今天,互聯(lián)網(wǎng)發(fā)展“一日千里”。無論是底層的IT基礎(chǔ)設(shè)施和新技術(shù),還是我們每天使用的互聯(lián)網(wǎng)應(yīng)用,變化快速發(fā)生,變革日新月異。與此同時,網(wǎng)絡(luò)安全日益重要。但是,一直以來,我國在網(wǎng)絡(luò)安全方面主要依據(jù)的是,2007年和2008年頒布實施的《信息安全等級保護(hù)管理辦法》和《信息安全等級保護(hù)基本要求》。這兩部法規(guī)被稱為等保1.0。
但是,等保1.0”不僅缺乏對一些新技術(shù)和新應(yīng)用的等級保護(hù)規(guī)范,比如云計算、大數(shù)據(jù)和物聯(lián)網(wǎng)等,而且風(fēng)險評估、安全監(jiān)測和通報預(yù)警等工作以及政策、標(biāo)準(zhǔn)、測評、技術(shù)和服務(wù)等體系不完善。
為適應(yīng)新技術(shù)的發(fā)展,解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護(hù)工作的需要,由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報國家標(biāo)準(zhǔn)的工作,等級保護(hù)正式進(jìn)入2.0時代。
目前,等保2.0已經(jīng)正式發(fā)布,12月1日開始實施。天極網(wǎng)記者獲得最新等保2.0文件,將為大家一一解讀等保2.0的規(guī)范。具體說來,等保2.0新標(biāo)準(zhǔn)分成了五個部分,分別是安全通用要求、云計算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。
在《全面解讀“等保2.0”系列(一):第一級安全通用要求》文中,天極網(wǎng)記者為大家解讀了第一級安全通用要求的標(biāo)準(zhǔn)詳情。
現(xiàn)在,我們來說說云計算方面的安全擴(kuò)展要求。同樣,每一級安全擴(kuò)展要求都分為五個部分,即安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全建設(shè)管理。
我們注意到,在安全物理環(huán)境中,等保2.0強(qiáng)調(diào)“保證云計算基礎(chǔ)設(shè)施位于中國境內(nèi)”,同時“確保云服務(wù)客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi)”。
從這兩條規(guī)定,我們看到云計算基礎(chǔ)設(shè)施和數(shù)據(jù)不能出境。隨著國內(nèi)數(shù)字經(jīng)濟(jì)的發(fā)展和云計算的深入推進(jìn),云計算基礎(chǔ)設(shè)施將得到進(jìn)一步發(fā)展。對國內(nèi)數(shù)據(jù)中心而言,這也是一個利好消息。
我們重點(diǎn)來看第三級和第四級云計算安全擴(kuò)展要求。據(jù)悉,香港免備案主機(jī),第三級系統(tǒng)大概有5萬個,第四級系統(tǒng)量級較大,比如支付寶、銀行總行系統(tǒng)、國家電網(wǎng)系統(tǒng)等。因此,相對應(yīng)的第三級和第四級云計算安全擴(kuò)展要求規(guī)定更加詳細(xì)具體,影響也更大。
一、安全通信方面
在第三級云計算安全擴(kuò)展要求的安全通信網(wǎng)絡(luò)方面,增加了兩條:一是應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力,包括定義訪問路徑、選擇安全組件、配置安全策略;二是提供開發(fā)接口或開放性安全服務(wù),允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云計算平臺選擇第三方安全服務(wù)。
這第二條很重要,有利于解決云服務(wù)商安全服務(wù)的鎖定能力,賦予云服務(wù)客戶更大的自主選擇權(quán)。這也意味著,如果一家公司使用A云計算平臺,還可以在使用A的同時使用B云服務(wù)商的安全產(chǎn)品或服務(wù)。
第四級的要求中,則增加了“對虛擬資源的主體和客體設(shè)置安全標(biāo)記的能力”和“提供通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等的數(shù)據(jù)交換方式”。更重要的是,第四級云計算安全擴(kuò)展要求增加了很關(guān)鍵的一條:為第四級業(yè)務(wù)應(yīng)用系統(tǒng)劃分獨(dú)立的資源池。
二、安全區(qū)域邊界
從第二級到第四級,安全區(qū)域邊界的要求變化不大,主要是在入侵防范中增加了“應(yīng)在檢測到網(wǎng)絡(luò)攻擊行為、異常流量情況時進(jìn)行告警”。
如果整體來看,安全區(qū)域邊界引入了“訪問控制”機(jī)制,即在虛擬化網(wǎng)絡(luò)邊界、不同等級的網(wǎng)絡(luò)安全區(qū)域設(shè)置訪問控制規(guī)則,讓不同的人做自己范圍內(nèi)的事。
三、安全計算環(huán)境
大致看,整個安全計算環(huán)境以數(shù)據(jù)為核心,涵蓋數(shù)據(jù)管控、數(shù)據(jù)安全、數(shù)據(jù)備份等,條目還是很細(xì)致明確的。
它分為五個部分,即訪問控制、鏡像和快照保護(hù)、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份恢復(fù)和剩余信息保護(hù)。
第三級和第四級中,增加了身份鑒別板塊,即“當(dāng)遠(yuǎn)程管理云計算平臺中設(shè)備時,管理終端和云計算平臺之間應(yīng)建立雙向身份驗證機(jī)制”。這一條的增加,有利于大大提高云和終端設(shè)備連接的安全性。
同樣,第三級和第四級增加了入侵防范板塊,對虛擬機(jī)的安全進(jìn)行著重強(qiáng)調(diào),包括虛擬機(jī)資源隔離、虛擬機(jī)重啟和惡意代碼感染等。
整個重點(diǎn)是在數(shù)據(jù)和信息保護(hù)方面。第三級和第四級強(qiáng)調(diào),云服務(wù)器,云服務(wù)客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi),并且只有在客戶授權(quán)下,云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限。規(guī)定也強(qiáng)調(diào),在虛擬機(jī)遷移時,要保證數(shù)據(jù)的完整性,并在檢測到完整性受到破壞時,采取必要的恢復(fù)措施。
