云安全之等级保护解决方案及应用场景

等保2.0解决方案背景

适应云计算、移动互联网、大数据、物联网和工业控制等新技术发展，在新的技术场景能够顺利开展等级保护工作;
《网络安全法》2016年已正式发布，等级保护2.0为了更好配合《网络安全法》的实施；
等级保护1.0，在适用性、时效性、易用性、可操作性上等保2.0进一步完善。

等保2.0的重要性

法律依据和法律效力位阶提升：等保2.0的主要法律依据是《网络安全法》、《保守国家秘密法》，相比于等保1.0主要依据的《计算机信息系统安全等保条例》，其法律位阶更高。这也反映出国家对网络安全领域的高度重视。
定级对象涉及范围扩大：等保2.0在定级对象上有了明显的扩大。在《网络安全法》出台后，等保2.0将原来的“信息安全等级保护”升级为“网络安全等级保护”。这意味着等级保护工作的重点保护对象扩大到了涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。比如云平台和大数据平台这种承载数据平台必须定级，定级的等级不能低于上面承载的系统。
安全体系变化：等保2.0相比等保1.0，在安全体系方面也有了变化。等保2.0更注重主动防御，从被动防御转变到事前、事中、事后全流程的安全可信、动态感知和全面审计。同时，等保2.0实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
标准要求变化：等保2.0在标准要求方面相比等保1.0也有所提升。在云计算、物联网、移动互联网、工业控制、大数据等新技术领域，等保2.0提出了新的安全扩展要求。

等保2.0云计算扩展要求

等保2.0提出云计算安全建设要求

云计算平台系统等级保护建设，不仅要满足安全通用要求，同时要满足云计算安全扩展要求。

等保2.0对云计算安全建设的要求主要体现在以下几个方面：

基础设施位置：云计算基础设施应位于中国境内，这是保证数据主权和安全的重要基础。
虚拟化安全保护：云计算平台应保证不承载高于其安全保护等级的业务应用系统，实现不同云服务客户虚拟网络之间的隔离，具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。
镜像和快照保护：云计算环境应提供对虚拟机镜像、快照进行完整性和保密性保护的能力。
云服务商选择：云服务客户在选择云服务商时，应重点考虑云服务商的信誉、服务质量和安全能力等因素，确保选择的云服务商能够满足其业务需求和安全要求。
供应链管理：云服务商应建立完善的供应链管理制度，确保供应链各环节的安全可控，防止供应链中的安全风险传递到云计算环境中。
云计算环境管理：云服务商应建立完善的云计算环境管理制度，包括安全管理制度、应急响应制度、安全审计制度等，确保云计算环境的安全稳定运行。

此外，等保2.0还针对云计算的特点，提出了特殊保护要求，包括基础设施的物理安全、网络安全、主机安全、应用安全和数据安全等方面。这些要求都是为了确保云计算环境的安全性和稳定性。

等保2.0体系下云计算平台合规框架 = 安全通用要求 + 云计算安全扩展要求

云计算安全责任主体

责任主体一分为二，共担安全责任。

1、云服务商；2、云租户；

不同云服务模式，云服务商和云租户承担安全的责任边界也不同，如: laaS服务中，云服务商与云租户的责任边界位于虚拟环境与资源抽象控制层之间，之下由云服务商建设并担责，之上有云租户建设并担责。

云计算平台不得承载高于平台等级的信息系统；如云平台系统定级三级，那

么之上只能承载三级及三级以下的业务系统。

注解：

IaaS（基础设施即服务）模式：

在IaaS模式下，云服务商主要负责提供基础设施服务，包括计算、存储和网络等。因此，云服务商的安全责任主要包括以下几个方面：

a. 基础设施安全：云服务商需要确保基础设施的安全性，包括物理安全、网络安全、主机安全等方面。这需要云服务商建立完善的安全管理制度和安全审计制度，定期对基础设施进行安全检查和漏洞扫描。

b. 虚拟化安全：云服务商需要保证虚拟化计算资源的安全性，防止虚拟机之间的攻击和泄露。这需要云服务商采用安全的虚拟化技术和隔离措施，确保不同云服务客户之间的虚拟网络隔离和通信安全。

c. 数据安全：云服务商需要保证云服务客户数据的安全性，包括数据的保密性、完整性和可用性。这需要云服务商采用加密技术、访问控制技术等措施，确保云服务客户数据的安全存储和传输。

云租户的安全责任主要包括以下几个方面：

a. 应用安全：云租户需要保证自己开发和部署的应用的安全性，防止应用被攻击和泄露。这需要云租户采用安全的开发技术和部署措施，对应用进行漏洞扫描和安全测试。

b. 运行环境安全：云租户需要保证自己部署的操作系统、运行环境和应用的安全性，防止被攻击和泄露。这需要云租户采用安全的配置和管理措施，对运行环境进行漏洞扫描和安全测试。

c. 账号和密码安全：云租户需要保证自己的账号和密码的安全性，防止被他人盗用和攻击。这需要云租户采用安全的登录方式和密码保护措施，定期对账号和密码进行更换和加密。

PaaS（平台即服务）模式：

在PaaS模式下，云服务商主要负责提供应用程序开发和部署所需的平台和工具。因此，云服务商的安全责任主要包括以下几个方面：

b. 平台安全：云服务商需要保证提供的开发和部署平台的安全性，防止平台被攻击和泄露。这需要云服务商采用安全的开发技术和部署措施，对平台进行漏洞扫描和安全测试。

云租户的安全责任主要包括以下几个方面：

b. 运行环境安全：云租户需要保证自己部署的运行环境的安全性，防止被攻击和泄露。这需要云租户采用安全的配置和管理措施，对运行环境进行漏洞扫描和安全测试。

SaaS（软件即服务）模式：

在SaaS模式下，云服务商主要负责提供软件应用程序和相关的数据存储、备份和安全防护等服务。因此，云服务商的安全责任主要包括以下几个方面：

b. 应用安全：云服务商需要保证提供的软件应用程序的安全性，防止应用被攻击和泄露。这需要云服务商采用安全的开发技术和部署措施，对应用进行漏洞扫描和安全测试。

云租户的安全责任：

a. 账号和密码安全：云租户需要保证自己的账号和密码的安全性，防止被他人盗用和攻击。这需要云租户采用安全的登录方式和密码保护措施，定期对账号和密码进行更换和加密。

b. 数据安全：云租户需要保证自己上传和存储的数据的安全性，包括数据的保密性、完整性和可用性。这需要云租户采用加密技术、访问控制技术等措施，确保数据的安全存储和传输。

c. 应用程序使用安全：云租户需要保证自己使用应用程序的安全性，防止因不当使用导致的安全问题。这需要云租户遵守云服务商提供的使用规范和最佳实践，定期对应用程序进行安全检查和漏洞扫描。

d. 业务连续性计划：云租户需要制定和实施业务连续性计划，以防止因各种原因导致的服务中断或数据丢失。这需要云租户了解云服务商提供的备份恢复措施和高可用性技术，并根据自身业务需求制定适合自己的业务连续性计划。

云计算安全总体框架

云租户安全: 云上数据安全、云上应用安全、虚拟网络安全、虚拟主机安全。

云平台安全: 云资源安全和物理资源安全，其中云资源安全分为云管平台安全、云计算安云存储安全、云网络安全，物理资源安全分为宿主机和物理网络安全、机房与环境安全。

等保2.0解决方案套餐要求

等保解决方案产品概念介绍

下一代防火墙（NGFW）：

下一代防火墙是一种新型的防火墙产品，具备传统防火墙的功能，同时还具备应用层识别和控制、用户身份识别、威胁检测与防御等高级功能。NGFW可以通过深度包检测（DPI）技术识别和控制各种网络应用，有效防止应用层攻击；还可以通过用户身份识别技术控制网络访问权限，提高网络安全性。

云WAF（Web应用防火墙）：

云WAF是一种基于云计算的Web应用防火墙，可以保护Web应用程序免受各种攻击，如SQL注入、跨站脚本攻击（XSS）、文件上传漏洞等。云WAF通过检测和分析HTTP/HTTPS流量中的恶意行为，可以及时发现并阻止针对Web应用程序的攻击。

主机安全及管理：

主机安全及管理产品可以提供对服务器和终端的全面保护，包括防病毒、防恶意软件、漏洞扫描和修复、访问控制等功能。这些产品可以通过实时监控和检测服务器和终端的安全状态，及时发现和处理安全问题，提高整个系统的安全性。

网页防篡改：

网页防篡改产品可以保护Web页面不被篡改或挂马，保障网站的正常运行和用户的数据安全。这些产品通过实时监控网页内容的变化，及时发现和处理被篡改的网页，同时还可以对网页进行备份和恢复，降低因网页被篡改带来的损失。

云堡垒机：

云堡垒机是一种基于云计算的访问控制设备，可以对云服务器和应用程序进行集中的身份验证和访问控制。这些产品可以通过多因素身份验证、访问控制列表等技术手段，保证只有经过授权的用户才能访问和使用云服务。

云综合日志审计：

云综合日志审计产品可以对云环境中的日志进行全面收集和分析，帮助用户了解云服务的运行情况和安全状况。这些产品可以通过对日志的挖掘和分析，发现潜在的安全问题和异常行为，提高整个系统的安全性。

云综合漏洞扫描：

云综合漏洞扫描产品可以对云服务器和应用程序进行全面的漏洞扫描和评估，帮助用户及时发现和处理安全问题。这些产品可以通过对各种漏洞的扫描和评估，提供针对性的修复建议和措施，降低因漏洞带来的安全风险。

云数据库审计：

云数据库审计产品可以对云数据库进行全面审计和监控，帮助用户了解数据库的运行情况和安全状况。这些产品可以通过对数据库操作的监控和分析，发现潜在的安全问题和异常行为，提高整个系统的安全性。