搜索
等级保护2.0时代的云等保合规与云安全基本要求解读张振峰公安部信息安全等级保护评估中心《网络安全法》简介案例与重点条款解读02等级保护2.0概念与落地措施介绍03云安全基本要求重点条款介绍0401等级保护编年史等级保护制度演进简述目录CONTENTS《网络安全法》意义重大我国第一部专门针对网络空间安全综合性法律我国网络安全从此有法可依保障我国网络安全、维护国家总体安全总体框架,共7章79条。目录如下:第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则主要内容1、国家承担的责任义务2、职责任务3、国家网络安全等级保护制度4、网络运营者基本责任义务5、关键信息基础设施的运行安全6、数据境内存储和跨境提供7、网络产品、服务要求8、网络信息安全9、监测预警与应急处置国家网络安全等级保护制度网络运营者基本责任义务(基本制度、基本国策,上升为法律)➢第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:➢(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;➢(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(日志留存)(四)采取数据分类、重要数据备份和加密等措施;(数据安全)(五)法律、行政法规规定的其他义务。法律责任➢第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。监督检查定级备案安全建设整改等级测评等级保护五个规定动作23《网络安全法》确立制度地位。n21条规定:国家实行网络安全等级保护制度。n31条规定:国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。网络安全引起空前关注。n作用:辅助系统-支撑平台-基础设施;n关注:信息安全-信息保障-网络安全;n重视:《网络安全法》千呼万唤终颁布。等级保护外延进一步丰富和完善。n等级保护对象形态不断扩充(工业控制系统、云计算平台等);n工作内容更加完善(供应链安全、通报预警等)。等级保护政策体系进一步细化和完善。n等级保护管理条例/关键信息基础设施保护条例启动制修订;n配套管理规范/细则启动编制。等级保护标准体系进一步提升适用性和可操作性。n核心标准启动修订n基本要求等标准扩充为系列标准新形势下的等级保护451伴随《网络安全法》孕育等保2.0•2.0时代,等级保护空前重要•2.0时代,等级保护制度上升为法律•2.0时代,等级保护对象大扩展•2.0时代,等级保护内容大不同•2.0时代,等级保护体系大升级等保1.0•定级•备案•建设整改•等级测评•监督检查等保2.0•五个规定动作•风险评估•安全检测•通报预警•案事件调查•数据防护•灾难备份•应急处置•……等级保护内容大不同基本要求测评要求设计要求基础通用部分云计算领域大数据领域工控领域移动互联领域物联网领域基本要求安全通用要求基本要求云计算安全扩展要求基本要求大数据安全扩展要求基本要求工控安全扩展要求基本要求移动互联扩展要求基本要求物联网安全扩展要求测评要求安全通用要求测评要求云计算安全扩展要求测评要求大数据安全扩展要求测评要求工控安全扩展要求测评要求移动互联扩展要求测评要求物联网安全扩展要求设计要求安全通用要求设计要求云计算安全扩展要求设计要求大数据安全扩展要求设计要求工控安全扩展要求设计要求移动互联扩展要求设计要求物联网安全扩展要求标准关系矩阵等级保护体系大升级等级保护2.0落地措施的变化监管角度:监管对象更广执法依据扩充,《公安机关网络安全等级保护执法检查规范》升级执法检查手段进一步加强等级保护备案制度更加完善等级保护2.0落地措施的变化合规测评角度:测评对象扩充,如在云计算领域引入更多虚拟对象测评依据扩展,安全通用要求+专业领域扩展要求等级测评报告模板升级,引入云平台与云上租户系统得分依赖关系等级测评结论复用,引入云平台测评结果复用等级保护2.0落地措施的变化合规建设角度:强调云平台安全能力集成:统一身份认证、统一用户授权、统一账户管理、统一安全审计侧重:平台内部通讯加密与认证,动态监测预警、快速应急响应能力建设、安全服务产品合规1、按需自助(On-demandSelf-service)2、无所不在的网络访问(BroadNetworkAccess)3、资源池化(ResourcePooling)4、快速弹性(RapidElasticity)5、可度量的服务(Measuredservice)云计算服务的五个基本特征NIST定义的云计算模型SP800-146GB/T31168:2014云计算模式与控制范围IaaS组件栈和控制范围ISO/IEC17789-2014云计算层次框架云计算典型模型运维服务系统业务运营系统安全系统集成开发IaaS模式下保护责任云服务方云租户PaaS模式下保护责任云服务方云租户SaaS模式下保护责任云服务方云租户云等保的定位•云等保不是新鲜的事物,而是在原等保框架下的新事物的扩展,因此云等保各环节应与传统等保相同,包括定级、备案、建设整改、测评、监督检查等。•等保框架下新增加的元素需要对原有等级保护相关工作的具体内容进行扩充并统一。安全通用要求云计算安全扩展要求移动互联安全扩展要求物联网安全扩展要求工业控制安全扩展要求大数据安全扩展要求《基本要求》云计算系统定级方面的变化传统信息系统强调分区分域、纵深防御,网络架构伴随业务变化而变化,系统各组件功能与硬件紧耦合—类似铁路系统造成:直观上,信息系统的系统划分隐含的就是以物理网络/安全设备为边界的硬件设备的划分。--路局各管一段云计算系统网络架构扁平化,业务应用系统与硬平台松耦合—类似航空运输造成:信息系统的系统划分,单纯的以物理网络/安全设备为边界的划分方法无法体现出业务应用系统的逻辑关系,无法体现对业务信息安全和系统服务安全。--以机场划分各航空公司不适用业务应用1业务应用2业务应用3需要进一步梳理各主要业务应用模块的逻辑关系如每种应用都需使用物理基础支撑平台,则业务应用系统可不包含基础支撑的物理硬件部分定级系统A定级系统B定级系统C场景1业务应用1业务应用2业务应用3如基础支撑平台可以对应到不同业务应用系统,则将基础支撑平台的物理设备一同划入相应定级系统A系统B系统场景2等保合规中的注意事项-定级•应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级•国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级•在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级•对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象运营系统运维系统对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。以IaaS为例,在云计算环境中应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。云等保中的备案方法传统企业IT基础设施、运维地点、工商注册地基本一致,备案地明确云计算系统基础设施通常遍布多地,与运维地点和工商注册地不完全一致,存在备案地点不明确的问题•云服务提供商负责将云计算平台的定级结果向所辖公安机关进行备案,备案地应为运维管理端所在地;•云租户负责对云平台上承载的租户信息系统进行定级备案,备案地为工商注册或实际经营所在地。•建设整改/测评对象的变化:引入新的对象层面云计算平台建设整改/测评对象传统信息系统建设整改/测评对象物理和环境安全机房及基础设施机房及基础设施网络和通信安全网络结构、网络设备、安全设备、虚拟化网络结构、虚拟网络设备、虚拟安全设备传统的网络设备、传统的安全设备、传统的网络结构设备和计算安全网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管理平台、数据库管理系统、终端传统主机、数据库管理系统、终端应用和数据安全应用系统、云应用开发平台、中间件、云业务管理系统、配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息等云等保中的建设整改强调云平台安全能力集成:统一身份认证、统一用户授权、统一账户管理、统一安全审计侧重:平台内部通讯加密与认证,动态监测预警、快速应急响应能力建设、安全服务产品合规云等保中的注意事项-建设整改•评分过程的变化:云平台得分影响租户系统得分在对云租户系统测评时,首先应关注云平台是否已经测评,如未测评,则无法开展对云租户系统的测评对云租户系统测评打分时,不但要考虑云租户系统自身得分,还应关注云平台得分,云平台得分高低将影响租户系统得分举例:某租户系统自身安全得分90,部署在得分为100分的平台上综合得分为90,部署在得分为60分的系统上,综合得分为60这反映出云平台对租户系统提供安全支撑的价值,客观上迫使云服务商努力提升云平台的安全防护能力云计算系统在建设整改/测评时的变化信息安全技术网络安全等级保护基本要求云计算安全扩展要求(GB/T22239-201X,送审稿)➢编制方法梳理云计算技术带来新的安全威胁、归纳出新的安全防护能力需求,进一步形成要求项➢结构上与新的安全通用要求部分保持一致,在条款上扩展只写与云计算安全相关的内容➢新增个别控制点设备和计算安全方面新增镜像和快照保护,针对云平台上云租户系统的镜像和快照提出保护要求应用和数据安全方面新增接口安全,针对云平台上对第三方安全服务提供接口提出保护要求安全建设管理方面新增云服务商选择,针对云租户选择云服务商的流程和方法提出要求安全建设管理方面新增供应链管理,针对云服务商的供应链安全提出保护要求云计算安全扩展要求的特点➢标准的使用方法新增基本要求云计算安全扩展要求部分(原GB/T22239.2),作为安全通用要求(原GB/T22239.1)在云计算安全领域的补充对云计算系统应用基本要求时应同时使用安全通用要求部分和云计算安全扩展要求部分的相关要求涵盖IaaS、PaaS、SaaS三种服务模式既对云服务商和云平台提出了要求,也对云租户和租户系统提出了要求附录中给出了不同服务模式下安全管理责任主体,方便标准使用者应用与自身角色相关的要求。举例:某云租户的云上业务系统采用IaaS模式部署在公有云上,在进行安全建设整改时,应首先根据安全通用要求做好保护,还应根据云计算安全扩展要求中有关云租户的要求做好云安全方面的保护。某云服务商的云平台系统在进行