• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    云上系统,如何落实等级保护安全要求?

    来源:中国电子银行网 2022-11-01 09:37:02 等级保护 测评 金融安全
         来源:中国电子银行网     2022-11-01 09:37:02

    核心提示目前越来越多的单位系统采用云上部署。云模式逐渐成为很多企业的重要选择,如何保证云上业务系统的安全,已经成为每一个上云企业必须面对的问题。

    由于云计算服务大大节省了人力,提高了工作效率。目前越来越多的单位系统采用云上部署。云模式逐渐成为很多企业的重要选择,如何保证云上业务系统的安全,已经成为每一个上云企业必须面对的问题。目前我国实行网络安全等级保护制度,通过落实等级保护制度可以全面提升云上系统的安全水平。

    目前云计算主要分为三种服务模式:IaaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)。

    IaaS模式提供服务器、网络、磁盘存储和数据中心等按需支付的计算资源。比如:Amazon Aws Ec2云主机,阿里云ECS服务器。

    PaaS模式提供软件和工具,让开发人员更容易快速创建Web或移动应用。比如:Microsoft Azure、Sina App Engine。

    SaaS模式提供的是应用软件,SaaS云服务客户通过网络访问、使用该软件。比如:SaaS IM、Office 365。

    云服务

    SaaS模式下租户能管理的只有业务应用系统跟业务数据,故SaaS模式下业务应用相关的安全配置、用户访问、用户账户以及数据安全的防护、云服务安全策略配置由云租户负责。其他部分由云平台服务商提供等保测评报告等证据性材料进行佐证。

    PaaS模式除了软件开发平台中间件以及应用和数据的安全防护、云服务安全策略配置由云租户负责外,其他层面均由云平台服务商负责,故Pass模式下云租户方主要是关注系统开发、运维的安全,以及数据采集、传输、存储等方面的安全。其他部分由云平台服务商提供等保测评报告等证据性材料进行佐证。

    当然目前大部分企业采用的是IaaS服务模式,即采购IaaS服务商提供的虚拟服务器、虚拟网络、磁盘存储,在此基础上安装数据库、中间件、应用程序,构建本单位应用系统。IaaS服务模式下,虚拟机、数据库、中间件、业务应用和数据的安全防护、云服务安全策略配置由部署在云平台的系统责任单位(租户)管理,故此部分安全责任由租户方负责。IaaS服务模式的基础架构层硬件、虚拟化以及云服务层由云服务提供商进行管理,故基础设施层面的安全应由云服务提供商负责。

    1.定级

    在云计算环境中,应将云服务商侧的云计算平台作为定级对象定级,云服务租户侧的系统也需要作为等级保护对象单独定级,同时云平台定级应不低于其承载的等级保护对象的安全保护等级。比如:云平台定为三级,云平台上只能承载一级到三级系统。

    2.备案

    由于云平台的实际物理地址往往和云租户运营者不在同一地址,从方便属地公安机关监管的角度出发,云租户应在定级系统运维团队所在地公安机关网安部门进行系统备案。

    3.建设整改

    云平台需要按照等级保护基本要求跟云安全扩展要求进行建设,建立“一个中心三重防护”的理念。同时应关注“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“供应链管理”、“云计算环境管理”等云计算安全扩展要求。以IaaS服务模式租户为例,不管是计算资源还是安全资源,都是按需分配。所以租户方除了做好本身程序跟数据的安全配置,还需要部署云平台提供的虚拟安全服务,或者部署第三方安全服务,以确保系统满足等保安全要求。

    4.等级测评

    云平台,特别是公有云平台往往承载着各行各业的重要数据,大部分云平台安全级别均为三级或者三级以上。云平台在提供服务之前应先进行等级测评,确保系统满足等级保护安全要求后,再承接租户应用的部署。部署在云上的租户应用,也应按照等级保护安全要求,开展测评工作。在开展测评工作过程中,云服务商需给云租户提供必要的支撑,包括云服务商安全资质、通过测评的证明材料等。

    5.监督检查

    测评完成后,被测评单位应将等级保护测评报告递交到当初备案的公安机关网安部门。公安机关负责对备案系统的监督、检查、指导工作。

    不管哪一种模式的云服务,在落实等级保护安全要求过程中,均可以选择专业的安全服务机构进行安全咨询与测评。确保系统能满足等保相关要求。

    中国金融认证中心(CFCA)是一家以综合网络安全服务为核心的科技企业,拥有国家认可的“网络安全等级测评与检测评估机构服务认证证书”。多年来,服务客户覆盖金融、保险、证券、政府机关、教育等行业,通过开展等级保护咨询与测评工作,助力云平台服务商、云租户满足国家等级保护安全要求,全面提升网络安全防护能力。

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定