老板小四合|香港九龙传真-4(手写版)
 
2018-02-02

基本要求云計算安全擴展要求標準應用實踐

 

11月17-18日,在杭州舉辦的第七屆全國網絡安全等級保護測評體系建設會議取得圓滿成功。與往年不同,本次會議會期從一天增加到兩天,邀請了多位專家就等級保護標準解讀、新技術新應用測評實踐指導、等級測評工作經驗交流、測評業務規范化管理等方面進行了深入交流和探討,在業內獲得了良好反響,與會人士普遍評價此次會議干貨滿滿。目前,有不少業內人士通過各個渠道向我們索取會議資料,應大家的需要,接下來我們會將專家的演講內容陸續通過本號發出,與更多的業內人士分享。

基本要求云計算安全擴展要求標準應用實踐

01

系列標準變化

GB/T 22239-2008進行修訂的思路和方法是針對無線移動接入、云計算、大數據、物聯網和工業控制系統等新技術、新應用領域形成基本要求的多個部分。

基本要求標準由原來的單一部分變更為由多個部分組成的標準,包括:安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求、大數據安全擴展要求(待立項)。

所以說《基本要求》已經從原來的單一部分標準進化為“1+N”的多部分標準,“1”代表安全通用要求,也就是說這部分要求是所有等級保護對象都要滿足的最基本的部分,是存在共性的要求,無論是傳統信息系統還是云計算系統、工業控制系統、物聯網系統等等,都要先依據安全通用要求中的內容實施安全保護。“N”代表專有領域。也就是說專有領域內的等級保護對象所特有的安全控制要求分別在后面的這幾個分冊中。為什么不直接寫“1+6”呢?因為隨著新技術新應用領域的不斷發展,未來可能在其他領域形成專有系統,如果時機成熟,《基本要求》系列標準將繼續針對這些新興領域進行擴充,比如我們可以腦洞一下,最近火到不行的AI,是不是有可能針對人工智能領域出一個分冊呢?要知道AI的安全不亞于前面這些領域,我們可以腦補,沒有了AI系統的安全基線要求,說不定“天網”真的會啟動呢。

 

02

 與安全通用要求的關系

既然本部分標準作為《基本要求》系列標準在云計算安全領域的擴展,那云計算安全擴展要求與安全通用要求之間一定存在著密不可分的關系。

舉個例子,在物理位置選擇這個控制點上,對應第一級,云計算安全擴展要求較安全通用要求是增加的,意味著在安全通用要求中第一級沒有對物理位置選擇提出要求,而在云計算安全擴展要求中提出了物理位置選擇的要求。我們具體看下提了什么?在第一級物理和環境安全中有一條要求“應確保云計算基礎設施位于中國境內”,而在安全通用要求的第一級要求中沒有物理位置選擇的控制點,也就是“基礎設施在中國境內”是云計算領域特有的要求。

03

 云計算系統測評實踐

(一)系統邊界劃分

我們在做等級測評時,首先面對的問題是如何合理對云計算系統進行準確劃分,只有合理的對云計算系統準確劃分、找出系統的邊界,才能通過測評判斷業務應用系統的安全防護措施是否與系統重要性等級向匹配。因此我們依然要從業務應用的角度出發來尋找系統邊界。

云計算系統邊界劃分方法與傳統信息系統邊界劃分存在不同,在介紹云計算系統邊界劃分方法之前,我們先來看看傳統信息系統的邊界劃分方法是怎樣的。

這里我們舉一個例子。

 

這是一個典型的傳統信息系統的網絡拓撲圖,有總部有分支機構,有生產網有辦公網,還有外聯區域和辦公區域。應該說作為傳統業務架構,這樣的網絡拓撲能夠很好的適應業務需要。業務到哪里網絡就鋪設到哪里。這樣的網絡架構還有一個特點,就是網絡訪問控制功能與硬件的緊耦合。因此,我們在尋找系統邊界時很容易的把負責網絡訪問控制功能的硬件作為系統的邊界。

但是到了云時代,為了適應業務快速發展變化的需要,傳統的網絡架構已經無法適應,而云計算系統的技術特點恰好滿足企業業務應用快速發展的需要,因此越來越多的系統轉移到云上。

下面我們再來看看一個典型的云計算系統架構。

 

這是一個典型云計算系統架構,基本上是一個二層架構,路由器下面接交換機,交換機下面接的全部是通用服務器。相當一部分網絡訪問控制功能是由軟件和策略實現的,不再完全依賴網絡訪問控制硬件設備。在這樣的架構中,應用系統可以快速的部署、快速迭代和快速調整。但是網絡訪問控制功能和硬件呈現松耦合狀態,我們再用傳統信息系統劃分找物理邊界的方法已經無法實現。

面對這樣的云計算系統,如果依然用傳統從物理設備的劃分上找系統邊界就容易忽略系統定級劃分的“初心”,這個“初心”是對系統的業務信息和服務的重要性等級的確定。如果僅僅從物理設備的劃分上找系統邊界,我們無法將云計算系統與其承載的業務應用的信息和服務的重要性等級相對應。

因此,在這樣的架構下尋找系統邊界,我們依然要“不忘初心”。也就是說我們要從業務應用出發,搞清楚云計算系統承載了多少個業務應用、這些業務應用使用哪些系統模塊,系統模塊彼此間依賴關系是什么、有沒有多個業務應用公共用的模塊,再往下看這些模塊有沒有相對獨立硬件資源池。只有這樣層層向下,抽絲剝繭,才能最終確定系統邊界。

云計算系統邊界劃分有兩種基本場景。

 

在場景1中,存在業務應用不獨占硬件物理資源或硬件物理資源上運行的基礎服務系統是所有業務應用公用的情況,這時定級系統的邊界應劃在虛擬邊界處,這個虛擬邊界就是運行業務應用所用到的最底層獨占虛擬資源,通常是虛擬機。在這個場景中有3個業務應用,通過對業務應用的梳理,業務應用1單獨成為一個定級系統,業務應用2和業務應用3組成另一個定級系統。這兩個定級系統公用底層服務,因此我們把底層服務連同硬件一起作為一個定級系統。當這個場景提供的是一種云計算服務時,定級系統C就是云計算平臺了,定級系統A和定級系統B就是云平臺上承載的業務應用系統。

 

在場景2中,我們依然從業務應用梳理,找到與業務應用對應的系統模塊,進一步梳理發現這些業務模塊存在相對獨立的底層服務和硬件資源,因此我們可以將整個系統邊界劃分到硬件物理設備,就像切蛋糕一樣可以一刀切到底,從而確定出兩個定級系統。如果這個場景對應的是對外提供服務的云計算系統,那么定級系統A就是一個使用了云計算技術的應用系統,而頂級系統B是另一個使用了云計算技術的應用系統。同理,我們依然可以在定級系統B上嵌套場景1的情況,那么定級系統B這個云計算平臺有可能也會承載多個業務應用系統,這里就不重復贅述了。

以上是云計算系統邊界劃分方法。云計算系統定級過程中還有幾點注意:

1.應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級,原則上應不低于其承載的等級保護對象的安全保護等級

2.國家關鍵信息基礎設施(重要云計算平臺)的安全保護等級應不低于第三級

3.在云計算環境中,應將云服務方側的云計算平臺單獨作為定級對象定級,云服務客戶側的等級保護對象也應作為單獨的定級對象定級

4.對于大型云計算平臺,應將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象

 

(二)測評指標與測評對象選擇

下面我們再來看看在應用新標準過程中如何確定測評指標和測評對象。

首先對云計算系統進行測評時應同時使用安全通用要求部分和云計算安全擴展要求部分的相關要求。不能只是用云計算安全擴展要求。

在這個過程中根據云上系統的責任分擔不同,要對安全通用要求和云計算安全擴展要求做拆分,抽取條款形成適用于云服務商和云服務客戶的安全保護需求。

 

 

這時我們要考慮幾方面因素,首先要確定被測云計算系統是云服務商的云計算平臺還是云服務客戶的業務應用系統。其次還要確定被測系統使用哪種服務模式,以此來確定保護責任。再次,我們還要根據保護責任的不同選擇不同的對象,這里面就包括云計算系統較傳統系統引入的新的測評對象類別。

舉例說明,我們現在要測一個云計算平臺,這個云計算平臺提供IaaS服務,那么根據保護責任模型,我們應該使用IaaS模式下的保護責任中對應云服務商的部分。這時我們就可以從標準中尋找使用IaaS模式下的保護責任中對應云服務商的要求條款。然后我們參考標準附錄中“云服務商與云服務客戶的責任劃分表”中給出的參考,找到潛在的安全組件,在根據標準附錄中“云計算平臺及云服務客戶業務應用系統與傳統信息系統保護對象差異表”中云計算系統保護對象舉例,確定這個提供IaaS服務的云服務平臺的測評對象。這樣,測評指標和測評對象就確定了,接下來就是編制測評方案和作業指導書。后面的測評流程與傳統系統測評是一致的。

 

 

(三)云計算系統測評報告編制

云計算系統測評報告編制與傳統系統大體一致,唯一需要注意的地方是如何處理云計算安全擴展要求。

根據云計算系統技術特點和試點經驗,我們發現云計算系統保護措施通常是以系統整體能力體現的,某一項安全措施通常需要多個系統組件共同作用,而且這些系統組件通常以軟件形式出現,貫穿整個云計算系統的各部分。因此,我們將云計算安全擴展要求作為全局要求對待,類似安全管理的要求。這些要求不落到具體某一個對象上。因此在報告結構上需要將這部分等同于全局測評,各測評項不再重復對應一個或多個測評對象。具體可參考最新版測評報告模板。

(四)報告打分

云計算系統打分方法與傳統系統一樣,需要注意的是,在對云服務客戶業務應用系統測評時打分是不需要與云計算平臺的單項得分結果共同計算,只需將云服務客戶業務應用系統側可測評項打分后帶入公式計算,云服務客戶業務應用系統側不可測項做“N/A”處理。新版測評報告打分公式是支持這種處理方式的。

那么是否完全不考慮云平臺的得分結果呢?也不是,我們在做云服務客戶業務應用系統測評前首先就要看云計算平臺是否完成等級測評,然后索要云平臺測評報告結論蓋章頁。在我們出具云服務客戶業務應用系統報告時,將云平臺測評得分一并放在最終得分一欄。如:云服務客戶業務應用系統測評得分為85分,云計算平臺得分為90分,則云服務客戶業務應用系統等級測評報告得分欄填寫“(85,90)”。

來源:公安部信息安全等級保護評估中心  張振峰

 

  • 云南省公安廳網絡安全保衛總隊 版權所有 Copyright 2009~2019
  • 云南省昆明市五華區五一路149號 郵政編碼:650021
  • 技術支持:昆明固得派信息技術有限公司
  • 建議使用 IE 5.0 以上版本瀏覽器 1024×768分辨率
  • 滇ICP備05002699號
老板小四合 最近30期七乐彩开奖号码 时时彩聊天骗局 福彩22选5特等奖 体彩31选7复式计算器 深圳七乐彩开奖结果 买15选5稳中 辽宁35选七的走势 15选5浙走势图 时时彩万位的计算方法 新时时彩倍投计算器