云安全等保防护解决方案
×××分厂×××安全生产工作履职清单及行动计划表--0202)89673 概述概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特 别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言, 2014 年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要 来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信 息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产 品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信 息安全的把控。 ·从需求层面来看, 随着愈演愈烈各种的信息泄密事件、大热的 APT 攻击等, 大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”, 尤其是新型的互联网金融、电商业务、 云计算业务等都前瞻性企业都把安全当做 市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的 云计算用户, 用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是 安全、 技术成熟度和成本, 其中首要考虑的是安全。 因为由于云服务模式的应用, 云用户的业务数据都在云端, 因此用户就担心自己的隐私数据会不会被其他人看 到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声 称的各种安全措施是否有、能否真正起作用等, 云用户不知道服务提供商提供的 云服务是否真的达到许诺的标准等担忧。 1.1.云云环环境下的等境下的等级级保保护问题护问题研究研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说, 云计算服务的合规性是安全上很重要的参考依据。 云计算服务的安全合规目前主 要有等级保护、27001、CSA 云计算联盟的相关认证。其中等级保护是一项基本 1 ×××分厂×××安全生产工作履职清单及行动计划表--0202)89673 政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计 算服务必须达到三级的要求。 1.11.1 等等级级保保护护挑挑战战 传统的等级保护标准主要面向静态的具有固定边界的系统环境。 然而,对于 云计算而言,保护对象和保护区域边界都具有动态性。因此,云计算环境下的等 级保护面临新的挑战: ·业务可控性 云计算环境下, 数据可能会在数据中心和物理主机之间移动, 导致用户无法 知道数据真实存储位置。另外,云平台引入了虚拟抽象层,其覆盖范围可以涵盖 不同区域的物理设施,传统的等级保护并没有考虑这种情况。 ·核心技术的自主可控 由于云计算中许多核心技术仍然控制在国外企业手中, 许多所谓的自主产品 也可能是对国外购买的商业产品的改良,本质就是买下了推广他人产品的权利, 随着国内云市场的不断发展,对云环境的自主可控性带来很大的挑战。 ·虚拟化安全 在云计算安全保障中, 仅仅采用传统的安全技术是不够的,虚拟化带来了新 的安全风险。当前,对云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和 保障技术测评则成为云环境等级保护的一大难题。 1.21.2 等级保护研究现状分析等级保护研究现状分析 当前, 云计算依然面临各种安全风险。 等级保护作为应对云计算安全的重要 手段,得到了人们广泛的关注。 2 ×××分厂×××安全生产工作履职清单及行动计划表--0202)89673 对于云计算环境下的等级保护建设问题, 沈昌祥提出云计算中心是特殊的信 息系统,可参照 GB/T25070-2010《信息系统安全等级保护设计技术要求》, 把云计算中心从用户网络接入、访问应用边界、计算环境和管理平台进行划分, 构建在安全管理中心支持下的可信通信网络、 可信应用边界和可信计算环境三重 安全防护框架,并按照 GB/17859 评估准则进行评估。 对于云计算安全中的等级保护要求和评测问题, 朱圣才从应用安全和系统安 全两个角度给出了云计算安全中的等级保护要求。 张京海等人设计了基于云服务 架构的等级保护要求。从 5 个层面的技术要求和 5 个层面的管理要求对传统等 级保护要求进行了扩展。 赵继军等人指出了等级保护测评中需要关注的控制项和 风险。 姜政伟等人则提出了基于等级保护的云计算安全评估模型。构建了云计算 安全评估指标体系。 上述工作表明,云计算环境下的等级保护问题得到了广泛的关注。 2. 2.云计算的等级保护建设云计算的等级保护建设方案方案阐述阐述 2.1 云业务模式的发展 云 计算已经深刻的影响到了 IT 架构、业务系统部署方式,以及服务模式。形成了 端(终端)、管(管道)、云(云端)的 IT 架构。 业务系统和数据集中部署在云端, 即云数据中心的资源池内。有利于统一的 数据安全保护和业务系统的统一部署、管理,提升 IT 资源利用率降低成本、资 源消耗。同时,移动互联网络、4G 技术的发展极大拓宽了管道的宽度,使得更 加丰富的终端接入提供了良好条件。在终端侧,对终端设备的性能、规格要求更 加宽泛, 终端类型也在不断丰富, 尤其各类移动终端使得终端用户可以更加灵活、 随时随地的享用云端各类服务。 3 ×××分厂×××安全生产工作履职清单及行动计划表--0202)89673 “端、管、云”的新型模式,可以让用户快速、弹性、按需、随时随地的获取 到 IT 资源和服务,实现 IT 即服务的转变,是重要的一次信息化变革。但这种新 型的 IT 架构,也带来了新的安全挑战和安全需求。 2.22.2 云计算安全需求云计算安全需求 ·终端侧:主要考虑用户终端的安全。采用桌面云的方式是解决云计算环境 下终端安全问题的很好的办法。终端的处理能力(包括 CPU 和硬盘)集中到云计 算资源中心,个人终端变成瘦客户端,终端本地不保存数据,保障信息安全性, 并且不提供计算能力;通过桌面云平台,给每个终端提供虚拟化的“计算机”或推 送应用的界面,每个终端所使用的资源都是共享的,计算资源动态伸缩,实现对 资源的“按需分配”的管理。 ·传输(管道):主要考虑用户侧到云端传输信息加密、用户接入的认证和授 权等安全措施。 ·云计算中心(云端):针对云计算中心区域边界、计算环境、虚拟化环境, 云计算中心综合采用身份认证、 访问控制、 入侵检测、 恶意代码防范、 安全审计、 防病毒、数据加密等多种技术和措施,实现业务应用的可用性、完整性和保密性 保护。 ·云数据安全建设,依据客户实际需求和相关安全合规标准,进行数据创建、 传输、存储、使用、共享和销毁在内的全生命周期的云环境下的数据安全设计, 以及数据安全体系建设。保障用户数据在云环境下的安全使用,保护云环境中的 数据的机密性、可用性、完整性。 2.32.3 云环境下的等保安全防护思路云环境下的等保安全防护思路 云计算从安全域的角度,可以分为安全计算域、安全网络域和安全管理域。 安全计算域是相同安全保护等级的物理主机/服务器的集合,安全网络域是由通 信网络和接入网络构成。 安全管理域是对整体云计算中安全事件收集与管控报警 的系统平台。 4 ×××分厂×××安全生产工作履职清单及行动计划表--0202)89673 云计算安全部署结构
蚂蚁文库