雲計算系統等保測評實踐
(一)
協議概述
我們在做等級測評時, 首先面對的問題是如何合理對雲計算系統進行準確劃分, 只有合理的對雲計算系統準確劃分、找出系統的邊界, 才能通過測評判斷業務應用系統的安全防護措施是否與系統重要性等級向匹配。 因此我們依然要從業務應用的角度出發來尋找系統邊界。
一個典型的雲計算系統架構。
這是一個典型雲計算系統架構, 基本上是一個二層架構, 路由器下面接交換機, 交換機下麵接的全部是通用伺服器。 相當一部分網路存取控制功能是由軟體和策略實現的, 不再完全依賴網路存取控制硬體設備。 在這樣的架構中, 應用系統可以快速的部署、快速反覆運算和快速調整。 但是網路存取控制功能和硬體呈現松耦合狀態, 我們再用傳統資訊系統劃分找物理邊界的方法已經無法實現。
面對這樣的雲計算系統, 如果依然用傳統從物理設備的劃分上找系統邊界就容易忽略系統定級劃分的“初心”, 這個“初心”是對系統的業務資訊和服務的重要性等級的確定。 如果僅僅從物理設備的劃分上找系統邊界, 我們無法將雲計算系統與其承載的業務應用的資訊和服務的重要性等級相對應。
因此, 在這樣的架構下尋找系統邊界, 我們依然要“不忘初心”。 也就是說我們要從業務應用出發, 搞清楚雲計算系統承載了多少個業務應用、這些業務應用使用哪些系統模組, 系統模組彼此間依賴關係是什麼、有沒有多個業務應用公共用的模組, 再往下看這些模組有沒有相對獨立硬體資源池。 只有這樣層層向下,
雲計算系統邊界劃分有兩種基本場景。
在場景1中, 存在業務應用不獨佔硬體物理資源或硬體物理資源上運行的基礎服務系統是所有業務應用公用的情況, 這時定級系統的邊界應劃在虛擬邊界處, 這個虛擬邊界就是運行業務應用所用到的最底層獨佔虛擬資源,
在場景2中, 我們依然從業務應用梳理, 找到與業務應用對應的系統模組, 進一步梳理發現這些業務模組存在相對獨立的底層服務和硬體資源, 因此我們可以將整個系統邊界劃分到硬體物理設備, 就像切蛋糕一樣可以一刀切到底, 從而確定出兩個定級系統。 如果這個場景對應的是對外提供服務的雲計算系統, 那麼定級系統A就是一個使用了雲計算技術的應用系統, 而頂級系統B是另一個使用了雲計算技術的應用系統。 同理, 我們依然可以在定級系統B上嵌套場景1的情況, 那麼定級系統B這個雲計算平臺有可能也會承載多個業務應用系統,這裡就不重複贅述了。
以上是雲計算系統邊界劃分方法。雲計算系統定級過程中還有幾點注意:
應根據其承載或將要承載的等級保護物件的重要程度確定其安全保護等級,原則上應不低於其承載的等級保護物件的安全保護等級
國家關鍵資訊基礎設施(重要雲計算平臺)的安全保護等級應不低於第三級
在雲計算環境中,應將雲服務方側的雲計算平臺單獨作為定級物件定級,雲服務客戶側的等級保護物件也應作為單獨的定級對象定級
對於大型雲計算平臺,應將雲計算基礎設施和有關輔助服務系統劃分為不同的定級物件
(二)
測評指標與測評物件選擇
下面我們再來看看在應用新標準過程中如何確定測評指標和測評物件。
首先對雲計算系統進行測評時應同時使用安全通用要求部分和雲計算安全擴展要求部分的相關要求。不能只是用雲計算安全擴展要求。
在這個過程中根據雲上系統的責任分擔不同,要對安全通用要求和雲計算安全擴展要求做拆分,抽取條款形成適用于雲服務商和雲服務客戶的安全保護需求。
這時我們要考慮幾方面因素,首先要確定被測雲計算系統是雲服務商的雲計算平臺還是雲服務客戶的業務應用系統。其次還要確定被測系統使用哪種服務模式,以此來確定保護責任。再次,我們還要根據保護責任的不同選擇不同的物件,這裡面就包括雲計算系統較傳統系統引入的新的測評物件類別。
(三)
報告打分
雲計算系統打分方法與傳統系統一樣,需要注意的是,在對雲服務客戶業務應用系統測評時打分是不需要與雲計算平臺的單項得分結果共同計算,只需將雲服務客戶業務應用系統側可測評項打分後帶入公式計算,雲服務客戶業務應用系統側不可測項做“N/A”處理。新版測評報告打分公式是支援這種處理方式的。
那麼是否完全不考慮雲平臺的得分結果呢?也不是,我們在做雲服務客戶業務應用系統測評前首先就要看雲計算平臺是否完成等級測評,然後索要雲平臺測評報告結論蓋章頁。在我們出具雲服務客戶業務應用系統報告時,將雲平臺測評得分一併放在最終得分一欄。如:雲服務客戶業務應用系統測評得分為85分,雲計算平臺得分為90分,則雲服務客戶業務應用系統等級測評報告得分欄填寫“(85,90)”。
以上內容摘自:
安全測評聯盟
作者:公安部資訊安全等級保護評估中心 張振峰
那麼定級系統B這個雲計算平臺有可能也會承載多個業務應用系統,這裡就不重複贅述了。以上是雲計算系統邊界劃分方法。雲計算系統定級過程中還有幾點注意:
應根據其承載或將要承載的等級保護物件的重要程度確定其安全保護等級,原則上應不低於其承載的等級保護物件的安全保護等級
國家關鍵資訊基礎設施(重要雲計算平臺)的安全保護等級應不低於第三級
在雲計算環境中,應將雲服務方側的雲計算平臺單獨作為定級物件定級,雲服務客戶側的等級保護物件也應作為單獨的定級對象定級
對於大型雲計算平臺,應將雲計算基礎設施和有關輔助服務系統劃分為不同的定級物件
(二)
測評指標與測評物件選擇
下面我們再來看看在應用新標準過程中如何確定測評指標和測評物件。
首先對雲計算系統進行測評時應同時使用安全通用要求部分和雲計算安全擴展要求部分的相關要求。不能只是用雲計算安全擴展要求。
在這個過程中根據雲上系統的責任分擔不同,要對安全通用要求和雲計算安全擴展要求做拆分,抽取條款形成適用于雲服務商和雲服務客戶的安全保護需求。
這時我們要考慮幾方面因素,首先要確定被測雲計算系統是雲服務商的雲計算平臺還是雲服務客戶的業務應用系統。其次還要確定被測系統使用哪種服務模式,以此來確定保護責任。再次,我們還要根據保護責任的不同選擇不同的物件,這裡面就包括雲計算系統較傳統系統引入的新的測評物件類別。
(三)
報告打分
雲計算系統打分方法與傳統系統一樣,需要注意的是,在對雲服務客戶業務應用系統測評時打分是不需要與雲計算平臺的單項得分結果共同計算,只需將雲服務客戶業務應用系統側可測評項打分後帶入公式計算,雲服務客戶業務應用系統側不可測項做“N/A”處理。新版測評報告打分公式是支援這種處理方式的。
那麼是否完全不考慮雲平臺的得分結果呢?也不是,我們在做雲服務客戶業務應用系統測評前首先就要看雲計算平臺是否完成等級測評,然後索要雲平臺測評報告結論蓋章頁。在我們出具雲服務客戶業務應用系統報告時,將雲平臺測評得分一併放在最終得分一欄。如:雲服務客戶業務應用系統測評得分為85分,雲計算平臺得分為90分,則雲服務客戶業務應用系統等級測評報告得分欄填寫“(85,90)”。
以上內容摘自:
安全測評聯盟
作者:公安部資訊安全等級保護評估中心 張振峰