隨著一系列等級保護新標準的順利發(fā)布，網(wǎng)絡(luò)安全等級保護也進入到2.0時代。作為新增的等級保護對象，云計算平臺/系統(tǒng)新增安全要求如何？有哪些地方值得重點關(guān)注？

今天來為您一一解讀。

一、云安全挑戰(zhàn)

云計算平臺作為信息化建設(shè)中的重要系統(tǒng)，具備開放型巨系統(tǒng)的特征，系統(tǒng)組成極為復雜。由此決定著云計算平臺將面臨著各個層面的網(wǎng)絡(luò)安全挑戰(zhàn)。

首先，是來自網(wǎng)絡(luò)和通訊的安全挑戰(zhàn)。這類攻擊是借助網(wǎng)絡(luò)、通訊特性如帶寬、傳輸會話、數(shù)據(jù)包轉(zhuǎn)發(fā)等實施的攻擊。例如，直接通過網(wǎng)絡(luò)實施DDOS攻擊，通過網(wǎng)絡(luò)使用不安全接口實施注入、盜取秘鑰、非法獲取敏感數(shù)據(jù)、非法篡改數(shù)據(jù)攻擊，通過網(wǎng)絡(luò)實施賬戶劫持以及通過網(wǎng)絡(luò)傳輸?shù)腁PT類攻擊等。

其次，是面向設(shè)備和計算的安全挑戰(zhàn)。攻擊者利用云計算設(shè)備和平臺性能優(yōu)勢或固有特性實施直接或間接的攻擊，如：身份驗證和憑證被盜取、云計算存儲資源數(shù)據(jù)殘留、存在漏洞的基礎(chǔ)服務資源被共享使用、云服務被濫用于其他網(wǎng)絡(luò)攻擊等。

第三，是面向應用和數(shù)據(jù)的安全挑戰(zhàn)。應用的目的是處理數(shù)據(jù)，云計算軟件漏洞、不安全接口、數(shù)據(jù)庫存儲不受控、黑客攻擊、員工處理數(shù)據(jù)的異常操作、未被授權(quán)的訪問等可造成數(shù)據(jù)泄露、數(shù)據(jù)異常銷毀、數(shù)據(jù)永久丟失等重大損失。

第四，是來自管理、運維的安全挑戰(zhàn)。在云計算管理層面，缺乏盡職調(diào)查、數(shù)據(jù)所有權(quán)缺乏保障體系；在運維層面，存在云使用方或云租戶對云計算服務方過度依賴，甚至被云計算服務方鎖定、惡意越權(quán)訪問、濫用職權(quán)以及誤操作等，存在信息安全隱患的管理和運維，這些對云計算平臺的安全穩(wěn)定帶來巨大風險和隱患。

二、云等保要求總覽

在政府積極引導和企業(yè)戰(zhàn)略布局等推動下，經(jīng)過近十余年的發(fā)展，云計算已逐漸被市場認可和接受，政務、金融、運營商和工業(yè)等多個行業(yè)的信息系統(tǒng)已經(jīng)運行在云端。相對于傳統(tǒng)信息系統(tǒng)，云計算平臺/系統(tǒng)如何進行等級保護非常受關(guān)注。新等級保護標準的發(fā)布，明確了云計算平臺/系統(tǒng)作為等級保護對象的具體要求，指導云計算平臺/系統(tǒng)的安全建設(shè)。

新標準中對于云計算平臺/系統(tǒng)的等級保護，仍然根據(jù)“一個中心，三重防護”體系框架，提出了具體的技術(shù)要求，以及包含云服務商選擇、供應鏈管理和云計算環(huán)境管理等方面的管理要求。云計算平臺/系統(tǒng)的安全建設(shè)或安全整改，需同時根據(jù)安全通用要求和安全擴展要求，構(gòu)建具有相應等級安全防護能力的安全防御體系。

注：安全管理制度、安全管理機構(gòu)和安全管理人員，云計算平臺/系統(tǒng)無單獨安全擴展要求。

三、云等保組織架構(gòu)

云計算等級保護的施行由兩部分組成，一部分是組織，另外一部分是施行邏輯。就組織而言，云計算等級保護有完善的指導、規(guī)劃、試測、建設(shè)、驗證、審計和持續(xù)優(yōu)化流程組織形式和流程。

等級保護實施流程

四、云等保框架

云計算等級保護是整個等保2.0的一部分，它與等級保護的“通用”部分形成一個整體，來約束云計算平臺的等級保護建設(shè)，為云計算平臺網(wǎng)絡(luò)安全建設(shè)設(shè)立基線。云計算等級保護框架按照系統(tǒng)組成來劃分，大致可分為面向整個云計算平臺的防護要求和面向云計算負載的防護要求。

云計算安全等級保護是等級保護框架的一部分

云計算系統(tǒng)分級需要綜合等級保護中的安全通用要求和云計算安全兩個模塊的內(nèi)容，進行定級。云計算等級保護的每個等級依據(jù)威脅對目標造成的影響程度，形成有梯度的防護。這些要求被整體劃分為技術(shù)要求和管理要求，分別面向云計算平臺系統(tǒng)和云計算平臺管理兩個部分。以三級等保建設(shè)為例，其技術(shù)要求160多項、管理要求120多項。

對于云計算平臺/系統(tǒng)的等級保護，我們以第三級要求說明有哪些應該重點關(guān)注。

五、抓住重點

1.責任共擔要求

云計算平臺/系統(tǒng)通常由設(shè)施、硬件、資源抽象控制、虛擬化計算資源、軟件平臺和應用軟件等組成。根據(jù)不同服務模式（IaaS、PaaS和SaaS），云服務商和云服務客戶擁有不同控制范圍，其安全責任邊界不同；云服務商和云服務客戶應根據(jù)各自安全責任，進行安全防護能力建設(shè)?，F(xiàn)實情況是云服務客戶通常認為安全防護應該由云服務商實現(xiàn)，只需把業(yè)務系統(tǒng)遷移至云端即可，這需要引導云服務客戶關(guān)注等級保護，并采取相應安全防護，與云服務商一起共同保護云計算平臺/系統(tǒng)。

2.安全通信網(wǎng)絡(luò)要求

解讀：

根據(jù)控制范圍，云計算定級對象可分為云服務商控制部分（如云計算平臺）和云服務客戶控制部分（如業(yè)務應用系統(tǒng)），應分別進行定級，且云服務商控制部分比云服務客戶控制部分高，云服務商的測評可以被復用。在進行安全建設(shè)時，云服務商應該為云服務客戶提供安全產(chǎn)品或服務，然而云計算平臺/系統(tǒng)，尤其是私有云部署方式下，僅提供基礎(chǔ)的安全能力，并不能滿足等級保護要求。這就需要云服務商能夠提供第三方安全產(chǎn)品/服務或允許客戶接入第三方安全產(chǎn)品或服務，并且云服務客戶可以自主設(shè)置安全策略。

3.安全區(qū)域邊界

解讀：

相較于傳統(tǒng)信息系統(tǒng)，云計算平臺/系統(tǒng)新增了一些組件，如宿主機、虛擬機和虛擬化網(wǎng)絡(luò)等。所以在做安全區(qū)域邊界設(shè)計時，除了關(guān)注物理區(qū)域邊界和物理網(wǎng)絡(luò)節(jié)點外，還應該關(guān)注虛擬化網(wǎng)絡(luò)邊界和虛擬網(wǎng)絡(luò)節(jié)點，以及虛擬機與物理機、虛擬機與虛擬機間網(wǎng)絡(luò)流量，一方面做好物理網(wǎng)絡(luò)的訪問控制和入侵防范等，另一方面利用云計算平臺/系統(tǒng)的安全能力或第三方安全產(chǎn)品/服務，做好虛擬區(qū)域邊界的訪問控制和入侵防范等。

安徽靈狐科技作為等級保護專業(yè)服務提供商，專注您的線上云等保，詳情請咨詢400電話，一站式解決方案。