8-云等保标准研读及测评方法简介

云等保标准研读及测评方法简介

---武器vs. 战术

公安部信息安全等级保护评估中心

张振峰，2016年12月12日

●等保大作战：武器& 战术

武器：基本要求测评要求……

战术：管理办法实施指南……

●云等保战役：武器要升级要补充战术要升级要补充

●云等保的武器：系列标准的《云计算安全扩展要求》

新修订的《定级指南》……

●云等保战术：……

一、云等保的定位

二、关于武器（标准）

三、关于战术（测评方法）

1）如何理解《云计算安全扩展要求》与《安全通用要求》之间的关系2）云等保模型

3）测评依据不同

4）测评指标选取的不同

5）现场测评的方法不同

6）得分计算方法不同

7）报告分发的范围

8）云平台的嵌套问题

云等保的定位

•云等保不是新鲜的事物，而是在原等保框架下的新事物的扩展，因此云等保各环节应与传统等保相同，包括定级、备案、建设整改、测评、监督检查等。

•等保框架下新增加的元素需要对原有等级保护相关工作的具体内容进行扩充并统一。

关于武器

信息安全技术网络安全等级保护基本要求

云计算安全扩展要求

（GB／T22239.2）

●确保云计算服务器、承载云租户账户信息、鉴别信息、系统信息及运行关键业务和数据的物理设备均位于中国境内；-> 确保云计算基础设施位于中国境内; 数据保密性从二级开始加入“确保云租户账户信息、鉴别信息、系统信息存储于中国境内”;

●美国国家信息与标准技术研究所（NIST ）在其云定义中也明确指出：云客户通常不必知晓和控制资源的确切物理位置，但应能够在一个更高的抽象层次上（比如说国家、州或者数据中心）指定资源位置。

物理安全

●云计算基础设施、云管理平台（云操作系统，Hypervisor ）的组件自身安全应遵循《安全通用要求》；●登录云管理平台（Hypervisor ）等的管理用户进行相应等级的身份鉴别，确保云平台运维管理员和云服务管理员权限分离；

●当进行远程管理时，管理终端和云计算平台边界设备之间应建立双向身份验证机制。

平台安全

●应保证云平台管理流量与云租户业务流量分离；●禁止虚拟实例直接访问宿主机上的物理硬件；●不同虚拟机之间的虚拟CPU 指令隔离；●应保证分配给虚拟机的内存空间仅供其独占访问；资源隔离

●应根据承载的业务系统安全保护等级划分资源池，并实现资源池之间的隔离；-> 应根据云租户业务系统的重安全等级划分网络安全区域并设置区域间访问控制规则; 应对虚拟机逃逸行为进行检测和告警;

●应保证虚拟机仅能迁移至相同安全保护等级的资源池。资源隔离

●依据访问控制策略实现虚拟机之间访问；

●实现云平台管理用户权限分离机制，为网络管理员、系统管理员建立不同账户并分配相应的权限；●确保只有在云租户授权下，云服务方或第三方才具有云租户数据的管理权限；

●云计算平台应提供开放接口或开放性安全服务，允许云租户接入第三方安全产品或在云平台选择第三方安全服务。

访问控制

●应为安全审计数据的汇集提供接口，可供第三方审计；●应根据云服务方和云租户的职责划分实现各自控制部分的集中审计；●应保证云服务方对云租户系统和数据的操作可被云租户审计；●应可以监控到所有虚拟机之间、虚拟机与宿主机之间的通信

流量。

审计与监控

●应提供查询云租户数据及备份存储位置的方式；

●应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统；●确保虚拟机迁移过程中的完整性保护和信息防泄漏；

●对虚拟机镜像文件进行完整性保护和更新，检测到非授权修改；●对虚拟机快照文件进行保密性保护。

数据安全

●应根据业务系统的安全保护等级选择能够提供相应安全等级保护能力的云服务商；●应以书面方式约定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；●对云用户数据的访问和操作必须经过数据属主的授权，保留

相关记录；签订服务水平协议SLA 和签订隐私保护协议，并可向第三方提供相关证明。

安全管理

关于战术

云计算系统的测评方法

已经明确与传统系统等保相同的内容:

测评的工作流程没有变化、调研、编制测评方案、选择测评依据和测评指标、现场测评、整理安全问题和建议、给出测评报告等。

1）如何理解《云计算安全扩展要求》与《安全通用要求》之间的关系

《云计算安全扩展要求》是《安全通用要求》在云计算领域的补充，它们共同作用形成某一个特定云计算系统的完整的保护措施，不论这个云计算系统是云计算平台的还是云租户业务应用系统。

我们可以把这个完整的保护措施看成一个平面的拼图，《云计算安全扩展要求》和《安全通用要求》中的每条要求项都是这个拼图上的一片，无论这条要求是云计算平台实现的，还是云租户业务系统实现的，只有当他们的投影形成完整的一个平面（完整的保护措施）时，才是真正落实了安全保护要求。

2）云等保模型

SP 800-146 GB/T 31168

：2014

ISO/IEC17789-2014

云计算层次框架

云计算典型模型云计算模式与控制范围

⏹运维服务系统

⏹业务运营系统

⏹安全系统

⏹集成

⏹开发

⏹运维服务系统⏹业务运营系统⏹安全系统

⏹集成

⏹开发

应用及数据保护

中间件层保护

客户虚拟机层保护

硬件及虚拟化层保护

想象矩形内有各种不同形状的拼图碎片，每种形状对应一种特定的保护对象的安全需求（风险），并且每个特定形状的碎片都具有偏振功能，能且仅能允许一个特定频率的光通过。

假设《安全通用要求》与《扩展要求》是一束由200种不同频率的光组成的光束，每个特定频率代表《安全通用要求》或《扩展要求》中的一个要求项，那么光束照射这个拼图后形成的投影就是被保护的部分，投影越完整，代表保护措施越完备。