等級(jí)保護(hù):云上怎么過等保
要點(diǎn)一:系統(tǒng)定級(jí)與管理職責(zé)劃分
云計(jì)算服務(wù)帶來了“云主機(jī)”等虛擬計(jì)算資源,將傳統(tǒng)IT環(huán)境中信息系統(tǒng)運(yùn)營、使用單位的單一安全責(zé)任轉(zhuǎn)變?yōu)樵谱鈶艉驮品?wù)商雙方“各自分擔(dān)”的安全責(zé)任,使得云計(jì)算環(huán)境下定級(jí)工作相對(duì)比較復(fù)雜。
云計(jì)算系統(tǒng)的定級(jí)對(duì)象在原有定級(jí)對(duì)象基礎(chǔ)上進(jìn)行了擴(kuò)展,原有定級(jí)對(duì)象主要是信息系統(tǒng)和相關(guān)基礎(chǔ)網(wǎng)絡(luò),而云計(jì)算將定級(jí)對(duì)象擴(kuò)展為云服務(wù)商的云平臺(tái)和云租戶的應(yīng)用系統(tǒng)。
云計(jì)算系統(tǒng)定級(jí)時(shí),云服務(wù)商的云平臺(tái)和云租戶的應(yīng)用系統(tǒng)應(yīng)分別定級(jí),云平臺(tái)等級(jí)應(yīng)不低于應(yīng)用系統(tǒng)的安全保護(hù)等級(jí)。對(duì)于公有云,定級(jí)流程為云平臺(tái)先定級(jí)測(cè)評(píng),再提供云服務(wù)。對(duì)于私有云,定級(jí)流程為云平臺(tái)先定級(jí)測(cè)評(píng),再將已定級(jí)應(yīng)用系統(tǒng)向云平臺(tái)遷移。
云計(jì)算系統(tǒng)定級(jí)的重點(diǎn)在于定級(jí)對(duì)象管理職責(zé)的劃分,職責(zé)的劃分根據(jù)不同云計(jì)算服務(wù)模式采取不同劃分方式。
(一) 對(duì)于IaaS基礎(chǔ)設(shè)施服務(wù)模式,云服務(wù)商的職責(zé)范圍包括虛擬機(jī)監(jiān)視器和硬件,云租戶的職責(zé)范圍包括操作系統(tǒng)、中間件和應(yīng)用等。
(二) 對(duì)于PaaS平臺(tái)即服務(wù)的服務(wù)模式,云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)和中間件,云租戶的職責(zé)范圍為應(yīng)用。
(三) 對(duì)于SaaS軟件服務(wù)模式,云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)、中間件和應(yīng)用,云租戶的職責(zé)范圍包括部分應(yīng)用職責(zé)及用戶使用職責(zé)。
云計(jì)算服務(wù)模式以及角色的不同決定著定級(jí)對(duì)象的管理職責(zé)不同,從而決定著定級(jí)的系統(tǒng)范圍的不同。
要點(diǎn)二:云計(jì)算系統(tǒng)保護(hù)對(duì)象的擴(kuò)展
由于虛擬化等新技術(shù)的應(yīng)用,IaaS/PaaS/SaaS按需服務(wù)模式的引入,相對(duì)于傳統(tǒng)信息系統(tǒng),云計(jì)算系統(tǒng)的保護(hù)對(duì)象有所增加。云計(jì)算系統(tǒng)的保護(hù)對(duì)象與傳統(tǒng)信息系統(tǒng)保護(hù)對(duì)象對(duì)照如下表所示,其中加黑的對(duì)象為云計(jì)算系統(tǒng)所特有的保護(hù)對(duì)象:
層面 |
云計(jì)算系統(tǒng)保護(hù)對(duì)象 |
傳統(tǒng)信息系統(tǒng)保護(hù)對(duì)象 |
物理和環(huán)境安全 |
機(jī)房及基礎(chǔ)設(shè)施 |
機(jī)房及基礎(chǔ)設(shè)施 |
網(wǎng)絡(luò)和通信安全 |
網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、綜合網(wǎng)管系統(tǒng)、虛擬化網(wǎng)絡(luò)結(jié)構(gòu)、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、虛擬機(jī)監(jiān)視器、云管理平臺(tái) |
網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)、綜合網(wǎng)管系統(tǒng) |
設(shè)備和計(jì)算安全 |
主機(jī)、數(shù)據(jù)庫管理系統(tǒng)、終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、物理機(jī)、宿主機(jī)、虛擬機(jī)、虛擬機(jī)監(jiān)視器、云管理平臺(tái)、網(wǎng)絡(luò)策略控制器 |
主機(jī)、數(shù)據(jù)庫管理系統(tǒng)、終端、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備 |
應(yīng)用和數(shù)據(jù)安全 |
應(yīng)用系統(tǒng)、中間件、配置文件、業(yè)務(wù)數(shù)據(jù)、用戶隱私、鑒別信息、云應(yīng)用開發(fā)平臺(tái)、云計(jì)算服務(wù)對(duì)外接口、云管理平臺(tái)、鏡像文件、快照、數(shù)據(jù)存儲(chǔ)設(shè)備、數(shù)據(jù)庫服務(wù)器 |
應(yīng)用系統(tǒng)、中間件、配置文件、業(yè)務(wù)數(shù)據(jù)、用戶隱私、鑒別信息等 |
安全管理機(jī)構(gòu)和人員 |
信息安全主管,相關(guān)文檔 |
信息安全主管、相關(guān)文檔 |
安全建設(shè)管理 |
系統(tǒng)建設(shè)負(fù)責(zé)人、服務(wù)水平協(xié)議、云計(jì)算平臺(tái)、供應(yīng)商資質(zhì)、相關(guān)文檔、相關(guān)資質(zhì)、相關(guān)檢測(cè)報(bào)告 |
系統(tǒng)建設(shè)負(fù)責(zé)人、記錄表單類文檔 |
安全運(yùn)維管理 |
安全管理員、相關(guān)文檔、運(yùn)維設(shè)備、云計(jì)算平臺(tái)、第三方審計(jì)結(jié)果 |
系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、安全管理員、運(yùn)維負(fù)責(zé)人、相關(guān)文檔 |
安徽靈狐科技的云等保實(shí)踐
經(jīng)過幾年來的客戶成功實(shí)踐,我們企業(yè)安全的數(shù)據(jù)驅(qū)動(dòng)安全方法論成為了滿足客戶云環(huán)境下網(wǎng)絡(luò)安全合規(guī)的最佳指導(dǎo)思路,而基于“云計(jì)算安全可運(yùn)營”的業(yè)務(wù)設(shè)計(jì)思路,更貼合了云等保安全體系要求,實(shí)現(xiàn)了在云計(jì)算環(huán)境中落地豐富的安全技術(shù)能力,有效解決了客戶在云及云化業(yè)務(wù)面臨的安全與合規(guī)挑戰(zhàn)。
目前,靈狐科技云安全整體解決方案已經(jīng)在全國多個(gè)省市的政務(wù)云系統(tǒng)成功落地,為政企客戶的政務(wù)云安全防護(hù)起到了的關(guān)鍵作用。同時(shí),也為后續(xù)滿足云等保測(cè)評(píng)提供了云主機(jī)安全和云內(nèi)網(wǎng)絡(luò)安全的技術(shù)支撐。值得一提的是,我們的成功實(shí)踐整體云安全解決方案,為高標(biāo)準(zhǔn)、高要求的行業(yè)云開辟了一條云化合規(guī)之路。
長期以來,我們積極參與行業(yè)前沿安全技術(shù)的探索,在云計(jì)算安全領(lǐng)域與眾多知名云計(jì)算廠商展開云安全風(fēng)險(xiǎn)評(píng)估及云等保技術(shù)要求對(duì)標(biāo)工作,通過自主研發(fā)的云安全管理平臺(tái)結(jié)合多種領(lǐng)先的虛擬化安全技術(shù),很好的將傳統(tǒng)安全與虛擬化技術(shù)深度融合,不僅能夠有效應(yīng)對(duì)云計(jì)算帶來的全新安全風(fēng)險(xiǎn),同時(shí)更能滿足新的云等保相關(guān)技術(shù)要求,成為政企客戶云安全整體解決方案的首選。