互联网+云计算环境下教育等保建设思考.pptxVIP

互联网+云计算环境下教育等保建设思考杭州华三通信技术有限公司安全产品部总工 何平 信息安全——国家战略互联网+时代颠覆传统商业逻辑工业社会提升传统商业逻辑效率设备/用户规模（ 百万）10B+1B+100MM+10MM+1MM+大机小机PC桌面互联网移动互联网物联网+云计算+大数据教育信息系统安全威胁分析门户网站的成为黑客小子的试验田黑客技术使泛滥使得校内外接入都需要防范学籍篡改等安全威胁层出不穷数据的集中使得安全防护的要求更高数据中心云计算虚拟化的引入使传统安全防护不足教育信息系统等级保护要求跨站目录遍历网马后门SQL注入弱口令死链暗链需要重点关注的学校的信息系统学校信息系统分类分类教育信息系统安全等级保护等级校务管理类、教学科研类信息系统业务信息安全或系统服务招生就业类、综合服务类信息系统的业务信息安全或系统服务I类学校：重点建设类高等学校，如985高校和211高校等II类学校：高等学校信息系统III类高校：中小学校（含中职中专院校）信息系统云计算存在的安全问题共享技术漏洞引入的虚拟云服务不可信带来的信息多租户模式带来的数据云平台恶意使用带来的运化安全风险安全风险泄露风险营安全风险虚拟化系统的各个功能组件均存在安全问题虚拟机监控器安全虚拟机管理工具安全客户操作系统及应用安全云服务方具有超级用户权限，用户对不可信的云服务无防范手段数据存储过程中的安全问题数据使用中的安全问题数据删除与重用过程的安全问题恶意租户可通过共享资源对其他租户和云计算基础设施进行攻击租户间攻击导致的数据泄露租户共谋攻击导致的信息泄露云平台的深度开放性使攻击者选择多种途径侵入和控制云平台云计算资源滥用，DDoS 攻击云计算为非法行为提供技术基础傀儡机傀儡机傀儡机傀儡机傀儡机VMVMVMVMVM云计算的安全问题，不容忽视云计算化管理导致网络边界模糊物理网络边界的消失，使得传统物理安全设备无处安身计算资源和网络完全虚拟化和分布式，使租户网络的物理边界消失，因此传统物理安全设备也就无法找到部署的位置。大量的租户，不同的安全需求，给安全管理带来巨大挑战租户的数量越多，安全需求就越多种多样，如果数据中心管理员对每个租户的安全业务都需要维护管理，工作量无法想象。第一分册 信息安全技术信息系统安全等级保护 基本要求第二分册 信息安全技术信息系统安全等级保护 云计算安全技术要求第三分册 信息安全技术信息系统安全等级保护 物联网安全技术要求第四分册 信息安全技术信息系统安全等级保护 移动互联安全技术要求第五分册 信息安全技术信息系统安全等级保护 工业控制安全技术要求云计算等级保护最新要求规范（2015年7月）云计算等级保护基本要求— 云平台定级原则云计算信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，云计算信息系统的由低到高划分为五级。定级对象有两种，分别是云租户信息系统、云平台。 针对教育云平台的定级，建议遵循以下原则： 、 例如：为第二级信息系统提供服务的云平台，其安全保护等级应定为第二级；为第三级信息系统提供服务的云平台，其安全保护等级应定为第三级云平台的安全保护等级由云平台所承载信息系统的安全保护等级决定， 根据相应级别进行建设，邀请第三方评估机构进行安全等级保护测评，通过等级保护测评后，再提供云服务云平台对外提供服务之前，应先进行云平台定级，教育云安全等保规划食品安全云交通云政务云商务云地市云地市云安全风险评估安全标准规范遵从安全策略制定控制措施选择资产评估硬件设施业务系统数据资产威胁来源分析纵向专网政务外网互联网服务风险分析IaaSPaaSSaaS网信办《关于加强党政部门云计算服务网络安全管理的意见》公安部《信息系统安全等级保护测评要求 云计算要求》安全责任划分云租户云服务提供商分区分域业务物理分区业务逻辑分区租户横向隔离租户纵向隔离数据保护数据隐私保护数据安全交换数据灾备安全服务交付安全组织建设组织设置人员设置安全管理体系制度建设风险管理事件响应通告安全技术手段物理层安全虚拟化安全应用安全安全审计智能风险预警云计算中心仍然是信息系统，也需要依照其重要性进行等级保护云计算中心的安全工作必须依照等级保护的要求来建设运维，符合政策要求云中租户利用云平台的架构，也是一个信息系统，也需要按照其重要性进行等级保护，云平台提供者必须要考虑运营方式下租户如何合规云计算模式下如何实施等保？教育云计算两级等保建设第一级：教育云平台自身等保实施基础设施：机房安全、电源可靠、备用设施网络层：网络连通性、Anti-DoS、数据传输机密性计算层：业务连续性、数据隐私性、虚拟系统安全存储层：日志管理、数据加密、数据备份、云灾难恢复管理层：流程、管理制度完善、组织保