邵宗有:信息等級保護體系在云安全中的應(yīng)用
曙光信息產(chǎn)業(yè)(北京)有限公司副總裁邵宗有
以下為演講實錄:
連續(xù)兩年談這個問題,主要的原因是云計算的發(fā)展非常迅速。我們根據(jù)這個體系的要求,以及我們對云計算的研究結(jié)合起來做的云安全管理中心。
我講三個方面的內(nèi)容。第一,介紹一下等級保護標(biāo)準(zhǔn)體系,法律法規(guī)的制定,以及現(xiàn)在推廣的情況,因為國家很多的單位都在推廣等保的體制。第二,在等保要求下的云安全怎么來實現(xiàn)。第三,云安全管理中心CiOudfirm。
去年我的報告講了一個理論,就是在當(dāng)前的信息安全技術(shù)下可以比較好的保障云的安全,但事實上在過去的兩年里面,我們并沒有很好的解決一個問題,就是云安全的理論基礎(chǔ)在哪兒,怎么進行評價,做完了之后怎么符合國家的相關(guān)的規(guī)章制度。在去年的一年里面,我們認(rèn)為當(dāng)前的等保體系或者等保標(biāo)準(zhǔn)比較好的解決云安全過程當(dāng)中大家普遍關(guān)注的幾個問題,也正因為這個原因,所以云安全的標(biāo)準(zhǔn)大家呼聲非常高,是不是我們依靠等保體系能比較好的解決這個問題,但是等保體系并不是說能夠完全的去解決。非常簡單的一個道理,等保體系更多是根據(jù)物理的數(shù)據(jù)中心、無力的資源,它有很大的指導(dǎo)意義,但是不能完全解決。
第一,我們國家等級保護發(fā)展歷程。1994年國務(wù)院147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》。首先是劃分,第二是劃分完了之后怎么實施,還有就是基本的要求,因為這個東西在推廣過程中還要測評,還要認(rèn)證,所以花了4年時間我們建立了保護的標(biāo)準(zhǔn)體系。08年到10年,國家又建立了測評的管理體系,各種各樣的測評機構(gòu),培訓(xùn)各種各樣的測評師,所以一年以后看到人保的落地非常迅速。10年一年,二級系統(tǒng)突破了5萬人,三級突破2萬人,四級突破了100萬人,2011年三級系統(tǒng)增加100%。一些重大的行業(yè),一些重大的信息中心,我們一邊做等保標(biāo)準(zhǔn),一邊做云計算,我們的等保標(biāo)準(zhǔn)能不能保證云計算信息中心的安全。
等保的基本安全要求。安全問題首先是管理的問題,首先它有大量的管理的需求,要有安全管理的機構(gòu)、安全管理的制度,人員安全管理,哪些人有資格上崗,系統(tǒng)運維等等,等級保護制度和管理的要求是匹配的。另外,它還有很強的技術(shù)要求,包括物理資源的安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全。在云計算里面網(wǎng)絡(luò)是虛擬的網(wǎng)絡(luò),主機是虛擬機,過去我們都是一個一個物理的服務(wù)器,這個和安全還是有很大差異的。等級保護體系的劃分也是相當(dāng)嚴(yán)格的,分為五個體系,一般的系統(tǒng)就是第三級,全國過了四級的也就是電力系統(tǒng)。所以我們正常的云計算分析,基本上能夠到三級,就已經(jīng)能夠比較好的符合等級保護的要求。其實二級就已經(jīng)非常復(fù)雜,以后等級保護 是一個點一個點去評測,所以等級的評價和通過系統(tǒng)復(fù)雜的過程。這是等級保護的實施流程,你要知道它是一個什么樣的過程,我們的系統(tǒng)是怎樣覆蓋這個過程,要求系統(tǒng)整改,然后驗收測評,它這個生命周期是循環(huán)的。所以我們國家信息網(wǎng)絡(luò)制度的建立和實施,它已經(jīng)從初期的法律法規(guī)的制定到實施,已經(jīng)走過了十幾年的歷程,現(xiàn)在看來推進的非常完善。
云計算中心必須滿足等級保護的政策要求。云計算中心仍然是一類信息系統(tǒng),需要依照其重要行不通進行分級保護。云計算中心的安全工作必須按照等級保護的要求來建設(shè)運維。云安全還需要考慮虛擬化等新的技術(shù)和運營方式所帶來的安全問題。另外,云中心的安全等級,我們云計算的中心,如果我們要建立一個云安全的體系,我們要通過哪一個級別來通過云中心的保護呢?地市政府辦公自動化系統(tǒng),地市政府政務(wù)公開網(wǎng)站。常見的三級系統(tǒng),省政府辦公自動化系統(tǒng),省政府的政務(wù)公開系統(tǒng),省政府公文交換系統(tǒng),企業(yè)ERP系統(tǒng),銀行生產(chǎn)網(wǎng)。
云計算中心的虛擬化安全。虛擬化技術(shù)的大量使用,使得云計算中心的各種資源組成了一個大的虛擬化世界,在這個世界里迫切需要建立安全秩序。分租戶的信運營模式要求在虛擬化網(wǎng)絡(luò)里實現(xiàn)安全隔離。通過vSwitch等虛擬網(wǎng)絡(luò)技術(shù)可以事先預(yù)物理環(huán)境相當(dāng)?shù)木W(wǎng)絡(luò)安全隔離防護。傳統(tǒng)安全產(chǎn)品虛擬化入云可以為虛擬化環(huán)境引入成熟的安全技術(shù),從而實現(xiàn)四到七層的應(yīng)用安全。云安全其實是基于策略的物理安全,因為在真正的物理信息中心里面,你說你的防火墻設(shè)計一個策略,或者你的服務(wù)器設(shè)計一個策略,這個策略一般是可以物理治理的。你告訴我主機在哪里,你在使用這些虛擬機的時候你根本就不知道主機在哪里,你根本就不知道這個物理資源在哪里。所以你針對這些主機,針對物理的虛擬機,你的策略是什么。還有就是安全設(shè)備虛擬化入云的問題,如果出現(xiàn)問題我們可以對它進行隔離,但是一臺服務(wù)器虛擬除了4臺服務(wù)器,如果說我們說它隔離,實際它是不是隔離?你用什么樣的技術(shù),能夠既實現(xiàn)虛擬化的隔離,又能實現(xiàn)物理當(dāng)中的隔離,我們云計算的操作系統(tǒng)對虛擬資源的調(diào)動、分配和管理問題。各類安全設(shè)備虛擬化入云,可實現(xiàn)與虛擬機綁定的安全防護。所以做云安全最大的挑戰(zhàn),你首先還是要掌握這個云安全操作系統(tǒng)以后,你才可以配合你云安全的策略,所以云安全和云操作系統(tǒng)是不可分割的兩個方面。
CIoudFirm的內(nèi)涵。第一是安全管理,把它嵌入到語音的安全管理中心;第二,我們在虛擬的環(huán)境下,怎么樣在物理資源下推動虛擬安全。CIoudFirm設(shè)計目標(biāo)及指導(dǎo)思想。目標(biāo):作為獨立體系華產(chǎn)品嚴(yán)格參照等保要求設(shè)計、開發(fā)、力求達到合規(guī)、實用的設(shè)計目標(biāo),滿足等級保護二級要求。我們把CIoudFirm分成兩塊,第一是管理運維,第二我們把物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全備份恢復(fù)。CIoudFirm的設(shè)計思路:第一,安全管理平臺,云計算中心安全基礎(chǔ)市的配置管理,包括對虛擬安全設(shè)備鏡像的管理。第二,安全運維平臺。云計算中心的日常運維管理,對系統(tǒng)運行狀態(tài)、異常事件等各種安全事件進行監(jiān)控、記錄、維護。第三,等保合規(guī)性平臺。云計算中心管理制度的管理、文檔記錄、方便進行管理。這是CIoudFirm運維效果。安全防護,虛擬機的設(shè)計,安全云計算中心未來有12個屏幕,6個屏幕監(jiān)控資源,6個監(jiān)控是監(jiān)控云安全的設(shè)計和相關(guān)的防護。
最后總結(jié)一下,等級保護體系是云計算中心建設(shè)運維的指導(dǎo)標(biāo)準(zhǔn)。云計算中心的安全必須在等級保護的框架內(nèi)進行建設(shè),同時充分考慮虛擬化和運營等新的安全問題。現(xiàn)階段基于vSwitch等虛擬網(wǎng)絡(luò)安全技術(shù)和安全設(shè)備虛擬化運用是切實可行的手段。CIoudFirm的設(shè)計思想不僅要保證云計算中心的管理安全和運維安全,同時要起到保障合規(guī)性的效果,保證云計算中心在動態(tài)運營的過程中始終滿足等級保護的要求,切實達到相應(yīng)的安全級別。
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò) -
計算機病毒常用分析方法
2016-05-13 -
國內(nèi)首份汽車信息安全報告:智能汽車危險!
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò) -
計算機病毒常用分析方法
2016-05-13 -
現(xiàn)代火車漏洞多多 入侵并非難事