全面解读“等保2.0”系列(二):云计算安全扩展要求

最新推荐文章于 2024-05-07 09:00:52 发布
最新推荐文章于 2024-05-07 09:00:52 发布
阅读量8.9k 收藏 11
点赞数
分类专栏: 安全

编者按:

今天,互联网发展“一日千里”。无论是底层的IT基础设施和新技术,还是我们每天使用的互联网应用,变化快速发生,变革日新月异。与此同时,网络安全日益重要。但是,一直以来,我国在网络安全方面主要依据的是,2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这两部法规被称为等保1.0。

但是,等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范,比如云计算、大数据和物联网等,而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。

为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。

目前,等保2.0已经正式发布,12月1日开始实施。天极网记者获得最新等保2.0文件,将为大家一一解读等保2.0的规范。具体说来,等保2.0新标准分成了五个部分,分别是安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

在《全面解读“等保2.0”系列(一):第一级安全通用要求》文中,天极网记者为大家解读了第一级安全通用要求的标准详情。

现在,我们来说说云计算方面的安全扩展要求。同样,每一级安全扩展要求都分为五个部分,即安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全建设管理。

我们注意到,在安全物理环境中,等保2.0强调“保证云计算基础设施位于中国境内”,同时“确保云服务客户数据、用户个人信息等存储于中国境内”。

从这两条规定,我们看到云计算基础设施和数据不能出境。随着国内数字经济的发展和云计算的深入推进,云计算基础设施将得到进一步发展。对国内数据中心而言,这也是一个利好消息。

我们重点来看第三级和第四级云计算安全扩展要求。据悉,第三级系统大概有5万个,第四级系统量级较大,比如支付宝、银行总行系统、国家电网系统等。因此,相对应的第三级和第四级云计算安全扩展要求规定更加详细具体,影响也更大。

一、安全通信方面

在第三级云计算安全扩展要求的安全通信网络方面,增加了两条:一是应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;二是提供开发接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。

这第二条很重要,有利于解决云服务商安全服务的锁定能力,赋予云服务客户更大的自主选择权。这也意味着,如果一家公司使用A云计算平台,还可以在使用A的同时使用B云服务商的安全产品或服务。

第四级的要求中,则增加了“对虚拟资源的主体和客体设置安全标记的能力”和“提供通信协议转换或通信协议隔离等的数据交换方式”。更重要的是,第四级云计算安全扩展要求增加了很关键的一条:为第四级业务应用系统划分独立的资源池。

二、安全区域边界

从第二级到第四级,安全区域边界的要求变化不大,主要是在入侵防范中增加了“应在检测到网络攻击行为、异常流量情况时进行告警”。

如果整体来看,安全区域边界引入了“访问控制”机制,即在虚拟化网络边界、不同等级的网络安全区域设置访问控制规则,让不同的人做自己范围内的事。

三、安全计算环境

大致看,整个安全计算环境以数据为核心,涵盖数据管控、数据安全、数据备份等,条目还是很细致明确的。

它分为五个部分,即访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复和剩余信息保护。

第三级和第四级中,增加了身份鉴别板块,即“当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制”。这一条的增加,有利于大大提高云和终端设备连接的安全性。

同样,第三级和第四级增加了入侵防范板块,对虚拟机的安全进行着重强调,包括虚拟机资源隔离、虚拟机重启和恶意代码感染等。

整个重点是在数据和信息保护方面。第三级和第四级强调,云服务客户数据、用户个人信息等存储于中国境内,并且只有在客户授权下,云服务商或第三方才具有云服务客户数据的管理权限。规定也强调,在虚拟机迁移时,要保证数据的完整性,并在检测到完整性受到破坏时,采取必要的恢复措施。

数据备份、恢复和删除方面,云服务客户业务数据本地保存必不可少,并且云服务商还需要有保证数据有副本存储,并且支持客户业务系统迁移。规定也强调,“保证虚拟机所使用的内存和存储空间回收时得到完全清除”和“云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除”。

四、安全建设管理

这一部分,分为云服务商选择和供应链管理。在云服务商方面,规定明确要求“安全合规”,并且云计算平台为其承载的业务应用系统提供相应等级的安全保护能力。

并且,一旦服务,应该规定各项服务内容和具体技术指标,包括管理范围、职责划分、访问授权、隐私保护、行为准则和违约责任等。

此外,规定要求:应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。

欢迎关注技术公众号:架构师成长营

架构师成长营
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GAT 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求.pdf
04-17
GAT 1390.2-2017 信息安全技术 网络安全等级保护基本要求
网络安全等级保护测评要求-第2部分:云计算安全扩展要求
08-29
网络安全等级保护测评要求-第2部分:云计算安全扩展要求
云计算安全扩展要求解析
最新发布
A526847的博客
05-07 1226
云计算技术的信息系统,称为云计算平台/系统。为此,各国政府和标准化组织纷纷出台了云计算安全的相关标准和扩展要求,以指导企业和组织在采用云计算服务时如何保障其安全性。为了指导企业和组织在采用云计算服务时如何保障其安全性,各国政府和标准化组织纷纷出台了云计算安全的相关标准和扩展要求。定期进行安全评估和审计:企业和组织应定期对云计算环境进行安全评估和审计,发现潜在的安全风险和漏洞,并采取相应的措施进行修复和改进。加强安全培训和意识教育:企业和组织应加强员工的安全培训和意识教育,提高员工的安全意识和技能水平。
信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全扩展要求
11-21
本标准规定了不同等级云计算平台的安全扩展要求,适用于指导分等级的非涉密云计算平台的安全建设和监督管理。
等保2.0时代云计算安全要求及测评实践.pdf
10-22
按照等级保护要求分别对云平台和云租户提出定级要求,在实施阶段以运维门户、租户门户分离各自的安全需求,在云平台层面对接安全资源池,依托安全资源池提供的能力,从物理设备安全、虚拟网路安全、虚拟主机安全、数据安全和应用安全等方面满足等保要求。同时通过运维门户对资源进行统一管理、调度;并对安全资源进行封装向云租户提供符合等级保护要求安全服务。
网络安全等级保护-等保2.0-等保三级测评:应用和数据安全-测评表模板
10-12
网络安全等级保护-等保2.0-等保三级测评:应用和数据安全-测评表模板
等保2.0中物联网安全扩展标准解读.pdf
08-11
物联网安全扩展标准解读 一、物联网安全简介 物联网(Internet of Things, IoT)是指通过...物联网安全相关标准概述、物联网安全扩展要求解读、等级保护2.0中物联网安全扩展标准解读等都是物联网安全的重要组成部分。
等保2.0时代,云等保安全合规要求解读.pdf
07-10
总的来说,等保2.0时代的云等保合规要求强调了对云计算环境的适应性和灵活性,通过明确的边界划分和责任分配,旨在构建一个更加全面和有效的安全防护体系。对于企业和组织而言,理解和遵循云等保安全合规要求,...
全面解读等保2.0标准新变化.docx
07-12
等保2.0标准,全称为《信息安全技术 网络安全等级保护基本要求》的2.0版本,是我国网络安全法规体系的重要组成部分,旨在提升各行业的网络安全防护能力。相较于等保1.0,等保2.0进行了多方面的革新,以适应日益复杂...
等保2.0最新标准及标准解读.zip
12-17
- **扩展安全范畴**:等保2.0不仅关注传统IT系统,还纳入了云计算、物联网、移动互联网、工业控制系统等新型应用场景。 - **强化风险管理**:引入动态保护和自适应保护,强调风险评估和持续监控。 - **细化安全...
等保2.0(信息安全等级保护)全面解读
yjfkeifk的博客
06-11 2394
等保2.0如期而至,等保2.0涵盖云计算、大数据、物联网、工控网络等新场景下的安全要求,在安全防护思路上相比于传统安全体系有极大的突破,必将成为迎接新时期网络安全建设的新基础。那么什么是等保2.0?和1.0有什么区别?对比一下: No.1 等级保护1.0标准体系 2007年,《信息安全等级保护管理办法》(公通字[2007]43号)文件的正式发布,标志着等级保护1.0的正式启动。等级保护1.0规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用户完成等级保护的“规定动作”
等保2.0物联网安全扩展要求一级级三级四级测评项详细对比表.xlsx
07-07
等保2.0物联网安全扩展要求一级级三级四级测评项详细对比,附每一级别的权重值; 权重对比表,明细表,测评项对比表。
等保2.0基本要求新增项(三级).xlsx
12-11
信息安全等级保护相关法律法规 3. 等级保护各环节(定级、备案、建设、测评、检查)政策文件如下: (1) 定级:《关于开展全国主要信息系统安全等级保护定级工作的通知》(公通字[2007]861号) (2) 备案:《信息安全等级保护备案实施细则》(公信安[2007]1360号) (3) 建设:《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号) (4) 测评:《关于推动信息安全等级保护测评体系下建设喝开展等级测评工作的通知》(公信安[2010]303号)、《网络安全等级保护测评机构管理办法》(公信安[2018]765号) (5) 检查:《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号) 三、 标准体系 1. 基础类标准:《计算机信息系统安全保护等级划分准则》(GB 17859—1999) 2. 应用类标准 (1) 定级:《信息安全技术 网络安全等级保护定级指南》(GAT 1389—2017) (2) 实施:《信息安全技术网络安全等级保护实施指南》(GB/T 25058—2019) (3) 建设:《信息安全技术网络安全等级保护基本要求》(GBT22239-2019) 《信息安全技术网络安全等级保护安全设计技术要求》(GBT25070-2019) (4) 测评:《网络安全等级保护测评要求》(GBT28448-2019) 《信息安全技术网络安全等级保护测试评估技术指南》(GBT36627-2018)
等保2.0(三级)安全计算环境评测项与评测方法.pdf
02-04
本文档详细描述了等保2.0(三级)中安全计算环境部分的评测项与评测方法,可为企业的三级等保评测提供参考依据
等级保护2.0三级测评要求(含云安全扩展要求).xlsx
05-22
纯文字,Excel版等级保护2.0三级测评要求(含云安全扩展要求
等保2.0 涉及到的设备名称清单.docx
06-12
按照等级保护22239-2019里面的测评项,满足第三级的设备清单。
等保2.0三级云计算扩展要求
weixin_45061645的博客
10-22 3060
安全物理环境 基础设施位置 应保证云计算基础设施位于中国境内。 安全通信网络 网络架构 应保证云计算平台不承载高于其安全保护等级的业务应用系统; 应实现不同云服务客户虚拟网络之间的隔离; 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力; 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略; 应提供开放接口或开放性安全...
等级保护2.0云计算拓展要求
sunxingstar的博客
07-02 4797
等级保护 安全扩展要求的内容 安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。《GB/T 22239-2019》提出的安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求云计算安全扩展要求 采用了云计算技术的信息系统通常称为云计算平台。云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组...
等保2.0——安全区域边界
tigerman20201的博客
07-24 2830
今天我们来说说安全区域边界,顾名思义,安全区域边界就是保障网络边界处,包括网络对外界的边界和内部划分不同区域的交界处,我们的重点就是查看这些边界处是否部署必要的安全设备,包括防火墙、网闸、网关等安全设备,查看这些设备的配置是否合理,满足测评项的测评要求,下面我们言归正传。
三级测评指导书-等保2.0通用标准 (2).pdf
10-28
这份指导书提供了详细的检查内容和标准,帮助测评人员全面评估和确保IT设施的物理安全,符合等保2.0要求,以达到国家规定的安全等级。通过这些措施,可以最大限度地降低物理环境对信息系统安全构成的威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值