云计算环境下的等保测评
近年来,随着我国底子设施网络化、信息化进程不断加快,工业互联网应用逐步崭露锋芒,网络安全标题也日益增多,网络攻击举动从IT层渗透到OT(Operational Technology,运营技能)层。因此,维护网络空间安全已上升为国家战略。云计算平台等保测评
体例测评指导书
云计算平台由设施、硬件、资源抽象控制层、假造化计算资源、软件平台和应用软件等组成。SaaS、PaaS、IaaS是三种基本云计算服务模式。对于采取云计算模式的信息系统,应将国家标准GB/T22239《信息安全技能网络安全品级保护基本要求》中的云计算扩展要求与云计算安全基本要求结合起来使用,对信息系统举行团体调研,依据测评对象所处的角色有针对性地选取相干测评要求,并据此体例云计算品级保护测评指导书,进而指导实际测评。
针对不同被测对象选取测评项
对于假造网络设备及安全设备,需要依据通用测评要求的网络和通讯安全层面要求,以假造资源对象作为界限,抽取测评对象并选取测评项。对于假造机监督器,需要覆盖云计算扩展要求中对网络和通信安全、设备和计算安全相干的条款,同时结合通用测评要求的设备和计算安全层面要求,选取测评项,尤其要注意快照和镜像的完整性保护机制。对于云管理平台,应覆盖云计算扩展要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全中的相干条款,同时结合通用测评要求中应用和数据层面的要求选取测评项。
测评后常见标题
颠末多次等保安全测评实践后,可总结出以下几个常见安全标题。
第一,架构安全标题:
云计算平台集成了计算、存储、网络假造化服务资源,相当于一整套假造的底子设施平台。同时,云平台从广义上来说也是一种软件,即信息系统,其承载的业务应用安全品级如果高于平台本身的安全品级,由于云平台相当于底层平台,对业务应用具有完全控制权,当云平台被攻陷时,其承载的高品级业务应用也会被攻陷。
第二,数据保护标题:
目前,有些云计算服务商的数据安全保护能力并未得到充实评估,在假造化资源迁移或备份过程中,可能存在数据丢失或错误标题,即忽略了数据校验机制。有些服务商对用户隐私数据缺乏保护意识,用户信息存在泄露可能。而且,有些厂商对用户隐私数据未设置防止越权访问的制度或技能手段。
第三,共享毛病标题:
在服务过程中,云计算环境中很多资源往往共用一套模板,纵然用通用设置信息,简单的设置错误亦可能造成整个系统丧失可用性,必须为网络和主机设置预警、告警或应急响应制度,确保供应商实时安装补丁以便优化服务。同时,传统网络安全防护界限消失、假造机共享物理网卡等因素也会引起恶意假造机的网络攻击等。
第四,社会工程学攻击标题:
云计算服务商一旦雇佣了恶意职员,极易引起社会工程学攻击。同时,云租户在使用云服务过程前往往缺乏经验,需要对云服务商举行合理评估,须要时应采取第三方评测机构评估。
第五,访问控制标题:
云计算服务模式的计算资源会合部署在云平台中,对用户身份认证和接入管理的自动化水平要求较高。为提高认证接入管理体验,需要优化用户认证过程,如果认证模块被入侵者攻破,攻击者有机会控制并获取云平台内的任何资源,给租户带来严重损失。此时,需要在假造化网络界限部署访问控制机制,并设置访问控制规则。
第六,服务调用缺乏安全审计:
在应用步伐开发方面,SaaS层用户可能不经改造、未经安全审计而直接使用服务商提供的应用接口,不安全的应用接口会导致SQL注入、文件上传毛病等严重后果,在应用的全生命周期管理中,要严酷部署审计策略,防止应用服务层面毛病被使用。
第七,假造化毛病标题:
在资源调理过程中,假造机动态地被创建、移植,但其安全策略可能没有被自动创建或迁移,云主机本身可在OSI(开放式系统互连)第二层中迁移,应用层面的安全防护措施很难保护云主机,尤其在迁移过程中。
第八,供应链管理标题:
供应链标题是一个比力系统化的标题,不同的云服务商提供不同层面的云服务,如果IaaS层服务框架存在安全毛病或管理毛病,导致Hypervisor被黑客攻击破解,Hypervisor中全部假造机将受到威胁并互相攻击,这将给系统带来极大隐患。租户无法确保整个供应链上所采购的服务都是可靠的,因此,亟需依据品级保护制度开展认证或评估工作,以确保整个供应链上供应商的可靠性。
以上标题分别对应国家标准GB/T22239中云计算扩展要求的网络架构安全、数据完整性、数据备份恢复、设备和计算安全、访问控制、安全创建管理、供应链管理等条款。从测评实践过程和发现的标题中可以看出,等保2.0版本中云计算扩展条款要求覆盖了工业互联网中云平台的信息安全标题,二者具有对应关系。
与此同时,等保2.0版本中也包含了移动互联网、物联网、工控系统等的安全扩展要求,与云计算扩展安全要求类似,这些要求确保了工业互联网各要素安全运行。工业互联网的典型安全标题为等保2.0制度的修订提供了依据,在工业互联网应用快速普及的背景下,信息安全品级保护制度也举行了扩充和变更,新的等保2.0测评对象范围涵盖了工业互联网的每一个应用场景,因而可以依据等保2.0对工业互联网的安全现状举行评估。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]