信息安全等級保護之:云計算
等保2.0時(shí)代最受關(guān)注的變化,莫過(guò)于其保護范圍的大大擴展,此外,在原有的基礎上,等保2.0細化擴展了諸多細分安全領(lǐng)域的要求和標準,既與時(shí)俱進(jìn)提高了保障的要求門(mén)檻,也讓工作開(kāi)展的依據更加清晰和可操作。
云等保是在原等??蚣芟聦π率挛锏臄U展,云計算架構之下,等級保護依然需要落地,包括定級、備案、建設整改、等級測評、監督檢查五個(gè)規定動(dòng)作。不同的是等??蚣芟滦略黾拥脑匦枰獙υ械燃壉Wo相關(guān)工作的具體內容進(jìn)行擴充并統一。
首先是租戶(hù)和平臺的責任劃分問(wèn)題。在云計算條件下,目前采取的是云平臺和租戶(hù)的責任共擔機制,而從IaaS到PaaS再到SaaS模式,云租戶(hù)所需要承擔的責任是越來(lái)越少的,但無(wú)論如何,對于云租戶(hù)而言,數據安全始終是最核心的安全問(wèn)題,不可松懈。
其次是定級備案的問(wèn)題。傳統的信息系統其架構是隨著(zhù)業(yè)務(wù)變化而變化的,實(shí)際上是以物理網(wǎng)絡(luò )和安全設備為邊界的;而對于云環(huán)境而言,則是以虛擬邊界作為系統定級的邊界,采用原有的思路無(wú)法體現出業(yè)務(wù)應用系統的邏輯關(guān)系,需要從業(yè)務(wù)應用的角度出發(fā),梳理業(yè)務(wù)應用和對應的模塊。
原則上,定級、備案工作是由用戶(hù)單位自己填寫(xiě)定級備案表交給公安網(wǎng)監部門(mén)去進(jìn)行備案工作,但考慮到實(shí)際情況,絕大多數情況下都是用戶(hù)單位在測評機構的協(xié)助下完成這些工作。系統安全建設和等級測評的工作不一定要嚴格按照這個(gè)順序開(kāi)展,可以先測評再整改,也可以先建設再測評,具體還是根據自身實(shí)際情況來(lái)辦。
選擇的測評機構很重要,測評機構的權威性,測評質(zhì)量直接關(guān)系到單位信息系統后期整改內容,提前發(fā)現問(wèn)題提前整改,可以有效降低被攻擊的風(fēng)險,提高信息安全防護能力。
在定級當中還存在著(zhù)兩個(gè)重要誤區:
1、已經(jīng)托管的云系統是否需要等保?
根據“誰(shuí)運營(yíng)誰(shuí)負責,誰(shuí)使用誰(shuí)負責,誰(shuí)主管誰(shuí)負責”的原則,該系統責任主體還是屬于網(wǎng)絡(luò )運營(yíng)者自己,所以還是得承擔相應的網(wǎng)絡(luò )安全責任,該進(jìn)行系統定級的還是得定級,該做等保的還是得做等保。
系統上云或托管后,并不是安全責任主體轉移,只是系統所在機房地址的變更,當然在公有云模式下,Iaas、Paas、Saas不同模式相應的安全責任會(huì )有些區別,但是并不是沒(méi)有責任。
2、系統定級越低越好?
最終定級是根據受侵害的客體以及對客體侵害的程度來(lái)確定的,以事實(shí)為根據,而不是主觀(guān)隨意定級。定級低了,表面上要求更容易滿(mǎn)足,但相應的防護措施也相對不足,一旦遭受攻擊,反而得不償失。
再次是備案的問(wèn)題。傳統的系統備案很簡(jiǎn)單,IT基礎設施、運維地點(diǎn)、工商注冊地基本上都是一致的,直接去所在地市局、網(wǎng)安或者是分局即可;然而上云的系統由于部署在各類(lèi)云平臺上面,而云平臺的實(shí)際物理地址往往和云系統網(wǎng)絡(luò )運營(yíng)者不在同一地址,大型云平臺還有許多物理節點(diǎn),很難確定云平臺的具體物理地址,因此從方便屬地公安機關(guān)監管的角度出發(fā),應該在系統實(shí)際運維團隊所在地市網(wǎng)安部門(mén)進(jìn)行系統備案。
再就是如何建設整改的問(wèn)題。云計算已經(jīng)深刻的影響到了IT架構、業(yè)務(wù)系統部署方式,以及服務(wù)模式,一方面它可以讓用戶(hù)快速、彈性、按需、隨時(shí)隨地的獲取到IT資源和服務(wù),實(shí)現IT即服務(wù)的轉變,是重要的一次信息化變革,另一方面這種新型的IT架構也帶來(lái)了新的安全挑戰和安全需求。
邊界、通信和計算的安全均需要考慮在內,而重中之重的則是云數據安全的建設,依據客戶(hù)實(shí)際需求和相關(guān)安全合規標準,進(jìn)行數據創(chuàng )建、傳輸、存儲、使用、共享和銷(xiāo)毀在內的全生命周期的云環(huán)境下的數據安全設計,以及數據安全體系建設,從而保障用戶(hù)數據在云環(huán)境下的安全使用,保護云環(huán)境中的數據的機密性、可用性、完整性。
最后是測評的問(wèn)題。云計算系統保護措施通常是以系統整體能力體現,云計算安全擴展要求作為全局對待,在報告結構上等同于全局測評,各測評項不再重復對應一個(gè)或多個(gè)測評對象。等保工作是一個(gè)持續的工作,等保測評也是一個(gè)周期性的工作,三級系統要求每年做一次,四級系統每半年做一次,二級系統部分行業(yè)明確要求每?jì)赡曜鲆淮?,沒(méi)有明確要求的行業(yè)一般是建議兩年做一次測評。