云计算信息系统如何通过等级保护测评工作,去检查和验证安全措施的合规性和有效性,已经成为云计算系统建设者、运营者、监管者以及使用者所关心的重要问题。公安部网络安全保卫局组织开展了大规模的等级保护系列标注修订工作,本文对其中的云计算安全部分进行解读。
一、 信息系统等级保护概述
信息系统等级保护是根据信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。
信息系统的安全保护等级有两个定级要求决定:等级保护对象收到破坏时所侵害的客体和对客体造成侵害的程度。
受侵害的客体:等级保护对象收到破坏时所侵害的客体包括一下方面:一是公民、法人和其他组织的合法权益;而是社会秩序、公共利益;三是国家安全;
对客体的侵害程度:对客体的侵害程度由客观方面的不同外在表现综合决定。等级保护对象受到破坏后对客体造成侵害的程度为三种:一是造成一般损害;而是造成严重损害;三是造成特别严重损害。
按照信息系统等级保护定级指南,信息系统的等级可以划分为以下五个等级;
| 等级 | 对象 | 侵害客体 | 侵害程度 | 监管强度 |
| 第一级 | 一般系统 | 合法权益 | 损害 | 自主保护 |
| 第二级 | 合法权益 | 严重损害 | 指导 | |
| 社会秩序和公共利益 | 损害 | |||
| 第三级 | 重要系统 | 社会秩序和公共利益 | 严重损害 | 监督检查 |
| 国家安全 | 损害 | 监督检查 | ||
| 第四级 | 社会秩序和公共利益 | 特别严重损害 | 强制监督检查 | |
| 国家安全 | 严重损害 | |||
| 第五级 | 极端重要系统 | 国家安全 | 特别严重损害 | 专门监督检查 |
表格 1信息系统的安全保护等级
信息系统等级保护在实施过程中分了以下几个阶段:
- 系统定级
信息系统运营使用单位按照《信息系统安全等级保护定级指南》,确定信息系统安全等级。有主管部门的,报主管部门审核批准。在申报系统建设、改建、扩建立项时须同时向立项审批部门提交定级报告;
- 系统备案
已运行的系统在安全保护等级确定后,30日内,由其运营、使用单位到所在地社区的市级以上公安机关办理备案手续。新建的系统,在通过离线申请后30日内办理;
- 安全建设和整改
分析安全需求。对照等保有关规定和标准分析系统安全建设整改需求,可委托安全服务机构、等保技术支持单位。对于整改项目,还可以委托测评机构通过等保测评、风险评估等方法分析整改需求。
建设整改。根据需求制订建设整改方案,按照国家相关规范和技术标准,使用符合国家有关规定,满足系统等级需求产品,开展信息系统安全建设整改。
- 信息安全等级测评
等保测评。选择第三方测评机构进行评审。其中对于新建系统可试运行阶段进行评审。(测评机构分为全国性和区域性)
二、 信息系统等级保护-云计算安全解读
2014年国家成立中央网络安全和信息化领导小组,网络安全发展进入了快车道;随着云计算、大数据、移动互联网等技术的广泛应用,传统的等级保护基本要求在实际工作中已经不堪重负。
云计算信息系统应具备什么样的安全防护措施,如何通过等级保护测评工作去检查和验证安全措施的合规性和有效性,已经成为云计算系统建设者、运营者、监管者以及使用者所关心的重要问题。
随着2016年国家网络安全法发布,等级保护制度作为国家网络安全法明确要求的重要制度,将在未来发挥重要的作用,为了应对新的技术挑战、新应用发展带来的安全问题,公安部网络安全保卫局组织开展了大规模的等级保护系列标注修订工作。
信息系统等级保护在系统定级方面不做改变,依然按照原有的信息系统等级划分标准分为5个级别;
在流程方面也不做改变依然按照定级备案、安全建设、安全整改、系统测评进行。那么以下需要介绍的是变化部分:
第一参考依据
即信息系统等级保护基本要求-云计算安全扩展要求等。
第二 系统定级与管理职责划分
在传统IT环境中,信息系统的运营和使用的主体都是客户单位,客户单位作为甲方承担着全部的安全责任,即使运营通过外包服务转移给第三方,但是所承担的安全责任却不能一起转移,毕竟安全责任的主体在客户单位;
云计算环境改变了这种责任模式,形成了云租户和云服务商双方“各自分担,相互协调”的安全责任,使得云计算环境下定级工作变得更为复杂;
传统的等级保护制度针对的对象主体是信息系统以及承载的相关基础网络,在云计算环境下,定级对象在原有的基础上进行了扩展, 而云计算将定级对象扩展为云服务商的云平台和云租户的应用系统。
第三 测评对象和顺序
云计算系统定级时,云服务商的云平台和云租户的应用系统应分别定级,云平台等级应不低于应用系统的安全保护等级。对于公有云,定级流程为云平台先定级测评,再提供云服务。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。
第四 云计算系统保护对象的扩展
由于虚拟化技术的应用,云计算服务引入了IaaS\SaaS\PaaS按需服务的模式,相对于传统的等级保护制度,云计算系统的保护对象有所增加,具体不同参照下表:
| 层面 | 云计算系统保护对象 | 传统信息系统保护对象 |
| 物理和环境安全 | 机房及基础设施 | 机房及基础设施 |
| 网络和通信安全 | 网络结构、网络设备、安全设备、综合网管系统、虚拟化网络结构、虚拟网络设备、虚拟安全设备、虚拟机监视器、云管理平台 | 网络设备、安全设备、网络结构、综合网管系统 |
| 设备和计算安全 | 主机、数据库管理系统、终端、网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管理平台、网络策略控制器 | 主机、数据库管理系统、终端、中间件、网络设备、安全设备 |
| 应用和数据安全 | 应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息、云应用开发平台、云计算服务对外接口、云管理平台、镜像文件、快照、数据存储设备、数据库服务器 | 应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息等 |
| 安全管理机构和人员 | 信息安全主管,相关文档 | 信息安全主管、相关文档 |
| 安全建设管理 | 系统建设负责人、服务水平协议、云计算平台、供应商资质、相关文档、相关资质、相关检测报告 | 系统建设负责人、记录表单类文档 |
| 安全运维管理 | 安全管理员、相关文档、运维设备、云计算平台、第三方审计结果 | 系统管理员、网络管理员、数据库管理员、安全管理员、运维负责人、相关文档 |
表格 2云计算环境与传统环境保护对象区别
三、 信息系统等级保护-云计算安全实施测评
云计算环境下保护对象除了传统环境的保护对象外,还包含了云计算特有的保护对象。在进行云计算系统等级保护测评时,针对不同保护对象实施不同测评内容,既要对云计算系统特有保护对象依据云安全测评要求进行测评,也要对云计算系统选取安全通用要求相关指标进行测评。
四、 信息系统等级保护-云计算安全责任划分
在云环境下不同的交付模式,云服务商和云租户的安全管理责任主体有所不同,参考网络安全等级保护基本要求-云计算安全扩展要求。具体如表所示:
IaaS模式
| 负责主体 | 层面 | 对象 | ||
| 云租户 | 应用安全
主机安全 |
数据安全及备份与恢复 | 应用系统
云应用开发框架 中间件 终端 |
配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等 |
| 云租户
云服务商 |
网络安全
主机安全 应用安全
|
虚拟网络结构
虚拟网络设备 虚拟安全设备 虚拟机 数据库管理系统 终端 |
||
| 云服务商 | 网络安全
主机安全 |
云管理平台
云业务管理系统 虚拟机监视器 网络结构 网络设备 安全设备 物理机 宿主机 终端 |
||
| 物理安全 | 机房及基础设施 | |||
PaaS模式
| 负责主体 | 层面 | 对象 | ||
| 云租户 | 应用安全
主机安全 |
数据安全及备份与恢复 | 应用系统
终端 |
配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等 |
| 云租户
云服务商 |
应用安全
主机安全
|
云应用开发框架
中间件 数据库管理系统 终端 |
||
| 云服务商 | 网络安全
主机安全 |
虚拟网络结构
虚拟网络设备 虚拟安全设备 云业务管理系统 云管理平台 虚拟机监视器 网络结构 网络设备 安全设备 物理机 宿主机 终端 |
||
| 物理安全 | 机房及基础设施 | |||
SaaS模式
| 负责主体 | 层面 | 对象 | ||
| 云租户
云服务商 |
应用安全
主机安全 |
数据安全及备份与恢复 | 应用系统
数据库管理系统 终端 |
配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等 |
| 云服务商 | 应用安全
网络安全 主机安全 |
云应用开发框架
中间件 云业务管理系统 虚拟网络结构 虚拟网络设备 虚拟安全设备 虚拟机 云管理平台 虚拟机监视器 网络结构 网络设备 安全设备 物理机 宿主机 终端 |
||
| 物理安全 | 机房及基础设施 | |||
五、 参考文献
GB/T 22240—2008信息安全技术 信息系统安全等级保护定级指南
GB17859-1999 计算机信息系统安全保护等级划分准则
GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第 1部分:安全通用要求
GB/T 22239.2 信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求《等级保护合规性安全解决方案》 阿里云