安全資訊

隨著(zhù)一系列等級保護新標準的順利發(fā)布，網(wǎng)絡(luò )安全等級保護也進(jìn)入到2.0時(shí)代。作為新增的等級保護對象，云計算平臺/系統新增安全要求如何？有哪些地方值得重點(diǎn)關(guān)注？

今天來(lái)為您一一解讀。

一、云安全挑戰

云計算平臺作為信息化建設中的重要系統，具備開(kāi)放型巨系統的特征，系統組成極為復雜。由此決定著(zhù)云計算平臺將面臨著(zhù)各個(gè)層面的網(wǎng)絡(luò )安全挑戰。

首先，是來(lái)自網(wǎng)絡(luò )和通訊的安全挑戰。這類(lèi)攻擊是借助網(wǎng)絡(luò )、通訊特性如帶寬、傳輸會(huì )話(huà)、數據包轉發(fā)等實(shí)施的攻擊。例如，直接通過(guò)網(wǎng)絡(luò )實(shí)施DDOS攻擊，通過(guò)網(wǎng)絡(luò )使用不安全接口實(shí)施注入、盜取秘鑰、非法獲取敏感數據、非法篡改數據攻擊，通過(guò)網(wǎng)絡(luò )實(shí)施賬戶(hù)劫持以及通過(guò)網(wǎng)絡(luò )傳輸的APT類(lèi)攻擊等。

其次，是面向設備和計算的安全挑戰。攻擊者利用云計算設備和平臺性能優(yōu)勢或固有特性實(shí)施直接或間接的攻擊，如：身份驗證和憑證被盜取、云計算存儲資源數據殘留、存在漏洞的基礎服務(wù)資源被共享使用、云服務(wù)被濫用于其他網(wǎng)絡(luò )攻擊等。

第三，是面向應用和數據的安全挑戰。應用的目的是處理數據，云計算軟件漏洞、不安全接口、數據庫存儲不受控、黑客攻擊、員工處理數據的異常操作、未被授權的訪(fǎng)問(wèn)等可造成數據泄露、數據異常銷(xiāo)毀、數據永久丟失等重大損失。

第四，是來(lái)自管理、運維的安全挑戰。在云計算管理層面，缺乏盡職調查、數據所有權缺乏保障體系；在運維層面，存在云使用方或云租戶(hù)對云計算服務(wù)方過(guò)度依賴(lài)，甚至被云計算服務(wù)方鎖定、惡意越權訪(fǎng)問(wèn)、濫用職權以及誤操作等，存在信息安全隱患的管理和運維，這些對云計算平臺的安全穩定帶來(lái)巨大風(fēng)險和隱患。

二、云等保要求總覽

在政府積極引導和企業(yè)戰略布局等推動(dòng)下，經(jīng)過(guò)近十余年的發(fā)展，云計算已逐漸被市場(chǎng)認可和接受，政務(wù)、金融、運營(yíng)商和工業(yè)等多個(gè)行業(yè)的信息系統已經(jīng)運行在云端。相對于傳統信息系統，云計算平臺/系統如何進(jìn)行等級保護非常受關(guān)注。新等級保護標準的發(fā)布，明確了云計算平臺/系統作為等級保護對象的具體要求，指導云計算平臺/系統的安全建設。

新標準中對于云計算平臺/系統的等級保護，仍然根據“一個(gè)中心，三重防護”體系框架，提出了具體的技術(shù)要求，以及包含云服務(wù)商選擇、供應鏈管理和云計算環(huán)境管理等方面的管理要求。云計算平臺/系統的安全建設或安全整改，需同時(shí)根據安全通用要求和安全擴展要求，構建具有相應等級安全防護能力的安全防御體系。

注：安全管理制度、安全管理機構和安全管理人員，云計算平臺/系統無(wú)單獨安全擴展要求。

三、云等保組織架構

云計算等級保護的施行由兩部分組成，一部分是組織，另外一部分是施行邏輯。就組織而言，云計算等級保護有完善的指導、規劃、試測、建設、驗證、審計和持續優(yōu)化流程組織形式和流程。

等級保護實(shí)施流程

四、云等?？蚣?br />
云計算等級保護是整個(gè)等保2.0的一部分，它與等級保護的“通用”部分形成一個(gè)整體，來(lái)約束云計算平臺的等級保護建設，為云計算平臺網(wǎng)絡(luò )安全建設設立基線(xiàn)。云計算等級保護框架按照系統組成來(lái)劃分，大致可分為面向整個(gè)云計算平臺的防護要求和面向云計算負載的防護要求。

云計算安全等級保護是等級保護框架的一部分

云計算系統分級需要綜合等級保護中的安全通用要求和云計算安全兩個(gè)模塊的內容，進(jìn)行定級。云計算等級保護的每個(gè)等級依據威脅對目標造成的影響程度，形成有梯度的防護。這些要求被整體劃分為技術(shù)要求和管理要求，分別面向云計算平臺系統和云計算平臺管理兩個(gè)部分。以三級等保建設為例，其技術(shù)要求160多項、管理要求120多項。

對于云計算平臺/系統的等級保護，我們以第三級要求說(shuō)明有哪些應該重點(diǎn)關(guān)注。

五、抓住重點(diǎn)

1.責任共擔要求

云計算平臺/系統通常由設施、硬件、資源抽象控制、虛擬化計算資源、軟件平臺和應用軟件等組成。根據不同服務(wù)模式（IaaS、PaaS和SaaS），云服務(wù)商和云服務(wù)客戶(hù)擁有不同控制范圍，其安全責任邊界不同；云服務(wù)商和云服務(wù)客戶(hù)應根據各自安全責任，進(jìn)行安全防護能力建設?，F實(shí)情況是云服務(wù)客戶(hù)通常認為安全防護應該由云服務(wù)商實(shí)現，只需把業(yè)務(wù)系統遷移至云端即可，這需要引導云服務(wù)客戶(hù)關(guān)注等級保護，并采取相應安全防護，與云服務(wù)商一起共同保護云計算平臺/系統。

2.安全通信網(wǎng)絡(luò )要求

解讀：

根據控制范圍，云計算定級對象可分為云服務(wù)商控制部分（如云計算平臺）和云服務(wù)客戶(hù)控制部分（如業(yè)務(wù)應用系統），應分別進(jìn)行定級，且云服務(wù)商控制部分比云服務(wù)客戶(hù)控制部分高，云服務(wù)商的測評可以被復用。在進(jìn)行安全建設時(shí)，云服務(wù)商應該為云服務(wù)客戶(hù)提供安全產(chǎn)品或服務(wù)，然而云計算平臺/系統，尤其是私有云部署方式下，僅提供基礎的安全能力，并不能滿(mǎn)足等級保護要求。這就需要云服務(wù)商能夠提供第三方安全產(chǎn)品/服務(wù)或允許客戶(hù)接入第三方安全產(chǎn)品或服務(wù)，并且云服務(wù)客戶(hù)可以自主設置安全策略。

3.安全區域邊界

解讀：

相較于傳統信息系統，云計算平臺/系統新增了一些組件，如宿主機、虛擬機和虛擬化網(wǎng)絡(luò )等。所以在做安全區域邊界設計時(shí)，除了關(guān)注物理區域邊界和物理網(wǎng)絡(luò )節點(diǎn)外，還應該關(guān)注虛擬化網(wǎng)絡(luò )邊界和虛擬網(wǎng)絡(luò )節點(diǎn)，以及虛擬機與物理機、虛擬機與虛擬機間網(wǎng)絡(luò )流量，一方面做好物理網(wǎng)絡(luò )的訪(fǎng)問(wèn)控制和入侵防范等，另一方面利用云計算平臺/系統的安全能力或第三方安全產(chǎn)品/服務(wù)，做好虛擬區域邊界的訪(fǎng)問(wèn)控制和入侵防范等。

安徽靈狐科技作為等級保護專(zhuān)業(yè)服務(wù)提供商，專(zhuān)注您的線(xiàn)上云等保，詳情請咨詢(xún)400電話(huà)，一站式解決方案。