分类
从入门到精通

云平台背景下的网络安全等级保护测评策略

07-02 621

3.基于等级保护的私有云安全环境构建

luowenc 于 2021-12-12 12:54:15 发布 4043 收藏 1

1.云计算中常见的安全风险请添加图片描述

2.云计算租户网络安全设计准则-以三级等级保护为例

  1. 安全区域边界
    访问控制:拒绝所有通信、访问控制规则最小化、基于五元组和数据流访问控制。
    入侵防范:部署IPSS设备对网络攻击行为进行监视
    恶意代码防范:网络层实现恶意代码防范
    安全审计:部署日志审计设备收集网络设备与安全设备日志
  2. 安全通信网络
    网络架构:划分区域、分配网段、采用VLAN等手段实现隔离
    网络传输:采用VPN设备保证传输的完整性
  3. 安全计算环境
    身份鉴别:口令强度、登陆失败处理、远程访问加密
    访问控制:修改默认口令、三权分立
    安全审计:操作系统日志的审计和记录
    入侵防范:最小化安装、关闭默认共享、高危端口、远程管理限制
    恶意代码防范:部署杀毒软件

3.云计算租户网络安全设计实践介绍

07-02 621

1、平台布设系统应在系统实际运维团队所在地市网安部门进行系统定级备案 概况:现在已经是各种平台大行其道时代,很多企事业单位都选择了将自己系统布设在端,这就会出现一个很实际问题:布设运营单位和平台实际物理地址很有可能地址并不相同,还避免不了出现大型平台物理节点众多,无法确定具体地址情况。在这种情况下,系统应该选择去哪个注册地址备案呢?如果再出现系统运维团队不在企事业所在注册地办公又咋办?去企事业单位注册地址备案么? 正确做法:企事业单位建设系统应该去该系统真正运行和维

2.0时代,如何做好等保?

等保2.0发布一周年,过等保成为了企业合规运营的必经之路。在腾讯安全联合安全媒体FreeBuf举办《产业安全公开课 · 等保2.0专场》上,腾讯安全、深信服、深圳网安、鼎铉的各位安全专家围绕网络安全相关的政策法规,从不同的角度向各行各业分享了等保2.0的政策解读和实践经验。在之前的文章里,腾讯安全已经向读者陆续输出了等保政策、过保经验、密码、数据安全等维度上的内容,今天我们把六位安全专家的干货和精髓进行再次地提炼和凝聚,助力企业客户一站式读懂等保2.0。

第一课:学标杆

首度揭秘腾讯“过等保”经验

黄超在课上表示,公司高层重视网络安全,决定了这个企业开展网络安全相关工作的执行力以及安全战略的高度。在腾讯公司高层直接关注和扎实的安全团队支撑下,腾讯的做法被称为“举全公司之力巩固安全长城”——成立等级保护工作组,集结了来自公司内部各个安全团队的超过100名成员,推动等保工作落地。

第二课:借力过保

腾讯安全如何助力企业步入合规之路

腾讯安全从各行业实践中梳理和总结等保2.0时代网络安全合规工作方式与方法,以“一个中心、三重防护”为核心,在云平台合规、技术支持、专家服务等方面旨在助力提升企业网络安全能力,规避和缓解企业风险。

第三课:业务安全和等保合规

“双轮”驱动商用密码应用

为此,产业安全公开课·等保2.0专场第三课,全国首家第三方商用密码检测机构鼎铉公司的安全测评部副部长邹超在《信息系统密码应用设计、改造与评估要点解析》课程中,针对法律法规对密码上的要求进行了解读与分享。?5分钟速看密码评测精华《关于密码测评,你必须了解的10个基本问题》

邹超表示,运营者在企业信息系统建设的过程中,应充分使用商用密码对业务和数据进行保护。尤其是面向社会服务的政务信息系统、涉及国计民生和基础信息资源的信息系统关键基础设施、等保三级等重要领域网络和信息系统,在建设之初就应充分规划和配置相关密码设备及服务,启用商密算法/协议等功能配置,保障业务安全稳定地发展。

第四课:关键信息基础设施

等保2.0的重中之重

杨帆帆在课程中说道,关键信息基础设施的确定通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度以及信息系统发生网络安全事故后可能造成的损失来认定关键信息基础设施。

第五课:推出全栈解决方案

实现重保高效精准打击构建

腾讯安全从情报、攻防、管理、规划四个维度依托自身在身份安全、网络安全、终端安全等八大领域的安全能力,为客户设计了安全重保防护全栈安全解决方案,从企业自身所处的行业以及业务特殊性出发进行整体安全咨询。方案包含安全整体提升、内部检验、实战驻场三个阶段。

第六课:明确权责、规范指引

构建全生命周期的数据安全纵深防御

等保2.0对于数据安全的要求升级和新规范设置,实际上是顺应了社会普遍对数据治理的底层需求。等保2.0在1.0的基础上,将主机安全、应用安全、数据安全及备份恢复统一纳入“安全计算环境”范围,细分身份认证、访问控制、安全审计、数据保密性、个人信息保护、安全管理中心等维度进行明确,从事前、事中、事后实现整体性防范,要求企业不仅要做好数据审计,还要在出现问题的时候可以实现数据风险溯源。

面对由从云计算、大数据、AI、量子对抗到5G层层开放发展带来的安全挑战,产业互联网时代的企业应当抓住时代前沿技术红利,以战略视角构建基础安全架构、综合运营管理和租户云安全中心的云数据原生、全生命周期纵深防御技术架构和安全运维体系,为产业云化升级中的信息安全对抗提供全面支撑。

云平台背景下的网络安全等级保护测评策略

云计算系统边界划分

***类场景:存在业务应用不独占硬件物理资源或硬件物理资源上运行的基础服务系统是所有业务应用公用的情况,这时定级系统的边界应划在虚拟边界处,这个虚拟边界就是运行业务应用所用到的***层独占虚拟资源,通常是虚拟机。如下图所示:

第二类场景:业务应用对应的系统模块存在相对独立的底层服务和硬件资源,因此可以将整个系统边界划分到硬件物理设备,从而确定两个定级系统,如下图所示。如果这个场景对应的是对外提供服务的云计算系统,那么定级系统A就是一个使用了云计算技术的应用系统,而***系统B是另一个使用了云计算技术的应用系统。同理,我们依然可以在定级系统B上嵌套场景1,此时定级系统B这个云计算平台就会承载更多的业务应用系统。

云等保责任共担与定级

  1. 云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。
  2. 国家关键信息基础设施(云平台背景下的网络安全等级保护测评策略 重要云计算平台)的安全保护等级应不低于第三极。
  3. 在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。
  4. 对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

云等保的备案方法

云等保的建设整改

云计算系统测评打分

  1. 在对云租户测评时,如果云平台本身未测评,则无法对云租户系统进行测评。
  2. 对云租户系统测评打分时,不但要考虑云租户系统自身得分,还应关注云平台得分,云平台得分高低将影响租户系统得分。

分享到微信

分享到微博