8-云等保标准研读及测评方法简介.pdf

8-云等保标准研读及测评方法简介.pdf

  1. 1、本文档共37页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
 云等保标准研读及测评方法简介 武器vs. 战术 公安部信息安全等级保护评估中心 张振峰,2016年12月12日  等保大作战:武器& 战术 武器:基本要求 测评要求…… 战术:管理办法 实施指南……  云等保战役:武器要升级要补充 战术要升级要补充  云等保的武器:系列标准的 《云计算安全扩展要求》 新修订的 《定级指南》……  云等保战术:…… 一、云等保的定位 二、关于武器(标准) 三、关于战术(测评方法) 1 )如何理解《云计算安全扩展要求》与 《安全通用要求》之间的关系 2 )云等保模型 3 )测评依据不同 4 )测评指标选取的不同 5 )现场测评的方法不同 6 )得分计算方法不同 7 )报告分发的范围 8 )云平台的嵌套问题 云等保的定位 • 云等保不是新鲜的事物,而是在原等保框架下的新事物的扩展,因 此云等保各环节应与传统等保相同,包括定级、备案、建设整改、 测评、监督检查等。 • 等保框架下新增加的元素需要对原有等级保护相关工作的具体内容 进行扩充并统一。 关于武器 信息安全技术 网络安全等级保护基本要求 云计算安全扩展要求 (GB /T 22239.2 ) 确保云计算服务器、承载云租户账户信息、鉴别信息、系统信 息及运行关键业务和数据的物理设备均位于中国境内; -> 物  确保云计算基础设施位于中国境内; 理  数据保密性从二级开始加入“确保云租户账户信息、鉴别 安 信息、系统信息存储于中国境内”; 全 美国国家信息与标准技术研究所(NIST )在其云定义中也明 确指出:云客户通常不必知晓和控制资源的确切物理位置,但 应能够在一个更高的抽象层次上(比如说国家、州或者数据中 心)指定资源位置。  云计算基础设施、云管理平台(云操作系统, Hypervisor ) 的组件自身安全应遵循 《安全通用要求》 ; 平  登录云管理平台( Hypervisor )等的管理用户进行相应等 台 级的身份鉴别,确保云平台运维管理员和云服务管理员权限 安 分离; 全  当进行远程管理时,管理终端和云计算平台边界设备之间应 建立双向身份验证机制。  应保证云平台管理流量与云租户业务流量分离;  禁止虚拟实例直接访问宿主机上的物理硬件; 资  不同虚拟机之间的虚拟CPU指令隔离; 源  应保证分配给虚拟机的内存空间仅供其独占访问; 隔 离  应根据承载的业务系统安全保护等级划分资源池,并实现资 源池之间的隔离; -> 资  应根据云租户业务系统的重安全等级划分网络安全区域并 源 设置区域间访问控制规则; 隔  应对虚拟机逃逸行为进行检测和告警; 离  应保证虚拟机仅能迁移至相同安全保护等级的资源池。  依据访问控制策略实现虚拟机之间访问;  实现云平台管理用户权限分离机制,为网络管理员、系统管 访 理员建立不同账户并分配相应的权限; 问  确保只有在云租户授权下,云服务方或第三方才具有云租户 控 数据的管理权限; 制  云计算平台应提供开放接口或开放性安全服务,允许云租户 接入第三方安全产品或在云平台选择第三方安全服务。  应为安全审计数据的汇集提供接口,可供第三方审计; 审  应根据云服务方和云租户的职责划分实现各自控制部分的集 计 中审计; 与  应保证云服务方对云租户系统和数据的操作可被云租户审计;

文档评论(0)

raphaelshi + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档