《信息系統(tǒng)安全等級保護》目前規(guī)劃了五個分冊,第一分冊是“基本要求”,第二個分冊是“云計算安全技術(shù)要求”,其余分冊的內(nèi)容如圖1所示,第一分冊是其他分冊的基礎,其他四個分冊都是針對不同領域,對第一分冊的更新和補充。
圖1 信息安全技術(shù) 信息安全等級保護標準整體結(jié)構(gòu)圖
圖2 云計算安全技術(shù)要求框架圖
從云計算安全技術(shù)要求框架圖中可以看出,整體框架與《第一分冊 基本要求》保持一致,并且在技術(shù)要求中,“物理安全”內(nèi)容參照《第一分冊 基本要求》執(zhí)行,包括它技術(shù)要求和管理要求內(nèi)容。從內(nèi)容條款中也可以看出,《第二分冊 云計算安全技術(shù)要求》本身不是一項新的云計算安全標準,只是對《第一分冊 基本要求》的補充。
《第二分冊 云計算安全技術(shù)要求》(下文簡稱“云安全等保合規(guī)”的編寫工作主要是在2015年1月至7月完成的,新華三作為主要參與方參加了整個編寫過程。新華三集團針對在云計算環(huán)境中應用到的主機虛擬化技術(shù)安全、軟件定義網(wǎng)絡技術(shù)安全、NFV技術(shù)安全和服務鏈技術(shù)安全等方面提出了相關(guān)的安全技術(shù)要求;在云計算環(huán)境中,云平臺運維及運營管理方面也給出相關(guān)安全管理要求。
“云安全等保合規(guī)”主要包括三個方面的內(nèi)容:云計算環(huán)境下的安全威脅、云計算安全等級保護評測流程以及云計算安全等級保護要求。下文將對“云計算安全等級保護要求“做詳細解讀。
云計算安全等級保護要求根據(jù)實現(xiàn)方式的不同,分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與云計算信息系統(tǒng)提供的技術(shù)安全機制有關(guān),主要通過在云計算信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn);管理類安全要求與云計算信息系統(tǒng)中各種角色參與的活動有關(guān),主要通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。
技術(shù)要求
云計算信息系統(tǒng)的核心是采用虛擬化技術(shù)實現(xiàn)計算資源的池化和動態(tài)分配。虛擬化技術(shù)也是云計算系統(tǒng)諸多優(yōu)勢得以實現(xiàn)的關(guān)鍵因素。虛擬化技術(shù)為云平臺增加了額外的一層安全要求,云計算信息系統(tǒng)的安全防護需要著眼于虛擬化技術(shù)所帶來的安全風險。包括:虛擬化平臺的安全風險、虛擬資源共享風險、多云租戶環(huán)境中的數(shù)據(jù)安全風險。各層面主要關(guān)注點如下:
在網(wǎng)絡安全層面,在等級保護基本要求技術(shù)的基礎上,云計算信息系統(tǒng)的安全技術(shù)要求增加了虛擬網(wǎng)絡的網(wǎng)絡設備防護和訪問控制,虛擬網(wǎng)絡流量的監(jiān)控管理和安全審計,虛擬網(wǎng)絡中的入侵檢測等安全技術(shù)要求;
在主機安全層面,在等級保護基本技術(shù)要求的基礎上,云計算信息系統(tǒng)的主機安全要求增加了虛擬機之間以及虛擬機與宿主機之間的安全防護、虛擬機鏡像、快照安全保護等安全技要求;
在應用安全層面,在等級保護基本技術(shù)要求的基礎上,云計算信息系統(tǒng)應用安全層面增加了接口安全等安全技術(shù)要求;
在數(shù)據(jù)安全層面,在等級保護基本技術(shù)要求的基礎上,云計算信息系統(tǒng)的數(shù)據(jù)安全層面增加了對虛擬機遷移、數(shù)據(jù)的權(quán)限控制等安全技術(shù)要求。
下面將分別針對“網(wǎng)絡安全”、“主機安全”、“應用安全”和“數(shù)據(jù)安全及備份恢復”四個層面中重點內(nèi)容進行講解。
網(wǎng)絡安全
。1)安全要求:
1)應保證云平臺管理流量與云租戶業(yè)務流量分離
2)應根據(jù)云租戶的業(yè)務需求自定義安全訪問路徑
3)應在虛擬網(wǎng)絡邊界部署訪問控制設備,并設置訪問控制規(guī)則
4)應依據(jù)安全策略控制虛擬機間的訪問
5)應能識別、監(jiān)控虛擬機之間、虛擬機與物理機之間、虛擬機與宿主機之間的流量
6)應根據(jù)云服務方和云租戶的職責劃分,實現(xiàn)各自控制部分的集中審計
。2)解讀:
1)云平臺的管理流量和云租戶的業(yè)務應用系統(tǒng)的業(yè)務處理流量需要分離,這里的“分離”是在說明業(yè)務流程和管理流量采用不同物理交換網(wǎng)絡設備來承載。
2)根據(jù)云租戶的業(yè)務需求自定義安全訪問路徑,這里的“自定義訪問路徑”是在說明租戶業(yè)務的安全訪問控制不是由云服務商來負責的,應該是由云租戶自身來負責的,云服務商只需要提供云租戶所需要安全服務,而這些安全服務具體在業(yè)務應用系統(tǒng)安全訪問控制如何使用,及策略如何設置,都是由云租戶來決定。
3)在云計算環(huán)境中,會涉及大量的虛擬網(wǎng)絡,這時就需要能夠有效控制虛擬網(wǎng)絡間及虛擬網(wǎng)絡和物理網(wǎng)絡間有清晰的安全邊界,從安全邊界安全設備實現(xiàn)安全控制。
4)安全策略控制虛擬機間的訪問,這點說明要實現(xiàn)對虛擬機的安全防護,并且這些安全防護策略可以在虛擬機移動過程中和移動后都能實現(xiàn)實時的、持續(xù)的安全防護。
5)在云計算環(huán)境中,監(jiān)控和識別的流量內(nèi)容包含虛擬機之間、虛擬機與物理機之間、虛擬機與宿主機之間的流量,這里重點要強調(diào)的是,虛擬機間的流量,因為在同一臺宿主機(安裝虛擬化引擎的物理主機)多個虛擬機間通信時,通信流量是不出物理服務器的,所以無法進行監(jiān)控,為了保證可以監(jiān)控,就需要將流量從宿主機中引出到外部網(wǎng)絡中來實現(xiàn)。
6)審計,要求云服務商和云租戶負責及控制各自IT系統(tǒng)的審計設備、權(quán)限和審計數(shù)據(jù)。
主機安全
。1)安全要求:
1)應保證虛擬機之間、虛擬機與宿主機之間的安全隔離;
2)應確保云平臺運維管理員、云服務管理員和云租戶管理員的權(quán)限分離;
3)應提供云平臺管理用戶權(quán)限分離機制,為網(wǎng)絡管理員、系統(tǒng)管理員建立不同賬戶并分配相應的權(quán)限。
4)應保證虛擬機僅能遷移至相同安全保護等級的資源池;
5)應確保僅云租戶擁有其數(shù)據(jù)庫的最高管理權(quán)限;
6)應保證分配給虛擬機的內(nèi)存空間僅供其獨占訪問;
7)應保證虛擬機所使用的內(nèi)存和存儲空間回收時得到完全清除;
8)應根據(jù)云服務方和云租戶的職責劃分,實現(xiàn)各自控制部分的集中審計。
。2)解讀:
1)虛擬機之間、虛擬機與宿主機之間的安全隔離,這點是要說明要保證虛擬機間、虛擬機和宿主機間的安全,這里的安全主要是系統(tǒng)從層面和資源層面的安全。
2)針對云平臺運營管理,應設置不同的角色,不同的角色有不同的權(quán)限,從而保證云平臺及租戶業(yè)務系統(tǒng)運行安全。例如,滿足三員分立要求。
3)虛擬機僅能遷移至相同安全保護等級的資源池;這點說明,如果云平臺是三級云平臺,但是在整個云平臺上既有二級業(yè)務應用系統(tǒng),又有三級業(yè)務應用系統(tǒng)時,承載二級業(yè)務應用系統(tǒng)和三級業(yè)務應用系統(tǒng)需要各自使用獨立的物理服務器資源池和存儲資源池。
4)應確保僅云租戶擁有其數(shù)據(jù)庫的最高管理權(quán)限;這單說明租戶間不同共享數(shù)據(jù)庫系統(tǒng)。
5)內(nèi)存獨占和內(nèi)存、存儲空間完全清空,這兩點是說明要保證信息不能通過內(nèi)存或者存儲遭到泄露。
6)審計,要求云服務商和云租戶負責及控制各自IT系統(tǒng)的審計設備、權(quán)限和審計數(shù)據(jù)。
應用安全
。1)安全要求:
應根據(jù)云服務方和云租戶的職責劃分,實現(xiàn)各自控制部分的集中審計
。2)解讀:
審計,要求云服務商和云租戶負責及控制各自IT系統(tǒng)的審計設備、權(quán)限和審計數(shù)據(jù)。
數(shù)據(jù)安全及備份恢復
。1)安全要求:
1)云租戶應在本地保存其業(yè)務數(shù)據(jù)的備份;
2)應保證云租戶業(yè)務及數(shù)據(jù)能移植到其他云平臺或者遷移到本地信息系統(tǒng)。
。2)解讀
1)云租戶應在本地保存其業(yè)務數(shù)據(jù)的備份;這點是說明要求租戶的業(yè)務數(shù)據(jù)無2)論在其它地方是否有備份數(shù)據(jù),但是在租戶自己辦公場地本地始終需要有一份云平臺上運行的業(yè)務數(shù)據(jù)備份。
3)應保證云租戶業(yè)務及數(shù)據(jù)能移植到其他云平臺或者遷移到本地信息系統(tǒng);這點是要說明,要求租戶能夠?qū)⒃破脚_上運行的業(yè)務信息系統(tǒng)遷移到自身辦公場地,并繼續(xù)運行的能力。
管理要求
云計算信息系統(tǒng)的安全管理要求與信息系統(tǒng)中各種角色參與的活動有關(guān),主要通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。安全管理要求從系統(tǒng)建設管理、系統(tǒng)運維管理兩個方面提出。
系統(tǒng)建設管理應根據(jù)不同的云計算信息系統(tǒng)安全保護等級分別從系統(tǒng)定級和備案、測試驗收、云服務商選擇、供應鏈管理等幾個方面提出要求。系統(tǒng)運維管理應根據(jù)不同的云計算信息系統(tǒng)安全保護等級從監(jiān)控和審計管理方面提出要求。
云服務商的選擇
。1)安全要求:
1)應確保云服務商的選擇符合國家的有關(guān)規(guī)定;
2)應根據(jù)信息系統(tǒng)的安全保護等級選擇能夠提供相應安全等級保護能力的云服務商;
3)應以書面方式約定云服務的各項服務內(nèi)容和具體技術(shù)指標;
4)應以書面方式約定云服務商的權(quán)限與責任,包括管理范圍、職責劃分、訪問授權(quán)、隱私保護、行為準則、違約責任等;
5)應以書面方式約定服務合約到期時,完整地返還云租戶信息,并承諾相關(guān)信息均已在云平臺上清除;
6)應與選定的云服務商簽署保密協(xié)議,要求其不得泄露云租戶數(shù)據(jù)和業(yè)務系統(tǒng)的相關(guān)重要信息;
7)應與云服務商的可接觸到云租戶數(shù)據(jù)的員工簽訂保密協(xié)議;
8)應對云服務商和云服務商的可接觸到云租戶敏感信息的員工進行背景調(diào)查;
云服務商應接受運行監(jiān)管,提供運行監(jiān)管接口。
(2)解讀:
以上安全要求是在說明,當用戶不是自建云平臺,而是選擇其他云服務商提供的云服務時,需要對云服務商提出的安全要求,簽署具有法律約束能力的安全協(xié)議及合同。
供應鏈管理
。1)安全要求:
1)應確保供應商的選擇符合國家的有關(guān)規(guī)定;
2)云服務方應確保供應鏈安全事件信息或威脅信息能夠及時傳達到云租戶;
3)應保證供應商的重要變更及時傳達到云租戶,并評估變更帶來的安全風險,采取有關(guān)措施對風險進行控制。
(2)解讀:
以上安全要求是在說明,用戶無論是自建私有云,還是租用云服務商的云服務時,都要及時了解到云平臺架構(gòu)主要產(chǎn)品供應信息,對于云服務商而言,當云平臺基礎架構(gòu)組成產(chǎn)品的供應鏈出現(xiàn)變化時,要及時通知到云租戶,云租戶有知情權(quán)。
監(jiān)控和審計管理
。1)安全要求:
1)應確保信息系統(tǒng)的監(jiān)控活動符合關(guān)于隱私保護的相關(guān)政策法規(guī);
2)應確保提供給云租戶的審計數(shù)據(jù)的真實性和完整性;
3)應制定相關(guān)策略,對安全措施有效性進行持續(xù)監(jiān)控;
4)云服務方應將安全措施有效性的監(jiān)控結(jié)果定期提供給相關(guān)云租戶。
(2)解讀:
以上安全要求是在說明,在云計算環(huán)境中,要求能夠?qū)φ麄云平臺進行持續(xù)的,全面的運營狀態(tài)監(jiān)控。涉及到與租戶相關(guān)的監(jiān)控信息及監(jiān)控報告,要定期提供給云租戶。
