網(wǎng)絡(luò)安全法第二十一條規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，等保2.0將云平臺(tái)和云上信息系統(tǒng)納入了等級(jí)保護(hù)的范圍。云上重要信息系統(tǒng)都應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求履行網(wǎng)絡(luò)安全法的法律義務(wù)，開(kāi)展等級(jí)測(cè)評(píng)工作。云上信息系統(tǒng)過(guò)等保要注意什么，你知道嗎？為幫助云上信息系統(tǒng)順利通過(guò)等保測(cè)評(píng)，我們就云租戶要關(guān)注的內(nèi)容和事項(xiàng)進(jìn)行了全面梳理，希望給云租戶在選擇云平臺(tái)和開(kāi)展云上信息系統(tǒng)等保工作時(shí)提供指導(dǎo)。

1

云計(jì)算的服務(wù)模式

  云計(jì)算的服務(wù)模型主要有三種：IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）和SaaS（Software as a Service），美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST為它們做的定義如下：

    SaaS模式：為用戶提供在云架構(gòu)上運(yùn)行的應(yīng)用的服務(wù)。用戶可以從多種多樣的瘦客戶端[1]經(jīng)由瘦客戶端接口對(duì)應(yīng)用進(jìn)行訪問(wèn)。用戶不需要管理或控制底層的云架構(gòu)（包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)，以及個(gè)別的應(yīng)用能力），只需要關(guān)心與需求有關(guān)的需客戶特別設(shè)定的應(yīng)用配置；

    PaaS模式：為用戶提供將應(yīng)用部署在云架構(gòu)上的服務(wù)，而創(chuàng)建這些應(yīng)用的編程語(yǔ)言和工具必須得到服務(wù)提供商的支持。這些應(yīng)用可以是用戶自己創(chuàng)建的，也可能是從別處獲取的。用戶不需要管理或控制底層的云架構(gòu)（包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)），但是他們需要對(duì)部署的應(yīng)用進(jìn)行控制，還有可能要針對(duì)應(yīng)用進(jìn)行環(huán)境配置；

    IaaS模式：為用戶提供處理、存儲(chǔ)、網(wǎng)絡(luò)以及其它基礎(chǔ)計(jì)算資源的服務(wù)，用戶可以在其上部署和運(yùn)行包括操作系統(tǒng)和應(yīng)用在內(nèi)的任何軟件。用戶不需要管理或控制底層的云架構(gòu)，但是他們需要控制操作系統(tǒng)、存儲(chǔ)資源以及被部署的應(yīng)用，還有可能要對(duì)某些網(wǎng)絡(luò)部件（例如主機(jī)防火墻）進(jìn)行有限的控制。 

   由于在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對(duì)計(jì)算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界。而目前云上信息系統(tǒng)大多采用IAAS模式，我們就IAAS模式下的云租戶要關(guān)注的內(nèi)容和事項(xiàng)進(jìn)行介紹。

2

云上信息系統(tǒng)等保2.0的定級(jí)和備案

定級(jí)：在云計(jì)算環(huán)境中，將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí)，云租戶側(cè)的等級(jí)保護(hù)對(duì)象作為單獨(dú)的定級(jí)對(duì)象定級(jí)。

備案：云租戶負(fù)責(zé)對(duì)云平臺(tái)上承載的租戶信息系統(tǒng)進(jìn)行定級(jí)備案，備案地為工商注冊(cè)或?qū)嶋H經(jīng)營(yíng)所在地。

3

云上信息系統(tǒng)等保云租戶要關(guān)注的層面和組件

    下表為IAAS模式下云服務(wù)商與租戶的責(zé)任劃分，標(biāo)紅部分為云租戶要關(guān)注的層面和組件：

4

等保云租戶選擇云平臺(tái)時(shí)的注意事項(xiàng)

（一）選擇云平臺(tái)服務(wù)商的基本條件

1、應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)。

2、在選擇云平臺(tái)服務(wù)商時(shí)應(yīng)選擇已通過(guò)相應(yīng)級(jí)別或高于自己應(yīng)用系統(tǒng)級(jí)別等級(jí)測(cè)評(píng)的云平臺(tái)服務(wù)商，并要求云平臺(tái)服務(wù)商提供通過(guò)相應(yīng)級(jí)別等級(jí)測(cè)評(píng)的證明材料（備案表和測(cè)評(píng)報(bào)告結(jié)論頁(yè)）。

3、云平臺(tái)服務(wù)商具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力；并提供開(kāi)放接口或開(kāi)放性安全服務(wù)，允許甲方接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù)；

（二）與云平臺(tái)服務(wù)商簽訂合同、服務(wù)水平協(xié)議和保密協(xié)議

1、與云平臺(tái)服務(wù)商簽訂服務(wù)合同時(shí)應(yīng)注意：

a)合同中應(yīng)明確其云平臺(tái)具有與所承載的業(yè)務(wù)應(yīng)用系統(tǒng)相應(yīng)或高于的安全保護(hù)能力。

b)合同中應(yīng)明確雙方安全責(zé)任。云平臺(tái)能實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離。

c)合同中應(yīng)明確甲方的網(wǎng)絡(luò)與其它云服務(wù)客戶虛擬網(wǎng)絡(luò)之間進(jìn)行隔離，甲方虛擬機(jī)使用獨(dú)占的內(nèi)存空間。

d)合同中明確甲方系統(tǒng)的審計(jì)數(shù)據(jù)隔離存放。

e)合同中明確如甲方需刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí)，云計(jì)算平臺(tái)需確保云存儲(chǔ)中所有副本被刪除。

f)合同中應(yīng)明確如甲方需將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺(tái)和本地系統(tǒng)，云計(jì)算平臺(tái)方需提供技術(shù)手段，并協(xié)助完成遷移過(guò)程。

g)合同中明確云平臺(tái)服務(wù)商要確保存儲(chǔ)服務(wù)中甲方數(shù)據(jù)存在若干個(gè)可用的副本，各副本之間的內(nèi)容保持一致。

h)合同中明確云平臺(tái)服務(wù)商具有根據(jù)甲方業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力；并提供開(kāi)放接口或開(kāi)放性安全服務(wù)，允許甲方接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù)。

i)合同中明確云平臺(tái)服務(wù)商具有根據(jù)甲方業(yè)務(wù)需求自主設(shè)置安全策略集的能力，包括定義訪問(wèn)路徑、選擇安全組件、配置安全策略。

j)合同中明確云平臺(tái)服務(wù)商應(yīng)保證甲方業(yè)務(wù)流量與云計(jì)算平臺(tái)管理流量分離。

k)合同中明確甲乙雙方要根據(jù)各自的職責(zé)劃分，收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)各自的集中審計(jì)；實(shí)現(xiàn)各自控制部分，包括虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測(cè)。

l)合同中明確只有在甲方授權(quán)下，云平臺(tái)服務(wù)商或第三方才具有甲方數(shù)據(jù)的管理權(quán)限。

2、與云平臺(tái)服務(wù)商簽訂服務(wù)水平協(xié)議時(shí)應(yīng)注意：

a)服務(wù)水平協(xié)議應(yīng)規(guī)定云服務(wù)的各項(xiàng)服務(wù)內(nèi)容和具體指標(biāo)、服務(wù)期限、雙方簽字或蓋章等。

b)服務(wù)水平協(xié)議中應(yīng)規(guī)定云服務(wù)商的權(quán)限與責(zé)任，包括管理范圍、職責(zé)劃分、訪問(wèn)授權(quán)、隱私保護(hù)、行為準(zhǔn)則、違約責(zé)任等；

c)服務(wù)水平協(xié)議中應(yīng)規(guī)定服務(wù)合約到期時(shí)，完整地返還云服務(wù)客戶信息，并承諾相關(guān)信息在云計(jì)算平臺(tái)上清除；

3、與云平臺(tái)服務(wù)商簽訂保密協(xié)議時(shí)應(yīng)注意：

a) 保密協(xié)議中應(yīng)要求其不得泄露云服務(wù)客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的相關(guān)重要信息；

b) 應(yīng)要求云平臺(tái)服務(wù)商對(duì)可能接觸到自己應(yīng)用系統(tǒng)數(shù)據(jù)的員工進(jìn)行背景調(diào)查，并簽署保密協(xié)議。

5

等保2.0云租戶等級(jí)測(cè)評(píng)和測(cè)評(píng)打分

    云上系統(tǒng)由于已經(jīng)由云平臺(tái)服務(wù)商提供基本物理環(huán)境和網(wǎng)絡(luò)環(huán)境，根據(jù)IAAS模式下云服務(wù)商與租戶的責(zé)任劃分，故云上信息系統(tǒng)的測(cè)評(píng)層面主要包括網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全建設(shè)管理、安全運(yùn)維管理五個(gè)層面。測(cè)評(píng)對(duì)象包括網(wǎng)絡(luò)安全措施、主機(jī)（操作系統(tǒng)、數(shù)據(jù)庫(kù)）、應(yīng)用（應(yīng)用軟件、中間件）、數(shù)據(jù)、管理等。測(cè)評(píng)方法主要為訪談、檢查、測(cè)試，測(cè)評(píng)重點(diǎn)為遠(yuǎn)程工具測(cè)試和滲透測(cè)試。

    云上系統(tǒng)的報(bào)告打分與傳統(tǒng)打分方法不一樣，在對(duì)云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)測(cè)評(píng)時(shí)打分不需要與云計(jì)算平臺(tái)結(jié)果共同計(jì)算，但要將云平臺(tái)測(cè)評(píng)得分放在最終得分一欄，如云上信息系統(tǒng)的得分為80分，云計(jì)算平臺(tái)的得分為90分，則云租戶云上信息系統(tǒng)的等級(jí)測(cè)評(píng)報(bào)告得分為（80，90）。

6

等保2.0云上信息系統(tǒng)應(yīng)達(dá)到的重點(diǎn)要求

云上系統(tǒng)等級(jí)測(cè)評(píng)重點(diǎn)要求如下：

（一）網(wǎng)絡(luò)和通信安全方面

1、邊界防護(hù)：購(gòu)買(mǎi)云平臺(tái)的虛擬防火墻進(jìn)行邊界防護(hù)。

2、訪問(wèn)控制：購(gòu)買(mǎi)云平臺(tái)的虛擬防火墻，與云平臺(tái)上其它系統(tǒng)進(jìn)行了隔離，如系統(tǒng)中有多臺(tái)虛擬機(jī)要進(jìn)行通信，設(shè)置不同虛擬機(jī)之間的訪問(wèn)控制策略。

3、入侵防范：購(gòu)買(mǎi)云平臺(tái)的防入侵模塊或其它防入侵措施，如可用性要求高購(gòu)買(mǎi)抗DDOS模塊。

4、安全審計(jì)：開(kāi)啟安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件日志，設(shè)置日志服務(wù)器對(duì)設(shè)備日志進(jìn)行統(tǒng)一收集（或購(gòu)買(mǎi)云平臺(tái)的日志收集存儲(chǔ)和審計(jì)服務(wù)），至少保存半年。

5、集中監(jiān)控：對(duì)虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測(cè)。

（二）設(shè)備和計(jì)算安全方面（針對(duì)安全措施、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等）

1、身份鑒別

1）設(shè)置用戶名口令：對(duì)操作系統(tǒng)設(shè)置用戶名和密碼。

2）啟用密碼復(fù)雜度策略：登錄口令應(yīng)由數(shù)字、字母、特殊字符三種中的兩種或兩種以上構(gòu)成，長(zhǎng)度不得小于8位，至少每季度更換一次。

3）雙因子鑒別：采用兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用動(dòng)態(tài)口令、密碼技術(shù)或生物技術(shù)來(lái)實(shí)現(xiàn)。

4）遠(yuǎn)程管理加密：windows更改遠(yuǎn)程桌面端口，開(kāi)啟SSL加密遠(yuǎn)程登錄。linux關(guān)閉telnet服務(wù)，使用SSH登錄。

5）登錄失敗處理：應(yīng)帳戶鎖定策略，建設(shè)設(shè)定登錄失敗次數(shù)5次將鎖定30分鐘；

2、訪問(wèn)控制

1）權(quán)限分離：應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；

2）配置訪問(wèn)控制策略：應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)； 

3）嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限：重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；

4）及時(shí)刪除多余的、過(guò)期的帳戶：避免共享帳戶的存在。

3、安全審計(jì)

1）啟用審計(jì)功能：開(kāi)啟審計(jì)策略，審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。

2）審計(jì)記錄備份：對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，審計(jì)記錄的留存時(shí)間至少保存半年，避免受到未預(yù)期的刪除、修改或覆蓋等。

4、入侵防范

1）最小安裝：操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

2）及時(shí)修補(bǔ)漏洞：能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。

3）入侵檢測(cè)：安裝入侵檢測(cè)/防御軟件，能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

4）終端登錄地址限制： 通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。

5、惡意代碼防范

安裝防病毒軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；或采取其它免受惡意代碼攻擊的技術(shù)措施或可信驗(yàn)證機(jī)制。

除以上要求外，中間件還需重點(diǎn)考慮以下要求：

1）網(wǎng)站目錄除SYSTEM用戶和administrators組有完全控制權(quán)限外，其余用戶和組都只應(yīng)設(shè)置為讀取和執(zhí)行權(quán)限。

2）網(wǎng)站上傳目錄和數(shù)據(jù)庫(kù)目錄一般需要分配“寫(xiě)入”權(quán)限，但一定不要分配執(zhí)行權(quán)限（原則：目錄有寫(xiě)入權(quán)限，一定不要分配執(zhí)行權(quán)限；目錄有執(zhí)行權(quán)限，一定不要分配寫(xiě)入權(quán)限）

3）沒(méi)有地址訪問(wèn)限制需求或有地址訪問(wèn)限制需求，對(duì)訪問(wèn)web的IP地址進(jìn)行了限制（重點(diǎn)：網(wǎng)站配置文件web.config、網(wǎng)站后臺(tái)目錄、數(shù)據(jù)庫(kù)文件存放、審計(jì)日志文件目錄）

（二）應(yīng)用和數(shù)據(jù)安全方面（針對(duì)應(yīng)用程序和數(shù)據(jù)）

1、應(yīng)用軟件

需保證應(yīng)用軟件具備以下安全功能且注重代碼安全開(kāi)發(fā)，進(jìn)行安全測(cè)試確保不存在代碼安全漏洞。

應(yīng)具備的安全功能如下：

2、數(shù)據(jù)備份

應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份；重要數(shù)據(jù)實(shí)時(shí)備份。

    （注：以上為以三級(jí)為例的重點(diǎn)要求，滿足以上要求并不能代表能滿足等級(jí)保護(hù)三級(jí)要求的所有條款。）