《信息系統安全等級保護》目前規劃了五個(gè)分冊,第一分冊是“基本要求”,第二個(gè)分冊是“云計算安全技術(shù)要求”,其余分冊的內容如圖1所示,第一分冊是其他分冊的基礎,其他四個(gè)分冊都是針對不同領(lǐng)域,對第一分冊的更新和補充。
圖1 信息安全技術(shù) 信息安全等級保護標準整體結構圖
圖2 云計算安全技術(shù)要求框架圖
從云計算安全技術(shù)要求框架圖中可以看出,整體框架與《第一分冊 基本要求》保持一致,并且在技術(shù)要求中,“物理安全”內容參照《第一分冊 基本要求》執行,包括它技術(shù)要求和管理要求內容。從內容條款中也可以看出,《第二分冊 云計算安全技術(shù)要求》本身不是一項新的云計算安全標準,只是對《第一分冊 基本要求》的補充。
《第二分冊 云計算安全技術(shù)要求》(下文簡(jiǎn)稱(chēng)“云安全等保合規”的編寫(xiě)工作主要是在2015年1月至7月完成的,新華三作為主要參與方參加了整個(gè)編寫(xiě)過(guò)程。新華三集團針對在云計算環(huán)境中應用到的主機虛擬化技術(shù)安全、軟件定義網(wǎng)絡(luò )技術(shù)安全、NFV技術(shù)安全和服務(wù)鏈技術(shù)安全等方面提出了相關(guān)的安全技術(shù)要求;在云計算環(huán)境中,云平臺運維及運營(yíng)管理方面也給出相關(guān)安全管理要求。
“云安全等保合規”主要包括三個(gè)方面的內容:云計算環(huán)境下的安全威脅、云計算安全等級保護評測流程以及云計算安全等級保護要求。下文將對“云計算安全等級保護要求“做詳細解讀。
云計算安全等級保護要求根據實(shí)現方式的不同,分為基本技術(shù)要求和基本管理要求兩大類(lèi)。技術(shù)類(lèi)安全要求與云計算信息系統提供的技術(shù)安全機制有關(guān),主要通過(guò)在云計算信息系統中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現;管理類(lèi)安全要求與云計算信息系統中各種角色參與的活動(dòng)有關(guān),主要通過(guò)控制各種角色的活動(dòng),從政策、制度、規范、流程以及記錄等方面做出規定來(lái)實(shí)現。
技術(shù)要求
云計算信息系統的核心是采用虛擬化技術(shù)實(shí)現計算資源的池化和動(dòng)態(tài)分配。虛擬化技術(shù)也是云計算系統諸多優(yōu)勢得以實(shí)現的關(guān)鍵因素。虛擬化技術(shù)為云平臺增加了額外的一層安全要求,云計算信息系統的安全防護需要著(zhù)眼于虛擬化技術(shù)所帶來(lái)的安全風(fēng)險。包括:虛擬化平臺的安全風(fēng)險、虛擬資源共享風(fēng)險、多云租戶(hù)環(huán)境中的數據安全風(fēng)險。各層面主要關(guān)注點(diǎn)如下:
在網(wǎng)絡(luò )安全層面,在等級保護基本要求技術(shù)的基礎上,云計算信息系統的安全技術(shù)要求增加了虛擬網(wǎng)絡(luò )的網(wǎng)絡(luò )設備防護和訪(fǎng)問(wèn)控制,虛擬網(wǎng)絡(luò )流量的監控管理和安全審計,虛擬網(wǎng)絡(luò )中的入侵檢測等安全技術(shù)要求;
在主機安全層面,在等級保護基本技術(shù)要求的基礎上,云計算信息系統的主機安全要求增加了虛擬機之間以及虛擬機與宿主機之間的安全防護、虛擬機鏡像、快照安全保護等安全技要求;
在應用安全層面,在等級保護基本技術(shù)要求的基礎上,云計算信息系統應用安全層面增加了接口安全等安全技術(shù)要求;
在數據安全層面,在等級保護基本技術(shù)要求的基礎上,云計算信息系統的數據安全層面增加了對虛擬機遷移、數據的權限控制等安全技術(shù)要求。
下面將分別針對“網(wǎng)絡(luò )安全”、“主機安全”、“應用安全”和“數據安全及備份恢復”四個(gè)層面中重點(diǎn)內容進(jìn)行講解。
網(wǎng)絡(luò )安全
(1)安全要求:
1)應保證云平臺管理流量與云租戶(hù)業(yè)務(wù)流量分離
2)應根據云租戶(hù)的業(yè)務(wù)需求自定義安全訪(fǎng)問(wèn)路徑
3)應在虛擬網(wǎng)絡(luò )邊界部署訪(fǎng)問(wèn)控制設備,并設置訪(fǎng)問(wèn)控制規則
4)應依據安全策略控制虛擬機間的訪(fǎng)問(wèn)
5)應能識別、監控虛擬機之間、虛擬機與物理機之間、虛擬機與宿主機之間的流量
6)應根據云服務(wù)方和云租戶(hù)的職責劃分,實(shí)現各自控制部分的集中審計
(2)解讀:
1)云平臺的管理流量和云租戶(hù)的業(yè)務(wù)應用系統的業(yè)務(wù)處理流量需要分離,這里的“分離”是在說(shuō)明業(yè)務(wù)流程和管理流量采用不同物理交換網(wǎng)絡(luò )設備來(lái)承載。
2)根據云租戶(hù)的業(yè)務(wù)需求自定義安全訪(fǎng)問(wèn)路徑,這里的“自定義訪(fǎng)問(wèn)路徑”是在說(shuō)明租戶(hù)業(yè)務(wù)的安全訪(fǎng)問(wèn)控制不是由云服務(wù)商來(lái)負責的,應該是由云租戶(hù)自身來(lái)負責的,云服務(wù)商只需要提供云租戶(hù)所需要安全服務(wù),而這些安全服務(wù)具體在業(yè)務(wù)應用系統安全訪(fǎng)問(wèn)控制如何使用,及策略如何設置,都是由云租戶(hù)來(lái)決定。
3)在云計算環(huán)境中,會(huì )涉及大量的虛擬網(wǎng)絡(luò ),這時(shí)就需要能夠有效控制虛擬網(wǎng)絡(luò )間及虛擬網(wǎng)絡(luò )和物理網(wǎng)絡(luò )間有清晰的安全邊界,從安全邊界安全設備實(shí)現安全控制。
4)安全策略控制虛擬機間的訪(fǎng)問(wèn),這點(diǎn)說(shuō)明要實(shí)現對虛擬機的安全防護,并且這些安全防護策略可以在虛擬機移動(dòng)過(guò)程中和移動(dòng)后都能實(shí)現實(shí)時(shí)的、持續的安全防護。
5)在云計算環(huán)境中,監控和識別的流量?jì)热莅摂M機之間、虛擬機與物理機之間、虛擬機與宿主機之間的流量,這里重點(diǎn)要強調的是,虛擬機間的流量,因為在同一臺宿主機(安裝虛擬化引擎的物理主機)多個(gè)虛擬機間通信時(shí),通信流量是不出物理服務(wù)器的,所以無(wú)法進(jìn)行監控,為了保證可以監控,就需要將流量從宿主機中引出到外部網(wǎng)絡(luò )中來(lái)實(shí)現。
6)審計,要求云服務(wù)商和云租戶(hù)負責及控制各自IT系統的審計設備、權限和審計數據。
主機安全
(1)安全要求:
1)應保證虛擬機之間、虛擬機與宿主機之間的安全隔離;
2)應確保云平臺運維管理員、云服務(wù)管理員和云租戶(hù)管理員的權限分離;
3)應提供云平臺管理用戶(hù)權限分離機制,為網(wǎng)絡(luò )管理員、系統管理員建立不同賬戶(hù)并分配相應的權限。
4)應保證虛擬機僅能遷移至相同安全保護等級的資源池;
5)應確保僅云租戶(hù)擁有其數據庫的最高管理權限;
6)應保證分配給虛擬機的內存空間僅供其獨占訪(fǎng)問(wèn);
7)應保證虛擬機所使用的內存和存儲空間回收時(shí)得到完全清除;
8)應根據云服務(wù)方和云租戶(hù)的職責劃分,實(shí)現各自控制部分的集中審計。
(2)解讀:
1)虛擬機之間、虛擬機與宿主機之間的安全隔離,這點(diǎn)是要說(shuō)明要保證虛擬機間、虛擬機和宿主機間的安全,這里的安全主要是系統從層面和資源層面的安全。
2)針對云平臺運營(yíng)管理,應設置不同的角色,不同的角色有不同的權限,從而保證云平臺及租戶(hù)業(yè)務(wù)系統運行安全。例如,滿(mǎn)足三員分立要求。
3)虛擬機僅能遷移至相同安全保護等級的資源池;這點(diǎn)說(shuō)明,如果云平臺是三級云平臺,但是在整個(gè)云平臺上既有二級業(yè)務(wù)應用系統,又有三級業(yè)務(wù)應用系統時(shí),承載二級業(yè)務(wù)應用系統和三級業(yè)務(wù)應用系統需要各自使用獨立的物理服務(wù)器資源池和存儲資源池。
4)應確保僅云租戶(hù)擁有其數據庫的最高管理權限;這單說(shuō)明租戶(hù)間不同共享數據庫系統。
5)內存獨占和內存、存儲空間完全清空,這兩點(diǎn)是說(shuō)明要保證信息不能通過(guò)內存或者存儲遭到泄露。
6)審計,要求云服務(wù)商和云租戶(hù)負責及控制各自IT系統的審計設備、權限和審計數據。
應用安全
(1)安全要求:
應根據云服務(wù)方和云租戶(hù)的職責劃分,實(shí)現各自控制部分的集中審計
(2)解讀:
審計,要求云服務(wù)商和云租戶(hù)負責及控制各自IT系統的審計設備、權限和審計數據。
數據安全及備份恢復
(1)安全要求:
1)云租戶(hù)應在本地保存其業(yè)務(wù)數據的備份;
2)應保證云租戶(hù)業(yè)務(wù)及數據能移植到其他云平臺或者遷移到本地信息系統。
(2)解讀
1)云租戶(hù)應在本地保存其業(yè)務(wù)數據的備份;這點(diǎn)是說(shuō)明要求租戶(hù)的業(yè)務(wù)數據無(wú)2)論在其它地方是否有備份數據,但是在租戶(hù)自己辦公場(chǎng)地本地始終需要有一份云平臺上運行的業(yè)務(wù)數據備份。
3)應保證云租戶(hù)業(yè)務(wù)及數據能移植到其他云平臺或者遷移到本地信息系統;這點(diǎn)是要說(shuō)明,要求租戶(hù)能夠將云平臺上運行的業(yè)務(wù)信息系統遷移到自身辦公場(chǎng)地,并繼續運行的能力。
管理要求
云計算信息系統的安全管理要求與信息系統中各種角色參與的活動(dòng)有關(guān),主要通過(guò)控制各種角色的活動(dòng),從政策、制度、規范、流程以及記錄等方面做出規定來(lái)實(shí)現。安全管理要求從系統建設管理、系統運維管理兩個(gè)方面提出。
系統建設管理應根據不同的云計算信息系統安全保護等級分別從系統定級和備案、測試驗收、云服務(wù)商選擇、供應鏈管理等幾個(gè)方面提出要求。系統運維管理應根據不同的云計算信息系統安全保護等級從監控和審計管理方面提出要求。
云服務(wù)商的選擇
(1)安全要求:
1)應確保云服務(wù)商的選擇符合國家的有關(guān)規定;
2)應根據信息系統的安全保護等級選擇能夠提供相應安全等級保護能力的云服務(wù)商;
3)應以書(shū)面方式約定云服務(wù)的各項服務(wù)內容和具體技術(shù)指標;
4)應以書(shū)面方式約定云服務(wù)商的權限與責任,包括管理范圍、職責劃分、訪(fǎng)問(wèn)授權、隱私保護、行為準則、違約責任等;
5)應以書(shū)面方式約定服務(wù)合約到期時(shí),完整地返還云租戶(hù)信息,并承諾相關(guān)信息均已在云平臺上清除;
6)應與選定的云服務(wù)商簽署保密協(xié)議,要求其不得泄露云租戶(hù)數據和業(yè)務(wù)系統的相關(guān)重要信息;
7)應與云服務(wù)商的可接觸到云租戶(hù)數據的員工簽訂保密協(xié)議;
8)應對云服務(wù)商和云服務(wù)商的可接觸到云租戶(hù)敏感信息的員工進(jìn)行背景調查;
云服務(wù)商應接受運行監管,提供運行監管接口。
(2)解讀:
以上安全要求是在說(shuō)明,當用戶(hù)不是自建云平臺,而是選擇其他云服務(wù)商提供的云服務(wù)時(shí),需要對云服務(wù)商提出的安全要求,簽署具有法律約束能力的安全協(xié)議及合同。
供應鏈管理
(1)安全要求:
1)應確保供應商的選擇符合國家的有關(guān)規定;
2)云服務(wù)方應確保供應鏈安全事件信息或威脅信息能夠及時(shí)傳達到云租戶(hù);
3)應保證供應商的重要變更及時(shí)傳達到云租戶(hù),并評估變更帶來(lái)的安全風(fēng)險,采取有關(guān)措施對風(fēng)險進(jìn)行控制。
(2)解讀:
以上安全要求是在說(shuō)明,用戶(hù)無(wú)論是自建私有云,還是租用云服務(wù)商的云服務(wù)時(shí),都要及時(shí)了解到云平臺架構主要產(chǎn)品供應信息,對于云服務(wù)商而言,當云平臺基礎架構組成產(chǎn)品的供應鏈出現變化時(shí),要及時(shí)通知到云租戶(hù),云租戶(hù)有知情權。
監控和審計管理
(1)安全要求:
1)應確保信息系統的監控活動(dòng)符合關(guān)于隱私保護的相關(guān)政策法規;
2)應確保提供給云租戶(hù)的審計數據的真實(shí)性和完整性;
3)應制定相關(guān)策略,對安全措施有效性進(jìn)行持續監控;
4)云服務(wù)方應將安全措施有效性的監控結果定期提供給相關(guān)云租戶(hù)。
(2)解讀:
以上安全要求是在說(shuō)明,在云計算環(huán)境中,要求能夠對整個(gè)云平臺進(jìn)行持續的,全面的運營(yíng)狀態(tài)監控。涉及到與租戶(hù)相關(guān)的監控信息及監控報告,要定期提供給云租戶(hù)。
