网络安全法第二十一条规定国家实行网络安全等级保护制度,等保2.0将云平台和云上信息系统纳入了等级保护的范围。云上重要信息系统都应当按照网络安全等级保护制度要求履行网络安全法的法律义务,开展等级测评工作。云上信息系统过等保要注意什么,你知道吗?为帮助云上信息系统顺利通过等保测评,湖南金盾就云租户要关注的内容和事项进行了全面梳理,希望给云租户在选择云平台和开展云上信息系统等保工作时提供指导。
云计算的服务模式
云计算的服务模型主要有三种:
IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)
和SaaS(Software as a Service),美国国家标准与技术研究院NIST为它们做的定义如下:
SaaS模式:为用户提供在云架构上运行的应用的服务。用户可以从多种多样的瘦客户端[1]经由瘦客户端接口对应用进行访问。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储,以及个别的应用能力),只需要关心与需求有关的需客户特别设定的应用配置;
PaaS模式:为用户提供将应用部署在云架构上的服务,而创建这些应用的编程语言和工具必须得到服务提供商的支持。这些应用可以是用户自己创建的,也可能是从别处获取的。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储),但是他们需要对部署的应用进行控制,还有可能要针对应用进行环境配置;
IaaS模式:为用户提供处理、存储、网络以及其它基础计算资源的服务,用户可以在其上部署和运行包括操作系统和应用在内的任何软件。用户不需要管理或控制底层的云架构,但是他们需要控制操作系统、存储资源以及被部署的应用,还有可能要对某些网络部件(例如主机防火墙)进行有限的控制。
图一 云计算服务模式与控制范围的关系
由于在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。而目前云上信息系统大多采用IAAS模式,我们就IAAS模式下的云租户要关注的内容和事项进行介绍。
2云上信息系统等保2.0的定级和备案
定级:在云计算环境中,将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象作为单独的定级对象定级。
备案:云租户负责对云平台上承载的租户信息系统进行定级备案,备案地为工商注册或实际经营所在地。
3云上信息系统等保云租户要关注的层面和组件
下表为IAAS模式下云服务商与租户的责任划分,标红部分为云租户要关注的层面和组件:
4等保云租户选择云平台时的注意事项
(一)选择云平台服务商的基本条件
1、应确保云计算基础设施位于中国境内。
2、在选择云平台服务商时应选择已通过相应级别或高于自己应用系统级别等级测评的云平台服务商,并要求云平台服务商提供通过相应级别等级测评的证明材料(备案表和测评报告结论页)。
3、云平台服务商具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;并提供开放接口或开放性安全服务,允许甲方接入第三方安全产品或在云平台选择第三方安全服务;
(二)与云平台服务商签订合同、服务水平协议和保密协议
1、与云平台服务商签订服务合同时应注意:
a)合同中应明确其云平台具有与所承载的业务应用系统相应或高于的安全保护能力。
b)合同中应明确双方安全责任。云平台能实现不同云服务客户虚拟网络之间的隔离。
c)合同中应明确甲方的网络与其它云服务客户虚拟网络之间进行隔离,甲方虚拟机使用独占的内存空间。
d)合同中明确甲方系统的审计数据隔离存放。
e)合同中明确如甲方需删除业务应用数据时,云计算平台需确保云存储中所有副本被删除。
f)合同中应明确如甲方需将业务系统及数据迁移到其他云计算平台和本地系统,云计算平台方需提供技术手段,并协助完成迁移过程。
g)合同中明确云平台服务商要确保存储服务中甲方数据存在若干个可用的副本,各副本之间的内容保持一致。
h)合同中明确云平台服务商具有根据甲方业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;并提供开放接口或开放性安全服务,允许甲方接入第三方安全产品或在云平台选择第三方安全服务。
i)合同中明确云平台服务商具有根据甲方业务需求自主设置安全策略集的能力,包括定义访问路径、选择安全组件、配置安全策略。
j)合同中明确云平台服务商应保证甲方业务流量与云计算平台管理流量分离。
k)合同中明确甲乙双方要根据各自的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
l)合同中明确只有在甲方授权下,云平台服务商或第三方才具有甲方数据的管理权限。
2、与云平台服务商签订服务水平协议时应注意:
a)服务水平协议应规定云服务的各项服务内容和具体指标、服务期限、双方签字或盖章等。
b)服务水平协议中应规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
c)服务水平协议中应规定服务合约到期时,完整地返还云服务客户信息,并承诺相关信息在云计算平台上清除;
3、与云平台服务商签订保密协议时应注意:
a) 保密协议中应要求其不得泄露云服务客户数据和业务系统的相关重要信息;
b) 应要求云平台服务商对可能接触到自己应用系统数据的员工进行背景调查,并签署保密协议。
5等保2.0云租户等级测评和测评打分
云上系统由于已经由云平台服务商提供基本物理环境和网络环境,根据IAAS模式下云服务商与租户的责任划分,故云上信息系统的测评层面主要包括网络和通信安全、设备和计算安全、应用和数据安全、安全建设管理、安全运维管理五个层面。测评对象包括网络安全措施、主机(操作系统、数据库)、应用(应用软件、中间件)、数据、管理等。测评方法主要为访谈、检查、测试,测评重点为远程工具测试和渗透测试。
云上系统的报告打分与传统打分方法不一样,在对云服务客户业务应用系统测评时打分不需要与云计算平台结果共同计算,但要将云平台测评得分放在最终得分一栏,如云上信息系统的得分为80分,云计算平台的得分为90分,则云租户云上信息系统的等级测评报告得分为(80,90)。
6等保2.0云上信息系统应达到的重点要求
云上系统等级测评重点要求如下:
(一)网络和通信安全方面
1、边界防护:购买云平台的虚拟防火墙进行边界防护。
2、访问控制:购买云平台的虚拟防火墙,与云平台上其它系统进行了隔离,如系统中有多台虚拟机要进行通信,设置不同虚拟机之间的访问控制策略。
3、入侵防范:购买云平台的防入侵模块或其它防入侵措施,如可用性要求高购买抗DDOS模块。
4、安全审计:开启安全设备、操作系统、数据库、中间件日志,设置日志服务器对设备日志进行统一收集(或购买云平台的日志收集存储和审计服务),至少保存半年。
5、集中监控:对虚拟机、虚拟化安全设备等的运行状况的集中监测。
(二)设备和计算安全方面(针对安全措施、操作系统、数据库、中间件等)
1、身份鉴别
1)设置用户名口令:对操作系统设置用户名和密码。
2)启用密码复杂度策略:登录口令应由数字、字母、特殊字符三种中的两种或两种以上构成,长度不得小于8位,至少每季度更换一次。
3)双因子鉴别:采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
4)远程管理加密:windows更改远程桌面端口,开启SSL加密远程登录。linux关闭telnet服务,使用SSH登录。
5)登录失败处理:应帐户锁定策略,建设设定登录失败次数5次将锁定30分钟;
2、访问控制
1)权限分离:应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
2)配置访问控制策略:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
3)严格限制默认帐户的访问权限:重命名系统默认帐户,修改这些帐户的默认口令;
4)及时删除多余的、过期的帐户:避免共享帐户的存在。
3、安全审计
1)启用审计功能:开启审计策略,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
2)审计记录备份:对审计记录进行保护,定期备份,审计记录的留存时间至少保存半年,避免受到未预期的删除、修改或覆盖等。
4、入侵防范
1)最小安装:操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,关闭不需要的系统服务、默认共享和高危端口。
2)及时修补漏洞:能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞。
3)入侵检测:安装入侵检测/防御软件,能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
4)终端登录地址限制: 通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
5、恶意代码防范
安装防病毒软件,并及时更新防恶意代码软件版本和恶意代码库;或采取其它免受恶意代码攻击的技术措施或可信验证机制。
除以上要求外,中间件还需重点考虑以下要求:
1)网站目录除SYSTEM用户和administrators组有完全控制权限外,其余用户和组都只应设置为读取和执行权限。
2)网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限(原则:目录有写入权限,一定不要分配执行权限;目录有执行权限,一定不要分配写入权限)
3)没有地址访问限制需求或有地址访问限制需求,对访问web的IP地址进行了限制(重点:网站配置文件web.config、网站后台目录、数据库文件存放、审计日志文件目录)
(二)应用和数据安全方面(针对应用程序和数据)
1、应用软件
需保证应用软件具备以下安全功能且注重代码安全开发,进行安全测试确保不存在代码安全漏洞。
应具备的安全功能如下:
2、数据备份
应在本地保存其业务数据的备份;重要数据实时备份。
(注:以上为以三级为例的重点要求,满足以上要求并不能代表能满足等级保护三级要求的所有条款。)
本文转自: 湖南金盾评估中心 游侠安全网,原文链接:
https://mp.weixin.qq.com/s/M1qCETAA7ztRKaDttkp8iA