信息等级保护体系在云安全中的应.pptxVIP

信息等级保护体系在云安全中的应用 研发中心 2012.7 云安全管理中心CloudFirm 3 《中华人民共和国计算机信息系统安全保护条例》（1994年 国务院147号令） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 政策法规 1994-2005 等保标准体系 2005-2008 测评管理体系 2008-2010 落地实施 2010-- 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评：《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 网监-网安 测评机构认证（100多家） 测评师培训认证 二级系统：5万多个 三级系统：2万多个 四级系统：100多个 2011年三级系统增加100% 等级保护发展历程 等级保护基本安全要求 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督检查 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 国家安全 严重损害 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 等级保护基本级别划分 不同级别系统控制项的差异汇总 等级保护实施流程 云安全管理中心CloudFirm 3 云计算中心必须满足等级保护的政策要求 云计算中心仍然是一类信息系统，需要依照其重要性不同进行分级保护。 云计算中心的安全工作必须依照等级保护的要求来建设运维。 云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。 常见的二级系统举例 地市政府办公自动化系统（内部使用的） 地市政府政务公开网站（外部信息发布） 地市政府间协同办公系统 企业电子商务网站 银行网站 特点：与核心业务无关 常见的三级系统举例 省政府办公自动化系统（内部使用的） 省政府政务公开系统（交互式） 省政府公文交换系统 企业ERP系统 银行生产网 特点：与业务密切相关的 常见的四级系统举例 国家电力调度系统（EMS) 中国人民银行官方网站 财政部财政支付系统 交通部应急指挥调度系统 银行生产系统 特点：重要部门与核心业务密切相关的 云计算中心的虚拟化安全 虚拟化技术的大量使用，使得云计算中心的各种资源组成了一个大的虚拟化世界，在这个世界里迫切需要建立安全秩序。 分租户的新运营模式要求在虚拟化网络里实现安全隔离。通过vSwitch等虚拟网络技术可以实现与物理环境相当的网络层安全隔离防护。 传统安全产品虚拟化入云可以为虚拟化环境引入成熟的安全技术，从而实现四到七层的应用安全。 虚拟网络隔离技术 网络隔离 QoS配置 流量监控 数据包分析 安全设备虚拟化入云 各类安全设备虚拟化入云，可实现与虚拟机绑定的安全防护 CloudFirm云安全管理体系 3 CloudFirm的内涵 目标： 作为独立体系化产品严格参照等保要求设计、开发，力求达到合规、实用的设计目标，满足等级保护二级要求。 考虑等保三级的扩展性。 做到等保成果的可视化。 做到等保成果的持久化。 暂时不考虑虚拟化问题。 指导思想： 贯穿云计算中心建设、整改、测评、运维全过程，全生命周期保证系统符合等保要求。 CloudFirm设计目标及指导思想 参考规范： 技术： 《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 管理： 《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 CloudFirm设计依据 CloudFirm 安全技术 网络安全 主机安全 应用安全 安全巡检系统监控 事件管理应急响应 管理运维 CloudFirm云安全体系架构 物理安全 数据安全备份恢复 制度规范 合