等保2.0时代：云等保解读.docx

《等保2.0时代：云等保解读.docx》由会员分享，可在线阅读，更多相关《等保2.0时代：云等保解读.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、等保2.0时代：云等保解读等保 2.0 时代：云等保的解读随着一系列等级爱护新标准的顺当发布，网络平安等级爱护也进入到 2.0时代。作为新增的等级爱护对象，云计算平台/系统新增平安要求如何？有哪些地方值得重点关注？一、云平安挑战云计算平台作为信息化建设中的重要系统，具备开放型巨系统的特征，系统组成极为困难。由此确定着云计算平台将面临着各个层面的网络平安挑战。首先，是来自网络和通讯的平安挑战。这类攻击是借助网络、通讯特性如带宽、传输会话、数据包转发等实施的攻击。例如，干脆通过网络实施 DDOS攻击，通过网络运用担心全接口实施注入、盗取秘钥、非法获得敏感数据、非法篡改数据攻击，通过网络实施账户劫持

2、以及通过网络传输的 APT 类攻击等。其次，是面对设备和计算的平安挑战。攻击者利用云计算设备和平台性能优势或固有特性实施干脆或间接的攻击，如：身份验证和凭证被盗取、云计算存储资源数据残留、存在漏洞的基础服务资源被共享运用、云服务被滥用于其他网络攻击等。第三，是面对应用和数据的平安挑战。应用的目的是处理数据，云计算软件漏洞、担心全接口、数据库存储不受控、黑客攻击、员工处理数据的异样操作、未被授权的访问等可造成数据泄露、数据异样销毁、数据永久丢失等重大损失。第四，是来自管理、运维的平安挑战。在云计算管理层面，缺乏尽职调查、数据全部权缺乏保障体系；在运维层面，存在云运用方或云租户对云计算服务方过度依

3、靠，甚至被云计算服务方锁定、恶意越权访问、滥用职权以及误操作等，存在信息平安隐患的管理和运维，这些对云计算平台的平安稳定带来巨大风险和隐患。 二、云等保要求总览在政府主动引导和企业战略布局等推动下，经过近十余年的发展，云计算已渐渐被市场认可和接受，政务、金融、运营商和工业等多个行业的信息系统已经运行在云端。相对于传统信息系统，云计算平台/系统如何进行等级爱护特别受关注。新等级爱护标准的发布，明确了云计算平台/系统作为等级爱护对象的详细要求，指导云计算平台/系统的平安建设。新标准中对于云计算平台/系统的等级爱护，仍旧依据一个中心，三重防护体系框架，提出了详细的技术要求，以及包含云服务商选择、供应

4、链管理和云计算环境管理等方面的管理要求。云计算平台/系统的平安建设或平安整改，需同时依据平安通用要求和平安扩展要求，构建具有相应等级平安防护实力的平安防卫体系。注：平安管理制度、平安管理机构和平安管理人员，云计算平台/系统无单独平安扩展要求。 三、云等保组织架构云计算等级爱护的施行由两部分组成，一部分是组织，另外一部分是施行逻辑。就组织而言，云计算等级爱护有完善的指导、规划、试测、建设、验证、审计和持续优化流程组织形式和流程。四、云等保框架云计算等级爱护是整个等保 2.0 的一部分，它与等级爱护的通用部分形成一个整体，来约束云计算平台的等级爱护建设，为云计算平台网络平安建设设立基线。云计算等级

5、爱护框架根据系统组成来划分，大致可分为面对整个云计算平台的防护要求和面对云计算负载的防护要求。 云计算系统分级须要综合等级爱护中的平安通用要求和云计算平安两个模块的内容，进行定级。云计算等级爱护的每个等级依据威逼对目标造成的影响程度，形成有梯度的防护。这些要求被整体划分为技术要求和管理要求，分别面对云计算平台系统和云计算平台管理两个部分。以三级等保建设为例，其技术要求 160 多项、管理要求 120 多项。对于云计算平台/系统的等级爱护，我们以第三级要求说明有哪些应当重点关注。五、抓住重点1.责任共担要求云计算平台/系统通常由设施、硬件、资源抽象限制、虚拟化计算资源、软件平台和应用软件等组成。

6、依据不同服务模式（IaaS、PaaS 和 SaaS），云服务商和云服务客户拥有不同限制范围，其平安责任边界不同；云服务商和云服务客户应依据各自平安责任，进行平安防护实力建设。现实状况是云服务客户通常认为平安防护应当由云服务商实现，只需把业务系统迁移至云端即可，这须要引导云服务客户关注等级爱护，并实行相应平安防护，与云服务商一起共同爱护云计算平台/系统。2.平安通信网络要求解读：依据限制范围，云计算定级对象可分为云服务商限制部分（如云计算平台）和云服务客户限制部分（如业务应用系统），应分别进行定级，且云服务商限制部分比云服务客户限制部分高，云服务商的测评可以被复用。在进行平安建设时，云服务商应当

7、为云服务客户供应平安产品或服务，然而云计算平台/系统，尤其是私有云部署方式下，仅供应基础的平安实力，并不能满意等级爱护要求。这就须要云服务商能够供应第三方平安产品/服务或允许客户接入第三方平安产品或服务，并且云服务客户可以自主设置平安策略。 3.平安区域边界解读：相较于传统信息系统，云计算平台/系统新增了一些组件，如宿主机、虚拟机和虚拟化网络等。所以在做平安区域边界设计时，除了关注物理区域边界和物理网络节点外，还应当关注虚拟化网络边界和虚拟网络节点，以及虚拟机与物理机、虚拟机与虚拟机间网络流量，一方面做好物理网络的访问限制和入侵防范等，另一方面利用云计算平台/系统的平安实力或第三方平安产品/服

8、务，做好虚拟区域边界的访问限制和入侵防范等。4.平安计算环境 解读：云计算平台/系统中虚拟机运行在一个资源共享的环境中，虚拟机迁移时有发生，随着虚拟机的生命周期结束，其资源将被回收和利用。所以为实现平安计算环境，除做好平安通用要求外，应做好以下几点：云服务商应供应加固的镜像，利用完整性校验防止被恶意篡改；应当确保虚拟机的 CPU、内存和存储等资源的隔离；当虚拟机做迁移时，应能够实现迁移前后的访问限制策略保持一样，并且虚拟机所运用的内存和存储空间回收时，做到数据清除。云服务客户应定期做平安检查，进行平安加固，并利用防病毒软件爱护虚拟机，在安排内的虚拟机迁移时，检查迁移前后虚拟机的访问限制策略。5.平安管理中心解读：网络环境日益困难，云计算平台/系统通常采纳集中化部署，风险和攻击也被集中和加剧，平安防卫体系应当更主动和动态，平安管理中心是关键。该中心应当能够建立平安态势感知、攻击行为回溯分析和监测预警等实力，帮助云计算平台/系统实现平安事务的事前预警、事中防护和事后追溯，并持续监控云计算平台/系统的平安状态。因此，应当建立具备相应实力的平安管理中心，完善平安防卫体系，并帮助云计算平台/系统落实态势感知、通报预警和平安检测等工作。