国家云计算安全等级保护测评标准解读.PDFVIP

国家云计算安全等级保护测评标准解读 (来源：国家信息中心网站 作者：禄凯 高亚楠 章恒） 引言 云计算作为广泛应用的新技术，越来越深入的影响着社会生活的 各个领域。全国各地政务云、金融云、教育云等建设的如火如荼，越 来越多的云计算系统承担着重要的基础性服务。 在高速发展的同时，安全隐患和威胁也如影随形，如：不安全接 口、服务中断、越权、滥用与误操作、共享技术漏洞和信息残留等问 题时刻影响着云计算的健康发展。云计算信息系统应具备什么样的安 全防护措施，如何通过等级保护测评工作去检查和验证安全措施的合 规性和有效性，已经成为云计算系统建设者、运营者、监管者以及使 用者所关心的重要问题。 等级保护工作作为国家网络安全法明确的重要制度，已在我国信 息系统安全保驾护航中发挥着重要作用。为应对新技术、新应用发展 所带来的安全问题，公安部网络安全保卫局组织开展了大规模的等级 保护系列标准的修订。云计算等级保护系列标准作为安全通用要求之 后的第二分册，标准编制开始至今，受到相关各方的高度广泛关注， 收到了很多宝贵意见和建议。 由国家信息中心负责牵头编制的《网络安全等级保护测评要求 第2 部分：云计算安全扩展要求》（以下简称“云计算测评要求”） 作为云计算安全等级保护测评的实施依据备受瞩目。此文解读标准， 希望作为云计算等级保护测评工作的实践指引，给大家提供指导和帮 助，相关技术研讨和培训也将后续开展。 《网络安全等级保护测评要求第2 部分：云计算安全扩展要求》 解读 根据全国信息安全标准化技术委员会2013 年10月确定的国家标 准制修订计划，本次研编云计算等保系列标准包括三个：《信息安全 技术网络安全等级保护基本要求 第2 部分：云计算安全扩展要求》 （以下简称“云计算基本要求”）、《信息安全技术网络安全等级 保护测评要求第2 部分：云计算安全扩展要求》、《信息安全技术 网 络安全等级保护设计技术要求 第2 部分：云计算安全扩展要求》（以 下简称“云计算设计要求”）。 第二分册作为第一分册安全通用要求的扩展和补充，主要用以应 对云计算技术所带来的威胁与风险，在测评实施中要以安全通用要求 为基础，同时参考定级指南等相关标准，共同完成云计算安全等级保 护的测评工作。 要点一：系统定级与管理职责划分 云计算服务带来了“云主机”等虚拟计算资源，将传统IT 环境 中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商 双方“各自分担”的安全责任，使得云计算环境下定级工作相对比较 复杂。 云计算系统的定级对象在原有定级对象基础上进行了扩展，原有 定级对象主要是信息系统和相关基础网络，而云计算将定级对象扩展 为云服务商的云平台和云租户的应用系统。 云计算系统定级时，云服务商的云平台和云租户的应用系统应分 别定级，云平台等级应不低于应用系统的安全保护等级。对于公有云， 定级流程为云平台先定级测评，再提供云服务。对于私有云，定级流 程为云平台先定级测评，再将已定级应用系统向云平台迁移。 云计算系统定级的重点在于定级对象管理职责的划分，职责的划 分根据不同云计算服务模式采取不同划分方式。 （一）对于IaaS 基础设施服务模式，云服务商的职责范围包括 虚拟机监视器和硬件，云租户的职责范围包括操作系统、中间件和应 用等。 （二）对于PaaS 平台即服务的服务模式，云服务商的职责范围 包括硬件、虚拟机监视器、操作系统和中间件，云租户的职责范围为 应用。 （三）对于SaaS 软件服务模式，云服务商的职责范围包括硬件、 虚拟机监视器、操作系统、中间件和应用，云租户的职责范围包括部 分应用职责及用户使用职责。 云计算服务模式以及角色的不同决定着定级对象的管理职责不 同，从而决定着定级的系统范围的不同。 要点二：云计算系统保护对象的扩展 由于虚拟化等新技术的应用，IaaS/PaaS/SaaS 按需服务模式的 引入，相对于传统信息系统，云计算系统的保护对象有所增加。云计 算系统的保护对象与传统信息系统保护对象对照如下表所示，其中加 黑的对象为云计算系统所特有的保护对象： 层面 云计算系统保护对象 传统信息系统保护对象 物理和环境安全 机房及基础设施