等级保护2.0系列问答(四)

发布时间 2019-05-17

第16问我单位自建的云计算平台如何开展等级保护工作?


在云计算环境中,将云计算平台作为基础设施,云客户业务系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级。责任分离,分别定级,各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的等级。

针对私有云用户,也要按照云平台和云业务系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的等级。

对于云计算平台和云业务系统,则分别依据等保基本要求中的云扩展要求和安全通用要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。

第17问部署在公有云上的信息系统如何开展等级保护工作?

依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:

▶ 应确保云计算平台不承载高于其安全保护等级的业务应用系统。
▶ 应确保云计算基础设施位于中国境内。
▶ 云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
▶ 云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。

依据等保基本要求中的安全通用要求和云扩展要求开展云计算平台的等级保护工作。公有云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级,云平台的等级要不低于云上租户的业务应用系统的最高级。

公有云开展等级保护一般分为两个部分:

一是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。

二是云租户信息系统,比如某政府单位门户网站系统,在嵌入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。

不同云计算服务模式需要采取不同职责划分方式:

(一)对于IaaS基础设施服务模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。

(二)对于PaaS平台即服务的服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。

(三)对于SaaS软件服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。

第18问对于工业控制系统如何开展等级保护工作?


依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。

工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。

对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。

工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。

第19问我单位有大数据系统、物联网系统、云系统如何按照等保2.0开展工作?

大数据系统、物联网系统、云计算平台和云业务系统按照等保2.0相关标准分别进行定级、备案、方案设计、集成实施、系统测评等相关工作。

大数据系统应作为单独定级对象进行定级,安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。

物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。

云平台单独作为定级对象定级、云租户的等级保护对象也应单独作为定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统化为不同的定级对象。

在设计安全解决方案时,不仅要满足安全通用要求的共性安全需求,还要考虑大数据、物联网和云计算的扩展安全要求的个性安全需求。

第20问视频监控系统是否需要开展等级保护工作?


视频监控系统是否需要开展等级保护工作,从两个方面来回答这个问题:

一方面是:等级20.里面在安全通用技术要求里面,安全物理环境中的防盗窃和防破坏控制项中,明确要求“应设置机房防盗窃报警系统或者设置有专人值守的视频监控系统”。视频监控系统作为等保2.0中安全物理环境中防盗窃和防破坏的技术手段之一,列入等保2.0基本要求的标准之中。

另外一方面,视频监控系统是否需要按照等级保护相关标准要求进行等级保护工作。视频监控系统本身也是重要的信息系统之一,也会存在诸多安全问题,如:弱口令漏洞、权限提升漏洞、拒绝服务漏洞、敏感信息泄露、资源非法利用等等。视频监控系统是否按照等保进行建设、管理和运维,需要看视频监控系统受到攻击或者破坏是是否影响到公民、法人和其他组织的合法权益,社会秩序、公共利益以及国家安全。以及受到攻击或者破坏时,受到何种程度的危害,是造成一般损害,还是造成严重损害,或者造成特别严重损害。

参照等级保护定级指南对公共安全视频监控系统进行安全等级划分。公共安全视频监控系统属于国家“平安城市”的重要组成部分,同时也是保障国家治安防护水平的关键基础设施,并且运行的业务数据包括重要、敏感的公共安全信息和个人隐私信息,如果系统遭受入侵或者破坏会给公共安全、社会秩序和公共利益、公民、法人和相关组织的合法权益造成损害。根据损害程度对公共安全视频监控系统的网络安全防护要求以及测评大致可以参照等级保护中对二级至三级系统的要求。

等级保护参考定级






相关链接:


等级保护2.0系列问答(一)

等级保护2.0系列问答(二)

等级保护2.0系列问答(三)

等级保护2.0系列问答(五)