《信息系統(tǒng)安全等級保護》目前規(guī)劃了五個分冊,第一分冊是“基本要求”,第二個分冊是“云計算安全技術(shù)要求”,其余分冊的內(nèi)容如圖1所示,第一分冊是其他分冊的基礎(chǔ),其他四個分冊都是針對不同領(lǐng)域,對第一分冊的更新和補充。
圖1 信息安全技術(shù) 信息安全等級保護標(biāo)準(zhǔn)整體結(jié)構(gòu)圖
圖2 云計算安全技術(shù)要求框架圖
從云計算安全技術(shù)要求框架圖中可以看出,整體框架與《第一分冊 基本要求》保持一致,并且在技術(shù)要求中,“物理安全”內(nèi)容參照《第一分冊 基本要求》執(zhí)行,包括它技術(shù)要求和管理要求內(nèi)容。從內(nèi)容條款中也可以看出,《第二分冊 云計算安全技術(shù)要求》本身不是一項新的云計算安全標(biāo)準(zhǔn),只是對《第一分冊 基本要求》的補充。
《第二分冊 云計算安全技術(shù)要求》(下文簡稱“云安全等保合規(guī)”的編寫工作主要是在2015年1月至7月完成的,新華三作為主要參與方參加了整個編寫過程。新華三集團針對在云計算環(huán)境中應(yīng)用到的主機虛擬化技術(shù)安全、軟件定義網(wǎng)絡(luò)技術(shù)安全、NFV技術(shù)安全和服務(wù)鏈技術(shù)安全等方面提出了相關(guān)的安全技術(shù)要求;在云計算環(huán)境中,云平臺運維及運營管理方面也給出相關(guān)安全管理要求。
“云安全等保合規(guī)”主要包括三個方面的內(nèi)容:云計算環(huán)境下的安全威脅、云計算安全等級保護評測流程以及云計算安全等級保護要求。下文將對“云計算安全等級保護要求“做詳細(xì)解讀。
云計算安全等級保護要求根據(jù)實現(xiàn)方式的不同,分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與云計算信息系統(tǒng)提供的技術(shù)安全機制有關(guān),主要通過在云計算信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn);管理類安全要求與云計算信息系統(tǒng)中各種角色參與的活動有關(guān),主要通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。
技術(shù)要求
云計算信息系統(tǒng)的核心是采用虛擬化技術(shù)實現(xiàn)計算資源的池化和動態(tài)分配。虛擬化技術(shù)也是云計算系統(tǒng)諸多優(yōu)勢得以實現(xiàn)的關(guān)鍵因素。虛擬化技術(shù)為云平臺增加了額外的一層安全要求,云計算信息系統(tǒng)的安全防護需要著眼于虛擬化技術(shù)所帶來的安全風(fēng)險。包括:虛擬化平臺的安全風(fēng)險、虛擬資源共享風(fēng)險、多云租戶環(huán)境中的數(shù)據(jù)安全風(fēng)險。各層面主要關(guān)注點如下:
在網(wǎng)絡(luò)安全層面,在等級保護基本要求技術(shù)的基礎(chǔ)上,云計算信息系統(tǒng)的安全技術(shù)要求增加了虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備防護和訪問控制,虛擬網(wǎng)絡(luò)流量的監(jiān)控管理和安全審計,虛擬網(wǎng)絡(luò)中的入侵檢測等安全技術(shù)要求;
在主機安全層面,在等級保護基本技術(shù)要求的基礎(chǔ)上,云計算信息系統(tǒng)的主機安全要求增加了虛擬機之間以及虛擬機與宿主機之間的安全防護、虛擬機鏡像、快照安全保護等安全技要求;
在應(yīng)用安全層面,在等級保護基本技術(shù)要求的基礎(chǔ)上,云計算信息系統(tǒng)應(yīng)用安全層面增加了接口安全等安全技術(shù)要求;
在數(shù)據(jù)安全層面,在等級保護基本技術(shù)要求的基礎(chǔ)上,云計算信息系統(tǒng)的數(shù)據(jù)安全層面增加了對虛擬機遷移、數(shù)據(jù)的權(quán)限控制等安全技術(shù)要求。
下面將分別針對“網(wǎng)絡(luò)安全”、“主機安全”、“應(yīng)用安全”和“數(shù)據(jù)安全及備份恢復(fù)”四個層面中重點內(nèi)容進行講解。
網(wǎng)絡(luò)安全
。1)安全要求:
1)應(yīng)保證云平臺管理流量與云租戶業(yè)務(wù)流量分離
2)應(yīng)根據(jù)云租戶的業(yè)務(wù)需求自定義安全訪問路徑
3)應(yīng)在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,并設(shè)置訪問控制規(guī)則
4)應(yīng)依據(jù)安全策略控制虛擬機間的訪問
5)應(yīng)能識別、監(jiān)控虛擬機之間、虛擬機與物理機之間、虛擬機與宿主機之間的流量
6)應(yīng)根據(jù)云服務(wù)方和云租戶的職責(zé)劃分,實現(xiàn)各自控制部分的集中審計
。2)解讀:
1)云平臺的管理流量和云租戶的業(yè)務(wù)應(yīng)用系統(tǒng)的業(yè)務(wù)處理流量需要分離,這里的“分離”是在說明業(yè)務(wù)流程和管理流量采用不同物理交換網(wǎng)絡(luò)設(shè)備來承載。
2)根據(jù)云租戶的業(yè)務(wù)需求自定義安全訪問路徑,這里的“自定義訪問路徑”是在說明租戶業(yè)務(wù)的安全訪問控制不是由云服務(wù)商來負(fù)責(zé)的,應(yīng)該是由云租戶自身來負(fù)責(zé)的,云服務(wù)商只需要提供云租戶所需要安全服務(wù),而這些安全服務(wù)具體在業(yè)務(wù)應(yīng)用系統(tǒng)安全訪問控制如何使用,及策略如何設(shè)置,都是由云租戶來決定。
3)在云計算環(huán)境中,會涉及大量的虛擬網(wǎng)絡(luò),這時就需要能夠有效控制虛擬網(wǎng)絡(luò)間及虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)間有清晰的安全邊界,從安全邊界安全設(shè)備實現(xiàn)安全控制。
4)安全策略控制虛擬機間的訪問,這點說明要實現(xiàn)對虛擬機的安全防護,并且這些安全防護策略可以在虛擬機移動過程中和移動后都能實現(xiàn)實時的、持續(xù)的安全防護。
5)在云計算環(huán)境中,監(jiān)控和識別的流量內(nèi)容包含虛擬機之間、虛擬機與物理機之間、虛擬機與宿主機之間的流量,這里重點要強調(diào)的是,虛擬機間的流量,因為在同一臺宿主機(安裝虛擬化引擎的物理主機)多個虛擬機間通信時,通信流量是不出物理服務(wù)器的,所以無法進行監(jiān)控,為了保證可以監(jiān)控,就需要將流量從宿主機中引出到外部網(wǎng)絡(luò)中來實現(xiàn)。
6)審計,要求云服務(wù)商和云租戶負(fù)責(zé)及控制各自IT系統(tǒng)的審計設(shè)備、權(quán)限和審計數(shù)據(jù)。
主機安全
。1)安全要求:
1)應(yīng)保證虛擬機之間、虛擬機與宿主機之間的安全隔離;
2)應(yīng)確保云平臺運維管理員、云服務(wù)管理員和云租戶管理員的權(quán)限分離;
3)應(yīng)提供云平臺管理用戶權(quán)限分離機制,為網(wǎng)絡(luò)管理員、系統(tǒng)管理員建立不同賬戶并分配相應(yīng)的權(quán)限。
4)應(yīng)保證虛擬機僅能遷移至相同安全保護等級的資源池;
5)應(yīng)確保僅云租戶擁有其數(shù)據(jù)庫的最高管理權(quán)限;
6)應(yīng)保證分配給虛擬機的內(nèi)存空間僅供其獨占訪問;
7)應(yīng)保證虛擬機所使用的內(nèi)存和存儲空間回收時得到完全清除;
8)應(yīng)根據(jù)云服務(wù)方和云租戶的職責(zé)劃分,實現(xiàn)各自控制部分的集中審計。
(2)解讀:
1)虛擬機之間、虛擬機與宿主機之間的安全隔離,這點是要說明要保證虛擬機間、虛擬機和宿主機間的安全,這里的安全主要是系統(tǒng)從層面和資源層面的安全。
2)針對云平臺運營管理,應(yīng)設(shè)置不同的角色,不同的角色有不同的權(quán)限,從而保證云平臺及租戶業(yè)務(wù)系統(tǒng)運行安全。例如,滿足三員分立要求。
3)虛擬機僅能遷移至相同安全保護等級的資源池;這點說明,如果云平臺是三級云平臺,但是在整個云平臺上既有二級業(yè)務(wù)應(yīng)用系統(tǒng),又有三級業(yè)務(wù)應(yīng)用系統(tǒng)時,承載二級業(yè)務(wù)應(yīng)用系統(tǒng)和三級業(yè)務(wù)應(yīng)用系統(tǒng)需要各自使用獨立的物理服務(wù)器資源池和存儲資源池。
4)應(yīng)確保僅云租戶擁有其數(shù)據(jù)庫的最高管理權(quán)限;這單說明租戶間不同共享數(shù)據(jù)庫系統(tǒng)。
5)內(nèi)存獨占和內(nèi)存、存儲空間完全清空,這兩點是說明要保證信息不能通過內(nèi)存或者存儲遭到泄露。
6)審計,要求云服務(wù)商和云租戶負(fù)責(zé)及控制各自IT系統(tǒng)的審計設(shè)備、權(quán)限和審計數(shù)據(jù)。
應(yīng)用安全
。1)安全要求:
應(yīng)根據(jù)云服務(wù)方和云租戶的職責(zé)劃分,實現(xiàn)各自控制部分的集中審計
。2)解讀:
審計,要求云服務(wù)商和云租戶負(fù)責(zé)及控制各自IT系統(tǒng)的審計設(shè)備、權(quán)限和審計數(shù)據(jù)。
數(shù)據(jù)安全及備份恢復(fù)
。1)安全要求:
1)云租戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份;
2)應(yīng)保證云租戶業(yè)務(wù)及數(shù)據(jù)能移植到其他云平臺或者遷移到本地信息系統(tǒng)。
。2)解讀
1)云租戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份;這點是說明要求租戶的業(yè)務(wù)數(shù)據(jù)無2)論在其它地方是否有備份數(shù)據(jù),但是在租戶自己辦公場地本地始終需要有一份云平臺上運行的業(yè)務(wù)數(shù)據(jù)備份。
3)應(yīng)保證云租戶業(yè)務(wù)及數(shù)據(jù)能移植到其他云平臺或者遷移到本地信息系統(tǒng);這點是要說明,要求租戶能夠?qū)⒃破脚_上運行的業(yè)務(wù)信息系統(tǒng)遷移到自身辦公場地,并繼續(xù)運行的能力。
管理要求
云計算信息系統(tǒng)的安全管理要求與信息系統(tǒng)中各種角色參與的活動有關(guān),主要通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。安全管理要求從系統(tǒng)建設(shè)管理、系統(tǒng)運維管理兩個方面提出。
系統(tǒng)建設(shè)管理應(yīng)根據(jù)不同的云計算信息系統(tǒng)安全保護等級分別從系統(tǒng)定級和備案、測試驗收、云服務(wù)商選擇、供應(yīng)鏈管理等幾個方面提出要求。系統(tǒng)運維管理應(yīng)根據(jù)不同的云計算信息系統(tǒng)安全保護等級從監(jiān)控和審計管理方面提出要求。
云服務(wù)商的選擇
。1)安全要求:
1)應(yīng)確保云服務(wù)商的選擇符合國家的有關(guān)規(guī)定;
2)應(yīng)根據(jù)信息系統(tǒng)的安全保護等級選擇能夠提供相應(yīng)安全等級保護能力的云服務(wù)商;
3)應(yīng)以書面方式約定云服務(wù)的各項服務(wù)內(nèi)容和具體技術(shù)指標(biāo);
4)應(yīng)以書面方式約定云服務(wù)商的權(quán)限與責(zé)任,包括管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護、行為準(zhǔn)則、違約責(zé)任等;
5)應(yīng)以書面方式約定服務(wù)合約到期時,完整地返還云租戶信息,并承諾相關(guān)信息均已在云平臺上清除;
6)應(yīng)與選定的云服務(wù)商簽署保密協(xié)議,要求其不得泄露云租戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的相關(guān)重要信息;
7)應(yīng)與云服務(wù)商的可接觸到云租戶數(shù)據(jù)的員工簽訂保密協(xié)議;
8)應(yīng)對云服務(wù)商和云服務(wù)商的可接觸到云租戶敏感信息的員工進行背景調(diào)查;
云服務(wù)商應(yīng)接受運行監(jiān)管,提供運行監(jiān)管接口。
(2)解讀:
以上安全要求是在說明,當(dāng)用戶不是自建云平臺,而是選擇其他云服務(wù)商提供的云服務(wù)時,需要對云服務(wù)商提出的安全要求,簽署具有法律約束能力的安全協(xié)議及合同。
供應(yīng)鏈管理
。1)安全要求:
1)應(yīng)確保供應(yīng)商的選擇符合國家的有關(guān)規(guī)定;
2)云服務(wù)方應(yīng)確保供應(yīng)鏈安全事件信息或威脅信息能夠及時傳達(dá)到云租戶;
3)應(yīng)保證供應(yīng)商的重要變更及時傳達(dá)到云租戶,并評估變更帶來的安全風(fēng)險,采取有關(guān)措施對風(fēng)險進行控制。
(2)解讀:
以上安全要求是在說明,用戶無論是自建私有云,還是租用云服務(wù)商的云服務(wù)時,都要及時了解到云平臺架構(gòu)主要產(chǎn)品供應(yīng)信息,對于云服務(wù)商而言,當(dāng)云平臺基礎(chǔ)架構(gòu)組成產(chǎn)品的供應(yīng)鏈出現(xiàn)變化時,要及時通知到云租戶,云租戶有知情權(quán)。
監(jiān)控和審計管理
。1)安全要求:
1)應(yīng)確保信息系統(tǒng)的監(jiān)控活動符合關(guān)于隱私保護的相關(guān)政策法規(guī);
2)應(yīng)確保提供給云租戶的審計數(shù)據(jù)的真實性和完整性;
3)應(yīng)制定相關(guān)策略,對安全措施有效性進行持續(xù)監(jiān)控;
4)云服務(wù)方應(yīng)將安全措施有效性的監(jiān)控結(jié)果定期提供給相關(guān)云租戶。
。2)解讀:
以上安全要求是在說明,在云計算環(huán)境中,要求能夠?qū)φ麄云平臺進行持續(xù)的,全面的運營狀態(tài)監(jiān)控。涉及到與租戶相關(guān)的監(jiān)控信息及監(jiān)控報告,要定期提供給云租戶。
