等级保护发展历程

信息等级保护体系在云安全中的应用,研发中心,2012.7,等保要求下的云安全,2,等级保护标准体系,1,云安全管理中心,CloudFirm,3,中华人民共和国计算机信息系统安全保护条例,（,1994,年 国务院,147,号令）,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发,200327,号）,政策法规,1994-2005,等保标准体系,2005-2008,测评管理体系,2008-2010,落地实施,2010-,计算机信息系统安全保护,等级划分准则,GB 17859-1999,信息系统安全等级保护,实施指南,定级：,信息系统安全保护,等级定级指南,GB/T 22240-2008,建设：,信息系统安全等级保护,基本要求,GB/T 22239-2008,信息系统通用安全技术要求,GB/T 20271-2006,信息系统等级保护安全设计技术要求,测评：,信息系统安全等级保护,测评要求,信息系统安全等级保护测评过程指南,管理：,信息系统安全管理要求,GB/T 20269-2006,信息系统安全工程管理要求,GB/T 20282-2006,网监,-,网安,测评机构认证（,100,多家）,测评师培训认证,二级系统：,5,万多个,三级系统：,2,万多个,四级系统：,100,多个,2011,年三级系统增加,100%,等级保护发展历程,等级保护基本安全要求,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级,对象,侵害客体,侵害程度,监管强度,第一级,一般系统,合法权益,损害,自主保护,第二级,合法权益,严重损害,指导,社会秩序和公共利益,损害,第三级,重要系统,社会秩序和公共利益,严重损害,监督检查,国家安全,损害,第四级,社会秩序和公共利益,特别严重损害,强制监督检查,国家安全,严重损害,第五级,极端重要系统,国家安全,特别严重损害,专门监督检查,等级保护,基本级别划分,不同级别系统控制项的差异汇总,等级保护实施流程,等保要求下的云安全,2,等级保护标准体系,1,云安全管理中心,CloudFirm,3,云计算中心必须满足等级保护的政策要求,云计算中心仍然是一类信息系统，需要依照其重要性不同进行分级保护。,云计算中心的安全工作必须依照等级保护的要求来建设运维。,云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。,常见的二级系统举例,地市政府办公自动化系统（内部使用的）,地市政府政务公开网站（外部信息发布）,地市政府间协同办公系统,企业电子商务网站,银行网站,特点：与核心业务无关,常见的三级系统举例,省政府办公自动化系统（内部使用的）,省政府政务公开系统（交互式）,省政府公文交换系统,企业,ERP,系统,银行生产网,特点：与业务密切相关的,常见的四级系统举例,国家电力调度系统（,EMS),中国人民银行官方网站,财政部财政支付系统,交通部应急指挥调度系统,银行生产系统,特点：重要部门与核心业务密切相关的,云计算中心的虚拟化安全,虚拟化技术的大量使用，使得云计算中心的各种资源组成了一个大的虚拟化世界，在这个世界里迫切需要建立安全秩序。,分租户的新运营模式要求在虚拟化网络里实现安全隔离。通过,vSwitch,等虚拟网络技术可以实现与物理环境相当的网络层安全隔离防护。,传统安全产品虚拟化入云可以为虚拟化环境引入成熟的安全技术，从而实现四到七层的应用安全。,虚拟网络隔离技术,网络隔离,QoS,配置,流量监控,数据包分析,安全设备虚拟化入云,各类安全设备虚拟化入云，可实现与虚拟机绑定的安全防护,虚拟安全设备,等保要求下的云安全,2,等级保护标准体系,1,CloudFirm,云安全管理体系,3,CloudFirm,的内涵,CloudFirm,安全产品,安全技术,安全管理,目标：,作为独立体系化产品严格参照等保要求设计、开发，力求达到合规、实用的设计目标,，满足等级保护二级要求。,考虑等保三级的扩展性。,做到等保成果的可视化。,做到等保成果的持久化。,暂时不考虑虚拟化问题。,指导思想：,贯穿云计算中心建设、整改、测评、运维全过程，全生命周期保证系统符合等保要求。,CloudFirm,设计目标及指导思想,参考规范：,技术：,信息系统安全等级保护基本要求,GB/T 22239-2008,信息系统通用安全技术要求,GB/T 20271-2006,信息系统等级保护安全设计技术要求,管理：,信息系统安全管理要求,GB/T 20269-2006,信息系统安全工程管理要求,GB/T 20282-2006,CloudFirm,设计依据,CloudFirm,安全技术,网络安全,主机安全,应用安全,安全巡检系统监控,事件管理应急响应,管理运维,CloudFirm,云安全体系架构,物理安全,数据安全备份恢复,制度规范,合规性,检查,以等保为设计指导思想,为云计算中心量身订做,CloudFirm,的设计思路,物理,/,虚拟安全设备管理,主机安全,数据安全,安全域隔离,安全巡检、系统监控,事件管理、应急响应,备份管理、模拟演练,制度规范,系统设计文档,流程、运行记录,合规性检查,安全管理平台,安全运维平台,等保合规性平台,安全管理平台：云计算中心安全基础设施（设备、安全软件、网络）的配置管理。,包括对虚拟安全设备镜像的管理,。,安全运维平台：云计算中心的日常运维管理，对系统运行状态、异常事件等各种安全事件进行监控、记录、维护。,等保合规性平台：云计算中心管理制度的管理、文档记录，方便进行等保测评及合规性检查工作。,CloudFirm,安全管理,安全技术,系统运维管理,环境管理,资产管理,介质管理,主机安全,身份鉴别,访问控制,安全审计,入侵防范,网络安全,结构安全,访问控制,安全审计,边界完整性,入侵防范,网络设备防护,数据安全,数据完整性,备份和恢复,数据保密性,物理安全,位置选择,访问控制,防静电,温湿度控制,防盗系统,应用安全,身份鉴别,访问控制,安全审计,通信完整性,通信保密性,电磁防护,恶意代码防范,资源控制,容错,资源控制,人员安全管理,人员录用,人员离岗,人员考核,安全培训,机构安全管理,岗位设置,人员配置,授权和审批,沟通和合作,审核和检查,制度安全管理,制度管理,制定和发布,评审和修订,系统建设管理,系统定级,方案设计,产品采购,软件管理,实施管理,外部人员管理,测试验收,交付管理,设备管理,网络安全管理,系统安全管理,恶意代码管理,变更管理,备份恢复管理,安全事件处理,应急预案管理,CloudFirm,整体结构图,CloudFirm,运维效果,总结,等级保护体系是云计算中心建设运维的指导标准。,云计算中心的安全必须在等级保护的框架内进行建设，同时充分考虑虚拟化和运营等新的安全问题。现阶段基于,vSwitch,等虚拟网络安全技术和安全设备虚拟化运用是切实可行的手段。,CloudFirm,的设计思路不仅要保证云计算中心的管理安全和运维安全，同时要起到保障合规性的效果，保证云计算中心在动态运营的过程中始终满足等级保护的要求，切实达到相应的安全级别。,