等保2.0与云安全方案
等级保护2.0云计算解决方案 网络安全等级保护云计算解决方案
利用轻量级客户端,实现虚拟机的入侵防御和基线 核查等。
等级保护2.0云计算解决方案
建设主动防护能力,持续安全监控预警
及时获取热点事件、漏洞、
运营 服务
恶意IP/域名。
热点事件 预警
攻击威胁源 封禁
攻击事件发 现与排查
安全事件 应急响应
自定义安全服务包,按需 选择,快速实现防护。
自助使用,自动交付,掌 握业务系统安全状态。
高可用设计,保障安全防 护连续性。
委办局1
虚拟机
虚拟机
委办局2
虚拟机
虚拟机
委办局3
虚拟机
虚拟机
防火墙 WAF
IPS
防火墙 网络审计 WAF
防火墙 DDoS防护 WAF
服务 平台
计算
存储
网络
防火墙 入侵防御 入侵检测 Web应用防护 安全审计 防病毒 EDR
SaaS PaaS IaaS
云服务客户
应用平台 软件平台 虚拟化计算资源 资源抽象控制
硬件 设施
范围和控制
等级保护2.0云计算解决方案
IaaS PaaS SaaS
新增安全要求,建立主动防护体系
实现对网络攻击特 别是新型网络攻击
行为的分析
被动安全防护
1
2
缺少监测预警
落实网络安全态感 知监测预警措施
集中安全管理
安全即服务
软件定义安全
硬件安全设备
统一管控
虚拟化
服务化
物理服务器
等级保护2.0云计算解决方案
做好区域隔离,实现东西向防护
某委办局
子网1
子网2
等保2.0云计算安全扩展要求及分析
等保2.0云计算安全扩展要求及分析随着云计算技术在企业中的广泛应用,安全风险也日益突出,因此等保2.0标准对云计算的安全性提出了更高的要求。
在等保2.0标准中,云计算属于基础设施服务(IaaS)、平台服务(PaaS)和软件服务(SaaS)三种云服务范畴,在每一层中都有针对性的安全要求。
IaaS层面:保障云资源的安全在IaaS层面,等保2.0标准要求云服务提供商(CSP)应满足以下几个方面的安全需求:1.物理安全:确保数据中心的物理环境避免被非法进入、操作和盗窃;2.身份认证和访问控制:要求CSP对云资源的访问进行有效的身份验证和访问控制,防止非法访问和攻击;3.数据隔离:要求CSP通过私有虚拟网络(VPN)等技术,为不同客户提供独立的云环境,确保数据不会被共享或泄露;4.数据备份和恢复:要求CSP提供客户数据备份和恢复的机制,确保数据在灾难发生时可以快速恢复;5.安全审计:要求CSP记录和监测云环境中的所有活动,发现和排除安全问题。
1.应用程序安全:要求CSP为客户提供应用程序安全审计、代码审计、漏洞管理和安全扫描等服务,确保应用程序的安全和稳定性;2.数据安全:要求CSP对用户数据进行加密、备份和恢复,并提供客户端加密和防篡改的技术,以保障数据的完整性和机密性;3.网络安全:要求CSP提供有效的网络防护机制,包括入侵检测、流量管理和DDoS攻击防御等,防止攻击者通过网络进入云环境;4.认证与授权:要求CSP提供基于角色的访问控制和身份管理,确保只有授权用户才能访问云环境中的资源。
总之,等保2.0标准对云计算安全性的要求更高,需要云服务提供商提供各种科技手段和安全机制来保障客户数据和应用的安全。
云服务客户需要根据自身需求对云服务的安全性进行精细化评估,并选择满足安全需求的云服务提供商。
等保2.0云计算安全扩展要求及分析
等保2.0云计算安全扩展要求及分析随着云计算技术的快速发展和广泛应用,云计算安全问题逐渐成为云计算发展的瓶颈之一。
为了进一步加强云计算安全,中国国家信息安全标准化技术委员会于2019年发布了《信息安全技术云计算服务安全要求第2部分:云计算安全扩展要求》(以下简称等保2.0云计算扩展要求),进行了一系列关于云计算安全的要求和规范。
本文将对等保2.0云计算扩展要求进行分析,并探讨其对云计算安全的重要意义。
1. 等保2.0云计算扩展要求的背景云计算是指通过互联网将数据、存储、计算和应用等资源集中管理和维护,为用户提供灵活、可扩展和按需服务的一种计算模式。
由于云计算依赖互联网和公共基础设施,安全问题成为云计算发展过程中的重要难题。
为了解决这些问题,国家信息安全标准化技术委员会发布了等保2.0云计算扩展要求,旨在提高云计算的可信性和安全性。
2. 等保2.0云计算扩展要求的内容(1)云计算基础服务安全扩展要求:要求云服务提供商应具备完善的安全管理制度,包括用户身份验证、权限管理、日志审计等方面的要求,确保云计算基础设施的安全性。
(2)云计算云服务应用安全扩展要求:要求云服务提供商应提供安全可靠的云服务应用,包括云存储、云数据库、云网络等方面的要求,确保云服务应用的可用性和保密性。
(3)云计算安全管理扩展要求:要求云服务提供商应具备强大的安全管理能力,包括安全策略管理、安全事件管理和应急响应等方面的要求,确保云计算环境的安全管理。
(4)云计算安全评估扩展要求:要求云服务提供商应按照国家标准对其云计算服务进行安全评估,包括风险评估、安全性检测等方面的要求,确保云计算服务的安全性和合规性。
3. 等保2.0云计算扩展要求的意义和影响(1)提高云计算的安全性:等保2.0云计算扩展要求为云计算服务提供商提供了一套规范和标准,使其能够更好地保护云计算环境中的数据和资源,提高云计算的安全性。
(2)增强用户对云计算的信任:等保2.0云计算扩展要求为用户提供了一个可信赖和安全的云计算选择,增强了用户对云计算的信任感,促进了云计算的广泛应用和发展。
基于等保2.0云平台与云租户安全框架、安全方案及主要设备清单
基于等保2.0云平台与云租户
安全框架
安全方案
主要设备清单
一、云平台应该具备哪些安全能力
1.保障自身安全:云平台本身的安全性应该满足合规要求,落实安全管理和防护措施。
2.统一安全运营:云平台应该能够构建安全市场,供租户使用,保障业务安全,并实现对云环境的安全监测与预警。
3.提供安全服务:云服务方应该能够为某些安全能力不足的云租户提供安全运维管理服务。
4.开放生态接口:云平台应该提供开放接口,允许云租户接入第三方安全产品或服务。
(等保2.0标准8.2.2.1网络架构中e)
二、云平台安全框架
三、云平台安全方案拓扑图
四、主要设备设计清单
表一云平台主要设备清单
产品名称形态备注对应标准
下一代防火墙硬件物理网络各区域边界等保2.0标准8.1.3.2访问控制中e
云防火墙软件各资源池边界处部署等保2.0标准8.1.3.2访问控制中e
抗DDOS 硬件若有面向互联网服务等保2.0标准8.1.2.1网络架构中a
IPS 硬件等保2.0标准8.1.2.1入侵防范
网络威胁流量检测硬件等保2.0标准8.1.2.1入侵防范
网络防病毒网关硬件等保2.0标准8.1.3.4恶意代码中a
堡垒机硬件实现双因素认证等保2.0标准8.1.3.5安全审计a
WAF 硬件等保2.0标准8.1.4.7数据完整性
主机加固安全软件
主机防病毒软件等保2.0标准8.1.4.5恶意代码防范
态势感知平台软硬件等保2.0标准8.1.5.4集中管控中f
表二云租户主要设备清单。
安全企业谈等保2.0(五)--云端互联网金融业务的安全要求及解决方案
安全企业谈等保2.0(五)云端互联网金融业务的安全要求及解决方案编者按互联网金融业务系统上云后的安全是当下热点,本文梳理了等级保护云计算安全和非银行金融机构安全监管这两方面的合规性要求,将两者加以融合、针对其主要的安全问题和需求,提出云端互联网金融的安全防护、安全检测和安全监测三大类措施与安全服务解决方案。
正文目前,公有云的建设发展成为互联网时代的风向标,如阿里云、亚马逊等建立的公有云规模增长迅速。
在移动互联网发展推波助澜之下,依托移动互联网开展P2P网贷、线上理财、消费金融、三方支付业务的企业为了享受公有云提供的快捷、弹性架构,从而纷纷将应用系统部署到云上。
首先,合规要求方面,《信息系统安全等级保护基本要求云计算扩展要求》(以下简称“《云等保》”)定义云计算服务带来了“云主机”等虚拟计算资源,将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任。
这点明确了企业作为云租户,其应用系统都需要定级且符合对应等级安全控制措施要求。
2016年12月银监会发布了188号文,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(以下简称“《指导意见》”),对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构信息科技建设、信息科技风险防范提出了要求。
《指导意见》第五章节指出“加强网络区域划分和隔离;通过部署防病毒、防攻击、防篡改、防泄密、防抵赖等措施提升系统抵御内外部攻击破坏的能力;”。
对于云上应用系统的安全防护明确提出了安全建设要求。
其次,参考安全咨询机构对于2002年至2017年3月之间公开报道的敏感信息泄露案例的数据分析发现:■敏感信息泄露呈现上升趋势——泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展,特别是对非技术手段的运用,近几年呈现出较快速的增长,企业对可能的应用系统攻击行为没有安全检测防护措施。
网络安全等级保护2.0 对应的安全产品
日志收集分析系统及备份功能、网络审计、上网行为管理、云平台操作审计
虚拟化运维审计
集中管控(G)
安全管理系统、安全管控平台、日志收集分析系统、数据库审计、网络管理系统、态势感知、病毒管理端;安全管理系统、网管
虚拟日志收集分析系统
虚拟化数据库/网络审计、杀毒管理中心
防护子项
云平台安全
云租户安全
身份鉴别(S)
设备、操作系统、数据库、中间件自带认证、统一身份认证4A、堡垒机、ssh管理、多因素认证、CA证书、双向认证SSH/ HTTPS
双向认证、SSH/ HTTPS
访问控制(S)
系统账号划分、4A系统自带访问控制功能、终端安全管理、数据库防火墙、管理类手段、强访问控制、加密、平台身份认证,授权权限划分、存储加密;
云计算环境选择
运维地点,配置数据、日志信息存放地点
运维地点,配置数据、日志信息存放地点
统一策略下发平台、虚拟化防火墙、东西向虚拟化防火墙、虚拟化日志收集、杀毒,
入侵防范(G)
未知威胁攻击防护系统、抗异常流量拒绝服务攻击;网络回溯系统、入侵防护/检测
虚拟化防火墙、东西向虚拟化防火墙入侵防御模块
恶意代码(G)
防病毒网关;防火墙、统一威胁防护系统、入侵防御/检测木马监测、安全邮件网关
虚拟化防火墙(入侵防御/杀毒模块)、东西向虚拟化防火墙、主机杀毒
镜像校验;镜像加密
安全操作系统、虚拟漏洞扫描、虚拟化基线配置核查系统
应用和数据安全
防护子项
云平台安全
云租户安全
身份鉴别(S)
统一身份认证、多因素认证、证书
业务应用系统自身认证;
访问控制(S)
身份认证、管理类手段、最小化原则、数据库防火墙;敏感数据加密、访问控制、云平台账号三权分立;
网络安全等保二级解决方案
等保测评涉及检查范围 建设或整改环节主要依据《信 息系统安全等级保护基本要求》 进行,《基本要求》中将等保分 为两个方向,每个方向又分为5 个维度。
© Copyright Sendi Corporation 2020
5
技术要求 物网 主应数 理络 机用据 安安 安安安 全全 全全全
网络安全等级保护二级等保解决方案
catalogue
目
01 等保2.0介绍和要求
录
02 项目建设目标
03 成功案例
信息系统等级分类:
3
一级信息系统:公民个人的单机系统,小型集体、民营企业 所属的信息 系统,中、小学校的信息系统,乡镇级党政机关、事业单位的信息系统, 其他小型组织的信息系统。
二级信息系统:县级、地市级信息系统,中型集体、民营企业、小型国有 企业所属的信息系统,普通高等院校和科研机构的信息系统,其他中型组 织的信息系统。
建设目标
10
➢ 通过等保测评验收
开展国家信息系统定级备案和等级测评和安全整改,并获取公安机关颁发由公安部统一监制的《信息系统安全等级保护备案 二级证明》,测评结果达到良
➢ 安全技术支撑体系建设
根据等保技术要求及业务实际安全情况,合理规划安全区域,并配套完善一系列安全设备,从而建设起单位安全技术支撑体 系
三级信息系统:省级和副省级独立的重要信息系统,大型集体、民营企业、 大中型国有企业所属的重要信息系统,地市级党政机关、事业单位的重要 信息系统,重点高等院校和科研机构的重要信息系统,其他大中型组织的 信息系统。
四级信息系统:国家级所属全程全网的特大型信息系统,特大型国有企业 所属全程全网的特大型信息系统,省级党政机关、事业单位所属的重要信 息系统,重点科研机构的重要信息系统。
等级保护2.0——云计算安全扩展要求(上)
等级保护2.0——云计算安全扩展要求(上)概述云计算安全扩展要求是在安全通⽤要求的基础上针对云计算的特点提出特殊保护要求。
也就是说,在云计算环境中为了满⾜等保2.0的保准要求,既要满⾜安全通⽤要求,也要满⾜针对云计算提出的特殊保护要求。
云计算安全扩展要求也分为技术要求和管理要求两⼤类。
安全物理环境云计算安全扩展要求安全物理环境中的基础设施位置要求云计算基础设施位于中国境内。
这是对提供云计算服务的云服务商提出的要求,由于在云计算环境中,数据的实际存储位置往往是不受客户控制的,客户的数据可能存储在境外数据中⼼,这就改变了数据和业务的司法管辖关系,需要注意的是,有些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中⼼的途径,甚⾄要求云服务商提供位于他国数据中⼼的数据。
这使得客户的业务和数据隐私安全不能得到有效的保障。
安全通信⽹络——⽹络架构应保证云计算平台不承载⾼于其安全保护等级的业务应⽤系统】解读:云计算环境中云服务商提供的云平台与客户的业务系统是需要分别单独定级的,那么云计算平台的等级保护等级必然不能低于其承载的客户业务系统的安全保护等级。
【应实现不同云客户虚拟⽹络之间的隔离】解读:除私有云外,整个云计算平台是由多个客户共享的,因此云服务商提供的云计算平台应具备隔离不同客户系统的能⼒,使得客户的虚拟⽹络在逻辑上实现独享。
【应具有根据云服务客户业务需求提供通信传输、边界防护、⼊侵防范等安全机制的能⼒】解读:云服务商在保证云计算平台达到相应等级的安全防护⽔平外,还应将相应的安全防护机制提供给客户。
【应具有根据云服务客户业务需求⾃主设置安全策略的能⼒,包括定义访问路径、选择安全组件、配置安全策略】解读:客户的业务系统也是根据其对应的安全保护级别来部署安全防护措施,因此云计算平台应将相应的安全能⼒提供给客户,使⽤户可以根据需求进⾏⾃主选择、部署、配置。
【应提供开放接⼝或开放性安全服务,允许云服务客户接⼊第三⽅安全产品或在云计算平台选择第三⽅安全服务】解读:这⾥是对云计算平台的兼容性提出的要求,有些客户可能根据其特殊的安全需求,需要引⼊云平台提供的安全防护之外的安全技术或产品,云计算平台应提供相应的开放接⼝供产品或服务的接⼊。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保2.0与云安全方案
目录
一、等保2.0时代安全内外环境发生变化 (3)
二、全面布局应对云安全挑战 (4)
一、等保2.0时代安全内外环境发生变化
今年《网络安全法》颁布实施,新修订的网络安全等级保护标准也陆续出台,以适应新技术变化的应用环境,标志着等级保护工作进入到了2.0时代。
与等保 1 . 0 时代不同,当前的信息系统架构更加复杂,新技术不断得到应用,安全威胁也更加强大。
因此,2.0版本的等级保护标准采取了更加灵活的模式,通用要求与面向云计算、工业控制、物联网、移动互联网等新技术的扩展要求相结合,为不同的应用场景提供差异化的安全防护最佳实践。
在安全能力方面,等级保护2.0标准也提出了更高的要求。
一方面,检测深度进一步加强,增加了对未知攻击、内部攻击的检测要求;另一方面,防护能力进一步提升,增加了对无线安全、邮件安全等的防护要求。
总之,等级保护2.0是应对当前主要网络安全威胁的重要指导方针。
云计算安全是等级保护2.0的核心内容之一。
等级保护2.0对云计算技术的主要安全风险做了分析,并提出了相应的防护要求。
可以说,云计算技术正在或已成为当前数据中心建设的核心技术。
如何识别云计算技术的安全风险,并将其纳入到数据中心整体风险管理体系,通过一系列的安全治理将其控制到一个可以接受的范围,是当前数据中心建设运营团队的重要关注点。
这样的应用环境对网络安全厂商而言,既是机遇也是挑战。
Gartner市场预测提出,全球云安全服务将保持强劲增长势头,整体增速高于信息安全总体市场,一方面是安全合规需求,另一方面就是高端数据泄漏的压力。
如何把握时代新需求,调整产品和服务策略,即是当前各网络安全厂商重点考虑的工作重心。
二、全面布局应对云安全挑战
作为国内网络安全的领军企业,绿盟积极参与等级保护2.0标准的制定工作,将自己在
云安全方面的实践经验展现出来,为标准的最终形成贡献了自己的力量。
同时,结合等级保护2.0云计算标准的防护要求,绿盟也形成了自己对云安全的理解,围绕云计算的安全需求
打造预警、防护、检测、响应闭环的自适应防御能力体系。
安全预警能力主要针对云计算平台和云上应用自身脆弱性的检测和防护。
既要考虑平台和应用组件自身固有的脆弱性,如操作系统、数据库、中间件的漏洞等;也要考虑平台和
应用由于设计不当导致的特有缺陷,如工作流设计导致的数据泄露等;还要考虑平台和应用组件自身安全功能配置不当导致的人为问题,如弱口令、安全策略配置错误等。
针对这些问题,绿盟通过外部的公网监测和内部的本地扫描协同分析可能存在的各种安全漏洞,并由绿盟安全专家对云平台和云上应用开发过程中产生的安全问题进行检测、发现和评估,及时修复存在的重大高危漏洞。
为了提高解决脆弱性缺陷的时效性,绿盟威胁情报对发现的安全漏洞进行评估,对于在黑客社区活跃度高、出现漏洞利用代码或出现相关安全事件的漏洞提升优先级,快速修补。
对于提升安全防护能力,绿盟通过使用虚拟化、SDN、服务编排等技术,建设形成泛
在接入、弹性可伸缩、安全可配置的安全资源池,实现安全即服务的按需配置、自动化管理。
可以为云计算平台、云上WEB应用、数据存储提供量身定制的安全服务。
同时,面向
在公有云上部署应用的客户,绿盟与阿里云、腾讯云、亚马逊(AWS)云、微软(AZURE)云等知名公有云服务商展开合作,基于公有云平台为客户提供定制化的安全防护。
对于安全检测,绿盟通过本地的安全产品和云端的安全服务两个方向全面提升检查能力。
从安全产品角度看,一是加强了产品的双向检测能力,不仅检测从外到内的流量,同时检测从内到外的流量;二是加强了未知攻击检测,通过行为模型分析样本执行过程中的异常,从
而发现未知攻击;三是加强了联合检测,实现了DFI(深度流检测)和DPI(深度包检测)
的结合,实现了已知攻击检测和未知攻击检测,实现了攻击检测和内容检测的结合。
在云端检测方面,一是加强了对WEB应用的检测,实现了分钟级的平稳度、挂马、篡改检测;二
是加强了即时检测,通过绿盟云实施紧急漏洞在线检测,协助客户第一时间确认高危漏洞是否影响云平台和云上应用;三是加强了恶意样本检测,为云计算运营团队提供安全专家的
安全专业分析,准确识别各种恶意代码。
在安全响应能力方面,绿盟围绕云平台和云上应用对安全事件处理的需求,在现有的应急预案体系和应急响应机制的基础上,进一步增加基于互联网的绿盟安全专家团队协同响应模式,实现安全事件和安全风险的快速识别和确认,安全应急措施的快速拟制和应用,安全修复结果的快速确认和验证,以及网络攻击事件过程的全面取证和溯源,总体上达到小时级的安全响应和事件处置速度。
围绕等级保护2.0开展云计算安全建设的过程,也是绿盟智慧安全2.0战略全面落地的过程。
绿盟科技的智慧安全2.0战略,旨在协助客户完成合规建设的基础上,进一步构建预警、防护、检测、响应自适应闭环安全防护体系。
同时,通过绿盟云提供的威胁情报服务、安全监测服务、可管理安全服务等方式将绿盟安全专家的能力加入到客户的安全体系之中,通过建立云、地、人、机间的有机协同,最终实现智能、敏捷、可运营的云计算整体安全架构,全面履行绿盟“巨人背后的安全专家,保障客户业务顺畅运行”的公司使命。
近一阶段以来,绿盟就等保2.0和云计算安全落地事宜,在公司内部已经形成了研究院、产品服务等多部门一体联动的运行机制,力图在新一轮技术创新的浪潮中抢得先机。
全文
完。