今天��,互聯網發展“一日千里”�����。無論是底層的IT基礎設施和新技術����,還是我們每天使用的互聯網應用�����,變化快速發生�,變革日新月異�����。與此同時�,網絡安全日益重要�。但是����,一直以來����,我國在網絡安全方面主要依據的是���,2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》�。這兩部法規被稱為等保1.0�。
但是�,等保1.0”不僅缺乏對一些新技術和新應用的等級保護規范�,比如云計算�����、大數據和物聯網等���,而且風險評估���、安全監測和通報預警等工作以及政策��、標準����、測評����、技術和服務等體系不完善�。
為適應新技術的發展�,解決云計算��、物聯網��、移動互聯和工控領域信息系統的等級保護工作的需要�����,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作��,等級保護正式進入2.0時代�。
目前�,等保2.0已經正式發布����,12月1日開始實施��。天極網記者獲得最新等保2.0文件���,將為大家一一解讀等保2.0的規范����。具體說來��,等保2.0新標準分成了五個部分�,分別是安全通用要求��、云計算安全擴展要求�����、移動互聯安全擴展要求�、物聯網安全擴展要求和工業控制系統安全擴展要求����。
在《全面解讀“等保2.0”系列(一):第一級安全通用要求》文中�����,天極網記者為大家解讀了第一級安全通用要求的標準詳情�。
現在��,我們來說說云計算方面的安全擴展要求��。同樣��,每一級安全擴展要求都分為五個部分�,即安全物理環境���、安全通信網絡���、安全區域邊界��、安全計算環境和安全建設管理�。
我們注意到��,在安全物理環境中����,等保2.0強調“保證云計算基礎設施位于中國境內”�����,同時“確保云服務客戶數據��、用戶個人信息等存儲于中國境內”�。
從這兩條規定����,我們看到云計算基礎設施和數據不能出境�����。隨著國內數字經濟的發展和云計算的深入推進�,云計算基礎設施將得到進一步發展����。對國內數據中心而言����,這也是一個利好消息���。
我們重點來看第三級和第四級云計算安全擴展要求���。據悉����,第三級系統大概有5萬個����,第四級系統量級較大�,比如支付寶��、銀行總行系統��、國家電網系統等����。因此���,相對應的第三級和第四級云計算安全擴展要求規定更加詳細具體�,影響也更大�����。
一���、安全通信方面
在第三級云計算安全擴展要求的安全通信網絡方面�����,增加了兩條:一是應具有根據云服務客戶業務需求自主設置安全策略的能力�����,包括定義訪問路徑�、選擇安全組件���、配置安全策略;二是提供開發接口或開放性安全服務����,允許云服務客戶接入第三方安全產品或在云計算平臺選擇第三方安全服務����。
這第二條很重要��,有利于解決云服務商安全服務的鎖定能力�,賦予云服務客戶更大的自主選擇權�。這也意味著�,如果一家公司使用A云計算平臺�,還可以在使用A的同時使用B云服務商的安全產品或服務���。
第四級的要求中���,則增加了“對虛擬資源的主體和客體設置安全標記的能力”和“提供通信協議轉換或通信協議隔離等的數據交換方式”�����。更重要的是��,第四級云計算安全擴展要求增加了很關鍵的一條:為第四級業務應用系統劃分獨立的資源池�。
二����、安全區域邊界
從第二級到第四級�����,安全區域邊界的要求變化不大�����,主要是在入侵防范中增加了“應在檢測到網絡攻擊行為����、異常流量情況時進行告警”�。
如果整體來看���,安全區域邊界引入了“訪問控制”機制����,即在虛擬化網絡邊界�����、不同等級的網絡安全區域設置訪問控制規則����,讓不同的人做自己范圍內的事��。
三��、安全計算環境
大致看���,整個安全計算環境以數據為核心��,涵蓋數據管控���、數據安全���、數據備份等�,條目還是很細致明確的���。
它分為五個部分�����,即訪問控制���、鏡像和快照保護��、數據完整性和保密性���、數據備份恢復和剩余信息保護��。
第三級和第四級中����,增加了身份鑒別板塊����,即“當遠程管理云計算平臺中設備時����,管理終端和云計算平臺之間應建立雙向身份驗證機制”�����。這一條的增加�����,有利于大大提高云和終端設備連接的安全性�����。
同樣�,第三級和第四級增加了入侵防范板塊�����,對虛擬機的安全進行著重強調�,包括虛擬機資源隔離��、虛擬機重啟和惡意代碼感染等����。
整個重點是在數據和信息保護方面��。第三級和第四級強調�����,云服務客戶數據����、用戶個人信息等存儲于中國境內��,并且只有在客戶授權下��,云服務商或第三方才具有云服務客戶數據的管理權限��。規定也強調����, 在虛擬機遷移時����,要保證數據的完整性��,并在檢測到完整性受到破壞時�,采取必要的恢復措施�����。
數據備份�����、恢復和刪除方面���,云服務客戶業務數據本地保存必不可少�����,并且云服務商還需要有保證數據有副本存儲���,并且支持客戶業務系統遷移��。規定也強調�,“保證虛擬機所使用的內存和存儲空間回收時得到完全清除”和“云服務客戶刪除業務應用數據時���,云計算平臺應將云存儲中所有副本刪除”����。
四�����、安全建設管理
這一部分���,分為云服務商選擇和供應鏈管理����。在云服務商方面���,規定明確要求“安全合規”�����,并且云計算平臺為其承載的業務應用系統提供相應等級的安全保護能力���。
并且�����,一旦服務��,應該規定各項服務內容和具體技術指標����,包括管理范圍���、職責劃分���、訪問授權�����、隱私保護���、行為準則和違約責任等���。
此外��,規定要求:應與選定的云服務商簽署保密協議����,要求其不得泄露云服務客戶數據�����。 |
