今天,互聯網(wang)(wang)發展“一日千(qian)里”。無論是底層的(de)IT基礎設施(s������hi)和(he)新技術,還是我(wo)們每天使用(yong)的(de)互聯網(wang)(wang)應用(yong),變化快速發生,變革日新月異。與此同(tong)時,網(wang)(wang)絡安(an)(an)全(quan)(quan)日益重要。但是,一直(zhi)以來,我(wo)國在網(wang)(wang)絡安(an)(an)全(quan)(quan)方面主要依據的(de)是,2007年和(he)2008年頒布實施(shi)的(de)《信息安(an)(an)全(quan)(quan)等(deng)級保護管(guan)理辦(ban)法》和(he)《信息安(an)(an)全(quan)(quan)等(deng)級保護基本(ben)要求》。這兩部法規被稱為等(deng)保1.0。
但是(shi),等保1.��������0”不僅缺(que)乏對一(yi)些新����技術(shu)(shu)和新應用的等級(ji)保護規范,比(bi)如云(yun)計算、大數據和物聯網等,而且風險評(ping)(ping)估、安(an)全(quan)監測(ce)和通報(bao)預警等工作以及政策、標(biao)準、測(ce)評(ping)(ping)、技術(shu)(shu)和服務等體系(xi)不完善。
為(wei)適應新技術的(de)發展,解決(jue)云計算、物聯(lian)網(wang)、移動互聯(lian)和工(gong)(gong)控領(ling)域信息系統的(de)等級保(bao)護(hu)工(gong)(gong)作的(de)需(xu)要,由公(gong)安部牽(qian)頭組織(zhi)������開展了信息技術新領(ling)域等級保(bao)護(hu)重點標準申報國家標準的(de)工(gong)(gong)作,等級保(bao)護(������hu)正(zheng)式(shi)進(jin)入(ru)2.0時代。
目(mu)前,等(deng)保(b����ao)(bao)2.0已經正式發布,12月1日(ri)開始(shi)實施。天(tian)極(ji)網記者獲得最(zui)新(xin)(xin)等(deng)保(bao)(bao)2.0文件,將為大(da)家一一解讀等(deng)保(bao)(bao)2.0的規(gui)范。具體說來,等(deng)保(bao)(bao)2.0新(xin)(xin)標(biao)準分(fen)成(cheng)了五個部分(fen),分(fen)別是安(an)全(quan)通(tong)用(yong)要(yao)求、云計算安(an)全(quan)擴(kuo)展要(yao)求、移動互聯安(an)全(quan)擴(kuo)展要(yao)求、物聯網安(an)全(quan)擴(kuo)展要(yao)求和工(gong)業(ye)控制(zhi)系統安(an)全(quan)擴(kuo)展要(yao)求。
在《全面解(jie)讀“等保2.0”系列(一):第一級(ji)(ji)安全通用要求》文�������(w��������en)中,天極網記者為(wei)大家解(jie)讀了(le)第一級(ji)(ji)安全通用要求的標準詳情。
現在,我們來說(shuo)說(shuo)云(yun)計(ji)算方面的安(an)(an)(an)全(quan)擴展要求。同(tong)樣,每一(yi)級安(an)(an)(an)全(quan)擴展要求都������分(fen)(fen)為五(wu)個(ge)部(bu)分(fen)(fen),即安(an)(an)(an)全(quan)物理(li)環(huan)境(jing)、安(an)(an)(an)全(quan)通信網絡、安(an)(an)(an)全(quan)區域邊(bian)界、安(an)(an)(an)全(quan)計(ji)算環(huan)境(jing)和安(an)(an)(an)全(quan)建(jian)設管理(li)。
我們注意到,在安全物(wu)理(li)環(huan)境(jing)中(zhong)(zhong),等(deng)保(bao)2.0強調(diao)“保(bao)證云計算(suan)基礎設施位�������于中(zhong)(zhong)國境(jing)內(nei)(nei)”,同時“確保(bao)云服(fu)務客(ke)戶數據、用(yong)戶個人(re�����n)信息等(deng)存(cun)儲于中(zhong)(zhong)國境(jing)內(nei)(nei)”。
&nb�����sp; 從這(zhe)兩條(tiao)規定,我(wo)們(men)看到云(yun)(yun)計(ji)(ji)算基礎設施和數(shu)據不能出境。隨著國(guo)內數(shu)字經(jing)������濟的發展和云(yun)(yun)計(ji)(ji)算的深入推進(jin),云(yun)(yun)計(ji)(ji)算基礎設施將得(de)到進(jin)一步(bu)發展。對國(guo)內數(shu)據中心(xin)而言,這(zhe)也是一個利(li)好消息。
我們重(zhong)點來看第(di)三級和(he)(he)第(di)四(si)級云計算(suan)安全擴(kuo)展(zhan)要(yao)求(qiu)。據悉(xi),第(di)三級系統大(da������)概有(you)5萬個(ge),第(di)四(si)級系統量(liang)級較大(da),比如支付寶、銀行(xing)總行(xing)系統、國家電網系統等。因此,相對應的第(di)三級和(he)(he)第(di)四(si)級云計算(suan)安全擴(kuo)展(zhan)要(yao)求(qiu)規(gui)定(ding)更(geng)加(jia)詳細具體,影響也(ye)更(geng)大(da)。
一、安全通信方面
在第(di)三(san)級(ji)云計(ji)算(suan)安(an)(an)(an)全(quan)(quan)擴展(zhan)要求的(de)安(an)(an)(an)全(quan)(quan)通信網絡方面(mian),增加了兩條:一(yi)是(shi)應具有根(gen)據云服務(wu)客戶業務(wu)需求自主設置(zhi)安(an)(an)(an)全(quan)(quan)策略的(de)能力,包(bao)括定(ding)義訪問路徑、選擇(ze)(ze)安(an)(an)(an)全(quan)(quan)組件、配置(zhi)安(an)(an)(an)全(quan)(quan)策略;二是(shi)提供開(kai)發接口(kou)或(huo)開(kai)放性(xing)安(an)(an)(an)全(quan)(quan)服務(wu),允許云服務(wu�������)客戶接入第(di)三(san)方安(an)(an)(an)全(quan)(quan)產品或(huo)在云計(ji)算(suan)平臺(tai)選擇(ze)(ze)第(di)三(san)方安(an)(an)(an)全(quan)(quan)服務(wu)。
這(z������he)第二條很重要,有(you)利于解決云服(fu)務(wu)商安(an)全服(fu)務(wu)的(de)鎖定(ding)能力,賦予云服(fu)務(wu)客戶(h��������u)更大(da)的(de)自主選擇(ze)權。這(zhe)也(ye)意味著,如果一家(jia)公司使用A云計算(suan)平臺,還可(ke)以(yi)在使用A的(de)同時使用B云服(fu)務(wu)商的(de)安(an)全產品或(huo)服(fu)務(wu)。
第(di)四級的(de)(de)要(yao)求(qiu)中,則增(zeng)加(jia)了(le)“對虛擬資源的(de)(de)主體和客體設置安全標(biao)記的(de)(de)能力”和“提供(gong)通信(xin)協議(yi)轉換(huan)(huan)或通信(xin)協議(yi)隔離(li)等(deng)的(de)(de)數據交換(huan)(huan)方式(shi)”。更重要(yao)的(de)(de)是,第(di)四級云計算安全擴(kuo)展要(yao)求(qiu)增(zeng)加(jia)了(le)很關(guan)鍵(jian)������的(de)(de)一條(tiao):為第(di)四級業務(wu)應用系(xi)統劃(hua)分獨立的(de)(de)資源池。
二、安全(quan)區(qu)域邊界
從第二級到(dao)(dao)第四級,安(an)全區域邊界的(�������de)要求������變化(hua)不大,主(zhu)要是在入侵防(fang)范(fan)中增加了“應在檢測到(dao)(dao)網絡(luo)攻擊行(xing)(xing)為、異常流量情況時(shi)進行(xing)(xing)告(gao)警”。
如(ru)果整體來看,安全區(qu)(qu)域(yu)邊界(jie)引入了(le)“訪問控(kong)制(zhi)”機制(zhi),即(ji)在虛(xu)擬化網絡邊界(jie)、不(bu)同等(deng)級的網絡安全�������區(qu)(qu)域(yu)設置訪問控(kong)制(zhi)規則,讓不(bu)同的人(ren)做自己(ji)范圍內的事。
三、安全計算環境
&nb�����sp; 大(da)致看,整個安全(quan)計算(suan)環境以數據為核心,涵蓋數據管(guan)控、數據安全(����quan)、數據備份等(deng),條目還是很細致明確的。
它分為五(wu)個(ge)部分,即訪問(wen)控制(zhi)、鏡像和(he)(he)快照(zhao)保(bao)護、數(shu)據完整性(xing)和(he)(he)保(b��������ao)密性(xing)、數(shu)據備份恢復(fu)和(he)(he)剩余信(xin)息保(bao)護。
第三(san)級和(he)第四(si)級中,增加(jia)了身份鑒別板塊,即“當遠程管理云(yun)(yun)計算(suan)平(ping)臺中設(she)備時,管理終端和(he)云(yun)(yun)計算(suan)平(ping)臺之間應建立雙向身份驗(yan)證機制”。這一(yi)條(tiao)的增加(jia),有利于大(da)大(da)提高云(yun)(yun)和(he)終端設(she)備連(l��������ian)接的安(an)全性(xing)。
同樣,第三級和第四����級增加了入(ru)侵防范板塊,對虛擬機(ji)的(de)安(an)全進行著(zhu)重強(qiang)������調,包括虛擬機(ji)資源隔離(li)、虛擬機(ji)重啟(qi)和惡(e)意代碼感(gan)染等。
&�����nbsp; 整個(ge)重點是在(zai)數(shu)據(ju)(ju)(ju)(ju)和信(xin)息保護方面。第(di)(di)(di)三級(ji)和第(di)(di)(di)四級(ji)強調,云(yun)服務(wu)客(ke)戶(hu)數(shu)據(ju)(ju)(ju)(ju)、用戶(hu)個(ge)人(ren)信(xin)息等存(cun)儲(chu)于中國境內(nei),并且只有在(zai)客(ke)戶(hu)授權(quan)(quan)下,云(yun)服務(wu)商(shang)或第(di)(di)(di)三方才具有云(yun)服務(wu)客(ke)戶(hu)數(shu)據(ju)(ju)(ju)(ju)的(de)管理權(quan)(quan)限。規定也強調, 在(zai)虛擬機遷移時,要保證數(shu)據(ju)(ju)(ju)(ju)的(de)完整性(xing),并在(zai)檢測到完整性(xing)受到破壞時,采取必要的(de)恢(hui)復措�������施。
數據備份、恢(hui)復(fu)和刪除方面(mian),云服(fu)務(wu������)(wu)客戶業(ye)務(wu)(wu)數據本地保存(cun)(cun)(cun)必(bi)不可少,并且云服(fu)務(wu)(wu)商還需(xu)要(yao)有保證數據有副本存(cun)(cun)(cun)儲(chu),并且支持客戶業(ye)務(wu)(wu)系統遷(qian)移。規(gui)定也強調,“保證�����虛擬機所(suo)使用的內存(cun)(cun)(cun)和存(cun)(cun)(cun)儲(chu)空間回收時得到完全(quan)清除”和“云服(fu)務(wu)(wu)客戶刪除業(ye)務(wu)(wu)應(ying)用數據時,云計算(suan)平臺應(ying)將(jiang)云存(cun)(cun)(cun)儲(chu)中所(suo)有副本刪除”。
四(si)、安全建設管(guan)理
這一部分,分為云服務(wu)商選擇(ze)和(he)供應(ying)鏈(lian)管理(li)。在(zai)云服務(wu)商方面,規定明確要求(qiu)&ldquo������;安全合規”,并且云計算平臺(tai)為其承(cheng)載(zai)的業(ye)務(wu)應(ying)用(yong)系統提供�����相應(ying)等級的安全保護能力(li)。
并且(qie),一旦(dan)服務,應該規(gui)定各項服務內(nei)容(rong)和(������he)具體技������(ji)術指標,包括管理范圍、職責(ze)劃分、訪問授權、隱私保(bao)護、行為準(zhun)則和(he)違約責(ze)任等。
&�����nbsp; 此����(ci)外,規定(ding)要求:應與選定(ding)的云服(fu)(fu)務(wu)商簽(qian)署保(bao)密協議,要求其不得泄露云服(fu)(fu)務(wu)客戶數據。 |
