安全資訊

       網(wǎng)絡(luò )安全法第二十一條規定國家實(shí)行網(wǎng)絡(luò )安全等級保護制度，等保2.0將云平臺和云上信息系統納入了等級保護的范圍。云上重要信息系統都應當按照網(wǎng)絡(luò )安全等級保護制度要求履行網(wǎng)絡(luò )安全法的法律義務(wù)，開(kāi)展等級測評工作。云上信息系統過(guò)等保要注意什么，你知道嗎？為幫助云上信息系統順利通過(guò)等保測評，我們就云租戶(hù)要關(guān)注的內容和事項進(jìn)行了全面梳理，希望給云租戶(hù)在選擇云平臺和開(kāi)展云上信息系統等保工作時(shí)提供指導。

1

云計算的服務(wù)模式

  云計算的服務(wù)模型主要有三種：IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）和SaaS（Software as a Service），美國國家標準與技術(shù)研究院NIST為它們做的定義如下：

    SaaS模式：為用戶(hù)提供在云架構上運行的應用的服務(wù)。用戶(hù)可以從多種多樣的瘦客戶(hù)端[1]經(jīng)由瘦客戶(hù)端接口對應用進(jìn)行訪(fǎng)問(wèn)。用戶(hù)不需要管理或控制底層的云架構（包括網(wǎng)絡(luò )、服務(wù)器、操作系統、存儲，以及個(gè)別的應用能力），只需要關(guān)心與需求有關(guān)的需客戶(hù)特別設定的應用配置；

    PaaS模式：為用戶(hù)提供將應用部署在云架構上的服務(wù)，而創(chuàng )建這些應用的編程語(yǔ)言和工具必須得到服務(wù)提供商的支持。這些應用可以是用戶(hù)自己創(chuàng )建的，也可能是從別處獲取的。用戶(hù)不需要管理或控制底層的云架構（包括網(wǎng)絡(luò )、服務(wù)器、操作系統、存儲），但是他們需要對部署的應用進(jìn)行控制，還有可能要針對應用進(jìn)行環(huán)境配置；

    IaaS模式：為用戶(hù)提供處理、存儲、網(wǎng)絡(luò )以及其它基礎計算資源的服務(wù)，用戶(hù)可以在其上部署和運行包括操作系統和應用在內的任何軟件。用戶(hù)不需要管理或控制底層的云架構，但是他們需要控制操作系統、存儲資源以及被部署的應用，還有可能要對某些網(wǎng)絡(luò )部件（例如主機防火墻）進(jìn)行有限的控制。 

   由于在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶(hù)對計算資源擁有不同的控制范圍，控制范圍則決定了安全責任的邊界。而目前云上信息系統大多采用IAAS模式，我們就IAAS模式下的云租戶(hù)要關(guān)注的內容和事項進(jìn)行介紹。

2

云上信息系統等保2.0的定級和備案

定級：在云計算環(huán)境中，將云服務(wù)方側的云計算平臺單獨作為定級對象定級，云租戶(hù)側的等級保護對象作為單獨的定級對象定級。

備案：云租戶(hù)負責對云平臺上承載的租戶(hù)信息系統進(jìn)行定級備案，備案地為工商注冊或實(shí)際經(jīng)營(yíng)所在地。

3

云上信息系統等保云租戶(hù)要關(guān)注的層面和組件

    下表為IAAS模式下云服務(wù)商與租戶(hù)的責任劃分，標紅部分為云租戶(hù)要關(guān)注的層面和組件：

4

等保云租戶(hù)選擇云平臺時(shí)的注意事項

（一）選擇云平臺服務(wù)商的基本條件

1、應確保云計算基礎設施位于中國境內。

2、在選擇云平臺服務(wù)商時(shí)應選擇已通過(guò)相應級別或高于自己應用系統級別等級測評的云平臺服務(wù)商，并要求云平臺服務(wù)商提供通過(guò)相應級別等級測評的證明材料（備案表和測評報告結論頁(yè)）。

3、云平臺服務(wù)商具有根據云服務(wù)客戶(hù)業(yè)務(wù)需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力；并提供開(kāi)放接口或開(kāi)放性安全服務(wù)，允許甲方接入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù)；

（二）與云平臺服務(wù)商簽訂合同、服務(wù)水平協(xié)議和保密協(xié)議

1、與云平臺服務(wù)商簽訂服務(wù)合同時(shí)應注意：

a)合同中應明確其云平臺具有與所承載的業(yè)務(wù)應用系統相應或高于的安全保護能力。

b)合同中應明確雙方安全責任。云平臺能實(shí)現不同云服務(wù)客戶(hù)虛擬網(wǎng)絡(luò )之間的隔離。

c)合同中應明確甲方的網(wǎng)絡(luò )與其它云服務(wù)客戶(hù)虛擬網(wǎng)絡(luò )之間進(jìn)行隔離，甲方虛擬機使用獨占的內存空間。

d)合同中明確甲方系統的審計數據隔離存放。

e)合同中明確如甲方需刪除業(yè)務(wù)應用數據時(shí)，云計算平臺需確保云存儲中所有副本被刪除。

f)合同中應明確如甲方需將業(yè)務(wù)系統及數據遷移到其他云計算平臺和本地系統，云計算平臺方需提供技術(shù)手段，并協(xié)助完成遷移過(guò)程。

g)合同中明確云平臺服務(wù)商要確保存儲服務(wù)中甲方數據存在若干個(gè)可用的副本，各副本之間的內容保持一致。

h)合同中明確云平臺服務(wù)商具有根據甲方業(yè)務(wù)需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力；并提供開(kāi)放接口或開(kāi)放性安全服務(wù)，允許甲方接入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù)。

i)合同中明確云平臺服務(wù)商具有根據甲方業(yè)務(wù)需求自主設置安全策略集的能力，包括定義訪(fǎng)問(wèn)路徑、選擇安全組件、配置安全策略。

j)合同中明確云平臺服務(wù)商應保證甲方業(yè)務(wù)流量與云計算平臺管理流量分離。

k)合同中明確甲乙雙方要根據各自的職責劃分，收集各自控制部分的審計數據并實(shí)現各自的集中審計；實(shí)現各自控制部分，包括虛擬化網(wǎng)絡(luò )、虛擬機、虛擬化安全設備等的運行狀況的集中監測。

l)合同中明確只有在甲方授權下，云平臺服務(wù)商或第三方才具有甲方數據的管理權限。

2、與云平臺服務(wù)商簽訂服務(wù)水平協(xié)議時(shí)應注意：

a)服務(wù)水平協(xié)議應規定云服務(wù)的各項服務(wù)內容和具體指標、服務(wù)期限、雙方簽字或蓋章等。

b)服務(wù)水平協(xié)議中應規定云服務(wù)商的權限與責任，包括管理范圍、職責劃分、訪(fǎng)問(wèn)授權、隱私保護、行為準則、違約責任等；

c)服務(wù)水平協(xié)議中應規定服務(wù)合約到期時(shí)，完整地返還云服務(wù)客戶(hù)信息，并承諾相關(guān)信息在云計算平臺上清除；

3、與云平臺服務(wù)商簽訂保密協(xié)議時(shí)應注意：

a) 保密協(xié)議中應要求其不得泄露云服務(wù)客戶(hù)數據和業(yè)務(wù)系統的相關(guān)重要信息；

b) 應要求云平臺服務(wù)商對可能接觸到自己應用系統數據的員工進(jìn)行背景調查，并簽署保密協(xié)議。

5

等保2.0云租戶(hù)等級測評和測評打分

    云上系統由于已經(jīng)由云平臺服務(wù)商提供基本物理環(huán)境和網(wǎng)絡(luò )環(huán)境，根據IAAS模式下云服務(wù)商與租戶(hù)的責任劃分，故云上信息系統的測評層面主要包括網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全、安全建設管理、安全運維管理五個(gè)層面。測評對象包括網(wǎng)絡(luò )安全措施、主機（操作系統、數據庫）、應用（應用軟件、中間件）、數據、管理等。測評方法主要為訪(fǎng)談、檢查、測試，測評重點(diǎn)為遠程工具測試和滲透測試。

    云上系統的報告打分與傳統打分方法不一樣，在對云服務(wù)客戶(hù)業(yè)務(wù)應用系統測評時(shí)打分不需要與云計算平臺結果共同計算，但要將云平臺測評得分放在最終得分一欄，如云上信息系統的得分為80分，云計算平臺的得分為90分，則云租戶(hù)云上信息系統的等級測評報告得分為（80，90）。

6

等保2.0云上信息系統應達到的重點(diǎn)要求

云上系統等級測評重點(diǎn)要求如下：

（一）網(wǎng)絡(luò )和通信安全方面

1、邊界防護：購買(mǎi)云平臺的虛擬防火墻進(jìn)行邊界防護。

2、訪(fǎng)問(wèn)控制：購買(mǎi)云平臺的虛擬防火墻，與云平臺上其它系統進(jìn)行了隔離，如系統中有多臺虛擬機要進(jìn)行通信，設置不同虛擬機之間的訪(fǎng)問(wèn)控制策略。

3、入侵防范：購買(mǎi)云平臺的防入侵模塊或其它防入侵措施，如可用性要求高購買(mǎi)抗DDOS模塊。

4、安全審計：開(kāi)啟安全設備、操作系統、數據庫、中間件日志，設置日志服務(wù)器對設備日志進(jìn)行統一收集（或購買(mǎi)云平臺的日志收集存儲和審計服務(wù)），至少保存半年。

5、集中監控：對虛擬機、虛擬化安全設備等的運行狀況的集中監測。

（二）設備和計算安全方面（針對安全措施、操作系統、數據庫、中間件等）

1、身份鑒別

1）設置用戶(hù)名口令：對操作系統設置用戶(hù)名和密碼。

2）啟用密碼復雜度策略：登錄口令應由數字、字母、特殊字符三種中的兩種或兩種以上構成，長(cháng)度不得小于8位，至少每季度更換一次。

3）雙因子鑒別：采用兩種或兩種以上組合的鑒別技術(shù)對用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應使用動(dòng)態(tài)口令、密碼技術(shù)或生物技術(shù)來(lái)實(shí)現。

4）遠程管理加密：windows更改遠程桌面端口，開(kāi)啟SSL加密遠程登錄。linux關(guān)閉telnet服務(wù)，使用SSH登錄。

5）登錄失敗處理：應帳戶(hù)鎖定策略，建設設定登錄失敗次數5次將鎖定30分鐘；

2、訪(fǎng)問(wèn)控制

1）權限分離：應根據管理用戶(hù)的角色分配權限，實(shí)現管理用戶(hù)的權限分離，僅授予管理用戶(hù)所需的最小權限；

2）配置訪(fǎng)問(wèn)控制策略：應由授權主體配置訪(fǎng)問(wèn)控制策略，訪(fǎng)問(wèn)控制策略規定主體對客體的訪(fǎng)問(wèn)規則；訪(fǎng)問(wèn)控制的粒度應達到主體為用戶(hù)級或進(jìn)程級，客體為文件、數據庫表級； 

3）嚴格限制默認帳戶(hù)的訪(fǎng)問(wèn)權限：重命名系統默認帳戶(hù)，修改這些帳戶(hù)的默認口令；

4）及時(shí)刪除多余的、過(guò)期的帳戶(hù)：避免共享帳戶(hù)的存在。

3、安全審計

1）啟用審計功能：開(kāi)啟審計策略，審計內容應包括重要用戶(hù)行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關(guān)事件。

2）審計記錄備份：對審計記錄進(jìn)行保護，定期備份，審計記錄的留存時(shí)間至少保存半年，避免受到未預期的刪除、修改或覆蓋等。

4、入侵防范

1）最小安裝：操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，關(guān)閉不需要的系統服務(wù)、默認共享和高危端口。

2）及時(shí)修補漏洞：能發(fā)現可能存在的漏洞，并在經(jīng)過(guò)充分測試評估后，及時(shí)修補漏洞。

3）入侵檢測：安裝入侵檢測/防御軟件，能夠檢測到對重要節點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴重入侵事件時(shí)提供報警。

4）終端登錄地址限制： 通過(guò)設定終端接入方式或網(wǎng)絡(luò )地址范圍對通過(guò)網(wǎng)絡(luò )進(jìn)行管理的管理終端進(jìn)行限制。

5、惡意代碼防范

安裝防病毒軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫；或采取其它免受惡意代碼攻擊的技術(shù)措施或可信驗證機制。

除以上要求外，中間件還需重點(diǎn)考慮以下要求：

1）網(wǎng)站目錄除SYSTEM用戶(hù)和administrators組有完全控制權限外，其余用戶(hù)和組都只應設置為讀取和執行權限。

2）網(wǎng)站上傳目錄和數據庫目錄一般需要分配“寫(xiě)入”權限，但一定不要分配執行權限（原則：目錄有寫(xiě)入權限，一定不要分配執行權限；目錄有執行權限，一定不要分配寫(xiě)入權限）

3）沒(méi)有地址訪(fǎng)問(wèn)限制需求或有地址訪(fǎng)問(wèn)限制需求，對訪(fǎng)問(wèn)web的IP地址進(jìn)行了限制（重點(diǎn)：網(wǎng)站配置文件web.config、網(wǎng)站后臺目錄、數據庫文件存放、審計日志文件目錄）

（二）應用和數據安全方面（針對應用程序和數據）

1、應用軟件

需保證應用軟件具備以下安全功能且注重代碼安全開(kāi)發(fā)，進(jìn)行安全測試確保不存在代碼安全漏洞。

應具備的安全功能如下：

2、數據備份

應在本地保存其業(yè)務(wù)數據的備份；重要數據實(shí)時(shí)備份。

    （注：以上為以三級為例的重點(diǎn)要求，滿(mǎn)足以上要求并不能代表能滿(mǎn)足等級保護三級要求的所有條款。）