信息安全技術 信息系統等級保護安全設計技術要求 part2-對采用云計算技術的信息系統的擴展設計要求 -編制說明

工作簡況任務來源《信息安全技術信息系統等級保護安全設計技術要求第2部分：對采用云計算技術的信息系統的擴展設計要求》是國家標準化管理委員會2015年下達的信息安全國家標準制定項目，國標計劃號為：GB/T25070.2，由阿里云計算有限公司承擔，參與單位包括國家信息中心、中國科學院信息工程研究所、公安部第一研究所、安恒科技有限公司、綠盟科技有限公司、太極集團等單位。主要工作過程1)準備階段2013年12月，在公安部11局的統一領導下，阿里云計算有限公司同協作單位共同成立標準編寫項目組。2）調研階段標準起草組成立以后，項目組收集了大量移動終端相關的國內外相關標準，進行了研討。同時項目組參考了國內等級保護相關標準，明確采用云計算技術系統的功能框架、分析云計算平臺系統面臨的安全威脅，分析風險場景，對云計算系統的等級保護安全需求、安全風險進行了充分討論。為了真實了解行業(yè)內的安全要求，項目組也對行業(yè)內的企事業(yè)單位進行了調研。3）編寫階段2014年1月，標準起草組組織了多次內部研討會議，邀請了來自國內相關領域著名的專家、學者開展交流與研討，確定了標準的總體技術框架、核心內容。標準起草組按照分工，對標準各部分進行了編寫，形成了《對采用云計算技術的信息系統的擴展設計要求》（草案）。4）首次征求專家意見2014年4月，公安部11局組織業(yè)內專家對標準初稿進行了研討，專家對標準范圍、內容、格式等進行了詳細討論，提出了很多寶貴意見。項目組根據專家意見，對標準進行了修改。5）第二次征求專家意見2014年10月，公安部11局組織業(yè)內專家對標準初稿再次進行了研討，專家再次對標準范圍、內容、格式等進行了詳細討論，提出了寶貴意見。同時專家認為標準達到了項目申報要求。項目組根據專家意見修改后，提交安標委。6）系列標準統一修訂并提交安標委立項階段2015年4月，公安部一所組織等級保護設計要求系列標準起草組進行統一研討，會上針對系列標準，制訂了統一模板。同時要求根據安標委的統一部署，將標準名稱修改為《信息安全技術信息系統等級保護安全設計技術要求第2部分：對采用云計算技術的信息系統的擴展設計要求》。會后項目組根據相關要求，對標準進行了修訂；并提交安標委進行標準修訂項目立項。7）國家標準編制及專家評審2015年7月至今阿里云計算有限公司多次組織組內單位進行標準研討和修訂，并且于2016年5月、7月分別兩次組織行業(yè)用戶專家、安全專家對該標準進行評審討論，并根據專家評審意見對標準進行了修訂。8）國家標準草案到征求意見稿評審2016年10月在成都召開全國信息安全標準化大會，WG5組組長及與會專家聽取了標準牽頭單位代表對該標準的進展情況及主要工作內容的匯報，通過專家提問、質詢和解答，形成意見該標準按照專家意見盡快完成進行修訂后形成征求意見稿。2016年10月在全國安全標準化成都會議上明確對云計算保護系列標準進行名稱，阿里云提交了該標準的更名申請，標準更名為《信息安全技術網絡安全等級保護安全設計技術要求第2部分：云計算安全要求》。2016年11月13日和28日標準牽頭單位組織召開標準編制組核心成員根據專家評審意見進行集中修訂，完成征求意見稿。編制原則和主要內容2.1編制原則本標準的研究與編制工作遵循以下原則：1）科學性與實用性相結合的原則科學性是標準化的最基本原則，規(guī)范的科學性直接關系到該體系能否對云計算系統安全起到積極、穩(wěn)定和長久的正面作用。實用性表明標準體系是否與實際情況相符合，是標準化研究中最重要的基本原則?？茖W性與實用性相結合就是理論與實踐相結合在標準體系研究中的具體體現。2）先進性與開放性相結合的原則在執(zhí)行本標準研制項目時，要積極引入先進的管理理念和前沿技術，充分考慮到云計算系統未來發(fā)展的方向和特點。但同時也要考慮到目前的需求和技術水平，使規(guī)范能夠根據科學技術以及需求的變化而不斷進行擴充和完善。3）安全性和可用性相結合的原則本規(guī)范用來指導和規(guī)范云計算系統等級保護安全設計，是安全范疇的規(guī)范。但是規(guī)范在起草過程中不能一味地追求絕對安全，而應根據當前云計算系統的實際情況，構建保證業(yè)務系統可用性基礎上的適度安全體系。2.2主要內容該標準具體編制思路如下：1、研究云計算系統的界定及其突出特征，建立云計算系統框架模型ISO/IEC17788《信息技術云計算概覽和詞匯》中對云計算進行了定義：云計算一種通過網絡將可伸縮、彈性的共享物理和虛擬資源池以按需自服務的方式供應和管理的模式。注:資源包括服務器、操作系統、網絡、軟件、應用和存儲設備等。結合云計算定義，NIST明確云計算信息系統是由計算機硬件、網絡和通信設備、計算機軟件、動態(tài)可配置的計算資源池(如網絡、服務器、存儲、應用和服務)、信息資源和用戶組成的人機一體化系統。云計算平臺提供的服務一般包括彈性計算服務、云存儲服務、云網絡服務和大數據分析服務等。云計算一般有4種部署方式包括公共云、專有云、社區(qū)云、混合云。云計算平臺功能架構如圖1所示，分為六個邏輯層，即硬件設施層、云資源層、云服務層、云訪問層、云用戶層和云管理層。圖1云計算平臺邏輯功能示意圖2、研究并分析云計算系統面臨的威脅云計算信息系統威脅和風險場景分析方法如下圖所示：3、定義云計算系統的安全防護框架依據GB/T25070《信息安全技術信息系統等級保護安全設計技術要求》，結合云計算系統的特點，構建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網絡三重防御體系。安全管理中心支持下的云計算系統安全設計框架如下圖所示，該圖指出了云計算系統的三層架構和三種主要的安全區(qū)域劃分方式，以及安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡，具體如下圖所示：圖信息系統等級保護云計算系統安全設計框架安全計算環(huán)境包括基礎網絡網絡層面、資源抽象層、服務層、應用層中對定級系統的信息進行存儲、處理及實施安全策略的相關部件，如宿主機、虛擬機、分布式操作系統、數據庫管理系統、資源管理器以及中間件、業(yè)務應用等。安全區(qū)域邊界包括安全計算環(huán)境邊界，以及安全計算環(huán)境與安全通信網絡之間實現連接并實施安全策略的相關部件，如資源抽象層和服務層之間的邊界、資源抽象層和服務層分別與基礎網絡層之間的邊界等。安全通信網絡包括安全計算環(huán)境和安全區(qū)域之間進行信息傳輸及實施安全策略的相關部件，如網絡層的通信網絡以及資源抽象層和服務層內部安全計算環(huán)境之間的通信網絡等。安全管理中心包括對定級系統的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網絡上的安全機制實施統一管理的平臺，包括資源管理、安全管理和審計管理三部分，只有第二級及第二級以上的安全保護環(huán)境設計有安全管理中心。安全管理中心支持下的云計算系統安全設計框架如下圖所示，該圖指出了云計算系統的三層架構和三種主要的安全區(qū)域劃分方式，以及安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡在云計算系統中的位置。某一級別的云計算平臺系統（主要包括基礎設施層、資源抽象層、云服務層的功能組件）可以承載不同級別的云計算業(yè)務應用系統（主要包括用戶層和云服務層的功能組件），但云計算平臺系統的安全保護等級不應低于其承載的最高級別云計算業(yè)務應用系統。因此，既存在同一云計算平臺系統上的不同等級業(yè)務應用系統之間的級聯和跨級訪問，也可能存在不同云計算平臺系統之間相同級別或不同級別業(yè)務應用系統之間的級聯和訪問。4、基于防護框架及保護對象分析，給出具體的技術實現機制和方法主要的保護對象主要包括：基礎設施層：機房及基礎設施、傳統網絡設備、安全設備、網絡結構、傳統主機資源抽象層：虛擬機管理器（VMM）、云管理平臺、管理數據（包含虛擬機鏡像文件）、用戶鑒別信息服務層：云應用開發(fā)框架、中間件、數據庫、操作系統、用戶鑒別信息、管理數據（包含虛擬機鏡像文件）、業(yè)務數據（包括用戶隱私）應用層：業(yè)務系統、業(yè)務數據（包括用戶隱私）和用戶鑒別信息按照以下原則：1）一體化設計原則、2）風險一致的原則、3）清晰的區(qū)域邊界、4）多重保護原則對移動互聯系統進行劃分。并根據劃分后的內容進行設計，設計總體依據GB/T25070-2010和GB/T22239.2進行設計。包含三部分:計算環(huán)境安全設計安全計算環(huán)境應針對如下用戶主體：云租戶和云服務商，第三方協作者。如下客體對象：宿主機、物理機、安全設備、網絡設備、虛擬機監(jiān)視器、云業(yè)務管理系統、云管理平臺、數據庫管理系統、虛擬機、中間件、云應用開發(fā)框架、云租戶應用系統等，從以下方面進行安全設計：虛擬化安全用戶身份鑒別訪問控制安全審計數據完整性和保密性性保護程序可信執(zhí)行客體重用安全備份和恢復接口安全其中，針對虛擬化安全、多租戶隔離、訪問控制和接口安全將是本項目重點研究的內容。區(qū)域邊界安全設計包括安全計算環(huán)境邊界，以及安全計算環(huán)境與安全通信網絡之間實現連接并實施安全策略的相關部件，如資源抽象層和服務層之間的邊界、資源抽象層和服務層分別與基礎網絡層之間的邊界等。本項目從以下方面進行安全設計：區(qū)域邊界結構安全區(qū)域邊界訪問控制區(qū)域邊界入侵防范區(qū)域邊界安全審計區(qū)域邊界完整性保護通信網絡安全設計對定級系統安全計算環(huán)境之間進行信息傳輸及實施安全策略的相關部件。云計算平臺的安全通信網絡包括云計算平臺與外部系統之間的通信網絡、云計算平臺內部位于不同安全域之間的通信網絡以及云計算平臺內部其它部件之間的通信網絡本項目從以下方面進行安全設計：通信網絡數據傳輸保密性保護通信網絡數據傳輸完整性保護此外，安全管理中心通過統一的安全策略，負責對計算環(huán)境、區(qū)域邊界、通信網絡進行統一的安全管控。5、級差體現根據不同移動應用的重要程度，本項目將按照以下等級，分等級給出云計算平臺的安全設計技術要求。第一級系統安全保護環(huán)境設計第二級系統安全保護環(huán)境設計第三級系統安全保護環(huán)境設計第四級系統安全保護環(huán)境設計2）其他極差與《設計要求》和《基本要求-云計算要求》保持一致。結合云計算信息系統等級劃分和《設計要求》、《云計算基本要求》的要求給出安全體系結構的實現技術方法確定不同等級的級差。如身份鑒別方式一級系統用戶名加口令；二級系統對口令復雜度進行明確；三級系統要求雙因素認證，并且一種認證方式不可偽造。主要試驗（或驗證）的分析、綜述報告，技術經濟論證，預期的經濟效果本標準是在深入研究國外移動終端、云計算系統、等級保護等相關標準的基礎上，充分調研國內云計算系統應用，廣泛聽取了專家意見和建議的基礎上形成的。本標準編制期間調研和分析了國內云計算系統應用和安全現狀，研究和分析了國外云計算系統安全體系相關文件和標準，吸收國外先進的體系建設思路，針對國內云計算系統應用和安全現狀編制形成的。本標準的編制具有極高的社會效益：（1）規(guī)范和指導安全服務提供商，提升針對云計算系統安全保障方案的安全性通過本標準，能夠對安全服務提供商在進行方案設計時起到有效的指導作用，規(guī)范其方案設計的合理性及合規(guī)性，從而提升整個方案的安全保障能力。（2）提升移動應用提供商對自身系統安全性的認知及評價能力本標準作為系統安全設計的藍本，能夠幫助移動應用提供商了解系統安全方面的不足，加深對系統安全的理解，提升移動應用提供商對自身系統安全性的評價能力。（3）指導安全集成商對安全產品的選型通過本標準中的設計示例及產品示例，能夠指導安全集成商對安全產品的選型，規(guī)范選型標準，保證產品功能、性能等的合規(guī)性，從而提升整個系統的安全防護能力。（4）是國家信息安全的重要保障制定統一的云計算系統下的等級保護標準，建立整體安全防護體系及框架，能夠有效應對針對云計算系統環(huán)境的信息安全威脅，保護公民隱私數據不被竊取，保障重要云計算系統應用的正常運行，從而確保國家信息安全免遭非法攻擊。采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關數據對比情況本標準為自主制定，沒有采用國際標準和國外先進標準。與有關的現行法律、法規(guī)和強制性國家標準的關系沒有與有關的現行法律、法規(guī)和強制性標準發(fā)生相互聯系，與有關的現行法律、法規(guī)和強制性標準是協調一致的。重大分歧意見的處理經過和依據詳見標準意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措