2.3云计算安全等级保护.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.3 云计算安全等级保护
01 等级保护实施流程
2.定级方法 《信息系统安全等级保护基本要求》(GB/T 22239-2008)将信息系统作为保护对象,按照信息系 统的重要程度分为五个保护级别,信息系统的重要程度又由两个定级要素、三类侵害客体、三种 侵害程度决定。 (1)两个定级要素 信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体 造成侵害的程度。 (2)三类侵害客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面:公民、法人和其他组织的合法权益; 社会秩序、公共利益;国家安全。 (3)三种侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害 后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:造成一般损害;造成严重损害; 造成特别严重损害。 (4)五级安全保护等级
3.测评过程 安全等保测评工作由具有测评资质、并由国家信息安全等级保护工作协调小组办公室推荐的测评 机构展开。测评过程一般包含测评准备、方案编制、现场测评、分析与报告编制等四个步骤。
测评过程
具体内容
测评准备
测评机构启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息, 掌握被测系统的大体情况;准备测评工具和表单等测评所需的相关资料,为编制测评方 案打下良好的基础。
• 《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》 (GA/T 1390.2-2017)
2.3 云计算安全等级保护
01 等级保护实施流程
系统定级
等级评审
定级备案
评估和整改 建设
等级测评
监督检查
• 等保过程中涉及的几个要点: • 等保原则 • 定级方法 • 测评过程
2.3 云计算安全等级保护
分析与 报告编制
测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结 果,并进行整体测评和风险分析,形成等级测评结论,并编制测评报告。
2.3 云计算安全等级保护
01 等级保护实施流程
2.3 云计算安全等级保护
02 云计算安全测评
1.定级对象 针对云计算平台开展等级测评工作 首先需要明确定级对象。《信息系 统安全等级保护定级指南》 (GB/T222240-2008,以下简称 《定级指南》)中明确表明作为定 级对象的信息系统应具有唯一确定 的安全责任单位,承载单一或相对 独立的业务应用。云计算环境下, 信息系统业务涉及到双方甚至多方 安全主体,所以针对云计算平台的 特殊性,应采用“双向”定级方法
2.3 云计算安全等级保护
01 等级保护实施流程
2.定级方法 (4)五级安全保护等级
受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
对客体的侵害程度
一般损害
严重损害 特别严重损害
第一级
第二级
第二级
第二级
第三级
第四级
第三级
第四级
第五级
2.3 云计算安全等级保护
01 等级保护实施流程
2.3 云计算安全等级保护
01 等级保护
• 信息安全等级保护是保障信息安全与信息化建设相协调的重要手段,重点保障 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的 安全。在经历了制定准则、规范和标准、强化制度、基础调研、组织试点、快 速推进的历程后,等级保护制度已经在全国各地贯彻执行,有力保障了信息系 统安全。
01 等级保护实施流程
1.等级保护的基本原则 信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安 全等级保护实施过程中应遵循以下基本原则。 (1)自主保护原则 信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护 等级,自行组织实施安全保护。 (2)重点保护原则 根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的 安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。 (3)同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安 全设施,保障信息安全与信息化建设相适应。 (4)动态调整原则 要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化 及其他原因,安全保护等级需要变Βιβλιοθήκη Baidu的,应当根据等级保护的管理规范和技术标准的要求,重新 确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
管理方面
系统建设管理
系统运维管理
原有测评指标
新增 测评指标
新增 测评内容
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷 击、防火、防水和防潮、防静电、温湿度控制、电力供应、 电磁防护
物理位置的选择
(1)云服务商负责确定云平台的安 全保护能力等级。云平台服务商根据自 身的安全建设能力、安全服务能力以及 安全控制措施实现情况,委托独立的第 三方测评机构开展并通过等级测评,确 定提供的服务模式以及云平台安全级别, 该级别为安全保护能力等级。
(2)用户根据数据和业务的重要程 度,参照《定级指南》明确业务系统安 全级别,该级别为业务系统的重要性安 全等级。
原则上,云服务商不能向高于云平台 安全保护能力等级的业务系统提供服务, 反之,用户不应该选择低于自身业务系 统安全级别的云平台承载业务或处理数 据。
2.3 云计算安全等级保护
02 云计算安全测评
测评层面划分
物理安全
网络安全
技术方面
主机安全
应用安全
数据安全及备份恢复 安全管理制度 安全管理机构
人员安全管理
方案编制
测评机构确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施 内容,并从已有的测评实施手册中选择本次需要用到的测评实施手册,没有测评实施手 册的应开发相应的测评实施手册,最后根据上述情况编制测评方案。
现场测评
测评机构首先应与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人 员,商定测评时间、地点等细节,开展现场测评,完成测评实施手册各项测评内容,获 取足够的测评证据。