等级保护发展历程.pptxVIP

信息等级保护体系在云安全中的应用研发中心2012.721等保要求下的云安全等级保护标准体系云安全管理中心CloudFirm3等级保护发展历程《中华人民共和国计算机信息系统安全保护条例》（1994年 国务院147号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）网监-网安测评机构认证（100多家）测评师培训认证政策法规1994-2005等保标准体系2005-2008测评管理体系2008-2010落地实施2010--《计算机信息系统安全保护等级划分准则》GB 17859-1999《信息系统安全等级保护实施指南》 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评：《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 二级系统：5万多个三级系统：2万多个四级系统：100多个2011年三级系统增加100% 等级保护基本安全要求某级系统基本要求技术要求管理要求物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护基本级别划分等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查不同级别系统控制项的差异汇总等级保护实施流程21等保要求下的云安全等级保护标准体系云安全管理中心CloudFirm3云计算中心必须满足等级保护的政策要求云计算中心仍然是一类信息系统，需要依照其重要性不同进行分级保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。常见的二级系统举例地市政府办公自动化系统（内部使用的）地市政府政务公开网站（外部信息发布）地市政府间协同办公系统企业电子商务网站银行网站特点：与核心业务无关常见的三级系统举例省政府办公自动化系统（内部使用的）省政府政务公开系统（交互式）省政府公文交换系统企业ERP系统银行生产网特点：与业务密切相关的常见的四级系统举例国家电力调度系统（EMS)中国人民银行官方网站财政部财政支付系统交通部应急指挥调度系统银行生产系统特点：重要部门与核心业务密切相关的云计算中心的虚拟化安全虚拟化技术的大量使用，使得云计算中心的各种资源组成了一个大的虚拟化世界，在这个世界里迫切需要建立安全秩序。分租户的新运营模式要求在虚拟化网络里实现安全隔离。通过vSwitch等虚拟网络技术可以实现与物理环境相当的网络层安全隔离防护。传统安全产品虚拟化入云可以为虚拟化环境引入成熟的安全技术，从而实现四到七层的应用安全。虚拟网络隔离技术网络隔离QoS配置流量监控数据包分析安全设备虚拟化入云虚拟安全设备各类安全设备虚拟化入云，可实现与虚拟机绑定的安全防护21等保要求下的云安全等级保护标准体系CloudFirm云安全管理体系3安全产品CloudFirm安全技术安全管理CloudFirm的内涵CloudFirm设计目标及指导思想目标：作为独立体系化产品严格参照等保要求设计、开发，力求达到合规、实用的设计目标，满足等级保护二级要求。考虑等保三级的扩展性。做到等保成果的可视化。做到等保成果的持久化。暂时不考虑虚拟化问题。指导思想：贯穿云计算中心建设、整改、测评、运维全过程，全生命周期保证系统符合等保要求。CloudFirm设计依据参考规范：技术： 《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 管理： 《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 CloudFirm云安全体系架构以等保为设计指导思想为云计算中心量身订做制度规范网络安全物理安全安全巡检系统监控主机安全CloudFirm安全技术管理运维事件管理应急响应合规性检查应用安全数据安全备份恢复CloudFirm的设计思路安全管理平台：云计算中心安全基础设施（设备、安全软件、网络）的配置管理。包括对虚拟安全设备镜像的管理。安全运维平台：云计算中心的日常运维管理，对系统运行状态、异常事件等各种安全事