云计算等级保护测评工作

Posted 2021-04-29 艾尔等保之道

云计算等级保护测评工作

大繁至简，极境至臻！

等级保护从0到1，再从等级保护1.0到2.0，以后或许也会有3.0，……

云大物移/工控等新应用新技术的兴起为等级保护2.0注入新使命的同时，等级保护如何服务于新应用新技术？

新应用/新技术使得信息技术便捷化，等保2.0也应当是“大繁至简”。

云计算资源池化，服务器测评以数量为单位科学性不足，使得等保1.0阶段测评对象的选取方法适用性削弱，必须摒弃“质量不够，数量来凑”的观念。

本篇对云计算等级保护整个测评过程进行详述。

目录结构

1 等级保护工作流程 

• 定级 

• 备案

• 建设整改

• 等级测评

• 监督检查

2 等级保护测评对象识别 

• 云计算总体架构

• 云安全责任划分

• 测评对象识别

3 等级保护测评指标识别

• 测评指标选取原则 

• 测评指标识别

云计算扩展要求测评指导‍‍表

等级测评是开展网络安全等级保护中一项重要的工作，云计算等级保护测评是对不同云计算形态下等级保护对象的安全能力评估的一个过程，测评对象和测评指标的选取是较好完成测评工作的重中之重。

1

等级保护工作流程

网络安全等级保护2.0时代，落实等级保护制度的五个规定基本动作：定级、备案、建设整改、等级测评、监督检查。

• 定级

网络安全等级保护一共分为五个级别：第一级、第二级、第三级、第四级、第五级。安全保护等级两要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

等级保护对象定级工作的一般流程下图.

在云计算环境下，等级保护对象大致可以分为三类：

1) 云计算平台

云服务商提供的云基础设施及其上的服务层软件的集合。云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象，如：云计算基础服务平台（IaaS）、云计算数据和开发平台（PaaS）以及云计算应用服务平台（SaaS）。

2) 云服务客户业务应用系统

云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。云服务客户业务应用系统单独作为定级对象。

3) 云计算技术构建的业务应用系统

业务应用和为此业务应用独立提供底层云计算服务、硬件资源的集合，此类系统中无云服务客户。云计算技术构建的业务应用系统单独作为定级对象。

上述三类定级对象大致包括下列几种情形：

常见的云计算定级场景：

A云服务商为云服务客户B提供基础设施服务（计算/网络/存储），B利用A提供的IaaS服务为用户C提供SaaS服务。

此场景中：

A 云服务商的IaaS平台为等级保护对象；

B 面向用户提供SaaS服务，定级为云服务客户业务系统B；

C 根据用户场景进行定级。

• 备案

等级保护对象级别确定之后，30个工作日内网络运营者或其主管部门将定级材料提交到所在地设区的市一级公安机关网安部门办理备案手续。备案成功后，由当地网安部门颁发《备案证明》。

由于云计算资源分散、管理统一，关于云计算平台的备案，依据“责权一致，便于监管”的原则，确立了“云计算服务商应该向云计算平台运维管理主体所在地公安机关进行备案”的工作模式，可分为下列3种场景：

本地化的云计算服务商，机房所在地和运维管理主体所在地一致，云服务商直接到当地公安机关备案并接受备案机关管理；

云计算平台跨省部署，涉及两类安全责任主体：网络设备、主机设备及虚拟资源的配置和安全管理均由在某地集中办公的运维部门（独立法人）统一负责；各地数据中心运营者（独立法人）负责物理环境安全（例如建筑物门禁、电力供应等）。云计算服务商应到运维管理主体所在地公安机关备案，其运维管理的云计算服务相关的业务系统接受备案公安机关的监督管理。同时，各数据中心的物理环境安全接受机房所在地公安机关的监管，物理基础设施（含机房建筑、机电设备和安防及监控系统等）可作为定级对象；

云计算平台跨省部署，各地各地数据中心均租用当地IDC的物理基础设施，网络设备、主机设备及虚拟资源的配置和管理均由集中在某地办公的运维部门统一管理。云计算服务商应到运维管理主体所在地公安机关备案，当地机房及云计算服务相关业务系统接收所在备案公安机关的监督管理。对于物理环境安全，云计算服务商应选择与其自身安全保护等级相匹配的IDC机房。

• 建设整改

等级保护对象备案成功后，对已有的信息系统，其运营、使用单位根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，建设安全设施，落实安全技术措施，完成系统整改。安全建设整改工作分五步进行：

1) 落实安全建设整改工作部门，建设整改工作规划，进行总体部署；

2) 根据其等级从《基本要求》中选择相应等级的基本安全要求，确定网络安全建设需求并论证；

3) 确定安全防护策略，制定网络安全建设整改方案（安全建设方案须经专家评审论证，第三级（含）以上网络的安全建设整改方案应报公安机关备案）；

4) 根据网络安全建设整改方案，实施安全建设工程；

5）开展安全自查和等级测评，及时发现安全风险及安全问题，进一步开展整改。

• 等级测评

建设整改后，网络运营者选择符合规定条件的测评机构，定期开展等级测评工作（第三年及以上应每年至少进行一次测评）。

测评机构依据国家网络安全等级保护制度规定，按照《网络安全等级保护测评要求》、《网络安全等级保护测评过程指南》等相关规定标准，对被测等级保护对象进行等级保护对象识别、安全防护能力测试及评估，验证等级保护对象是否满勤等级保护相应等级的安全要求，并进行综合分析、出具《等级测评报告》。网络运营者与等级保护测评机构双方之间在整个等级测评过程中应保持良好的沟通与洽谈。

等级测评过程分为4个基本测评活动如下图：

1) 测评准备活动

测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，云计算平台和云计算服务客户业务系统需调研的相关信息如下表。

2) 方案编制活动

方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书（云计算扩展要求测评作业指导书参见附录A），形成测评方案。

3) 现场测评活动

现场测评活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面。

4) 分析及报告编制活动

分析及报告编制活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和网络安全等级保护基本要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成网络安全等级保护测评报告。

具体工作方法参见：

• 监督检查

公安机关网安部门负责对等级保护网络的监督、检查、指导工作。网络运营者配合公安机关监督检查工作，如实提供有关材料及文件。当第三级及以上等级保护对象发生安全事件、案件时，备案单位应及时向受理备案的公安机关报告。

公安机关检查的主要内容包括：

Ø 等级保护工作部署和组织实施情况；

Ø 网络安全等级保护对象定级备案情况；

Ø 网络安全设施建设情况和网络安全整改情况；

Ø 网络安全管理制度建立和落实情况；

Ø 网络安全产品选择和使用情况；

Ø 测评机构开展等级测评工作情况；

Ø 定期自查情况。

公安机关每年对第三级及以上的等级保护对象知识开展一次安全检查工作。网络安全等级保护工作流程中输出的相关文档如表。

2

等级保护测评对象识别

为较好地对测评对象进行识别，首先需了解云计算总体架构和明确云安全责任。本节首先对云计算总体架构和云安全责任划分进行简要介绍。

• 云计算总体架构

云计算架构可以分为服务和管理两大类，其中服务类基于云计算服务模式大致可以分为基础设施资源层、数据和开发平台层以及应用服务层，管理类包括云服务运维控制和云服务运营管理，云计算总体架构大致可以描述为如下图。

1) 基础设施资源层

基础设施层将经过虚拟化的计算资源、存储资源和网络资源，通过引入云操作系统将多个虚拟化集群资源池统一整合为规格更大的逻辑资源池，以基础设施即服务的方式通过网络提供给用户使用和管理。

基础设施层可划分为物理资源层、虚拟资源层以及资源服务与调度层。物理资源层是支撑IaaS层的IT基础设施硬件，包括服务器、存储以及数据中心交换机、防火墙、路由器、VPN网关等网络安全设备；虚拟资源层将分散在一个或多个数据中心的基础设施资源进行统一的虚拟化和池化，包括计算虚拟化（KVM、Xen）、存储虚拟化（分布式存储）和网络虚拟化（SDN网络）；资源服务与调度层主要负责逻辑资源调度，将计算、存储、网络资源作为基本资源单位，云服务客户可通过统一的资源调用接口API或者Web Portal，高效、便捷的利用云计算基础服务。

2) 数据和开发平台层

数据和开发平台层是叠加在基础设施即服务之上，数据层具备多租户感知能力的结构化、半结构化及非结构化数据服务的能力。面向企业IT业务开发者和供应者的应用开发平台层通过在开发平台中集成透明的开源中间件，以Kubernetes、Mesos、Coudify等为代表面向DevOps敏捷开发的开源应用与部署开发工具链与平台，具备分布式水平扩展能力的系列开源数据库和中间件，如mysql/PostgreSQL/MangoDB、RabbitMQ/Kafka消息队列、Redis缓存，以及业务流行的Spring for Java、Ruby on Rails、Sinatra、Node.js、Grails、Scala on Lift、php及Phython等，使得企业应用从面向高复杂度、厚重应用服务的瀑布式开发模式，逐步向基于分布式、轻量化微服务的敏捷迭代、持续集成的开发模式演进。

3) 应用服务层

应用服务层叠加在基础设施即服务之上或基于数据和开发平台层提供的应用开发平台，直接为用户提供应用程序，云服务客户可在各种设备上通过浏览器进行界面访问。

4) 云服务运营控制

云服务运营控制系统的主要服务对象是云服务产品定义、销售与运营人员，该系统以可订购的服务产品的形式在服务目录上呈现各层丰富多样的云服务产品，同时可基于云资源及云服务的实际使用量、使用计次及使用时长的消费记录，或简单按照包年包月的模式进行计量和计费，从而将企业获取IT产品和服务的商业和交付模式真正从买盒子、买上门人工服务支持(CAPEX)这样直接在线获取转变为按需在线购买(OPEX)的模式。私有云运营者可有效依据计量计费信息来核算内部各租户、各部门对云服务产品的消费情况，并给出预算优化建议。公有云云服务运营控制系统还包含了云服务客户身份认证鉴权管理、客户关系(CRM)管理、订购管理、产品定义与服务目录、促销与广告、费率管理、批价与信用控制、计费计量等一系列功能模块；除了与公有云场景共享的租户身份认证鉴权、产品定义和服务目录、计量计费功能之外，与企业内部多层级部门组织结构相匹配的资源配额与服务封装和服务目录定制，服务申请审批流程，与ITIL系统的对接等，则是私有云服务运营过程需要解决的独特性问题。无论是公有云还是私有云，引入Markeplace应用超市及XaaS业务上线系统，使得在IaaS/PaaS平台能力基础上引入的第三方业务上线部署、配置以及测试过程从原来多次重复的人工干预过程，转变为一键式触发的全自动化过程，从而大幅提升第三方应用软件在公有云、私有云平台上实现上线过程的自动化和敏捷化效率。

5) 云服务运维管理

云服务运维管理系统包含云平台与应用软件的安装部署与升级补丁，虚拟及物理基础设施的监控与故障管理、日志管理、自动化仿真测试、安全管理，成本管理等功能模块和内部服务，通过管理工具支撑运维人员对系统运行的异常事件及健康状态进行快速、高效的响应处理，从而保障云服务可靠性、可用性、性能体验等SLA属性达到甚至超出承诺的水平。

• 云安全责任划分

云计算扩展要求测评指导