信息等级保护体系在云安全中的应.pptx

信息等级保护体系在云安全中的应用信息等级保护体系在云安全中的应用研发中心2012.7目录等保要求下的云安全2等级保护标准体系1云安全管理中心CloudFirm3中华人民共和国计算机信息中华人民共和国计算机信息系统安全保护条例系统安全保护条例（1994年 国务院147号令）国家信息化领导小组关于加国家信息化领导小组关于加强信息安全保障工作的意见强信息安全保障工作的意见（中办发200327号）政策法规政策法规1994-2005等保标准体系等保标准体系2005-2008测评管理体系测评管理体系2008-2010落地实施落地实施2010-计算机信息系统安全保护计算机信息系统安全保护计算机信息系统安全保护计算机信息系统安全保护等级划分准则等级划分准则等级划分准则等级划分准则GB 17859-1999GB 17859-1999GB 17859-1999GB 17859-1999信息系统安全等级保护信息系统安全等级保护信息系统安全等级保护信息系统安全等级保护实施指南实施指南实施指南实施指南 定级：定级：定级：定级：信息系统安全保护信息系统安全保护信息系统安全保护信息系统安全保护等级定级指南等级定级指南等级定级指南等级定级指南GB/T 22240-2008 GB/T 22240-2008 GB/T 22240-2008 GB/T 22240-2008 建设：建设：建设：建设：信息系统安全等级保护信息系统安全等级保护信息系统安全等级保护信息系统安全等级保护基本要求基本要求基本要求基本要求GB/T 22239-2008GB/T 22239-2008GB/T 22239-2008GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 测评：测评：测评：测评：信息系统安全等级保护信息系统安全等级保护信息系统安全等级保护信息系统安全等级保护测评要求测评要求测评要求测评要求 信息系统安全等级保护测评过程指南 管理：管理：管理：管理：信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 网监-网安测评机构认证（100多家）测评师培训认证二级系统：5万多个三级系统：2万多个四级系统：100多个2011年三级系统增加100%等级保护发展历程等级保护基本安全要求某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一级第一级一般一般系统系统合法权益合法权益损害损害自主保护自主保护第二级第二级合法权益合法权益严重损害严重损害指导指导社会秩序和公共利益社会秩序和公共利益损害损害第三级第三级重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查国家安全国家安全损害损害第四级第四级社会秩序和公共利益社会秩序和公共利益特别严重损害特别严重损害强制监督检查强制监督检查国家安全国家安全严重损害严重损害第五级第五级极端极端重要重要系统系统国家安全国家安全特别严重损害特别严重损害专门监督检查专门监督检查等级保护基本级别划分不同级别系统控制项的差异汇总等级保护实施流程目录等保要求下的云安全2等级保护标准体系1云安全管理中心CloudFirm3云计算中心必须满足等级保护的政策要求n云计算中心仍然是一类信息系统，需要依照其重要性不同进行分级保护。n云计算中心的安全工作必须依照等级保护的要求来建设运维。n云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。常见的二级系统举例地市政府办公自动化系统（内部使用的）地市政府办公自动化系统（内部使用的）地市政府政务公开网站（外部信息发布）地市政府政务公开网站（外部信息发布）地市政府间协同办公系统地市政府间协同办公系统企业电子商务网站企业电子商务网站银行网站银行网站特点：与核心业务无关常见的三级系统举例省政府办公自动化系统（内部使用的）省政府办公自动化系统（内部使用的）省政府政务公开系统（交互式）省政府政务公开系统（交互式）省政府公文交换系统省政府公文交换系统企业企业ERP系统系统银行生产网银行生产网特点：与业务密切相关的常见的四级系统举例国家电力调度系统（国家电力调度系统（EMS)中国人民银行官方网站中国人民银行官方网站财政部财政支付系统财政部财政支付系统交通部应急指挥调度系统交通部应急指挥调度系统银行生产系统银行生产系统特点：重要部门与核心业务密切相关的云计算中心的虚拟化安全虚拟化技术的大量使用，使得云计算中心的各种资源组成了一个大的虚拟化世界，在这个世界里迫切需要建立安全秩序。分租户的新运营模式要求在虚拟化网络里实现安全隔离。通过vSwitch等虚拟网络技术可以实现与物理环境相当的网络层安全隔离防护。传统安全产品虚拟化入云可以为虚拟化环境引入成熟的安全技术，从而实现四到七层的应用安全。虚拟网络隔离技术n网络隔离nQoS配置n流量监控n数据包分析安全设备虚拟化入云各类安全设备虚拟化入云，可实现与虚拟机绑定的安全防护虚拟安全设备目录等保要求下的云安全2等级保护标准体系1CloudFirm云安全管理体系3CloudFirm的内涵CloudFirmCloudFirm安全产品安全产品安全技术安全技术安全技术安全技术安全管理安全管理安全管理安全管理n目标：作为独立体系化产品严格参照等保要求设计、开发，力求达到合规、实用的设计目标，满足等级保护二级要求。考虑等保三级的扩展性。做到等保成果的可视化。做到等保成果的持久化。暂时不考虑虚拟化问题。n指导思想：贯穿云计算中心建设、整改、测评、运维全过程，全生命周期保证系统符合等保要求。CloudFirm设计目标及指导思想n参考规范：技术：技术：技术：技术：信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 管理：管理：管理：管理：信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 CloudFirm设计依据CloudFirm安全技术安全技术网络安全网络安全主机安全主机安全应用安全应用安全安全巡检安全巡检系统监控系统监控事件管理事件管理应急响应应急响应管理运维管理运维CloudFirm云安全体系架构物理安全物理安全数据安全数据安全备份恢复备份恢复制度规范制度规范合规性合规性检查检查以等保为设计指导思想为云计算中心量身订做CloudFirm的设计思路物理/虚拟安全设备管理主机安全数据安全安全域隔离安全巡检、系统监控事件管理、应急响应备份管理、模拟演练制度规范系统设计文档流程、运行记录合规性检查安全管理平台安全管理平台安全管理平台安全管理平台安全运维平台安全运维平台安全运维平台安全运维平台等保合规性平台等保合规性平台等保合规性平台等保合规性平台1.安全管理平台：云计算中心安全基础设施（设备、安全软件、网络）的配置管理。包括对虚拟安全设备镜像的管理包括对虚拟安全设备镜像的管理。2.安全运维平台：云计算中心的日常运维管理，对系统运行状态、异常事件等各种安全事件进行监控、记录、维护。3.等保合规性平台：云计算中心管理制度的管理、文档记录，方便进行等保测评及合规性检查工作。CloudFirm安全管理安全技术系统运维管理环境管理资产管理介质管理主机安全身份鉴别访问控制安全审计入侵防范网络安全结构安全访问控制安全审计边界完整性入侵防范网络设备防护数据安全数据完整性备份和恢复数据保密性物理安全位置选择访问控制防静电温湿度控制防盗系统应用安全身份鉴别访问控制安全审计通信完整性通信保密性电磁防护恶意代码防范资源控制容错资源控制人员安全管理人员录用人员离岗人员考核安全培训机构安全管理岗位设置人员配置授权和审批沟通和合作审核和检查制度安全管理制度管理制定和发布评审和修订系统建设管理系统定级方案设计产品采购软件管理实施管理外部人员管理测试验收交付管理设备管理网络安全管理系统安全管理恶意代码管理变更管理备份恢复管理安全事件处理应急预案管理CloudFirm整体结构图CloudFirm运维效果总结n等级保护体系是云计算中心建设运维的指导标准。n云计算中心的安全必须在等级保护的框架内进行建设，同时充分考虑虚拟化和运营等新的安全问题。现阶段基于vSwitch等虚拟网络安全技术和安全设备虚拟化运用是切实可行的手段。nCloudFirm的设计思路不仅要保证云计算中心的管理安全和运维安全，同时要起到保障合规性的效果，保证云计算中心在动态运营的过程中始终满足等级保护的要求，切实达到相应的安全级别。谢谢！