云计算等保标准解读（34页）.pdf

《云计算等保标准解读（34页）.pdf》由会员分享，可在线阅读，更多相关《云计算等保标准解读（34页）.pdf（34页珍藏版）》请在三个皮匠报告上搜索。

1、云计算等级保护标准介绍署名：任卫红单位：公安部信息等级保护评估中心面向关键信息基础设施的等级保护关键信息基础设施等级保护需求云计算定级对象和定级云计算等级保护基本要求标准介绍目 录content一、关键信息基础设施等级保护需求 定级：将信息系统（包括网络）按照重要性和遭受损坏后的影响程度分成五个安全保护等级；备案：等级确定后，第二级（含）以上信息系统到公安机关备案，公安机关审核后颁发备案证明；建设整改：备案单位根据信息系统安全等级，按照国家政策、标准开展安全建设整改；测评：备案单位选择符合国家规定条件的测评机构开展等级测评;检查：公安机关定期开展监督、检查、指导。等级保护制度的主要内容国家信息

2、化领导小组关于加强信息安全保障工作的意见（中办发200327号）:要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。等级保护对象与关键信息基础设施5网络安全法(草案二次审议稿)第二十条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第二十九条国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围

3、和安全保护办法由国务院制定。6我国关键信息基础设施是指关系国家核心利益、人民群众生命财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生和公共利益的网络基础设施、重要业务系统和生产控制系统以及重要数据资源。我国关键信息基础设施7关键信息基础设施的安全保护等级不低于第三级。技术类管理类产品类信息系统安全等级保护基本要求信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求信息系统安全等级保护行业定级细则安全等级基线要求状况分析方法指导信息系统安全等级保护

4、实施指南信息安全等级保护安全建设整改工作关键信息基础设施保护发展需求面对关键信息基础设施，等级保护基本要求需要创新发展：适应新型的系统形态和网络架构面对新技术新应用的扩展使基本指标具有动态、可扩展性从合规测评到CIIP安全状态评价9新技术应用的等级保护标准网络安全等级保护基本要求第1部分：安全通用要求第2部分：云计算安全扩展要求第3部分：移动互联安全扩展要求第4部分：物联网安全扩展要求第5部分：工业控制安全扩展要求第6部分：大数据安全扩展要求10二、云计算等级保护对象和定级定级对象的演变定级对象信息系统业务处理类对象信息系统、工业控制系统、物联网系统等基础服务类对象网络、云服务平台、大数据分析

5、平台等数据资源类对象1213云计算相关定级对象硬件资源硬件资源Host OS虚拟机监视器虚拟机监视器/硬件模拟硬件模拟虚拟机虚拟机 VM应用应用1Guest OS虚拟机虚拟机 VM应用应用2Guest OS虚拟机虚拟机 VM应用应用1Guest OS系统系统定级定级对象对象平台平台定级定级对象对象14云平台定级对象运行管理平台业务管理平台资源池1资源池2资源池3逻辑隔离A地B地逻辑隔离云平台定级对象的设备位置与管控中心位置物理分离，是另一种跨地域部署系统类型。建议按大集中分布式部署系统定级备案。云服务商可能的定级对象划分方法：按服务类型、按部署模式。云计算相关定级对象15云服务方的云平台与云租

6、户的应用系统应分别定级，平台等级不低于应用的安全保护等级云平台先定级测评，再将已定级应用系统向云平台迁移，云上应用定级参照传统信息系统。云计算相关定级对象16三、云计算等级保护基本要求标准介绍18安全威胁 数据丢失、被篡改或泄露 网络攻击 利用不安全接口的攻击 云服务中断 越权、滥用与误操作 滥用云服务 利用共享技术漏洞进行的攻击 过度依赖 数据残留标准结构1范围2规范性引用文件3术语和定义4概述5第二级安全要求6第三级安全要求7第四级安全要求附录A与GB/T 22239.1的关系，附录B、安全威胁、附录C不同服务模式的安全管理责任主体技术和管理要求扩展