云服务@云服务客户落实网络安全等级保护2.0( 二 )
云计算扩张要求是针对云计算特性提出的要求 , 云服务客户将业务应用系统部署在公有云平台上 , 自然云平台需为云服务客户承担部分安全责任(如物理环境安全) , 但是绝不是全部责任 。
终极一问:部署在公有云上的业务系统如何开展等级保护工作?
01 云服务客户明确等级保护对象为云服务客户业务系统 , 明确业务系统在云上的部署模式 , 划清自己业务系统的定级边界、合理定级、备案 。
02 云服务客户明确业务系统部署云平台落实等级保护制度的情况 , 需向云服务商侧获取下列内容:
云平台等级测评报告编号;
云平台等级测评结论扩展表(云计算安全);
云平台等级测评总体评价;
云平台主要安全问题及整改建议;
云服务商主要安全问题整改情况 。
基于云平台安全合规状况 , 依据等级保护相关要求合理进行安全建设 。
03、正确开展等级测评工作 , 有效、正确的开展等级测评需明确两部分内容:测评对象、测评指标 。
测 , 测的是安全措施到位与否;
评 , 评的是安全能力是否能匹配指标;
所谓对象 , 应是等级保护对象 , 即 , 而非单一设备;
所谓指标 , 是网络安全等级保护基本要求测评项 , 是评估系统安全能力是否匹配等级保护基本要求的评价集 。
测评对象:
关于云计算测评对象的选择 , 其实是对云计算安全等级保护对象的识别 , 明确所面对平台/系统要保护或是应保护的对象 , 随着云大物移等新技术的迅速崛起 , 等级保护2.0基于“一个中心 , 三重防护”的纵深防御体系 , 着重于全方位的主动防御、动态防御、精准防护、整体防控和群防群治的安全防护体系 。
在云计算环境中 , 通信网络、区域边界、计算环境联合的三重防护共同构筑了网络安全的基础环境:通信网络侧的安全保护对象应为整个系统/平台的网络架构、网络通信环境及所有网络设备 , 区域边界侧的安全防护对象应为整个网络边界架构及所有边界安全设备;因此 , 通信网络、区域边界的保护对象是整个的系统/平台(全局性) , 而不应将其分别映射到某一单独对象 。
尽管 , 通信网络和区域边界两个安全类的任一测评项可能会映射到某一个(类)或某几个(类)设备 , 但是基于全局考虑的结果 , 而不是单个设备累积而成的 。
计算环境侧的保护对象应为整个计算环境的各计算节点 , 包括网络/安全设备 , 服务器(操作系统、数据库管理系统、中间件)、业务应用、系统管理软件及数据 。 服务器是一个类的** , 包括了操作系统、数据库管理系统、中间件 , 因此服务器应为保护对象 , 而非单独的操作系统、数据库、中间件 。
安全管理中心、安全管理类(安全管理制度、 安全管理机构、 安全管理人员、 安全建设管理、 安全运维管理)均应为全局类保护对象 。
评指标选取:
在网络安全等级保护中 , 云计算等级保护测评指标包括网络安全等级保护通用要求和云计算扩展要求 。 关于云计算扩展要求的指标 , 很郁闷为何有人会认为云扩展指标要对应到某一设备?网络安全等级保护扩展要求 , 所谓扩展要求 , 是针对云计算环境 , 在基本要求的基础上 , 基于云计算环境的特殊性 , 而对整个云计算环境而提出的要求 , 而非某单一设备 。 基于云计算安全责任分担模型 , 云扩展指标可分别映射到云服务客户侧和云计算平台侧 。
在通用要求侧 , 无论是云服务商云计算平台侧 , 还是云服务客户系统侧 , 都需从整个架构考虑其安全性 , 从整体的物理基础设施、网络架构、区域边界的防护架构 , 及整个安全计算环境和安全管理中心(包括各安全类所有指标) , 计算环境侧保护对象涉及多类设备 , 可以将计算环境侧指标抽象为设备类、数据类及业务应用类 , 数据类指标包括数据加密性、数据完整性及数据备份和恢复 , 考虑到云计算指标的唯一性 , 数据备份恢复测评项c:应提供重要数据处理系统的热冗余 , 保证系统的高可用性;应主要针对计算设备、业务应用及系统管理软件 , 而网络设备、边界设备的冗余性要求则在通信网络侧要求 。
推荐阅读
- 云祭扫代祭服务■哈尔滨:“云祭扫”“代祭服务”寄哀思
- 「科技小数据」消费信贷的客户呈现出年轻化的趋势,新消费崛起
- 「北京头条客户端」科技部:将加大对前沿技术研发的攻关和支持力度
- 【北京日报客户端】4000多家中小银行主要经营指标处在合理区间
- 『北京日报客户端』疫情影响是否会超过2008年金融危机?央行:目前还没有
- 『服务中心』河北雄安商务服务中心复工:打造高质量标志性工程
- 『人民日报客户端』35+55!持续关注!
- [央视新闻客户端]民众试行戴口罩购物,奥地利确诊病例破万
- 人民日报客户端▲非洲49国确诊新冠肺炎超6000例
- 博鳌一龄推出全新康养旅游产品 免费为海南援鄂医护人员提供服务