要求保障关键设备业务高峰期冗余,变化为所有设备的业务高峰期冗余要求。取消要求,:,不再要求应绘制与当前运行情况相符的网络拓扑结构图提出避免讲重要网络区域部属在网络边界处并丐没有防护。取消要求,:,不再要求按照对业务服务的重要次序来指定带宽分配优先级别,保 证在网络发生拥堵的时候优先保护重要主机。,新增通信传输要求项,新增要求,:,应采用校验码技术保证通信过程中数据的完整性。应对通信过程中的敏感信息字段戒整个报文进行加密。,边界完整性,该要求项取消,新增边界防护要求项,新增要求,:,应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口 进行通信。新增要求,:,对接入和外联设备进行限制戒检查 新增要求,:,对,无线网络,提出边界防护要求,网络安全,网络与通信,安全(续)(三级),2024/9/21,要求项,变化内容解读,入侵防范,增强要求,:,以前只要求网络边界处进行入侵防范,现在改为关键节点处要进行入侵防范。新增要求,:,提出要检测进行从内到外的攻击行为。新增要求,:,提出要针对未知威胁进行检测,;,安全审计,新增要求,:,提出要建立统一时钟,保证审计结果精准。 新增要求,:,提出对远程访问的用户行为、,访问互联网的用户行为等单独进 行行为审计和数据分析。,(,数据中心必须有互联网审计,AC,),网络设备防护,该要求项取消,恶意代码防范,增强要求,:,原有的网络边界处进行恶意代码检测,变为关键节点处,;,取消要求,:,病毒库异构要求取消 新增要求,:,要求在关键节点对垃圾邮件进行过滤,;,新增资源控制要求项,新增要求,:,要求有单独管理区域,并建立安全管理通道 新增要求,:,应对链路和设备的运行状态进行统一监测,(,网管监控平台,),新增要求,:,对所有审计数据进行汇总和统一分析,(,综合日志审计系统,),新增要求,:,对安全策略、恶意代码、补丁升级等进行集中管理,;,新增要求,:,对网络中的各种安全亊件进行识别、报警和分析,;,主机安全,节点与计算安全(三级),2024/9/21,要求项,变化内容解读,身份鉴别,表述方式调整,更加精准可实施,基本内容不变。,访问控制,表述方式调整,更加精准可实施,基本内容不变。,安全审计,新增要求,:,提出要建立统一时钟,保证审计结果精准。,入侵防范,增强要求,:,应能发现可能存在的漏洞,并在经过充分测试评估后,及时修 补漏洞,;,(,主机漏洞扫描,),恶意代码防范,取消要求,:,取消病毒库异构要求新增要求,:,要求采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序戒文件完整性检测,并在检测到破坏后进行恢复。,(,可信计算落地问题难,),剩余信息保护,该要求项取消,资源控制,表述方式调整,更加精准可实施,基本内容不变。,应用安全,应用和数据安全(三级),2024/9/21,要求项,变化内容解读,身份鉴别,表述方式调整,更加精准可实施,基本内容不变。,访问控制,表述方式调整,更加精准可实施,基本内容不变。,安全审计,新增要求,:,要求对审计记录进行定期备份新增要求,:,要求建立唯一确定时钟,保证审计记录的精准,剩余信息保护,该要求项取消,取消通信完整性,该要求项取消,取消通信保密性,该要求项取消,抗抵赖,该要求项取消,软件容错,新增要求,:,要求在故障发生时,应能够继续提供一部分功能,确保能够实 施必要的措施,;,资源控制,该要求项取消,应用安全,应用和数据安全(续)(三级),2024/9/21,要求项,变化内容解读,数据完整性,表述方式调整,更加精准可实施,基本内容不变。,数据保密性,表述方式调整,更加精准可实施,基本内容不变。,备份与恢复,-,数据备份恢复,增强要求,:,原三级只需要异地定时备份即可,现在提出应提供异地实时备 份功能,利用通信网络将重要数据实时备份至备份场地,;,新增要求,:,明确提出重要数据处理系统的热冗余,;(,应用级的容灾中心,),新增个人信息保护要求项,新增要求,:a),应仅采集和保存业务必需的用户个人信息,; b),应禁止未授权访问、使用用户个人信息。,二级主要变化,2024/9/21,三级,-,主要变化,1,2024/9/21,三级,-,主要变化,2,2024/9/21,标准变化小结,2024/9/21,云计算安全扩展要求简介,云计算,安全扩展要求,2024/9/21,网络和通信安全,2024/9/21,要求类别,基本要求,网络和通信安全,网络架构,A,实现,不同云租户之间网络资源的隔离,并避免网络资源的过量,占用;,B,绘制与当前运行情况相符的虚拟化网络拓扑结构图,,并能对虚拟化网络资源、网络拓扑进行实时更新和集中监控;,C,保证,虚拟机只能接收到目的地址包括自己地址的报文,;,D,保证,云计算平台管理流量与云租户业务流量分离,;,E,能,识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量,;,F,根据,承载的业务系统安全保护等级划分不同安全级别的资源池区域,并实现资源池之间的网络隔离,;,G,提供,开放接口或开放性安全服务,允许云租户接入第三方安全产品或在云平台选择第三方安全服务。加强云租户虚拟机之间、安全区域之间的网络安全防护能力,;,H,根据,云租户的业务需求定义安全访问路径。,访问控制,A,避免,虚拟机通过网络非授权访问宿主机,;,B,在,虚拟化网络边界部署访问控制机制,并设置访问控制规则,;,C,保证,当虚拟机迁移时,访问控制策略随其迁移,;,D,允许,云租户设置不同虚拟机之间的访问控制策略,;,E,在,不同等级的网络区域边界部署访问控制机制,设置访问控制规则。,远程访问,A,实时,监视云计算平台的远程访问,,并在发现未授权连接时,采取恰当的应对措施,;,B,对,远程执行特权命令进行限制,并进行审计,;,C,当,进行远程管理时,管理终端和云计算平台边界设备之间应建立双向身份验证机制。,入侵防范,A,能,监测到云租户的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等,;,B,向,云租户提供互联网发布内容监测功能,便于云租户对其发布内容中的有害信息进行实时监测和告警。,安全审计,A,根据,云服务方和云租户的职责划分,收集各自控制部分的审计数据;,B,为,安全审计数据的汇集提供接口,并可供第三方审计,;,C,根据,云服务方和云租户的职责划分,实现各自控制部分的集中审计。,设备和计算安全,2024/9/21,要求类别,基本要求,设备和计算安全,身份鉴别,应在网络策略控制器和网络设备(或设备代理)之间建立,双向,身份,验证机制。,访问控制,A,当,进行远程管理时,防止远程管理设备同时直接连接其他网络,;,B,确保,只有在云租户授权下,云服务方或第三方才具有云租户数据的管理权限,;,C,提供,云计算平台管理用户权限分离机制,为网络管理员、系统管理员建立不同账户并分配相应的权限。,安全审计,A,根据,云服务方和云租户的职责划分,收集各自控制部分的审计数据,;,B,保证,云服务方对云租户系统和数据的操作可被云租户审计,;,C,保证,审计数据的真实性和完整性,;,D,为,安全审计数据的汇集提供接口,并可供第三方审计,;,E,根据,云服务方和云租户的职责划分,实现各自控制部分的集中审计。,入侵防范,A,虚拟机,对宿主机资源的异常访问,,并进行告警,;,B,虚拟机,之间的资源隔离失效,并进行告警,;,C,非,授权新建虚拟机或者重新启用虚拟机,并进行告警,恶意代码防范,应能够检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警。,资源控制,A,屏蔽,虚拟资源故障,某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机,;,B,对,物理资源和虚拟资源按照策略做统一管理调度与分配,;,C,保证,虚拟机仅能使用为其分配的计算资源,;,D,保证,虚拟机仅能迁移至相同安全等级的资源池,;,E,保证,分配给虚拟机的内存空间仅供其独占访问,;,F,对,虚拟机的网络接口的带宽进行设置,并进行监控,;,G,为,监控信息的汇集提供接口,并实现集中监控。,镜像和快照保护,A,提供,虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改,;,B,采取,加密或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问,;,C,针对,重要业务系统提供加固的操作系统镜像。,应用和数据安全,2024/9/21,要求类别,基本要求,应用和数据安全,安全审计,A,根据,云服务方和云租户的职责划分,收集各自控制部分的审计数据,;,B,保证,云服务方对云租户系统和数据的操作可被云租户审计,;,C,保证,审计数据的真实性和完整性,;,D,为,安全审计数据的汇集提供接口,并可供第三方审计,;,E,根据,云服务方和云租户的职责划分,实现各自控制部分的集中审计。,资源控制,A,能够,对应用系统的运行状况进行监测,并在发现异常时进行告警,;,B,保证,不同云租户的应用系统及开发平台之间的隔离。,接口安全,应保证云计算服务对外接口的安全性。,数据完整性,应确保虚拟机迁移过程中,重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。,数据保密性,A,确保,虚拟机迁移过程中,重要数据的保密性,防止在迁移过程中的重要数据泄露,;,B,支持,云租户部署密钥管理解决方案,确保云租户自行实现数据的加解密过程,;,C,对,网络策略控制器和网络设备(或设备代理)之间网络通信进行加密。,数据备份恢复,A,确保,虚拟机迁移过程中,重要数据的保密性,防止在迁移过程中的重要数据泄露;,B,支持,云租户部署密钥管理解决方案,确保云租户自行实现数据的加解密过程,;,C,对,网络策略控制器和网络设备(或设备代理)之间网络通信进行加密。,数据备份恢复,A,云,租户应在本地保存其业务数据的备份,;,B,提供,查询云租户数据及备份存储位置的方式,;,C,保证,不同云租户的审计数据隔离存放,;,D,为,云租户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程。,剩余信息保护,应保证虚拟机所使用的内存和存储空间回收时得到完全清除。,云的定级对象,硬件资源,Host OS,虚拟机监视器,/,硬件模拟,虚拟,机,VM,应用,1,Guest OS,虚拟,机,VM,Guest OS,应用,2,虚拟,机,VM,应用,1,Guest OS,系统定级对象,平台定级对象,云服务方的云平台与云租户的应用系统应分别定级,平台等级不低于应用的,安全保护等级,,云平台先定级测评,再将已定级应用系统向云平台迁移,云上应用定级参照传统信息系统,。,云计算与传统,等保,保护对象差异,2024/9/21,云平台与云上系统保护差异,2024/9/21,层面,云平台保护对象,云上系统保护对象,物理,和环境,机房,及相关,设施,网络和通信,传统网络结构和,虚拟化网络结构,传统网络设备、安全设备,虚拟化网络设备、安全设备,虚拟化网络结构,、,虚拟化网络设备、,虚拟化,安全设备,设备和计算,传统主机,、宿主机、,虚拟机,、主机安全软件,虚拟机监视器(,Hypervisor/VMM,),云操作系统,传统主机、,虚拟机,、,主机安全软件,应用,和数据,中间件、,云,应用开发,框架,业务,应用,系统,、业务数据,、管理数据,、,用户隐私数据,云计算环境下等级保护的变化,-,控制项变化,2024/9/21,IaaS,服务,通用要求:除物理与环境安全外的所有要求。,扩展要求:网络和通信安全、设备和计算安全、应用和数据安全、系统安全建设管理。,PaaS,、,SaaS,服务,通用要求:应用和数据安全,部分安全管理要求,扩展要求:应用和数据安全,云计算技术要求控制项分布,安全要求类,层面,二级,三级,四级,技术要求,物理和环境安全,1,1,1,网络和通信安全,10,21,20,节点和计算安全,15,27,28,应用和数据安全,9,1,3,1,3,管理要求,安全策略和管理,制度,0,0,0,安全管理机构和人员,1,1,1,系统安全建设,管理,9,15,7,系统安全运维,管理,0,5,5,合计,/,45,83,75,级差,/,/,38,-8,安全通用要求控制项分布,方面,控制类,二级,三级,四级,技术要求,物理和环境安全,16,21,24,网络和通信安全,14,33,34,节点和计算安全,17,28,28,应用和数据安全,21,35,29,管理要求,安全策略和管理制度,5,7,8,安全管理机构和人员,16,24,27,系统安全建设管理,25,34,35,系统安全运维管理,33,49,50,合计,/,147,231,235,级差,/,/,84,4,对云平台的要求,自身安全性,1,云平台本身的安全性应该符合要求,比如登录身份鉴别,2,自身安全功能,云平台自身应该具备安全功能可以满足相关安全要求。,3,安全资源,云平台应该可以提供一个安全资源池供租户来使用。,4,提供接口,云平台应该为租户自行建设的安全系统提供接口或环境,云计算安全扩展要求:,云平台运营方应该做到哪些才能符合等级保护云计算扩展要求。,对租户的要求,利用平台资源,1,租户应该利用平台提供的安全资源,满足相关要求。,2,自,建安全系统,针对本地备份、独立密钥管理等,建设自己的安全系统,3,应用安全,租户应用系统自身的安全问题应该自己保障和解决。,云计算安全扩展要求:,租户在利用云平台资源的基础上,还需要做一些别的配合才能符合等级保护云计算扩展要求。,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 小学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!