云计算服务安全能力要求 - 全国信息安全标准化技术委员会
Download
Report
Transcript 云计算服务安全能力要求 - 全国信息安全标准化技术委员会
信息安全国家标准
《云计算服务安全能力要求》
(报批稿)介绍
中国信息安全研究院 左晓栋
2014年4月
一
标准定位
二
标准条款来源
三
标准主要特点
四
标准主要要求
《云计算服务安全能力要求》(后文简称《能力要
求》)描述了以社会化方式为政府客户提供云计算
服务时,云服务商应具备的信息安全技术和管理能
力。
《能力要求》的起草目的是配合政府部门云计算服
务安全管理工作。拟向政府提供服务的云服务商,
需要由第三方评估机构进行安全评估,以验证其是
否满足《能力要求》,评估结果将作为是否批准云
服务商向政府部门提供服务的重要依据。
起草组提供了与《能力要求》相配套的安全计划模
板,模板中包含了《能力要求》的所有条款,云服
务商需要根据云安全措施的实际实施情况,填写完
安全计划,作为第三方安全评估的重要参考。
起草单位
国标委于2012年立项开展云计算服务安全标准编制。经过1
年起草并初步在网上公开征求标准草稿意见之后,考虑到
实际工作需要,将云计算安全标准分为《云计算服务安全
指南》和《云计算服务安全能力要求》两个标准。前者由
四川大学前头,后者由中国电子(CEC)下属中国信息安全
研究院牵头。
参与《能力要求》起草单位中,有云安全解决方案提供商
(三十所和三零卫士),有云安全研究机构(四川大学),
有参与ISO云安全标准ISO 27017起草的单位(中电网际),
还有熟悉美国云安全制度FedRAMP及其审查标准的专业机构
(中电研究院、工信部四院、工信部一所、赛迪等)。
《云计算服务安全指南》的起草单位后期也加入《能力要
求》起草组,有华为公司、中金数据、中移动研究院、未
来国际等一批云计算服务企业。
一
标准定位
二
标准条款来源
三
标准主要特点
四
标准主要要求
起草标准时把握的主要原则
充分参考国际和国外已有标准。《能力要求》主要
参考了美国联邦风险和授权管理项目(FedRAMP)的云
安全基线。
符合我国云计算产业发展的实际,技术上适当超前,
引导云计算安全措施的应用。国际和国外云安全标准
主要是提出了通用要求,对云计算的特性反映不多。
《能力要求》特别增加了系统虚拟化、网络虚拟化、
存储虚拟化等方面的安全要求。但考虑到技术发展趋
势,本标准总体上适度保持技术中立,对一些疑难问
题提出了原则性总体要求,以指引技术进步。例如,
对云计算服务中的数据加密、防范大数据分析等提出
原则性要求。
FedRAMP云安全基线
FedRAMP云安全基线完全取自NIST 800-53v3中的安全
控制,基本没有超出NIST 800-53的内容。从实践看,
这套云安全基线是行之有效的。
《FedRAMP云计算安全基线要求》
本文定义了NIST 800-53(《建联邦信息系统和组织采取的安全控制》
)第3版中的安全控制。这些控制已经通过了GSA、DHS和DOD联合授
权委员会的认可,可在向联邦政府提供云计算服务的信息系统中使用。
本文中的安全控制与NIST 800-53第3版相呼应。后附表格详细说明
了FedRAMP A&A(评估和授权)过程所用到的控制参数的定义,包括
NIST 800-53范围之外的附加要求和指南。NIST 800-53第3版详述了适用
于所有联邦信息系统的安全控制,授权官员和信息系统所有者有权力和
责任制定安全计划,以说明如何在特定的信息系统和运行环境中实施这
些安全控制。
在FedRAMP中,针对低级和中级影响的云信息系统分别定义了两套
安全控制。如FIPS 199所定义,影响等级取决于云信息系统所处理、存
储、传输的联邦信息的敏感性和重要性。
NIST 800-53及其安全控制类
NIST 800-53作为一套具有科学理
论基础和广泛实践价值的标准,基
于分级保护,为不同信息安全管理
需求的用户提供了参考和指导。
自发布以来已有数次更新,在方
法学上不断取得进展。2013年4月,
NIST发布了最新第4版,增加了大
量关于供应链安全、信息流控制的
内容。
FedRAMP云计算安全基线要求对应
NIST 800-53第3版。我们同时对比
研究了第4版的变化。在起草《能
力要求》时,纳入了第4版新增内
容。
一、访问控制(AC)
二、意识和培训(AT)
三、审计和可追究性(AU)
四、认证和认可(CA)
五、配置管理(CM)
六、应急规划(CP)
七、标识和鉴别(IA)
八、事件响应(IR)
九、维护(MA)
十、介质保护(MP)
十一、物理和环境保护(PE)
十二、规划(PL)
十三、人员安全(PS)
十四、风险评估(RA)
十五、系统和服务采办(SA)
十六、系统和通信保护(SC)
十七、系统和信息完整性(SI)
FedRAMP云安全基线示例
控制序号和名称
控制基线
低
CP-9
信息系统备份
CP-9
控制参数要求
附加要求指南
CP-9a.
[赋值:组织定义的与恢复时间和恢复点
目标一致的频率]
参数:[每天增量;每周全量]
CP-9b.
CP-9
要求:服务提供者应确定哪些云环境元素需要
信息系统备份(ISB)控制措施。需要 ISB 的云
环境元素得到 JAB 批准和接受。
要求:服务提供者应确定如何验证 ISB 持续有
效,以及适当的检查周期。ISB 的验证和检查周
期得到 JAB 批准和接受。
中
CP-9
CP-9(1)
CP-9(3)
[赋值:组织定义的与恢复时间和恢复点
目标一致的频率]
参数:[每天增量;每周全量]
CP-9c.
[赋值:组织定义的与恢复时间和恢复点
目标一致的频率]
参数:[每天增量;每周全量]
CP-9 (1)
[赋值:组织定义的频率]
参数:[至少每年 1 次]
CP-9a.
要求:服务提供者应保持至少 3 份用户级信息
的拷贝(至少其中 1 份在线可用)
,或者提供等
同的候选方案。该备份存储能力应得到 JAB 批
准和接受。
CP-9b.
要求:服务提供者应保持至少 3 份系统级信息
的拷贝(至少其中 1 份在线可用)
,或者提供等
同的候选方案。该备份存储能力应得到 JAB 批
准和接受。
CP-9c.
要求:服务提供者应保持至少 3 份包括安全信
息的信息系统文档的拷贝(至少其中 1 份在线
可用)
,或者提供等同的候选方案。该备份存储
能力应得到 JAB 批准和接受。
除个别项外(如“认证和认可”),《能力要求》吸
收了FedRAMP云安全基线的大部分内容,但对安全要求
的分类方式做了调整。
此外,《能力要求》还参考了国际云安全联盟(CSA)
云计算安全指南3.0、国际云安全标准ISO/IEC 27017。
一
标准定位
二
标准条款来源
三
标准主要特点
四
标准主要要求
起草时考虑到的一些难点问题
云安全某些问题还没有形成妥善的解决方案,如对数据加密的要求。
——解决办法:提出原则性要求,要求服务商能够支持相关
方案的部署。
云计算平台及系统的安全由客户和服务商共同负责,安全责任边界
在不同模式下不一样 。
——解决办法:(1)明确责任界面;(2)如某种服务模式
下,标准所提要求应由客户实施,则对服务商不做要求(在安全计划
模板中体现),但服务商要对客户提出专业性建议;(3)如云服务
商依赖于其他组织提供的服务或产品,则其所承担的信息安全责任直
接或间接地转移至其他组织,云服务商应以合同或其他方式对相应安
全责任进行规定并予以落实。但是,云服务商仍是客户或主管部门开
展云计算服务信息安全管理的直接对象。
云服务商的某些安全措施可能与客户的安全利益不一致,如审计要
求。
——解决办法:提出进一步安全要求,如规范审计管理员行
为,以化解风险。
安全措施的实施责任
云计算服务的安全性由云服务商和政府用户共同保障
云计算安全措施的实施主体有多个,各类主体的安全
责任因不同的云计算服务模式而异。
客户
IaaS
PaaS
SaaS
资源抽象控制层
硬件
设施
云服务商
SaaS
虚拟化计算资源
PaaS
软件平台
IaaS
应用软件
安全措施的作用范围
在同一个云计算平台上,可能有多个应用系统或服务。云
服务商申请为客户提供云计算服务时,所申请的每一类云
计算应用或服务均应实现本标准规定的安全要求,并以通
用安全措施、专用安全措施或混合安全措施的形式,标明
所采取的每项安全措施的作用范围。
通用安全措施
作用于整个云计算平台可被直接继承该安全措施。如:
人员安全措施。
专用安全措施
仅针对特定的应用。如电子邮件系统的访问控制措施。
混合安全措施
一部分属于通用安全措施,另一部分则属于专用安全
措施。如电子邮件系统的应急响应计划。
安全要求的表述形式
云计算服务的安全性由云服务商和政府用户共同保障根据云服务商
的安全能力水平,《能力要求》将安全要求分为一般要求和增强要
求。标准中每一项安全要求均以一般要求和增强要求的形式给出。
增强要求是对一般要求的补充和强化。在实现增强要求时,一般要
求应首先得到满足。
政府部门应对拟迁移至云计算平台的数据和业务系统进行分析,按
照数据和业务的敏感及重要程度选择相应安全能力水平的云服务商。
《能力要求》与现有国家信息安全等级保护标准GB/T 22239-2008
《信息系统安全等级保护基本要求》不矛盾、不冲突,也不重复。
云服务商应当首先满足GB/T 22239-2008的要求,《能力要求》可与
GB/T 22239-2008一起使用,未修改或降低等级保护标准所规定的要
求。
编制组建议,安全能力为一般级的云服务商应当首先满足等级保护
二级的安全要求,安全能力为增强级的云服务商应当首先满足等级
保护三级的安全要求。
安全要求的表述形式
-更好地支持网络安全审查工作的开展
为增加标准灵活性,引入了“赋值”和“选择”这两
种变量, 并以[赋值:……]和[选择:……;……]的
形式给出。这种表述最早见于CC(《通用准则》)。
“赋值”表示云服务商在实现安全要求时,要由
云服务商定义具体的数值或内容。
“选择”表示云服务商在实现安全要求时,应选
择一个给定的数值或内容
示例:
云服务商应在[赋值:云服务商定义的时间段]
后,自动[选择:删除;禁用]临时和应急账号。
安全要求的调整
– 为云服务商实现安全要求带来灵活性
《能力要求》提出的安全要求是通常情况下云服务商
应具备的基本安全能力。
在具体的应用场景下,云服务商有可能需要对这些安
全要求进行调整,例如:
已知某些目标政府用户有特殊的需求。
云服务商的安全责任因SaaS、PaaS和IaaS这3种不同的云计
算服务模式而不同,云服务商为了实现标准中规定的安全要
求,所选择的安全措施的实施范围、实施强度可能不同。
出于成本等因素考虑,云服务商可能希望实现替代性的安全
要求。
云服务商希望表现更强的安全能力,以便于吸引客户。
安全要求的调整
– 为云服务商实现安全要求带来灵活性
调整可视为对本标准提出的基本安全能力要求的
具体化。
调整的方式有:
删减:未实现某项安全要求,或只实现了某项安全要求
的一部分。
补充:某项基本安全要求不足以满足云服务商的特定安
全目标,故增加新的安全要求,或对标准中规定的某项安
全要求进行强化。
替代:使用其他安全要求替代标准中规定的某项安全要
求,以满足相同的安全目标。
安全计划模版
为了建立向政府用户提供安全的云计算服务的能力,
云服务商应制定安全计划,详细说明对《能力要求》提出
的安全能力要求的实现情况。
安全计划包括但不限于以下内容:
云计算平台的基本描述
为实现《能力要求》规定的安全要求而采取的安全措施
的具体情况。
为实现《能力要求》规定的安全要求而采取的安全措施
的作用范围。
对云服务商新增的安全目标及对应的安全措施的说明。
在具体云计算服务模式下,对政府用户安全责任的说明,
以及对政府用户应实施的安全措施的建议。
安全计划模版
1.信息系统名称
2.适用的信息安全能力要求
3.信息系统安全负责人
4.服务模式
5.信息系统描述
5.1系统功能和目的
5.2系统组件和边界
5.3使用者类型
5.4网络架构
5.5与其他云服务的关系
6. 信息系统环境
6.1硬件清单
6.2软件清单
6.3网络设备清单
6.4数据流
6.5端口、协议、服务
7. 信息系统连接
8. 《云计算服务安全能力要求》的实现情
况
9. 新增安全措施
安全计划模版
安全计划模版
安全计划模版
安全计划模版
一
标准定位
二
标准条款来源
三
标准主要特点
四
标准主要要求
安全要求的分类
一、系统开发与供应链安全(17项)
二、系统与通信保护(15项)
三、访问控制(26项)
四、配置管理(7项)
五、维护(9项)
六、应急响应与灾备(13项)
七、审计(11项)
八、风险评估与持续监控(6项)
九、安全组织与人员(12项)
十、物理与环境保护(15项)
《能力要求》对
政府部门云服务商
提出了基本安全能
力要求,反映了云
服务商在保障云计
算平台上政府数据
和业务信息安全时
应具有的基本能力。
(一)系统开发与供应链安全
云服务商应在系统开发时充分保护提供云计算
服务的信息系统,为其配置足够的资源,并充分
考虑信息安全需求;
云服务商应确保其下级供应商采取了足够的安
全措施保护系统中的信息、应用和服务;
云服务商应为政府用户提供安全措施相关文档
和信息,配合政府用户完成对信息系统和服务的
管理。
(二)系统与通信保护
云服务商应在云计算平台的外部边界和内部关键
边界上监视、控制和保护网络通信,并采用结构化
设计、软件开发技术和软件工程方法有效保护云计
算平台的安全性。
本类安全要求从策略与规程、边界保护、传输保
密性和完整性、网络中断、可信路径、密码使用和
管理、协同计算设备、移动代码、会话认证、恶意
代码防护、内存防护、系统虚拟化安全性、网络虚
拟化安全性、存储虚拟化安全性等方面对云服务商
提出要求,并对云服务商应采取的安全措施提出建
议。
(三)访问控制
云服务商应严格保护云计算平台的数据和用户
隐私,在授权信息系统用户及其进程或设备(包
括其他信息系统的设备)访问云计算平台之前,
应对其进行身份标识及鉴别,并限制非授权行为。
(四)配置管理
云服务商应对云计算平台进行配置管理,在系统生
命周期内建立和维护云计算平台(包括硬件、软件、
文档等)的基线配置和详细清单,并设置和实现云计
算平台中信息技术产品的安全配置参数。
本类安全要求从策略与规程、配置管理计划、基线配
置、变更控制、设置配置项的参数、最小功能原则、信
息系统组件清单等方面对云服务商提出要求,并对云服
务商应采取的安全措施提出建议。
(五)维护
云服务商应定期地维护云计算平台设施和软件
系统,对维护使用的工具、技术、机制以及维护
人员进行有效的控制,并做好相关记录。
本类安全要求从策略与规程、受控维护、维护工
具、远程维护、维护人员、及时维护、缺陷修复、
安全功能验证、以及软件、固件、信息完整性等方
面对云服务商提出要求。
(六)灾备与应急响应
云服务商应建立、维护云计算平台的应急响应
计划并有效实施,以确保在紧急情况下重要信息
资源的可用性和操作的可持续性。
云服务商应建立云计算平台的事件处理计划,
包括对事件的预防、检测、分析、控制、恢复及
用户响应活动等,对事件进行跟踪、记录并向相
关人员报告。
(七)审计
云服务商应根据信息安全需求和政府用户要求,
制定可审计事件清单,明确审计记录内容,实施
审计并妥善保存审计记录,对审计记录进行定期
分析和审查,还应防范对审计记录的未授权访问、
篡改和删除行为。
(八)风险评估与持续监控
云服务商应定期或在威胁环境发生变化时,对
云计算平台进行风险评估,确保云计算平台的风
险处于可接受水平;应制定待监控目标清单,对
目标进行持续安全监控,并在异常和非授权情况
发生时发出警报。
本类安全要求从策略与规程风险评估、脆弱性扫
描、持续监控、信息系统监测、垃圾信息监测等方
面对云服务商提出要求。
(九)安全组织与人员
云服务商应确保各类人员(包括供应商人员)
上岗时具备履行其信息安全责任的素质和能力,
在授予相关人员访问权限之前对其进行审查并定
期复查,在人员调动或离职时保护好云计算平台
上的信息和信息系统,对于违反信息安全策略与
规程的人员按正式程序对其进行处罚。
(十)物理与环境保护
云服务商应确保为政府提供云服务的信息系统
机房位于中国境内,机房选址、设计、供电、消
防、温湿度控制等符合《GB50174-2008电子信息
系统机房设计规范》的相关要求。
云服务商应严格限制各类人员与运行中的云计
算平台设备进行物理接触,确需接触的,需通过
云服务商的明确授权。
云服务商应对机房进行监控,加强对云计算平
台信息系统设备的保护。
谢谢!