信息等级保护体系在云安全中的应用 - 2012中国计算机网络安全年会

信息等级保护体系在云平安中的应用,研发中心,2021.7,等保要求下的云安全,2,等级保护标准体系,1,云平安管理中心CloudFirm,3,?中华人民共和国计算机信息系统平安保护条例?1994年 国务院147号令,?国家信息化领导小组关于加强信息平安保障工作的意见?中办发200327号,政策法规,1994-2005,等保标准体系,2005-2021,测评管理体系,2021-2021,落地实施,2021-,?计算机信息系统平安保护等级划分准那么?GB 17859-1999,?信息系统平安等级保护实施指南?,定级：?信息系统平安保护等级定级指南?GB/T 22240-2021,建设：?信息系统平安等级保护根本要求?GB/T 22239-2021,?信息系统通用平安技术要求?GB/T 20271-2006,?信息系统等级保护平安设计技术要求?,测评：?信息系统平安等级保护测评要求?,?信息系统平安等级保护测评过程指南?,管理：?信息系统平安管理要求?GB/T 20269-2006,?信息系统平安工程管理要求?GB/T 20282-2006,网监-网安,测评机构认证100多家,测评师培训认证,二级系统：5万多个,三级系统：2万多个,四级系统：100多个,2021年三级系统增加100%,等级保护开展历程,等级保护根本平安要求,某级系统,物理平安,技术要求,管理要求,根本要求,网络平安,主机平安,应用平安,数据平安,平安管理机构,平安管理制度,人员平安管理,系统建设管理,系统运维管理,等级,对象,侵害客体,侵害程度,监管强度,第一级,一般系统,合法权益,损害,自主保护,第二级,合法权益,严重损害,指导,社会秩序和公共利益,损害,第三级,重要系统,社会秩序和公共利益,严重损害,监督检查,国家安全,损害,第四级,社会秩序和公共利益,特别严重损害,强制监督检查,国家安全,严重损害,第五级,极端重要系统,国家安全,特别严重损害,专门监督检查,等级保护根本级别划分,不同级别系统控制项的差异汇总,等级保护实施流程,等保要求下的云安全,2,等级保护标准体系,1,云平安管理中心CloudFirm,3,云计算中心必须满足等级保护的政策要求,云计算中心仍然是一类信息系统，需要依照其重要性不同进行分级保护。,云计算中心的平安工作必须依照等级保护的要求来建设运维。,云平安还需要考虑虚拟化等新的技术和运营方式所带来的平安问题。,常见的二级系统举例,地市政府办公自动化系统内部使用的,地市政府政务公开网站外部信息发布,地市政府间协同办公系统,企业电子商务网站,银行网站,特点：与核心业务无关,常见的三级系统举例,省政府办公自动化系统内部使用的,省政府政务公开系统交互式,省政府公文交换系统,企业,ERP,系统,银行生产网,特点：与业务密切相关的,常见的四级系统举例,国家电力调度系统EMS),中国人民银行官方网站,财政部财政支付系统,交通部应急指挥调度系统,银行生产系统,特点：重要部门与核心业务密切相关的,云计算中心的虚拟化平安,虚拟化技术的大量使用，使得云计算中心的各种资源组成了一个大的虚拟化世界，在这个世界里迫切需要建立平安秩序。,分租户的新运营模式要求在虚拟化网络里实现平安隔离。通过vSwitch等虚拟网络技术可以实现与物理环境相当的网络层平安隔离防护。,传统平安产品虚拟化入云可以为虚拟化环境引入成熟的平安技术，从而实现四到七层的应用平安。,虚拟网络隔离技术,网络隔离,QoS,配置,流量监控,数据包分析,平安设备虚拟化入云,各类平安设备虚拟化入云，可实现与虚拟机绑定的平安防护,虚拟安全设备,等保要求下的云安全,2,等级保护标准体系,1,CloudFirm云平安管理体系,3,CloudFirm,的内涵,CloudFirm,安全产品,安全技术,安全管理,目标：,作为独立体系化产品严格参照等保要求设计、开发，力求到达合规、实用的设计目标，满足等级保护二级要求。,考虑等保三级的扩展性。,做到等保成果的可视化。,做到等保成果的持久化。,暂时不考虑虚拟化问题。,指导思想：,贯穿云计算中心建设、整改、测评、运维全过程，全生命周期保证系统符合等保要求。,CloudFirm,设计目标及指导思想,参考标准：,技术：?信息系统平安等级保护根本要求?GB/T 22239-2021,?信息系统通用平安技术要求?GB/T 20271-2006,?信息系统等级保护平安设计技术要求?,管理：?信息系统平安管理要求?GB/T 20269-2006,?信息系统平安工程管理要求?GB/T 20282-2006,CloudFirm,设计依据,CloudFirm,平安技术,网络平安,主机平安,应用平安,平安巡检系统监控,事件管理应急响应,管理运维,CloudFirm云平安体系架构,物理平安,数据平安备份恢复,制度标准,合规性,检查,以等保为设计指导思想,为云计算中心量身订做,CloudFirm,的设计思路,物理/虚拟平安设备管理,主机平安,数据平安,平安域隔离,平安巡检、系统监控,事件管理、应急响应,备份管理、模拟演练,制度标准,系统设计文档,流程、运行记录,合规性检查,平安管理平台,平安运维平台,等保合规性平台,平安管理平台：云计算中心平安根底设施设备、平安软件、网络的配置管理。包括对虚拟平安设备镜像的管理。,平安运维平台：云计算中心的日常运维管理，对系统运行状态、异常事件等各种平安事件进行监控、记录、维护。,等保合规性平台：云计算中心管理制度的管理、文档记录，方便进行等保测评及合规性检查工作。,CloudFirm,安全管理,安全技术,系统运维管理,环境管理,资产管理,介质管理,主机安全,身份鉴别,访问控制,安全审计,入侵防范,网络安全,结构安全,访问控制,安全审计,边界完整性,入侵防范,网络设备防护,数据安全,数据完整性,备份和恢复,数据保密性,物理安全,位置选择,访问控制,防静电,温湿度控制,防盗系统,应用安全,身份鉴别,访问控制,安全审计,通信完整性,通信保密性,电磁防护,恶意代码防范,资源控制,容错,资源控制,人员安全管理,人员录用,人员离岗,人员考核,安全培训,机构安全管理,岗位设置,人员配置,授权和审批,沟通和合作,审核和检查,制度安全管理,制度管理,制定和发布,评审和修订,系统建设管理,系统定级,方案设计,产品采购,软件管理,实施管理,外部人员管理,测试验收,交付管理,设备管理,网络安全管理,系统安全管理,恶意代码管理,变更管理,备份恢复管理,安全事件处理,应急预案管理,CloudFirm,整体结构图,CloudFirm,运维效果,总结,等级保护体系是云计算中心建设运维的指导标准。,云计算中心的平安必须在等级保护的框架内进行建设，同时充分考虑虚拟化和运营等新的平安问题。现阶段基于vSwitch等虚拟网络平安技术和平安设备虚拟化运用是切实可行的手段。,CloudFirm的设计思路不仅要保证云计算中心的管理平安和运维平安，同时要起到保障合规性的效果，保证云计算中心在动态运营的过程中始终满足等级保护的要求，切实到达相应的平安级别。,