2.3云计算安全等级保护

01等级保护2.3云计算安全等级保护•信息安全等级保护是保障信息安全与信息化建设相协调的重要手段，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。在经历了制定准则、规范和标准、强化制度、基础调研、组织试点、快速推进的历程后，等级保护制度已经在全国各地贯彻执行，有力保障了信息系统安全。•《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》（GA/T1390.2-2017）01等级保护实施流程2.3云计算安全等级保护系统定级等级评审定级备案评估和整改建设等级测评监督检查•等保过程中涉及的几个要点：•等保原则•定级方法•测评过程01等级保护实施流程2.3云计算安全等级保护1．等级保护的基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则。（1）自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。（2）重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。（3）同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。（4）动态调整原则要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。01等级保护实施流程2.3云计算安全等级保护2．定级方法《信息系统安全等级保护基本要求》（GB/T22239-2008）将信息系统作为保护对象，按照信息系统的重要程度分为五个保护级别，信息系统的重要程度又由两个定级要素、三类侵害客体、三种侵害程度决定。（1）两个定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。（2）三类侵害客体等级保护对象受到破坏时所侵害的客体包括以下三个方面：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。（3）三种侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：造成一般损害；造成严重损害；造成特别严重损害。（4）五级安全保护等级01等级保护实施流程2.3云计算安全等级保护2．定级方法（4）五级安全保护等级受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级01等级保护实施流程2.3云计算安全等级保护3．测评过程安全等保测评工作由具有测评资质、并由国家信息安全等级保护工作协调小组办公室推荐的测评机构展开。测评过程一般包含测评准备、方案编制、现场测评、分析与报告编制等四个步骤。测评过程具体内容测评准备测评机构启动测评项目，组建测评项目组；通过收集和分析被测系统的相关资料信息，掌握被测系统的大体情况；准备测评工具和表单等测评所需的相关资料，为编制测评方案打下良好的基础。方案编制测评机构确定测评对象和测评指标，选择测试工具接入点，从而进一步确定测评实施内容，并从已有的测评实施手册中选择本次需要用到的测评实施手册，没有测评实施手册的应开发相应的测评实施手册，最后根据上述情况编制测评方案。现场测评测评机构首先应与测评委托单位就测评方案达成一致意见，并进一步确定测评配合人员，商定测评时间、地点等细节，开展现场测评，完成测评实施手册各项测评内容，获取足够的测评证据。分析与报告编制测评人员通过分析现场测评获得的测评证据和资料，判定单项测评结果及单元测评结果，并进行整体测评和风险分析，形成等级测评结论，并编制测评报告。01等级保护实施流程2.3云计算安全等级保护02云计算安全测评2.3云计算安全等级保护1．定级对象针对云计算平台开展等级测评工作首先需要明确定级对象。《信息系统安全等级保护定级指南》（GB/T222240-2008，以下简称《定级指南》）中明确表明作为定级对象的信息系统应具有唯一确定的安全责任单位，承载单一或相对独立的业务应用。云计算环境下，信息系统业务涉及到双方甚至多方安全主体，所以针对云计算平台的特殊性，应采用“双向”定级方法（1）云服务商负责确定云平台的安全保护能力等级。云平台服务商根据自身的安全建设能力、安全服务能力以及安全控制措施实现情况，委托独立的第三方测评机构开展并通过等级测评，确定提供的服务模式以及云平台安全级别，该级别为安全保护能力等级。（2）用户根据数据和业务的重要程度，参照《定级指南》明确业务系统安全级别，该级别为业务系统的重要性安全等级。原则上，云服务商不能向高于云平台安全保护能力等级的业务系统提供服务，反之，用户不应该选择低于自身业务系统安全级别的云平台承载业务或处理数据。02云计算安全测评2.3云计算安全等级保护测评层面划分原有测评指标新增测评指标新增测评内容技术方面物理安全物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护物理位置的选择网络安全结构安全、访问控制、安全审计、剩余信息保护、边界完整性检查、入侵防范、恶意代码防范、网络设备防护网络架构访问控制、入侵防范、安全审计主机安全身份鉴别、安全标记、访问控制、安全审计、可信路径、剩余信息保护、入侵防范、恶意代码防范、资源控制镜像和快照保护身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制应用安全身份鉴别、安全标记、访问控制、安全审计、可信路径、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制接口安全安全审计、资源控制数据安全及备份恢复数据完整性、数据保密性、备份和恢复剩余信息保护数据完整性、数据保密性、数据备份恢复管理方面安全管理制度管理制度、制定和发布、评审和修订安全管理机构岗位设置、人员配备、授权和审批、沟通和合作、审核和检查授权人员安全管理人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理人员录用系统建设管理系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择云服务商选择、供应链管理安全方案设计、测试验收系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理配置管理、监控和审计管理环境管理