首先有请公安部信息安全等级保护评估中心主任助理李明博士跟我们分享“云环境下的信息系统安全等级保护要求”。
李明:今天很高兴来到“云安全和电商安全论坛”,今天主要向大家汇报一下我们最近在有关部门要求下正在编制关于云环境下信息系统安全等级保护标准,把遇到的相关一些问题以及收获向大家汇报一下,也希望能够得到大家的一些意见和建议。
近年来,特别是近一两年来在一些新技术、新应用在我们日常工作和生活中发挥了越来越重要的作用,而且对于这些技术慢慢延伸到我们之前通常所谓国家信息基础设施当中,在这种应用中带来了便利和好处的同时也对我们的安全保障工作提出了一些新的需求,或者我们也面临了一些新的问题。如在传统保护形势下,其实很简单,之所以说很简单,大家相对来说很清楚,至少自建IT基础设施时很清楚我的数据在什么地方,服务器在哪里,我需要在什么样的边界做一个隔离,这一块至少我心里有底,可能措施上可以慢慢来做。但是随着新技术,特别是云,一提到云,很多人就会出来说云里雾里,说的通俗点就是不透明化。一透明化,自然有一些服务厂商就会提出来我透明了吗,你不必知道数据放哪里,只要保证你能用。至于他数据放到哪里你也不清楚,他背后能不能看到你也不清楚,所以这里有这样那样的问题。现在特别提到大数据,大数据分析的价值越来越扩展或提升的时候,这时候你的数据的隐私自然会带来这些问题。面对这些问题,公安部保卫局经过和安标委沟通,要求评估中心联合业内主流安全厂商、云服务厂商在借助修订“等保”核心标准,一个是基本要求,一个是测评的依据,就是说一个系统建成之后怎么样知道它是否符合国家的要求。在修订这两个标准的同时,我们针对前面所提到的新技术、新应用,比如云计算、移动互联网、物联网这几个新的领域把这两个标准在这几个领域的细化和完善作为标准的补贴在做相关的工作。
云计算有设计要求、测评要求,云计算还有一个视频要求,这三个标准现在是一体推进的。关系就是基本要求是一个基础,设计要求是到达它的一条途径,测评要求是帮助大家来确认结果。目前这三个标准已经完成了征求意见稿,目前正在更广范畴里征求大家的意见。
等级保护有三个内容,信息系统分级保护,对系统中的产品分级管理,系统中发生的安全事件进行分等级响应和处置。对于信息系统来讲,要做规定动作,通常所说的定级、备案、安全建设整改、测评。5-8月份正在开展全国重要信息系统安全检查,这就是安全检查的体现。
1、在这五个关键步骤里,定级其实是整个流程的起点,也是一个基础。定级实际上做两件事情,确认和保护对象;确认它的重要程度。而后续所有的备案、监管、建设整改实际上都是面对这个对象,依据它的重要程度采取相适应的管理措施。所以这里面特别重要的是定级。
对于定级来讲主要有三个视角或三个步骤来做这件事情:按照一个安全责任单位,通常来讲我们要做定级的时候,要一个系统、一个单位,把它作为整个大的系统,但是我们在保护的时候,这个可能不太方便,所以要切割到一个合适的程度或合适的范畴,所以第一点就是按照安全责任不同进行切割。当切割到我认为责任是唯一确定的时候,还要再看一看是不是承载着相对单一、相对独立的业务应用,这是第二层的切割,切割完了之后看一下是不是足够小,也就是说最后确认一下它的基本特征。这三步在传统的IT领域有这三个角度,就可以帮助大家来确定第一点,到底我的保护对象在哪里。
到了云之后,可能问题稍微有点复杂了,比如安全责任、业务,有一个系统的基本特征,很好切割。云的定义有很多种,这里只是说我们做一个通俗的解释,把它切割成三部分,有一个云管理平台或者叫云平台,中间会通过资源控制提供给租户或终端用户,有一个虚拟的资源,最外层是云的租户借助这个资源来做云的最终有效的应用布局。在自建的时候,所有这些都是我搞定,我很清楚责任是我的,无论是我的安全建设责任还是安全运维责任,我很清楚,但是到云环境里面,云管理平台和用户基本上没有关系,到了虚拟资源的控制也不在我这里,只是我可能虚拟出最终资源的使用权在我最终的用户使用。好像说管理的职责不太容易切割出来,没问题,把这个事情再往下拉一下,大家都知道有几种服务的模式,很清楚,在SAAS情况下,云服务商实际上从底层一直控制到顶,无论是底层的硬件还是最终的应用,完全在云服务提供商手里。对于最终的云租户或使用者来讲,只有少量应用的管理信息,也就是说不管是建设还是运维权限都不在用户手里。到了PAAS稍微好一些,到了云最终的IAAS情况下更好了,至少在客户的操作层面有一些控制。
既然是这样子,这个事情还是相对比较容易解决。既然是不一样,就干脆分开,按照第一个管理权限,在云的定级里面至少首先是两个层级,云租户的信息系统以及云平台的定级,这是两大块。如果再细分下去还是可以的,比如云平台是不是可以有些存储切割出来、资源池切割出来,这都没有问题,再往下细分时大家就可以借助第二个原则,承载相对单一或独立的业务,从安全责任上大家要注意,原先的系统可能责任是一方的,现在是两方的,所以首先要切割出来,在云环境下,我的定级对象首先是有两类,就是云租户的信息系统和云平台。在这两类里,大家可以再进行相对应的切割,比如我们应用可能有一些切割,A相对独立,B或C,在云平台这个地方可以再切开,真正管理后台,这里可能有一些虚拟的把存储和资源控制这一点切割开也是可以的,这要看大家具体的需求是什么。目前云平台的定级目前在全国已经开展,对它的要求里非常明确,云管理平台的服务一定要通过相关“等保”的测评。
对云租户的系统,按照它的信息和它的服务的重要程度确定就好了,对于云平台来讲要综合考虑两个因素,第一是这个云平台或这个云系统承载的云租户系统的级别,比如说这里面ABC如果都是二级的话,对不起,这个云平台的级别不可能低于二级,这是首先要考虑的第一个因素,平台的级别不能低于它承载的应用的级别。第二是这个平台的容量,也就是说当数据和服务聚集到一定程度的时候,它的重要程度会产生质变,所以在平台里面这个问题除了要考虑云租户系统的级别之外,还要考虑本身这个平台承载汇集有没有变化,也就是说很有可能云平台是一个四级系统,这上面的应用承载应该是三级的应用。
举例,全国性的银行系统,通常来讲它的ATM系统或他们的柜员、网络系统是三级,但是作为这些应用的后台支撑,全国性银行的核心帐目系统是四级,同样对云系统也是这样。云租户信息系统的等级和云平台的定级考虑的角度是不一样的。
2、具体的工作对象有没有变化?如图红色标注的内容是在云的测评里面,这里面是有变化的,对象是有增加的部分。比如在网络范畴里面出现了虚拟化网络的部分,出现了虚拟化安全的网络结构,因为有底层,有物理层、虚拟层。当然这里面并不是每一个云的解决方案都会包含红色部分,因为大家的技术路线不一样,可能包含的内容不一样,但是作为我们标准来讲,会涵盖所有的技术路线,不会区别对待。对于主机也出现了物理机和虚拟机,虚拟机的要求和传统的没有什么区别,但速度有一些变化,这里可以把Hypervisor等这种东西放到云管理平台中去,或者合并成云管理平台,把它做了一个拆分。还有一个要注意的是这里有一些中间件的部分容易被大家忽视,这也是希望大家注意的,会有一些中间件的东西,有一些镜像,这也是在传统测评里面没有的部分,在云的要求或测评里面这些都是要求的。
这是我们在考虑标准时遇到的第二个问题,即怎么样界定具体的工作对象,前面是一个大对象,这是一个具体的工作对象。
接下来进入具体的条款。
强调对平台自身的安全。对于平台安全,第一,首先有一些传统的硬件构成的,对于硬件自身的组件安全要遵循基本要求,基本要求现在是一个系列标准,2239的第一部分我们称之为基本要求,基础设施自身要遵循第一部分的要求;云计算安全要求对平台来讲,首先对平台管理的要求是要有界别;还有强调运维和管理,就是说作为服务的部分,真正虚拟的控制、虚拟资源的分配和平台自身的维护这是要分开的,这是比传统要求高的,在传统IT里面只要求审计厉害就可以了,在云里面,这是增强的部分;第二,在策略控制器如果走的是两层控制的话,在策略控制器和设备之间明确要求是双向认证,也比以前要求更多;第三,在管理里面,通讯要求必须是加的,不管距离有多远,特别是涉及到社区或场内方式下,建设所有权是最终云用户,但是运维权是第三方。
资源隔离。这是一个基本的条件。在这个隔离里面,首先要强调的第一,管理的流量和业务的流量必须是分离的,特别是对第三级以上这是一个最基准的,不能说我们的管理流量和业务流量混在一起。其实有一个类比,传统做网络运维时管理流量和业务流量是剥离的,这个是必须做到,比如在传统里面这一块还不是强制要求,在云的要求里目前是明确的;第二,可能在一个云里支撑多个不同等级的系统,这时候就涉及到不同级别的资源池的问题,这个资源池现在要求只有相同等级的系统才能够共享一个资源池,对于当出现需要虚拟机飘逸的时候不可以随便想怎么飘就怎么飘,也不允许以所谓的云化技术要求或者本身就应该这样,不是。在这种虚拟机迁移的时候必须在自有的群里面或者自有的池里面做迁移,不能从二级飘到三级,这是不允许的。
后面一系列条款是纵向的,纵向的就比较直接,比如虚拟到物理,这个纵向是不允许的;不同虚拟机之间CPU指令也是要隔离的;还有虚拟空间独占也是有些云服务商从自己的角度提出来的,这里有一个变化,有一些是独占模式,现在我们把它往后退了一步,就是更合理强调的是对内存的空间是独占的访问,不允许超配,这也是大家在做服务的选择或者在做云平台建设的时候要注意的;对于内存和存储空间的回收,我们也是有着明确的要求。
前面讲的都是纵向的,还有虚拟机之间的访问,虚拟机之间的控制;最后一个强调云的扩展,必须要求平台能够开放第三方的接口,这个安全接口必须是给云租户以选择权,是我要用我自己的隔离措施,用我的虚拟或物理的,还是要使用云服务方的隔离措施或者安全措施,特别是在三级以上,这也是非常明确的,即云服务方必须提供开放的接口给云租户以选择权,我是使用你的隔离和安全措施,还是使用我自己的。
数据安全。是不是云化之后数据可以随便存储,我不知道在哪里,我也不知道你能不能访问我?这是不可以的,无论是国家的管理规定还是我们的标准,都对数据安全有明确的要求。第一,无论是迟化(音)还是透明化,并没有说我的资源的位置不能够指定,我所说的指定是区域的概念,而这个区域的指定无论是国外还是国内我们的标准,都是要明确指出的,是允许指定的,至少可以跟省的范围或一个国家的范围可以指定的。作为云方来讲,必须能提供这样一个功能或者是这样一个承诺来说我的这些资源绝不落后弱于国内,而且在哪里客户知道,云租户如果需要的话,应该可以知道;第二,因为现在的云有独大的趋势,从我的理解,计算就是这个样子,到了PC时代大机就分散的,随着我们对于服务的精细化或人所谓的惰性延伸出了云计算这种模式,但是云计算的这种依赖我们也是从标准上予以杜绝,也就是说我们明确提出来云提供商应该保护云租户的数据当需要的时候能够迁移到本地或第三方平台,这也是对数据的一种保护;第三,对于数据库的管理权限,对IAAS模式下,既然云租户选择这种模式,自然要求云的租户拥有这个管理的权限,否则至于这个数据谁来访问根本不知道,如果你仅仅给我一个表格权限,给我一个小的实例的权限,没有办法保证,选择这个模式的意义就没有了。
剩下这些就是相对数据安全一些小的范例,比如保密性、对于镜像完整性、对于镜像的加固等等这些内容都是属于一些具体的条款,在今天这个时间里就不再展开了。
审计与监控。第一,云服务方应该提供这样一个数据汇集的接口,从而使这个云租户能够实现自己想要的那部分审计,而且这部分审计不仅仅是对自己,而且包括我的云租户对于我所拥有的数据、我所拥有的应用,当云服务方来进行操控的时候,我能够审计到这样的内容,所以这里提到的是双方各负其责。
这个地方也延伸出去一点,在一个云环境里面,安全责任做了一个分离,但实际上对于云租户来讲,永远是第一责任人,你的权利没有任何的削减,只是在它的体现形式上有所变化。比如你是数据拥有者,你是设备的拥有者,自己买、自己建设、自己管,在云化里,你有一部分运维建设权限改成了监督权,现在根据你的需要选择一个符合要求的云服务商,他能够按照我的要求来对待我的数据,按照我的要求来对待我的数据库,按照我的要求来对待我的业务应用。所以无论是在传统的模式下,还是在云环境里,云租户或者云的系统和最终用户的安全管理权限和安全管理的职责或你的责任没有任何的削减,只是在具体体现上有所变化。我们的标准也是来支撑这样的一个需求。
前面提的都是技术方面的内容,后面提的是管理。
管理要求。对云用户数据的访问和操作必须经过数据属主的授权,保留相关记录。不允许以任何的理由说我们经过自己的筛选做大数据的分析等等,这是不允许的,数据是用户的,当你对它访问的时候,云服务商一定要提供这样的事先的生命和征得许可。后面的隐私、供应链等等都是一些具体的条款,这里不再展开。
最后提一点,监控的管理和开发,这里面会有所变化,更多是针对监控的部分。在监控管理里面,要求从底层的物理资源到顶层的用户是一个全层次、全生命周期的监控,只是不同的监控所有权是不一样的。
以上是我今天讲的一些主要内容。总的来讲,希望和大家分享的是在“等保”,无论是传统IT还是云化,还是移动互联,我们都需要来落实等级保护制度,只是在落实里面,我们会有一些变化,而这种变化对于我们最终用户来讲没有任何削减,只是希望大家能够擦亮你们的眼睛参考相关的国家规定和相关的标准,选择一个适合自己的云服务方,然后在此上面做好我们自己安全防护,既有效的利用了云带给我们的便利,同时也能够很好的保障我们自己的安全。谢谢大家!