返回
8-云等保标准研读及测评方法简介

8-云等保标准研读及测评方法简介

ID:38666103

大小:1.17 MB

页数:37页

时间:2019-06-17

8-云等保标准研读及测评方法简介_第1页
8-云等保标准研读及测评方法简介_第2页
8-云等保标准研读及测评方法简介_第3页
8-云等保标准研读及测评方法简介_第4页
8-云等保标准研读及测评方法简介_第5页
资源描述:

《8-云等保标准研读及测评方法简介》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、云等保标准研读及测评方法简介---武器vs.战术公安部信息安全等级保护评估中心张振峰,2016年12月12日等保大作战:武器&战术武器:基本要求测评要求……战术:管理办法实施指南……云等保战役:武器要升级要补充战术要升级要补充云等保的武器:系列标准的《云计算安全扩展要求》新修订的《定级指南》……云等保战术:……一、云等保的定位二、关于武器(标准)三、关于战术(测评方法)1)如何理解《云计算安全扩展要求》与《安全通用要求》之间的关系2)云等保模型3)测评依据不同4)测评指标选取的不同5)现场测评

2、的方法不同6)得分计算方法不同7)报告分发的范围8)云平台的嵌套问题云等保的定位•云等保不是新鲜的事物,而是在原等保框架下的新事物的扩展,因此云等保各环节应与传统等保相同,包括定级、备案、建设整改、测评、监督检查等。•等保框架下新增加的元素需要对原有等级保护相关工作的具体内容进行扩充并统一。关于武器信息安全技术网络安全等级保护基本要求云计算安全扩展要求(GB/T22239.2)确保云计算服务器、承载云租户账户信息、鉴别信息、系统信息及运行关键业务和数据的物理设备均位于中国境内;->物确保云计算基础设

3、施位于中国境内;理数据保密性从二级开始加入“确保云租户账户信息、鉴别安信息、系统信息存储于中国境内”;全美国国家信息与标准技术研究所(NIST)在其云定义中也明确指出:云客户通常不必知晓和控制资源的确切物理位置,但应能够在一个更高的抽象层次上(比如说国家、州或者数据中心)指定资源位置。云计算基础设施、云管理平台(云操作系统,Hypervisor)的组件自身安全应遵循《安全通用要求》;平登录云管理平台(Hypervisor)等的管理用户进行相应等台级的身份鉴别,确保云平台运维管理员和云服务管理员权

4、限安分离;全当进行远程管理时,管理终端和云计算平台边界设备之间应建立双向身份验证机制。应保证云平台管理流量与云租户业务流量分离;禁止虚拟实例直接访问宿主机上的物理硬件;资不同虚拟机之间的虚拟CPU指令隔离;源应保证分配给虚拟机的内存空间仅供其独占访问;隔离应根据承载的业务系统安全保护等级划分资源池,并实现资源池之间的隔离;->资应根据云租户业务系统的重安全等级划分网络安全区域并源设置区域间访问控制规则;隔应对虚拟机逃逸行为进行检测和告警;离应保证虚拟机仅能迁移至相同安全保护等级的资源池

5、。依据访问控制策略实现虚拟机之间访问;实现云平台管理用户权限分离机制,为网络管理员、系统管访理员建立不同账户并分配相应的权限;问确保只有在云租户授权下,云服务方或第三方才具有云租户控数据的管理权限;制云计算平台应提供开放接口或开放性安全服务,允许云租户接入第三方安全产品或在云平台选择第三方安全服务。应为安全审计数据的汇集提供接口,可供第三方审计;审应根据云服务方和云租户的职责划分实现各自控制部分的集计中审计;与应保证云服务方对云租户系统和数据的操作可被云租户审计;监应可以监控到所有虚拟机

6、之间、虚拟机与宿主机之间的通信控流量。应提供查询云租户数据及备份存储位置的方式;数应保证云租户业务及数据能移植到其他云平台或者迁移到本地据信息系统;安确保虚拟机迁移过程中的完整性保护和信息防泄漏;全对虚拟机镜像文件进行完整性保护和更新,检测到非授权修改;对虚拟机快照文件进行保密性保护。应根据业务系统的安全保护等级选择能够提供相应安全等级保护能力的云服务商;安应以书面方式约定云服务商的权限与责任,包括管理范围、全职责划分、访问授权、隐私保护、行为准则、违约责任等;管对云用户数据的访问和操作

7、必须经过数据属主的授权,保留理相关记录;签订服务水平协议SLA和签订隐私保护协议,并可向第三方提供相关证明。关于战术云计算系统的测评方法已经明确与传统系统等保相同的内容:测评的工作流程没有变化、调研、编制测评方案、选择测评依据和测评指标、现场测评、整理安全问题和建议、给出测评报告等。1)如何理解《云计算安全扩展要求》与《安全通用要求》之间的关系《云计算安全扩展要求》是《安全通用要求》在云计算领域的补充,它们共同作用形成某一个特定云计算系统的完整的保护措施,不论这个云计算系统是云计算平台的还是云租户业务应

8、用系统。我们可以把这个完整的保护措施看成一个平面的拼图,《云计算安全扩展要求》和《安全通用要求》中的每条要求项都是这个拼图上的一片,无论这条要求是云计算平台实现的,还是云租户业务系统实现的,只有当他们的投影形成完整的一个平面(完整的保护措施)时,才是真正落实了安全保护要求。2)云等保模型云计算典型模型SP800ISO/IEC17789-2014-146云计算层次框架运维服务系统GB/T31168业务运营系统安全系统集成:2014开

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。