邵宗有:信息等級保護體系在云安全中的應用
曙光信息產業(北京)有限公司副總裁邵宗有
以下為演講實錄:
連續兩年談這個問題,主要的原因是云計算的發展非常迅速。我們根據這個體系的要求,以及我們對云計算的研究結合起來做的云安全管理中心。
我講三個方面的內容。第一,介紹一下等級保護標準體系,法律法規的制定,以及現在推廣的情況,因為國家很多的單位都在推廣等保的體制。第二,在等保要求下的云安全怎么來實現。第三,云安全管理中心CiOudfirm。
去年我的報告講了一個理論,就是在當前的信息安全技術下可以比較好的保障云的安全,但事實上在過去的兩年里面,我們并沒有很好的解決一個問題,就是云安全的理論基礎在哪兒,怎么進行評價,做完了之后怎么符合國家的相關的規章制度。在去年的一年里面,我們認為當前的等保體系或者等保標準比較好的解決云安全過程當中大家普遍關注的幾個問題,也正因為這個原因,所以云安全的標準大家呼聲非常高,是不是我們依靠等保體系能比較好的解決這個問題,但是等保體系并不是說能夠完全的去解決。非常簡單的一個道理,等保體系更多是根據物理的數據中心、無力的資源,它有很大的指導意義,但是不能完全解決。
第一,我們國家等級保護發展歷程。1994年國務院147號令《中華人民共和國計算機信息系統安全保護條例》。首先是劃分,第二是劃分完了之后怎么實施,還有就是基本的要求,因為這個東西在推廣過程中還要測評,還要認證,所以花了4年時間我們建立了保護的標準體系。08年到10年,國家又建立了測評的管理體系,各種各樣的測評機構,培訓各種各樣的測評師,所以一年以后看到人保的落地非常迅速。10年一年,二級系統突破了5萬人,三級突破2萬人,四級突破了100萬人,2011年三級系統增加100%。一些重大的行業,一些重大的信息中心,我們一邊做等保標準,一邊做云計算,我們的等保標準能不能保證云計算信息中心的安全。
等保的基本安全要求。安全問題首先是管理的問題,首先它有大量的管理的需求,要有安全管理的機構、安全管理的制度,人員安全管理,哪些人有資格上崗,系統運維等等,等級保護制度和管理的要求是匹配的。另外,它還有很強的技術要求,包括物理資源的安全、網絡安全、主機安全、應用安全、數據安全。在云計算里面網絡是虛擬的網絡,主機是虛擬機,過去我們都是一個一個物理的服務器,這個和安全還是有很大差異的。等級保護體系的劃分也是相當嚴格的,分為五個體系,一般的系統就是第三級,全國過了四級的也就是電力系統。所以我們正常的云計算分析,基本上能夠到三級,就已經能夠比較好的符合等級保護的要求。其實二級就已經非常復雜,以后等級保護 是一個點一個點去評測,所以等級的評價和通過系統復雜的過程。這是等級保護的實施流程,你要知道它是一個什么樣的過程,我們的系統是怎樣覆蓋這個過程,要求系統整改,然后驗收測評,它這個生命周期是循環的。所以我們國家信息網絡制度的建立和實施,它已經從初期的法律法規的制定到實施,已經走過了十幾年的歷程,現在看來推進的非常完善。
云計算中心必須滿足等級保護的政策要求。云計算中心仍然是一類信息系統,需要依照其重要行不通進行分級保護。云計算中心的安全工作必須按照等級保護的要求來建設運維。云安全還需要考慮虛擬化等新的技術和運營方式所帶來的安全問題。另外,云中心的安全等級,我們云計算的中心,如果我們要建立一個云安全的體系,我們要通過哪一個級別來通過云中心的保護呢?地市政府辦公自動化系統,地市政府政務公開網站。常見的三級系統,省政府辦公自動化系統,省政府的政務公開系統,省政府公文交換系統,企業ERP系統,銀行生產網。
云計算中心的虛擬化安全。虛擬化技術的大量使用,使得云計算中心的各種資源組成了一個大的虛擬化世界,在這個世界里迫切需要建立安全秩序。分租戶的信運營模式要求在虛擬化網絡里實現安全隔離。通過vSwitch等虛擬網絡技術可以事先預物理環境相當的網絡安全隔離防護。傳統安全產品虛擬化入云可以為虛擬化環境引入成熟的安全技術,從而實現四到七層的應用安全。云安全其實是基于策略的物理安全,因為在真正的物理信息中心里面,你說你的防火墻設計一個策略,或者你的服務器設計一個策略,這個策略一般是可以物理治理的。你告訴我主機在哪里,你在使用這些虛擬機的時候你根本就不知道主機在哪里,你根本就不知道這個物理資源在哪里。所以你針對這些主機,針對物理的虛擬機,你的策略是什么。還有就是安全設備虛擬化入云的問題,如果出現問題我們可以對它進行隔離,但是一臺服務器虛擬除了4臺服務器,如果說我們說它隔離,實際它是不是隔離?你用什么樣的技術,能夠既實現虛擬化的隔離,又能實現物理當中的隔離,我們云計算的操作系統對虛擬資源的調動、分配和管理問題。各類安全設備虛擬化入云,可實現與虛擬機綁定的安全防護。所以做云安全最大的挑戰,你首先還是要掌握這個云安全操作系統以后,你才可以配合你云安全的策略,所以云安全和云操作系統是不可分割的兩個方面。
CIoudFirm的內涵。第一是安全管理,把它嵌入到語音的安全管理中心;第二,我們在虛擬的環境下,怎么樣在物理資源下推動虛擬安全。CIoudFirm設計目標及指導思想。目標:作為獨立體系華產品嚴格參照等保要求設計、開發、力求達到合規、實用的設計目標,滿足等級保護二級要求。我們把CIoudFirm分成兩塊,第一是管理運維,第二我們把物理安全、網絡安全、主機安全、應用安全、數據安全備份恢復。CIoudFirm的設計思路:第一,安全管理平臺,云計算中心安全基礎市的配置管理,包括對虛擬安全設備鏡像的管理。第二,安全運維平臺。云計算中心的日常運維管理,對系統運行狀態、異常事件等各種安全事件進行監控、記錄、維護。第三,等保合規性平臺。云計算中心管理制度的管理、文檔記錄、方便進行管理。這是CIoudFirm運維效果。安全防護,虛擬機的設計,安全云計算中心未來有12個屏幕,6個屏幕監控資源,6個監控是監控云安全的設計和相關的防護。
最后總結一下,等級保護體系是云計算中心建設運維的指導標準。云計算中心的安全必須在等級保護的框架內進行建設,同時充分考慮虛擬化和運營等新的安全問題。現階段基于vSwitch等虛擬網絡安全技術和安全設備虛擬化運用是切實可行的手段。CIoudFirm的設計思想不僅要保證云計算中心的管理安全和運維安全,同時要起到保障合規性的效果,保證云計算中心在動態運營的過程中始終滿足等級保護的要求,切實達到相應的安全級別。
責任編輯:黎陽錦
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡