隨著一系列等級(jí)保護(hù)新標(biāo)準(zhǔn)的順利發(fā)布，網(wǎng)絡(luò)安全等級(jí)保護(hù)也進(jìn)入到2.0時(shí)代。作為新增的等級(jí)保護(hù)對(duì)象，云計(jì)算平臺(tái)/系統(tǒng)新增安全要求如何？有哪些地方值得重點(diǎn)關(guān)注？

今天來(lái)為您一一解讀。

一、云安全挑戰(zhàn)

云計(jì)算平臺(tái)作為信息化建設(shè)中的重要系統(tǒng)，具備開放型巨系統(tǒng)的特征，系統(tǒng)組成極為復(fù)雜。由此決定著云計(jì)算平臺(tái)將面臨著各個(gè)層面的網(wǎng)絡(luò)安全挑戰(zhàn)。

首先，是來(lái)自網(wǎng)絡(luò)和通訊的安全挑戰(zhàn)。這類攻擊是借助網(wǎng)絡(luò)、通訊特性如帶寬、傳輸會(huì)話、數(shù)據(jù)包轉(zhuǎn)發(fā)等實(shí)施的攻擊。例如，直接通過(guò)網(wǎng)絡(luò)實(shí)施DDOS攻擊，通過(guò)網(wǎng)絡(luò)使用不安全接口實(shí)施注入、盜取秘鑰、非法獲取敏感數(shù)據(jù)、非法篡改數(shù)據(jù)攻擊，通過(guò)網(wǎng)絡(luò)實(shí)施賬戶劫持以及通過(guò)網(wǎng)絡(luò)傳輸?shù)腁PT類攻擊等。

其次，是面向設(shè)備和計(jì)算的安全挑戰(zhàn)。攻擊者利用云計(jì)算設(shè)備和平臺(tái)性能優(yōu)勢(shì)或固有特性實(shí)施直接或間接的攻擊，如：身份驗(yàn)證和憑證被盜取、云計(jì)算存儲(chǔ)資源數(shù)據(jù)殘留、存在漏洞的基礎(chǔ)服務(wù)資源被共享使用、云服務(wù)被濫用于其他網(wǎng)絡(luò)攻擊等。

第三，是面向應(yīng)用和數(shù)據(jù)的安全挑戰(zhàn)。應(yīng)用的目的是處理數(shù)據(jù)，云計(jì)算軟件漏洞、不安全接口、數(shù)據(jù)庫(kù)存儲(chǔ)不受控、黑客攻擊、員工處理數(shù)據(jù)的異常操作、未被授權(quán)的訪問(wèn)等可造成數(shù)據(jù)泄露、數(shù)據(jù)異常銷毀、數(shù)據(jù)永久丟失等重大損失。

第四，是來(lái)自管理、運(yùn)維的安全挑戰(zhàn)。在云計(jì)算管理層面，缺乏盡職調(diào)查、數(shù)據(jù)所有權(quán)缺乏保障體系；在運(yùn)維層面，存在云使用方或云租戶對(duì)云計(jì)算服務(wù)方過(guò)度依賴，甚至被云計(jì)算服務(wù)方鎖定、惡意越權(quán)訪問(wèn)、濫用職權(quán)以及誤操作等，存在信息安全隱患的管理和運(yùn)維，這些對(duì)云計(jì)算平臺(tái)的安全穩(wěn)定帶來(lái)巨大風(fēng)險(xiǎn)和隱患。

二、云等保要求總覽

在政府積極引導(dǎo)和企業(yè)戰(zhàn)略布局等推動(dòng)下，經(jīng)過(guò)近十余年的發(fā)展，云計(jì)算已逐漸被市場(chǎng)認(rèn)可和接受，政務(wù)、金融、運(yùn)營(yíng)商和工業(yè)等多個(gè)行業(yè)的信息系統(tǒng)已經(jīng)運(yùn)行在云端。相對(duì)于傳統(tǒng)信息系統(tǒng)，云計(jì)算平臺(tái)/系統(tǒng)如何進(jìn)行等級(jí)保護(hù)非常受關(guān)注。新等級(jí)保護(hù)標(biāo)準(zhǔn)的發(fā)布，明確了云計(jì)算平臺(tái)/系統(tǒng)作為等級(jí)保護(hù)對(duì)象的具體要求，指導(dǎo)云計(jì)算平臺(tái)/系統(tǒng)的安全建設(shè)。

新標(biāo)準(zhǔn)中對(duì)于云計(jì)算平臺(tái)/系統(tǒng)的等級(jí)保護(hù)，仍然根據(jù)“一個(gè)中心，三重防護(hù)”體系框架，提出了具體的技術(shù)要求，以及包含云服務(wù)商選擇、供應(yīng)鏈管理和云計(jì)算環(huán)境管理等方面的管理要求。云計(jì)算平臺(tái)/系統(tǒng)的安全建設(shè)或安全整改，需同時(shí)根據(jù)安全通用要求和安全擴(kuò)展要求，構(gòu)建具有相應(yīng)等級(jí)安全防護(hù)能力的安全防御體系。

注：安全管理制度、安全管理機(jī)構(gòu)和安全管理人員，云計(jì)算平臺(tái)/系統(tǒng)無(wú)單獨(dú)安全擴(kuò)展要求。

三、云等保組織架構(gòu)

云計(jì)算等級(jí)保護(hù)的施行由兩部分組成，一部分是組織，另外一部分是施行邏輯。就組織而言，云計(jì)算等級(jí)保護(hù)有完善的指導(dǎo)、規(guī)劃、試測(cè)、建設(shè)、驗(yàn)證、審計(jì)和持續(xù)優(yōu)化流程組織形式和流程。

等級(jí)保護(hù)實(shí)施流程

四、云等?？蚣?br />
云計(jì)算等級(jí)保護(hù)是整個(gè)等保2.0的一部分，它與等級(jí)保護(hù)的“通用”部分形成一個(gè)整體，來(lái)約束云計(jì)算平臺(tái)的等級(jí)保護(hù)建設(shè)，為云計(jì)算平臺(tái)網(wǎng)絡(luò)安全建設(shè)設(shè)立基線。云計(jì)算等級(jí)保護(hù)框架按照系統(tǒng)組成來(lái)劃分，大致可分為面向整個(gè)云計(jì)算平臺(tái)的防護(hù)要求和面向云計(jì)算負(fù)載的防護(hù)要求。

云計(jì)算安全等級(jí)保護(hù)是等級(jí)保護(hù)框架的一部分

云計(jì)算系統(tǒng)分級(jí)需要綜合等級(jí)保護(hù)中的安全通用要求和云計(jì)算安全兩個(gè)模塊的內(nèi)容，進(jìn)行定級(jí)。云計(jì)算等級(jí)保護(hù)的每個(gè)等級(jí)依據(jù)威脅對(duì)目標(biāo)造成的影響程度，形成有梯度的防護(hù)。這些要求被整體劃分為技術(shù)要求和管理要求，分別面向云計(jì)算平臺(tái)系統(tǒng)和云計(jì)算平臺(tái)管理兩個(gè)部分。以三級(jí)等保建設(shè)為例，其技術(shù)要求160多項(xiàng)、管理要求120多項(xiàng)。

對(duì)于云計(jì)算平臺(tái)/系統(tǒng)的等級(jí)保護(hù)，我們以第三級(jí)要求說(shuō)明有哪些應(yīng)該重點(diǎn)關(guān)注。

五、抓住重點(diǎn)

1.責(zé)任共擔(dān)要求

云計(jì)算平臺(tái)/系統(tǒng)通常由設(shè)施、硬件、資源抽象控制、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件等組成。根據(jù)不同服務(wù)模式（IaaS、PaaS和SaaS），云服務(wù)商和云服務(wù)客戶擁有不同控制范圍，其安全責(zé)任邊界不同；云服務(wù)商和云服務(wù)客戶應(yīng)根據(jù)各自安全責(zé)任，進(jìn)行安全防護(hù)能力建設(shè)?，F(xiàn)實(shí)情況是云服務(wù)客戶通常認(rèn)為安全防護(hù)應(yīng)該由云服務(wù)商實(shí)現(xiàn)，只需把業(yè)務(wù)系統(tǒng)遷移至云端即可，這需要引導(dǎo)云服務(wù)客戶關(guān)注等級(jí)保護(hù)，并采取相應(yīng)安全防護(hù)，與云服務(wù)商一起共同保護(hù)云計(jì)算平臺(tái)/系統(tǒng)。

2.安全通信網(wǎng)絡(luò)要求

解讀：

根據(jù)控制范圍，云計(jì)算定級(jí)對(duì)象可分為云服務(wù)商控制部分（如云計(jì)算平臺(tái)）和云服務(wù)客戶控制部分（如業(yè)務(wù)應(yīng)用系統(tǒng)），應(yīng)分別進(jìn)行定級(jí)，且云服務(wù)商控制部分比云服務(wù)客戶控制部分高，云服務(wù)商的測(cè)評(píng)可以被復(fù)用。在進(jìn)行安全建設(shè)時(shí)，云服務(wù)商應(yīng)該為云服務(wù)客戶提供安全產(chǎn)品或服務(wù)，然而云計(jì)算平臺(tái)/系統(tǒng)，尤其是私有云部署方式下，僅提供基礎(chǔ)的安全能力，并不能滿足等級(jí)保護(hù)要求。這就需要云服務(wù)商能夠提供第三方安全產(chǎn)品/服務(wù)或允許客戶接入第三方安全產(chǎn)品或服務(wù)，并且云服務(wù)客戶可以自主設(shè)置安全策略。

3.安全區(qū)域邊界

解讀：

相較于傳統(tǒng)信息系統(tǒng)，云計(jì)算平臺(tái)/系統(tǒng)新增了一些組件，如宿主機(jī)、虛擬機(jī)和虛擬化網(wǎng)絡(luò)等。所以在做安全區(qū)域邊界設(shè)計(jì)時(shí)，除了關(guān)注物理區(qū)域邊界和物理網(wǎng)絡(luò)節(jié)點(diǎn)外，還應(yīng)該關(guān)注虛擬化網(wǎng)絡(luò)邊界和虛擬網(wǎng)絡(luò)節(jié)點(diǎn)，以及虛擬機(jī)與物理機(jī)、虛擬機(jī)與虛擬機(jī)間網(wǎng)絡(luò)流量，一方面做好物理網(wǎng)絡(luò)的訪問(wèn)控制和入侵防范等，另一方面利用云計(jì)算平臺(tái)/系統(tǒng)的安全能力或第三方安全產(chǎn)品/服務(wù)，做好虛擬區(qū)域邊界的訪問(wèn)控制和入侵防范等。

安徽靈狐科技作為等級(jí)保護(hù)專業(yè)服務(wù)提供商，專注您的線上云等保，詳情請(qǐng)咨詢400電話，一站式解決方案。