等级保护2.0之云租户必读
网络安全法第二十一条规定国家实行网络安全等级保护制度,等保2.0将云平台和云上信息系统纳入了等级保护的范围。云上重要信息系统都应当按照网络安全等级保护制度要求履行网络安全法的法律义务,开展等级测评工作。云上信息系统过等保要注意什么,你知道吗?为帮助云上信息系统顺利通过等保测评,我们就云租户要关注的内容和事项进行了全面梳理,希望给云租户在选择云平台和开展云上信息系统等保工作时提供指导。
1
云计算的服务模式
云计算的服务模型主要有三种:IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service),美国国家标准与技术研究院NIST为它们做的定义如下:
SaaS模式:为用户提供在云架构上运行的应用的服务。用户可以从多种多样的瘦客户端[1]经由瘦客户端接口对应用进行访问。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储,以及个别的应用能力),只需要关心与需求有关的需客户特别设定的应用配置;
PaaS模式:为用户提供将应用部署在云架构上的服务,而创建这些应用的编程语言和工具必须得到服务提供商的支持。这些应用可以是用户自己创建的,也可能是从别处获取的。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储),但是他们需要对部署的应用进行控制,还有可能要针对应用进行环境配置;
IaaS模式:为用户提供处理、存储、网络以及其它基础计算资源的服务,用户可以在其上部署和运行包括操作系统和应用在内的任何软件。用户不需要管理或控制底层的云架构,但是他们需要控制操作系统、存储资源以及被部署的应用,还有可能要对某些网络部件(例如主机防火墙)进行有限的控制。
由于在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。而目前云上信息系统大多采用IAAS模式,我们就IAAS模式下的云租户要关注的内容和事项进行介绍。
2
云上信息系统等保2.0的定级和备案
定级:在云计算环境中,将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象作为单独的定级对象定级。
备案:云租户负责对云平台上承载的租户信息系统进行定级备案,备案地为工商注册或实际经营所在地。
3
云上信息系统等保云租户要关注的层面和组件
下表为IAAS模式下云服务商与租户的责任划分,标红部分为云租户要关注的层面和组件:
层面 |
安全要求 |
安全组件 |
责任主体 |
物理和环境安全 |
物理位置的选择 |
数据中心及物理设施 |
云服务商 |
网络和通信安全 |
网络结构、访问控制、入侵防范、安全审计 |
物理网络及附属设备、虚拟网络管理平台 |
云服务商 |
云服务客户虚拟网络安全域 |
云服务客户 |
||
设备和计算安全 |
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 |
物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等 |
云服务商 |
云服务客户虚拟网络设备、虚拟安全设备、虚拟机等 |
云服务客户 |
||
应用和数据安全 |
安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 |
云管理平台(含运维和运营)、镜像、快照等 |
云服务商 |
云服务客户信息系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等 |
云服务客户 |
||
安全管理机构和人员 |
授权和审批 |
授权和审批流程、文档等 |
云服务商 |
安全建设管理 |
安全方案设计、测试验收、云服务商选择、供应链管理 |
云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息 |
云服务商 |
云服务商选择及管理流程 |
云服务客户 |
||
安全运维管理 |
监控和审计管理 |
监控和审计管理的相关流程、策略和数据 |
云服务商、云服务客户 |
4
等保云租户选择云平台时的注意事项
(一)选择云平台服务商的基本条件
1、应确保云计算基础设施位于中国境内。
2、在选择云平台服务商时应选择已通过相应级别或高于自己应用系统级别等级测评的云平台服务商,并要求云平台服务商提供通过相应级别等级测评的证明材料(备案表和测评报告结论页)。
3、云平台服务商具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;并提供开放接口或开放性安全服务,允许甲方接入第三方安全产品或在云平台选择第三方安全服务;
(二)与云平台服务商签订合同、服务水平协议和保密协议
1、与云平台服务商签订服务合同时应注意:
a)合同中应明确其云平台具有与所承载的业务应用系统相应或高于的安全保护能力。
b)合同中应明确双方安全责任。云平台能实现不同云服务客户虚拟网络之间的隔离。
c)合同中应明确甲方的网络与其它云服务客户虚拟网络之间进行隔离,甲方虚拟机使用独占的内存空间。
d)合同中明确甲方系统的审计数据隔离存放。
e)合同中明确如甲方需删除业务应用数据时,云计算平台需确保云存储中所有副本被删除。
f)合同中应明确如甲方需将业务系统及数据迁移到其他云计算平台和本地系统,云计算平台方需提供技术手段,并协助完成迁移过程。
g)合同中明确云平台服务商要确保存储服务中甲方数据存在若干个可用的副本,各副本之间的内容保持一致。
h)合同中明确云平台服务商具有根据甲方业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;并提供开放接口或开放性安全服务,允许甲方接入第三方安全产品或在云平台选择第三方安全服务。
i)合同中明确云平台服务商具有根据甲方业务需求自主设置安全策略集的能力,包括定义访问路径、选择安全组件、配置安全策略。
j)合同中明确云平台服务商应保证甲方业务流量与云计算平台管理流量分离。
k)合同中明确甲乙双方要根据各自的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
l)合同中明确只有在甲方授权下,云平台服务商或第三方才具有甲方数据的管理权限。
2、与云平台服务商签订服务水平协议时应注意:
a)服务水平协议应规定云服务的各项服务内容和具体指标、服务期限、双方签字或盖章等。
b)服务水平协议中应规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
c)服务水平协议中应规定服务合约到期时,完整地返还云服务客户信息,并承诺相关信息在云计算平台上清除;
3、与云平台服务商签订保密协议时应注意:
a) 保密协议中应要求其不得泄露云服务客户数据和业务系统的相关重要信息;
b) 应要求云平台服务商对可能接触到自己应用系统数据的员工进行背景调查,并签署保密协议。
5
等保2.0云租户等级测评和测评打分
云上系统由于已经由云平台服务商提供基本物理环境和网络环境,根据IAAS模式下云服务商与租户的责任划分,故云上信息系统的测评层面主要包括网络和通信安全、设备和计算安全、应用和数据安全、安全建设管理、安全运维管理五个层面。测评对象包括网络安全措施、主机(操作系统、数据库)、应用(应用软件、中间件)、数据、管理等。测评方法主要为访谈、检查、测试,测评重点为远程工具测试和渗透测试。
云上系统的报告打分与传统打分方法不一样,在对云服务客户业务应用系统测评时打分不需要与云计算平台结果共同计算,但要将云平台测评得分放在最终得分一栏,如云上信息系统的得分为80分,云计算平台的得分为90分,则云租户云上信息系统的等级测评报告得分为(80,90)。
6
等保2.0云上信息系统应达到的重点要求
云上系统等级测评重点要求如下:
(一)网络和通信安全方面
1、边界防护:购买云平台的虚拟防火墙进行边界防护。
2、访问控制:购买云平台的虚拟防火墙,与云平台上其它系统进行了隔离,如系统中有多台虚拟机要进行通信,设置不同虚拟机之间的访问控制策略。
3、入侵防范:购买云平台的防入侵模块或其它防入侵措施,如可用性要求高购买抗DDOS模块。
4、安全审计:开启安全设备、操作系统、数据库、中间件日志,设置日志服务器对设备日志进行统一收集(或购买云平台的日志收集存储和审计服务),至少保存半年。
5、集中监控:对虚拟机、虚拟化安全设备等的运行状况的集中监测。
(二)设备和计算安全方面(针对安全措施、操作系统、数据库、中间件等)
1、身份鉴别
1)设置用户名口令:对操作系统设置用户名和密码。
2)启用密码复杂度策略:登录口令应由数字、字母、特殊字符三种中的两种或两种以上构成,长度不得小于8位,至少每季度更换一次。
3)双因子鉴别:采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
4)远程管理加密:windows更改远程桌面端口,开启SSL加密远程登录。linux关闭telnet服务,使用SSH登录。
5)登录失败处理:应帐户锁定策略,建设设定登录失败次数5次将锁定30分钟;
2、访问控制
1)权限分离:应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
2)配置访问控制策略:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
3)严格限制默认帐户的访问权限:重命名系统默认帐户,修改这些帐户的默认口令;
4)及时删除多余的、过期的帐户:避免共享帐户的存在。
3、安全审计
1)启用审计功能:开启审计策略,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
2)审计记录备份:对审计记录进行保护,定期备份,审计记录的留存时间至少保存半年,避免受到未预期的删除、修改或覆盖等。
4、入侵防范
1)最小安装:操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,关闭不需要的系统服务、默认共享和高危端口。
2)及时修补漏洞:能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞。
3)入侵检测:安装入侵检测/防御软件,能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
4)终端登录地址限制: 通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
5、恶意代码防范
安装防病毒软件,并及时更新防恶意代码软件版本和恶意代码库;或采取其它免受恶意代码攻击的技术措施或可信验证机制。
除以上要求外,中间件还需重点考虑以下要求:
1)网站目录除SYSTEM用户和administrators组有完全控制权限外,其余用户和组都只应设置为读取和执行权限。
2)网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限(原则:目录有写入权限,一定不要分配执行权限;目录有执行权限,一定不要分配写入权限)
3)没有地址访问限制需求或有地址访问限制需求,对访问web的IP地址进行了限制(重点:网站配置文件web.config、网站后台目录、数据库文件存放、审计日志文件目录)
(二)应用和数据安全方面(针对应用程序和数据)
1、应用软件
需保证应用软件具备以下安全功能且注重代码安全开发,进行安全测试确保不存在代码安全漏洞。
应具备的安全功能如下:
登录模块 |
双因子鉴别功能 |
采用两种或两种以上组合的鉴别技术实现的登录控制模块,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。 |
复杂度检查功能 |
设置密码时自动检测是不是具备一定复杂度 |
|
登录失败处理功能 |
结束会话、限制非法登录次数和自动退出等措施 |
|
强制修改口令功能 |
强制用户首次登录时修改初始口令 |
|
找回密码功能 |
用户身份鉴别信息丢失或失效时,应采用技术措施确保鉴别信息重置过程的安全; |
|
权限控制模块 |
权限划分 |
控制用户对文件、数据库表等客体的访问权限 |
默认帐户的访问权限 |
严格限制默认帐户的访问权限 |
|
权限分离 |
管理员、业务操作系统、审计权权限相互制约 |
|
日志模块 |
日志记录 |
对应用系统每个用户的重要安全事件(包括登录、退出、增删改查)进行日志记录,记录信息包括日期、时间、发起者信息、类型、描述和结果等 |
日志权限 |
无法单独中断审计进程,任何用户无法删除、修改或覆盖审计记录 |
|
日志分析 |
具备对日志记录数据进行统计、查询、分析及生成审计报表的功能 |
|
日志备份 |
具有日志备份功能。 |
|
软件容错 |
数据有效性检验功能 |
所有查询、输入接口都要进行数据的格式长度等有效性检验 |
故障恢复功能 |
在故障发生时,应能够继续提供一部分功能,确保能够实施必要的措施;自动保存易失性数据和所有状态,保证系统能够进行恢复。 |
|
资源控制 |
最大并发会话连接数限制 |
对最大并发会话连接数进行限制 |
单个账户的多重并发会话限制 |
对单个账户的多重并发会话进行限制。 |
|
剩余信息保护 |
鉴别信息清除 |
应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; |
文件、目录和数据库记录清除 |
应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。 |
|
数据完整性 |
数据传输完整性校验 |
采用校验码技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; |
数据存储完整性检验 |
采用校验码技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
|
数据保密性 |
存储加密 |
采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 |
传输加密 |
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; |
|
数据备份 |
数据备份恢复功能 |
提供重要数据的本地数据备份与恢复功能; |
个人信息保护 |
个人信息采取授权 |
仅采集和保存业务必需的用户个人信息;禁止未授权访问和非法使用用户个人信息。 |
2、数据备份
应在本地保存其业务数据的备份;重要数据实时备份。
(注:以上为以三级为例的重点要求,满足以上要求并不能代表能满足等级保护三级要求的所有条款。)