資源描述:
《李明-云環(huán)境下信息系統(tǒng)安全等級保護(hù)要求的探討》由會員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1����、?云環(huán)境下信息系統(tǒng)安全等級保護(hù)要求的探討公安部信息安全等級保護(hù)評估中心中關(guān)村信息安全測評聯(lián)盟(2015年7月2日)標(biāo)準(zhǔn)概況GB/T22239-201X?第一部分:信息系統(tǒng)安全等級保護(hù)基本要求?第二部分:云計(jì)算安全等級保護(hù)基本要求GB/T28448-201X?第一部分:信息系統(tǒng)安全等級保護(hù)測評要求?第二部分:云計(jì)算安全等級保護(hù)測評要求主要內(nèi)容對信息系統(tǒng)分等級實(shí)行安全保護(hù)使用的信息安全產(chǎn)品實(shí)行分等級管理發(fā)生的信息安全事件進(jìn)行分等級響應(yīng)、處置5個規(guī)定動作定級備案安全建設(shè)整改等級測評監(jiān)督檢查保護(hù)對象三要素唯一確定的安全責(zé)任單位具有信息系統(tǒng)的基本特征承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用云租戶租
2��、戶應(yīng)用A應(yīng)用B虛擬資源應(yīng)用C云平臺云服務(wù)方SAASPAASIAAS云租戶租戶應(yīng)用A應(yīng)用B虛擬資源應(yīng)用C云平臺云服務(wù)方層面云計(jì)算系統(tǒng)保護(hù)對象(測評對象)物理機(jī)房及相關(guān)設(shè)施傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和虛擬化網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)傳統(tǒng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備虛擬化網(wǎng)絡(luò)設(shè)備�、安全設(shè)備主機(jī)傳統(tǒng)主機(jī)、宿主機(jī)����、虛擬機(jī)、主機(jī)安全軟件虛擬化軟件�、虛擬機(jī)監(jiān)視器IaaS(Hypervisor/VMM)、云操作系統(tǒng)SaaS/PaaS云應(yīng)用開發(fā)框架����、中間件應(yīng)用業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)虛擬化管理數(shù)據(jù)、用戶隱私數(shù)據(jù)等云計(jì)算安全威脅?1:數(shù)據(jù)泄露6:不懷好意的內(nèi)部人員?2:數(shù)據(jù)丟失7:濫用云服務(wù)8:貿(mào)然采用云服務(wù)?3:賬戶或服務(wù)被劫持9:共享隔
3�、離問題?4:不安全的接口?5:拒絕服務(wù)攻擊平臺安全?基礎(chǔ)設(shè)施的組件自身安全應(yīng)遵循《基本要求》?登錄Hypervisor���、云管理平臺等的管理用戶進(jìn)行相應(yīng)等級身份鑒別����,確保云平臺運(yùn)維管理員和云服務(wù)管理員的權(quán)限分離?應(yīng)在網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備(或設(shè)備代理)之間建立雙向身份驗(yàn)證機(jī)制����;?應(yīng)采取必要措施防止網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備(或設(shè)備代理)之間的網(wǎng)絡(luò)通信被竊聽和嗅探。資源隔離?應(yīng)保證云平臺管理流量與云租戶業(yè)務(wù)流量分離?相同等級的系統(tǒng)共享資源池���,應(yīng)保證虛擬機(jī)僅能遷移至相同安全保護(hù)等級的資源池?禁止虛擬實(shí)例直接訪問宿主機(jī)上的物理硬件?不同虛擬機(jī)之間的虛擬CPU指令隔離?應(yīng)保證分配給虛擬
4�����、機(jī)的內(nèi)存空間僅供其獨(dú)占訪問?應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲空間回收時得到完全清除資源隔離?虛擬機(jī)間依據(jù)訪問控制策略實(shí)現(xiàn)訪問?虛擬機(jī)間的通信有認(rèn)證保護(hù)機(jī)制�����,保證每個VM有單獨(dú)的信用憑證(新建虛擬機(jī)或者下線虛擬機(jī)重新啟動時應(yīng)有認(rèn)證機(jī)制)?應(yīng)提供開放接口��,允許接入第三方安全產(chǎn)品�,實(shí)現(xiàn)云租戶的網(wǎng)絡(luò)之間、安全區(qū)域之間��、虛擬機(jī)之間的網(wǎng)絡(luò)安全防護(hù)數(shù)據(jù)安全?確保用于業(yè)務(wù)運(yùn)行和數(shù)據(jù)處理及存儲的物理設(shè)備位于中國境內(nèi)�����,提供查詢云租戶數(shù)據(jù)及備份存儲位置的方式?應(yīng)保證云租戶業(yè)務(wù)及數(shù)據(jù)能移植到其他云平臺或者遷移到本地信息系統(tǒng)?應(yīng)確保僅云租戶擁有其數(shù)據(jù)庫的最高管理權(quán)限?對虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)和更新
5��、�,檢測到非授權(quán)修改?對虛擬機(jī)快照文件進(jìn)行保密性保護(hù)?提供虛擬機(jī)遷移過程中的完整性保護(hù)和信息防泄漏審計(jì)與監(jiān)控?應(yīng)為安全審計(jì)數(shù)據(jù)的匯集提供接口,可供第三方審計(jì)?應(yīng)根據(jù)云服務(wù)方和云租戶的職責(zé)劃分實(shí)現(xiàn)各自控制部分的集中審計(jì)?應(yīng)保證云服務(wù)方對云租戶系統(tǒng)和數(shù)據(jù)的操作可被云租戶審計(jì)?應(yīng)可以監(jiān)控到所有虛擬機(jī)之間���、虛擬機(jī)與宿主機(jī)之間的通信流量管理要求?對云用戶數(shù)據(jù)的訪問和操作必須經(jīng)過數(shù)據(jù)屬主的授權(quán)�,保留相關(guān)記錄?簽訂服務(wù)水平協(xié)議SLA和簽訂隱私保護(hù)協(xié)議,并可向第三方提供相關(guān)證明����。?供應(yīng)鏈管理:文檔提供、風(fēng)險(xiǎn)分析��、措施描述��、持續(xù)監(jiān)控等管理要求?監(jiān)控管理:對通信線路��、物理資源����、主機(jī)、網(wǎng)絡(luò)設(shè)備�����、虛擬
6�、資源�����、云管理平臺和應(yīng)用軟件的運(yùn)行狀況���、網(wǎng)絡(luò)流量�、用戶行為等進(jìn)行監(jiān)測和報(bào)警?密鑰管理:密鑰僅在本地(機(jī)構(gòu)內(nèi)部)使用?開發(fā):建立安全開發(fā)流程(SDLC),保證應(yīng)用安全?謝謝����!請大家指正!
