NSC2015公安部李明:云環境下的信息系統安全等級保護要求
責編:penggao |2015-07-03 17:55:36首先有請公安部信息安全等級保護評估中心主任助理李明博士跟我們分享“云環境下的信息系統安全等級保護要求”。
李明:今天很高興來到“云安全和電商安全論壇”,今天主要向大家匯報一下我們最近在有關部門要求下正在編制關于云環境下信息系統安全等級保護標準,把遇到的相關一些問題以及收獲向大家匯報一下,也希望能夠得到大家的一些意見和建議。
近年來,特別是近一兩年來在一些新技術、新應用在我們日常工作和生活中發揮了越來越重要的作用,而且對于這些技術慢慢延伸到我們之前通常所謂國家信息基礎設施當中,在這種應用中帶來了便利和好處的同時也對我們的安全保障工作提出了一些新的需求,或者我們也面臨了一些新的問題。如在傳統保護形勢下,其實很簡單,之所以說很簡單,大家相對來說很清楚,至少自建IT基礎設施時很清楚我的數據在什么地方,服務器在哪里,我需要在什么樣的邊界做一個隔離,這一塊至少我心里有底,可能措施上可以慢慢來做。但是隨著新技術,特別是云,一提到云,很多人就會出來說云里霧里,說的通俗點就是不透明化。一透明化,自然有一些服務廠商就會提出來我透明了嗎,你不必知道數據放哪里,只要保證你能用。至于他數據放到哪里你也不清楚,他背后能不能看到你也不清楚,所以這里有這樣那樣的問題。現在特別提到大數據,大數據分析的價值越來越擴展或提升的時候,這時候你的數據的隱私自然會帶來這些問題。面對這些問題,公安部保衛局經過和安標委溝通,要求評估中心聯合業內主流安全廠商、云服務廠商在借助修訂“等保”核心標準,一個是基本要求,一個是測評的依據,就是說一個系統建成之后怎么樣知道它是否符合國家的要求。在修訂這兩個標準的同時,我們針對前面所提到的新技術、新應用,比如云計算、移動互聯網、物聯網這幾個新的領域把這兩個標準在這幾個領域的細化和完善作為標準的補貼在做相關的工作。
云計算有設計要求、測評要求,云計算還有一個視頻要求,這三個標準現在是一體推進的。關系就是基本要求是一個基礎,設計要求是到達它的一條途徑,測評要求是幫助大家來確認結果。目前這三個標準已經完成了征求意見稿,目前正在更廣范疇里征求大家的意見。
等級保護有三個內容,信息系統分級保護,對系統中的產品分級管理,系統中發生的安全事件進行分等級響應和處置。對于信息系統來講,要做規定動作,通常所說的定級、備案、安全建設整改、測評。5-8月份正在開展全國重要信息系統安全檢查,這就是安全檢查的體現。
1、在這五個關鍵步驟里,定級其實是整個流程的起點,也是一個基礎。定級實際上做兩件事情,確認和保護對象;確認它的重要程度。而后續所有的備案、監管、建設整改實際上都是面對這個對象,依據它的重要程度采取相適應的管理措施。所以這里面特別重要的是定級。
對于定級來講主要有三個視角或三個步驟來做這件事情:按照一個安全責任單位,通常來講我們要做定級的時候,要一個系統、一個單位,把它作為整個大的系統,但是我們在保護的時候,這個可能不太方便,所以要切割到一個合適的程度或合適的范疇,所以第一點就是按照安全責任不同進行切割。當切割到我認為責任是唯一確定的時候,還要再看一看是不是承載著相對單一、相對獨立的業務應用,這是第二層的切割,切割完了之后看一下是不是足夠小,也就是說最后確認一下它的基本特征。這三步在傳統的IT領域有這三個角度,就可以幫助大家來確定第一點,到底我的保護對象在哪里。
到了云之后,可能問題稍微有點復雜了,比如安全責任、業務,有一個系統的基本特征,很好切割。云的定義有很多種,這里只是說我們做一個通俗的解釋,把它切割成三部分,有一個云管理平臺或者叫云平臺,中間會通過資源控制提供給租戶或終端用戶,有一個虛擬的資源,最外層是云的租戶借助這個資源來做云的最終有效的應用布局。在自建的時候,所有這些都是我搞定,我很清楚責任是我的,無論是我的安全建設責任還是安全運維責任,我很清楚,但是到云環境里面,云管理平臺和用戶基本上沒有關系,到了虛擬資源的控制也不在我這里,只是我可能虛擬出最終資源的使用權在我最終的用戶使用。好像說管理的職責不太容易切割出來,沒問題,把這個事情再往下拉一下,大家都知道有幾種服務的模式,很清楚,在SAAS情況下,云服務商實際上從底層一直控制到頂,無論是底層的硬件還是最終的應用,完全在云服務提供商手里。對于最終的云租戶或使用者來講,只有少量應用的管理信息,也就是說不管是建設還是運維權限都不在用戶手里。到了PAAS稍微好一些,到了云最終的IAAS情況下更好了,至少在客戶的操作層面有一些控制。
既然是這樣子,這個事情還是相對比較容易解決。既然是不一樣,就干脆分開,按照第一個管理權限,在云的定級里面至少首先是兩個層級,云租戶的信息系統以及云平臺的定級,這是兩大塊。如果再細分下去還是可以的,比如云平臺是不是可以有些存儲切割出來、資源池切割出來,這都沒有問題,再往下細分時大家就可以借助第二個原則,承載相對單一或獨立的業務,從安全責任上大家要注意,原先的系統可能責任是一方的,現在是兩方的,所以首先要切割出來,在云環境下,我的定級對象首先是有兩類,就是云租戶的信息系統和云平臺。在這兩類里,大家可以再進行相對應的切割,比如我們應用可能有一些切割,A相對獨立,B或C,在云平臺這個地方可以再切開,真正管理后臺,這里可能有一些虛擬的把存儲和資源控制這一點切割開也是可以的,這要看大家具體的需求是什么。目前云平臺的定級目前在全國已經開展,對它的要求里非常明確,云管理平臺的服務一定要通過相關“等保”的測評。
對云租戶的系統,按照它的信息和它的服務的重要程度確定就好了,對于云平臺來講要綜合考慮兩個因素,第一是這個云平臺或這個云系統承載的云租戶系統的級別,比如說這里面ABC如果都是二級的話,對不起,這個云平臺的級別不可能低于二級,這是首先要考慮的第一個因素,平臺的級別不能低于它承載的應用的級別。第二是這個平臺的容量,也就是說當數據和服務聚集到一定程度的時候,它的重要程度會產生質變,所以在平臺里面這個問題除了要考慮云租戶系統的級別之外,還要考慮本身這個平臺承載匯集有沒有變化,也就是說很有可能云平臺是一個四級系統,這上面的應用承載應該是三級的應用。
舉例,全國性的銀行系統,通常來講它的ATM系統或他們的柜員、網絡系統是三級,但是作為這些應用的后臺支撐,全國性銀行的核心帳目系統是四級,同樣對云系統也是這樣。云租戶信息系統的等級和云平臺的定級考慮的角度是不一樣的。
2、具體的工作對象有沒有變化?如圖紅色標注的內容是在云的測評里面,這里面是有變化的,對象是有增加的部分。比如在網絡范疇里面出現了虛擬化網絡的部分,出現了虛擬化安全的網絡結構,因為有底層,有物理層、虛擬層。當然這里面并不是每一個云的解決方案都會包含紅色部分,因為大家的技術路線不一樣,可能包含的內容不一樣,但是作為我們標準來講,會涵蓋所有的技術路線,不會區別對待。對于主機也出現了物理機和虛擬機,虛擬機的要求和傳統的沒有什么區別,但速度有一些變化,這里可以把Hypervisor等這種東西放到云管理平臺中去,或者合并成云管理平臺,把它做了一個拆分。還有一個要注意的是這里有一些中間件的部分容易被大家忽視,這也是希望大家注意的,會有一些中間件的東西,有一些鏡像,這也是在傳統測評里面沒有的部分,在云的要求或測評里面這些都是要求的。
這是我們在考慮標準時遇到的第二個問題,即怎么樣界定具體的工作對象,前面是一個大對象,這是一個具體的工作對象。
接下來進入具體的條款。
強調對平臺自身的安全。對于平臺安全,第一,首先有一些傳統的硬件構成的,對于硬件自身的組件安全要遵循基本要求,基本要求現在是一個系列標準,2239的第一部分我們稱之為基本要求,基礎設施自身要遵循第一部分的要求;云計算安全要求對平臺來講,首先對平臺管理的要求是要有界別;還有強調運維和管理,就是說作為服務的部分,真正虛擬的控制、虛擬資源的分配和平臺自身的維護這是要分開的,這是比傳統要求高的,在傳統IT里面只要求審計厲害就可以了,在云里面,這是增強的部分;第二,在策略控制器如果走的是兩層控制的話,在策略控制器和設備之間明確要求是雙向認證,也比以前要求更多;第三,在管理里面,通訊要求必須是加的,不管距離有多遠,特別是涉及到社區或場內方式下,建設所有權是最終云用戶,但是運維權是第三方。
資源隔離。這是一個基本的條件。在這個隔離里面,首先要強調的第一,管理的流量和業務的流量必須是分離的,特別是對第三級以上這是一個最基準的,不能說我們的管理流量和業務流量混在一起。其實有一個類比,傳統做網絡運維時管理流量和業務流量是剝離的,這個是必須做到,比如在傳統里面這一塊還不是強制要求,在云的要求里目前是明確的;第二,可能在一個云里支撐多個不同等級的系統,這時候就涉及到不同級別的資源池的問題,這個資源池現在要求只有相同等級的系統才能夠共享一個資源池,對于當出現需要虛擬機飄逸的時候不可以隨便想怎么飄就怎么飄,也不允許以所謂的云化技術要求或者本身就應該這樣,不是。在這種虛擬機遷移的時候必須在自有的群里面或者自有的池里面做遷移,不能從二級飄到三級,這是不允許的。
后面一系列條款是縱向的,縱向的就比較直接,比如虛擬到物理,這個縱向是不允許的;不同虛擬機之間CPU指令也是要隔離的;還有虛擬空間獨占也是有些云服務商從自己的角度提出來的,這里有一個變化,有一些是獨占模式,現在我們把它往后退了一步,就是更合理強調的是對內存的空間是獨占的訪問,不允許超配,這也是大家在做服務的選擇或者在做云平臺建設的時候要注意的;對于內存和存儲空間的回收,我們也是有著明確的要求。
前面講的都是縱向的,還有虛擬機之間的訪問,虛擬機之間的控制;最后一個強調云的擴展,必須要求平臺能夠開放第三方的接口,這個安全接口必須是給云租戶以選擇權,是我要用我自己的隔離措施,用我的虛擬或物理的,還是要使用云服務方的隔離措施或者安全措施,特別是在三級以上,這也是非常明確的,即云服務方必須提供開放的接口給云租戶以選擇權,我是使用你的隔離和安全措施,還是使用我自己的。
數據安全。是不是云化之后數據可以隨便存儲,我不知道在哪里,我也不知道你能不能訪問我?這是不可以的,無論是國家的管理規定還是我們的標準,都對數據安全有明確的要求。第一,無論是遲化(音)還是透明化,并沒有說我的資源的位置不能夠指定,我所說的指定是區域的概念,而這個區域的指定無論是國外還是國內我們的標準,都是要明確指出的,是允許指定的,至少可以跟省的范圍或一個國家的范圍可以指定的。作為云方來講,必須能提供這樣一個功能或者是這樣一個承諾來說我的這些資源絕不落后弱于國內,而且在哪里客戶知道,云租戶如果需要的話,應該可以知道;第二,因為現在的云有獨大的趨勢,從我的理解,計算就是這個樣子,到了PC時代大機就分散的,隨著我們對于服務的精細化或人所謂的惰性延伸出了云計算這種模式,但是云計算的這種依賴我們也是從標準上予以杜絕,也就是說我們明確提出來云提供商應該保護云租戶的數據當需要的時候能夠遷移到本地或第三方平臺,這也是對數據的一種保護;第三,對于數據庫的管理權限,對IAAS模式下,既然云租戶選擇這種模式,自然要求云的租戶擁有這個管理的權限,否則至于這個數據誰來訪問根本不知道,如果你僅僅給我一個表格權限,給我一個小的實例的權限,沒有辦法保證,選擇這個模式的意義就沒有了。
剩下這些就是相對數據安全一些小的范例,比如保密性、對于鏡像完整性、對于鏡像的加固等等這些內容都是屬于一些具體的條款,在今天這個時間里就不再展開了。
審計與監控。第一,云服務方應該提供這樣一個數據匯集的接口,從而使這個云租戶能夠實現自己想要的那部分審計,而且這部分審計不僅僅是對自己,而且包括我的云租戶對于我所擁有的數據、我所擁有的應用,當云服務方來進行操控的時候,我能夠審計到這樣的內容,所以這里提到的是雙方各負其責。
這個地方也延伸出去一點,在一個云環境里面,安全責任做了一個分離,但實際上對于云租戶來講,永遠是第一責任人,你的權利沒有任何的削減,只是在它的體現形式上有所變化。比如你是數據擁有者,你是設備的擁有者,自己買、自己建設、自己管,在云化里,你有一部分運維建設權限改成了監督權,現在根據你的需要選擇一個符合要求的云服務商,他能夠按照我的要求來對待我的數據,按照我的要求來對待我的數據庫,按照我的要求來對待我的業務應用。所以無論是在傳統的模式下,還是在云環境里,云租戶或者云的系統和最終用戶的安全管理權限和安全管理的職責或你的責任沒有任何的削減,只是在具體體現上有所變化。我們的標準也是來支撐這樣的一個需求。
前面提的都是技術方面的內容,后面提的是管理。
管理要求。對云用戶數據的訪問和操作必須經過數據屬主的授權,保留相關記錄。不允許以任何的理由說我們經過自己的篩選做大數據的分析等等,這是不允許的,數據是用戶的,當你對它訪問的時候,云服務商一定要提供這樣的事先的生命和征得許可。后面的隱私、供應鏈等等都是一些具體的條款,這里不再展開。
最后提一點,監控的管理和開發,這里面會有所變化,更多是針對監控的部分。在監控管理里面,要求從底層的物理資源到頂層的用戶是一個全層次、全生命周期的監控,只是不同的監控所有權是不一樣的。
以上是我今天講的一些主要內容。總的來講,希望和大家分享的是在“等保”,無論是傳統IT還是云化,還是移動互聯,我們都需要來落實等級保護制度,只是在落實里面,我們會有一些變化,而這種變化對于我們最終用戶來講沒有任何削減,只是希望大家能夠擦亮你們的眼睛參考相關的國家規定和相關的標準,選擇一個適合自己的云服務方,然后在此上面做好我們自己安全防護,既有效的利用了云帶給我們的便利,同時也能夠很好的保障我們自己的安全。謝謝大家!