云计算环境下的等保2.0应用实践
等级保护2.0云计算解决方案 网络安全等级保护云计算解决方案
利用轻量级客户端,实现虚拟机的入侵防御和基线 核查等。
等级保护2.0云计算解决方案
建设主动防护能力,持续安全监控预警
及时获取热点事件、漏洞、
运营 服务
恶意IP/域名。
热点事件 预警
攻击威胁源 封禁
攻击事件发 现与排查
安全事件 应急响应
自定义安全服务包,按需 选择,快速实现防护。
自助使用,自动交付,掌 握业务系统安全状态。
高可用设计,保障安全防 护连续性。
委办局1
虚拟机
虚拟机
委办局2
虚拟机
虚拟机
委办局3
虚拟机
虚拟机
防火墙 WAF
IPS
防火墙 网络审计 WAF
防火墙 DDoS防护 WAF
服务 平台
计算
存储
网络
防火墙 入侵防御 入侵检测 Web应用防护 安全审计 防病毒 EDR
SaaS PaaS IaaS
云服务客户
应用平台 软件平台 虚拟化计算资源 资源抽象控制
硬件 设施
范围和控制
等级保护2.0云计算解决方案
IaaS PaaS SaaS
新增安全要求,建立主动防护体系
实现对网络攻击特 别是新型网络攻击
行为的分析
被动安全防护
1
2
缺少监测预警
落实网络安全态感 知监测预警措施
集中安全管理
安全即服务
软件定义安全
硬件安全设备
统一管控
虚拟化
服务化
物理服务器
等级保护2.0云计算解决方案
做好区域隔离,实现东西向防护
某委办局
子网1
子网2
等保2.0的实践之旅
• 密钥管理测评包括对信息系统密钥管理全过程进行测评。 • 安全管理测评包括对信息系统密码应用所涉及的制度、人员、实施和应急等密码应用安全
管理过程进行测评。
等保2.0的实践之旅
系统调研
等保2.0的实践之旅
变化一 地位提升——等级保护上升为法律(《网络安全法》第二十一条和第三十一条) 变化二 名称变化——变更为“网络安全等级保护”,与《网络安全法》保持一致 变化三 对象变化——增加于计算、移劢亏联、物联网和工业控制系统等为保护对象 变化四
要求变化——安全通用要求和安全扩展要求
等保2.0的实践之旅
试点体会
• 密码应用安全性评估如果具有一票否决权则会大大增加企业的合规成本 • 测评依据的标准要求与亏联网企业的实际情况存在较大差距
等保2.0的实践之旅
疑惑一
报批稿中的大数据扩展安全要求为何在等保2.0正式标准中被放到附录H?
疑惑二
可信计算在等保2.0中如何实践落地?
2016年10月10日,第亐届全国信息安全等级保护技术大会召开,公安部网 络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要 求,等级保护制度已进入2.0时代”
2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明 确“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保 护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经 授权的访问,防止网络数据泄露或者被窃取、篡改……”
《信息系统基本情况调查表》 《单位基本情况表》 《信息系统密码产品应用情况调查表》
等保2.0的实践之旅
等保2.0时代云计算安全要求及测评实践
自1994年国务院发布《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)以来,为我国信息系统实施等级保护提供了法律依据.而 GB/T22239—2008《信息安全技术 信息系统安全等级保护基本要求》(以下简称“《基本要求》")在开展等级保护的工作中起着非常重要的作用,被各行业、各领域广泛应用,指导开展信息安全等级保护建设整改和测评工作.但是随着新技术、新应用的发展,《基本要求》在时效性、易用性、可操作性上需要进一步完善.
3)安全审计.该控制点明确云服务方和云租户分别负责各自控制部分的安全审计工作,包括审计数据的收集、实现集中审计等.
4)入侵防范.该控制点要求能够对宿主机的资源异常访问、资源隔离实效、虚拟机的启用等进行检测和告警,需在云管理平台、虚拟机监视器等设施上实现以上监控和报警功能,云服务方应提供具有监控和报警功能的产品,而报警信息则由云租户自行接收处理,因此该控制点的安全责任主体应为云服务方和云租户.
1.1.
1)按需自助服务.以服务的形式为用户提供应用程序、数据存储、基础设施等资源,并可以根据用户需求自动分配资源,而不需要系统管理员干预.
2)广泛的网络访问.用户可以利用各种终端
设备(如PC 电脑、笔记本电脑、智能手机等)随时随地通过互联网访问云计算服务.
3)资源共享.提供商提供的计算资源被集中
起来通过一个多客户共享模型来为多个客户提供服务,并根据客户的需求,动态地分配或再分配不同的物理和虚拟资源.
1)安全审计.要求云服务方和云租户分别收集各自控制部分的审计数据,并实现集中审计,此控制点的要求与设备和计算安全层面的安全审计要求一致.
2)资源控制.该控制点要求对应用系统的运
云平台网络安全等级保护2.0三级建设方案
进行系统服务的调研和评估,根据评估结果 制定安全防护方案,并进行方案的实施。
实施步骤与详细方案
01
第三阶段
进行应用服务的调研和评估,根据评估结果制定安全防护 方案,并进行方案的实施。
02
详细方案
每个阶段都需要制定详细的实施方案,包括具体的操作步 骤、实施时间和责任人等。
03
第一阶段
对网络设备进行安全配置,包括禁止不必要的端口和服务 、限制访问IP等;对服务器进行安全配置,包括安装补丁 、关闭不必要的服务等;对数据库进行漏洞扫描和安全配 置,包括设置强密码、限制访问权限等。
网络隔离与访问控制
通过VLAN、VPN等技术实现网络隔离,确保数据只 能被授权用户访问。
数据安全
数据加密
采用数据加密技术,确保数据在存储和传输过 程中被窃取后仍无法被非法获取。
数据备份与恢复
制定完善的数据备份与恢复策略,防止数据丢 失给业务带来严重影响。
数据访问控制
对数据进行分类,设置不同的访问权限,确保敏感数据只能被授权用户访问。
安全制度培训与宣传
定期组织员工进行安全制度培训,提高员工的安全意识,确保员工了解并遵守相关安全制度。
安全运维管理
安全漏洞发现与修复
01
建立安全漏洞发现与报告机制,及时发现并修复安全漏洞,防
止漏洞被利用。
安全审计与监控
02
建立安全审计与监控机制,对系统、网络、数据等资源进行实
时监控和审计,及时发现并处理异常行为。
实施风险与应对措施
实施风险
在实施过程中,可能会遇到以下风险和挑战
人员技能不足
需要具备专业的网络安全知识和技能,如果人员技能不足,可能 会影响实施效果。
云计算数据中心等保2.0解决方案
云计算数据中心等保2.0解决方案目录1建设原则 (3)2等保相关要求 (3)3安全架构 (6)4云平台安全 (7)5网络安全 (7)6WEB 应用安全 (18)7主机安全 (20)8数据安全 (23)9安全系统间联动要求 (25)1 建设原则云平台按网络安全等级保护第三级要求进行建设。
根据云平台数据中心不同业务功能区域之间的隔离需求,将数据中心的网络按照功能的不同分成多个业务区域,各业务区域之间实现网络的不同程度隔离。
考虑整体的安全防护时,整体安全策略需要遵循下列原则:(1)最小授权原则依据“缺省拒绝”的方式制定防护策略。
防护策略在身份鉴别的基础上,只授权开放必要的访问权限,并保证数据安全的完整性、机密性、可用性。
(2)业务相关性原则在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。
(3)策略最大化原则当存在多项不同安全策略时,安全域防护策略包含这些策略的合集,并选取最严格的防护策略,安全域的防护必须遵循策略最大化原则。
在云平台总体安全架构建设方面,按纵深防御思想进行设计:第一层防护:外部单位至云数据中心的物理边界防护,即云平台南北向的安全防护;第二层防护:数据中心不同业务区之间的安全防护;第三层防护:数据中心内部,不同租户间的东西向防护采用V PC 中虚拟防火墙进行访问控制,同一租户内的业务隔离采用安全组的方式进行控制;第四层防护:在数据中心,部署安全资源池,各租户根据其需求调用安全资源池中的防护能力,用于满足租户的安全需求。
2 等保相关要求根据等保2.0 相关要求,本期部署相应的安全产品,具体等保重点要求内容如下表:安全管理中心管理应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等日志审计系统集中管控应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求日志审计系统3 安全架构(4)计算存储区安全资源池本身是将多种安全设备、安全功能及安全服务统一起来,提供灵活的应用接口,为租户提供安全资源服务。
等级保护2.0——云计算安全扩展要求(上)
等级保护2.0——云计算安全扩展要求(上)概述云计算安全扩展要求是在安全通⽤要求的基础上针对云计算的特点提出特殊保护要求。
也就是说,在云计算环境中为了满⾜等保2.0的保准要求,既要满⾜安全通⽤要求,也要满⾜针对云计算提出的特殊保护要求。
云计算安全扩展要求也分为技术要求和管理要求两⼤类。
安全物理环境云计算安全扩展要求安全物理环境中的基础设施位置要求云计算基础设施位于中国境内。
这是对提供云计算服务的云服务商提出的要求,由于在云计算环境中,数据的实际存储位置往往是不受客户控制的,客户的数据可能存储在境外数据中⼼,这就改变了数据和业务的司法管辖关系,需要注意的是,有些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中⼼的途径,甚⾄要求云服务商提供位于他国数据中⼼的数据。
这使得客户的业务和数据隐私安全不能得到有效的保障。
安全通信⽹络——⽹络架构应保证云计算平台不承载⾼于其安全保护等级的业务应⽤系统】解读:云计算环境中云服务商提供的云平台与客户的业务系统是需要分别单独定级的,那么云计算平台的等级保护等级必然不能低于其承载的客户业务系统的安全保护等级。
【应实现不同云客户虚拟⽹络之间的隔离】解读:除私有云外,整个云计算平台是由多个客户共享的,因此云服务商提供的云计算平台应具备隔离不同客户系统的能⼒,使得客户的虚拟⽹络在逻辑上实现独享。
【应具有根据云服务客户业务需求提供通信传输、边界防护、⼊侵防范等安全机制的能⼒】解读:云服务商在保证云计算平台达到相应等级的安全防护⽔平外,还应将相应的安全防护机制提供给客户。
【应具有根据云服务客户业务需求⾃主设置安全策略的能⼒,包括定义访问路径、选择安全组件、配置安全策略】解读:客户的业务系统也是根据其对应的安全保护级别来部署安全防护措施,因此云计算平台应将相应的安全能⼒提供给客户,使⽤户可以根据需求进⾏⾃主选择、部署、配置。
【应提供开放接⼝或开放性安全服务,允许云服务客户接⼊第三⽅安全产品或在云计算平台选择第三⽅安全服务】解读:这⾥是对云计算平台的兼容性提出的要求,有些客户可能根据其特殊的安全需求,需要引⼊云平台提供的安全防护之外的安全技术或产品,云计算平台应提供相应的开放接⼝供产品或服务的接⼊。
等保2.0与云安全方案
等保2.0与云安全方案目录一、等保2.0时代安全内外环境发生变化 (3)二、全面布局应对云安全挑战 (4)一、等保2.0时代安全内外环境发生变化今年《网络安全法》颁布实施,新修订的网络安全等级保护标准也陆续出台,以适应新技术变化的应用环境,标志着等级保护工作进入到了2.0时代。
与等保 1 . 0 时代不同,当前的信息系统架构更加复杂,新技术不断得到应用,安全威胁也更加强大。
因此,2.0版本的等级保护标准采取了更加灵活的模式,通用要求与面向云计算、工业控制、物联网、移动互联网等新技术的扩展要求相结合,为不同的应用场景提供差异化的安全防护最佳实践。
在安全能力方面,等级保护2.0标准也提出了更高的要求。
一方面,检测深度进一步加强,增加了对未知攻击、内部攻击的检测要求;另一方面,防护能力进一步提升,增加了对无线安全、邮件安全等的防护要求。
总之,等级保护2.0是应对当前主要网络安全威胁的重要指导方针。
云计算安全是等级保护2.0的核心内容之一。
等级保护2.0对云计算技术的主要安全风险做了分析,并提出了相应的防护要求。
可以说,云计算技术正在或已成为当前数据中心建设的核心技术。
如何识别云计算技术的安全风险,并将其纳入到数据中心整体风险管理体系,通过一系列的安全治理将其控制到一个可以接受的范围,是当前数据中心建设运营团队的重要关注点。
这样的应用环境对网络安全厂商而言,既是机遇也是挑战。
Gartner市场预测提出,全球云安全服务将保持强劲增长势头,整体增速高于信息安全总体市场,一方面是安全合规需求,另一方面就是高端数据泄漏的压力。
如何把握时代新需求,调整产品和服务策略,即是当前各网络安全厂商重点考虑的工作重心。
二、全面布局应对云安全挑战作为国内网络安全的领军企业,绿盟积极参与等级保护2.0标准的制定工作,将自己在云安全方面的实践经验展现出来,为标准的最终形成贡献了自己的力量。
同时,结合等级保护2.0云计算标准的防护要求,绿盟也形成了自己对云安全的理解,围绕云计算的安全需求打造预警、防护、检测、响应闭环的自适应防御能力体系。
云计算环境下的等保2.0应用实践-金山云-脱敏版
服务器安全
安全计算环 应能够对登录的用户账户管理、授权;清理无用、共享账户;对重要主体和客 境 体设置安全标记,控制访问;
堡垒机
应覆盖性审计用户行为和安全事件;审计记录包含必要信息幵定期备份、防止 篡改删除;审计进程保护,防止中断;
数据库审计
应能够识别安全漏洞和隐患,对发现的安全漏洞及隐患进行修补;
标准分类变化
一中心三防护的设计思想
安全要求变化
安全通用要求和安全扩展要求
云计算安全扩展要求
云计算 等保2.0安全要求
安全通用要求
云计算安全扩展要求
技术要求 管理要求
安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心
安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理
幵组织专家评审
协助专业咨询机构为运 营单位提供辅导服务
辅导运营单位准备备案 材料和提交备案申请
依据差距评估和整改方 案提供合规安全产品和
服务
辅导运营单位进行差距 评估,方案设计幵完成
建设整改
提供云平台安全资质, 等保备案证明,测评报
告关键页等材料
协助运单位接受检查 和进行整改
云环境下等保2.0解析
金山云 张娜
目录
一. 等保2.0云计算安全扩展要求 二. 云环境责任共担 三. 云平台助力等保合规 四. 金山云等保服务解决方案
云市场快速发展
自2016 年以来,中国已经跃居全球仅次于美国的第二大公有云IaaS市场。2018年,全球前十大公有云IaaS服务商中,中国已有阿里巴巴、腾讯、中国电信、金山云四家服 务商上榜。而在2014年,仅阿里巴巴一家企业入围。相比全球其它区域市场,中国互联网行业高速发展、政策强力推动、市场活跃需求、服务商大举投入,使得公有云服 务市场获得了快速发展,也为中国更多公有云服务商带来了发展壮大的可能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
标准分类变化
一中心三防护的设计思想
安全要求变化
安全通用要求和安全扩展要求
云计算安全扩展要求
云计算 等保2.0安全要求
安全通用要求
云计算安全扩展要求
技术要求 管理要求
安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心
安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理
等保2.0时代
2007年,《信息安全等 级保护管理办法》发布 信息安全等级保护制度正 式实施,进入等保1.0时 代
2017年《网络安全法》 第二十一条规定国家实行 网络安全等级保护制度, 标志着等级保护制度的法 律地位
2019年12月1日,等级保护2.0正 式实施
1
2
3
4
5
6
1994年,国务院147号 令第一次提出“计算机信 息系统实行安全等级保护” 概念
2008年,GB/T 222392008 《信息安全技术 信 息系统安全等级保护基本 要求》国家标准发布实施
2019年5月13日, GB/T22239-2019《信息 安全技术 网络安全等级保 护基本要求》 国家标准正式颁布,标志着 “等保2.0”时代正式到来
等保2.0主要变化 标准名称变化
网络安全等级保护
云计算平台 应为客户提 供按需使用 的安全能力
云计算平台 应能为客户 提供逻辑独
享的网络
云计算基础 设施要位于
中国境内
云服务客户数 据,用户个人 信息等存储于
中国境内
云上等保误区
误区一:我的系统已经上云了,系统就不用去定级了 误区二:我的系统已经上云了,测评找云平台即可 误区三:上云,全部安全就由云服务商负责
云租户
云租户侧的等级保护对象也应作为单独的定级对象 定级
在对云租户业务应用系统进行等级测评时,应选择 全部《安全测评通用要求》 和《云计算安全测评 扩展要求》 中适用于云租户业务系统的部分指标
云计算安全扩展要求
云平台和云 上租户系统 分别定级和
测评
云计算平台 不承载高于 其安全保护 等级的业务
应用系统
云平台完备的安全技术和管理架构,以及提供的安全防护体系,更有利于 租户通过等级保护测评
云平台测评结论可供租户系统测评时复用: 云平台等保备案证明 云测评报告关键页 部分测评项说明
金山云 咨询机构 测评机构 公安机关
定级
备案
建设整改
等级测评
监督检查
确定安全保护等级,编 准备备案材料,到当地 建设符合等级要求的安 准备和接受测评机构测 接受公安机关的定期检
写定级报告
公安机关备案
全技术和管理体系
评
查
协助专业咨询机构为运 营单位提供辅导服务
辅导运营单位准备定级 对象,准备定级报告,
全面的安全防护体系
金山云提供丰富的安 全产品和行业最资深 的安全专家服务,全 面满足等保的建设要 求,保障快速、合规
的建设整改
金山云等保服务解决方案
技术要求
安全通信网 络
应采用校验技术或密码技术保证数据完整性和保密性;
应对进出网络的数据流实现基于应用协议和应用内容的访问控制
解决方案 SSL证书 WEB应用防火墙
漏洞扫描
安全管理中 应能够对网络中安全事件识别、报警和分析;汇总各个设备审计数据集中分析;态势感知
心
应定期对系统日常运行、系统漏洞和数据备份等情况进行常规检查;对发现的 安全漏洞和隐患及时进行修补;对安全人员技能培训等
高级安全服务
云金上山高云级安安全全服服务务
云上的租户系统通过等级保护测评时,物理安全、部分网络安全和安全管 理的结论可以复用
云计算平台自身安全防护要求 云计算平台向其上租户系统提供安全服务能力的要求 针对租户的安全要求
云计算安全扩展要求
云计算环境
云服务方
在云计算环境中,应将云服务方侧的云计算平台单 独作为定级对象定级
在对云服务方的云计算平台上进行等级测评时,应 选择全部《安全测评通用要求》 +《云计算安全测 评扩展要求》 中适用于云计算平台的部分指标
结论可以复用。
优质的等保测评服务
金山云联合各地优质 的咨询机构和测评机 构,为您提供完整、 持续的等保合规咨询 服务和等保测评服务, 帮助客户轻松过等保
全面的安全防护体系
金山云提供丰富的安 全产品和行业最资深 的安全专家服务,全 面满足等保的建设要 求,保障快速、合规
的建设整改
金山云等保服务流程
角色/流程 运营单位
安全区域边 界
应根在据网会络话边状界态部信署息访控问制控访制问策;略,优化规则、ACL表,地址、端口、协议检查;安全组
应在关键网络节点监控攻击,限制内外双向攻击,行为分析检测新型网络攻击 幵记录、报警
高防IP
应遵循最小安装原则,具有鉴别用户身份、管理端口、远程防窃听、双因子身 份鉴别、漏洞发现修补、入侵检测报警的功能
云环境责任共担
层级
IaaS PaaS SaaS
云服务商
设施、硬件、资源抽象控制层安全等
设施、硬件、资源抽象控制层安全 虚拟化计算资源、软件平台等
全
云租户
应用平台、软件平台、虚拟化计算资源等 应用平台等
部分应用安全责任、应用的安全使用等
云平台助备的安全技术 和管理架构,以及提 供的安全防护体系, 更有利于租户通过等 级保护测评。物理安 全、部分网络安全等
对等级保护对象符合性 状况进行测评
当地公安机关审核受理 备案材料
公安机关监督检查运营 单位开展等级保护工作
云平台助力等保合规
合规的基础设施平台
平台完备的安全技术 和管理架构,以及提 供的安全防护体系, 更有利于租户通过等 级保护测评。物理安 全、部分网络安全等
结论可以复用。
优质的等保测评服务
金山云联合各地优质 的咨询机构和测评机 构,为您提供完整、 持续的等保合规咨询 服务和等保测评服务, 帮助客户轻松过等保
幵组织专家评审
协助专业咨询机构为运 营单位提供辅导服务
辅导运营单位准备备案 材料和提交备案申请
依据差距评估和整改方 案提供合规安全产品和
服务
辅导运营单位进行差距 评估,方案设计幵完成
建设整改
提供云平台安全资质, 等保备案证明,测评报
告关键页等材料
协助运营单位配合测评 中心开展测评工作幵进
行整改
协助运营单位接受检查 和进行整改
服务器安全
安全计算环 应能够对登录的用户账户管理、授权;清理无用、共享账户;对重要主体和客 境 体设置安全标记,控制访问;
堡垒机
应覆盖性审计用户行为和安全事件;审计记录包含必要信息幵定期备份、防止 篡改删除;审计进程保护,防止中断;
数据库审计
应能够识别安全漏洞和隐患,对发现的安全漏洞及隐患进行修补;
云市场快速发展
自2016 年以来,中国已经跃居全球仅次于美国的第二大公有云IaaS市场。2018年,全球前十大公有云IaaS服务商中,中国已有阿里巴巴、腾讯、中国电信、金山云四家服 务商上榜。而在2014年,仅阿里巴巴一家企业入围。相比全球其它区域市场,中国互联网行业高速发展、政策强力推动、市场活跃需求、服务商大举投入,使得公有云服 务市场获得了快速发展,也为中国更多公有云服务商带来了发展壮大的可能。