伴随着《网络安全法》出台,等级保护制度上升到法律层面。在此背景下孕育出来等保2.0相比之前的等保要求,在等级保护的对象、保护的内容、保护的体系都大不相同。
当然,云等保不是新鲜的事物,而是在原等保框架下的扩展要求。云等保的各环节与传统等保相同,包括定级、备案、建设整改、测评、监督检查等,因此只需要对原有等级保护相关工作的具体内容进行扩充并统一。
传统信息系统的网络架构伴随业务变化而变化,系统各组件功能与硬件紧耦合,在安全防护上强调分区域和纵深防御。直观上来说,就像铁路局各管一段,信息系统通常以物理网络或者安全设备为边界进行划分。
但是,云计算系统网络架构是扁平化的,业务应用系统与硬件平台松耦合,犹如航空运输。如果信息系统的划分,单纯的以物理网络或安全设备为边界进行划分,将无法体现出业务应用系统的逻辑关系,更无法保证业务信息的安全和系统服务的安全,这就犹如以机场划分各航空公司一样不适用。
云计算系统边界划分
云计算系统边界划分基本场景包括两个类型:
第一类场景:存在业务应用不独占硬件物理资源或硬件物理资源上运行的基础服务系统是所有业务应用公用的情况,这时定级系统的边界应划在虚拟边界处,这个虚拟边界就是运行业务应用所用到的最底层独占虚拟资源,通常是虚拟机。如下图所示:
在上图场景中有3个业务应用,通过对业务应用的梳理,业务应用1单独成为一个定级系统,业务应用2和业务应用3组成另一个定级系统。这两个定级系统共用底层服务,因此我们把底层服务连同硬件一起作为一个定级系统C,即云计算平台。定级系统A和定级系统B就是云平台上承载的业务应用系统。
第二类场景:业务应用对应的系统模块存在相对独立的底层服务和硬件资源,因此可以将整个系统边界划分到硬件物理设备,从而确定两个定级系统,如下图所示。如果这个场景对应的是对外提供服务的云计算系统,那么定级系统A就是一个使用了云计算技术的应用系统,而顶级系统B是另一个使用了云计算技术的应用系统。同理,我们依然可以在定级系统B上嵌套场景1,此时定级系统B这个云计算平台就会承载更多的业务应用系统。
云等保责任共担与定级
在对云计算系统进行测评时应同时满足安全通用要求和云计算安全扩展要求部分的相关要求。在这个过程中根据云上系统的责任分担不同,要对安全通用要求和云计算安全扩展要求做拆分,云服务商和云服务客户针对应要求采取对应安全保护措施。
这时我们要考虑几方面因素,首先要确定被测系统是云计算平台还是业务应用系统。其次,确定被测系统使用哪种服务模式,以此来确定保护责任。
在确定了服务商和客户各自保护责任之后,在定级过程中需要注意以下4点:
1、云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。
2、国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三极。
3、在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。
4、对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
云等保的备案方法
传统企业IT基础设施、运维地点、工商注册地基本一致,备案地明确。但是,云计算系统基础设施通常遍布多地,与运维地点和工商注册地不完全一致,存在备案地点不明确的问题。
云服务提供商负责将云计算平台的定级结果向所辖公安机关进行备案,备案地应为运维管理端所在地。云租户负责对云平台上承载的租户信息系统进行定级备案,备案地为工商注册或实际经营所在地。
云等保的建设整改
云等保的建设整改/测评对象与传统信息系统建设整改/测评对象大不相同,如下表所示。云计算系统保护对象中增加了虚拟化、云管理平台、镜像文件等云计算独有内容。
云平台在安全建设中,强调安全能力集成,包括统一身份认证、统一用户授权、统一账户管理、统一安全审计等。在平台内部强调通讯加密与认证、动态监测预警、快速应急响应能力建设、安全产品合规等。
云计算系统测评打分
在对云计算系统测评打分时,业务系统打分是不需要与云计算平台的得分结果共同计算,只需将业务系统可测评项进行打分后计算即可,不可测项做“N/A”处理。
那么是否完全不考虑云平台的得分结果呢?显然不是,在做业务系统测评前首要看的就是云计算平台是否完成等级测评,然后索要云平台测评报告结论盖章页。在出具云服务客户业务应用系统报告时,将云平台测评得分一并放在最终得分一栏。如:云服务客户业务应用系统测评得分为85分,云计算平台得分为90分,则云服务客户业务应用系统等级测评报告得分栏填写“(85,90)”。
此外,需要特别注意:
1、在对云租户测评时,如果云平台本身未测评,则无法对云租户系统进行测评。
2、对云租户系统测评打分时,不但要考虑云租户系统自身得分,还应关注云平台得分,云平台得分高低将影响租户系统得分。