政务云租户安全服务方案
背景
近年来,云计算技术趋于成熟,云计算市场需求爆发告,类行业云、政务云平台遍地开花。随着云计算应用的普及,系统入云后的安全问题与需求也成为不可忽视的话题。
云租户安全责任
系统托管入云后,云租户如何保障自身系统安全性?根据《信息安全技术 网络安全等级保护基本要求》 、 《信息安全技术 云计算服务安全指南》等国家标准规范,云租户将系统托管入云后:
1、安全管理责任不变。信息安全管理责任不应随服务外包而转移,无论客户数据和业务是位于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。
2、安全管理水平不变。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。
因此,托管到云平台的各单位(云租户)是自身信息系统信息安全的最终责任人,并应该直接负责自己开发和部署的应用、数据及其运行环境的安全,其他安全责任由云服务商负责,基础安全设施也由云计算平台提供。
云租户安全服务
中信网安云租户安全服务方案,在云计算平台提供的基础安全设施之上,为客户的应用、数据、业务提供一站式的等级保护合规与持续性的安全运维保障。
等保咨询服务,为云租户系统的等级保护合规建设提供全流程的辅助与推动。
服务名称 | 服务项目 | 服务内容 |
等保咨询服务 | 云应用资产分析服务 | 调研云应用系统的主机、应用及相关联的资产,编制信息系统资产清单及资产报告 |
云应用安全评估服务 | 通过现场评估、脆弱性评估以及渗透测试等技术手段分析云应用系统安全风险 |
云应用差距评估服务 | 设计等保安全基线,并评估单位现状与等保基本要求的技术和管理两个层面的差距 |
需求分析与设计服务 | 按照差距分析报告对应策略设计整改加固措施,设计整改加固方案 |
云应用安全整改服务 | 根据等保安全加固指导书实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固建议以及应用安全加固辅导。 |
安全策略复查服务 | 针对加固前后的系统脆弱性进行复查 |
云管理制度辅助建设服务 | 托管到云平台的等级保护安全管理制度建设 |
等保定级咨询服务 | 提供等保定级咨询服务并协助搜集整理定级系统定级所需的材料 |
等保测评辅助服务 | 托管到云平台的等级保护测评数据采集服务 |
等保备案咨询服务 | 等级保护定级报告、备案材料设计服务 |
安全运维服务,通过周期巡检、持续监测、安全防护与应急响应等方式,为云租户的系统如云后如何持续保障安全水准与基线提供解决方案。
服务名称 | 服务项目 | 服务内容 |
安全运维服务 | 云应用安全检测服务 | 云应用安全漏洞扫描 云应用安全漏洞验证 云应用漏洞跟踪服务 |
云主机入侵清查服务 | 网页后门查杀; 系统木马查杀; 入侵痕迹检查; |
云主机安全评估服务 | 云主机系统漏洞扫描服务 云主机系统配置核查服务 云主机中间件安全评估服务 数据库系统安全评估服务 |
云主机安全加固服务 | 云主机系统补丁加固服务 云主机系统配置加固服务
云主机中间件配置加固建议
数据库安全配置加固建议
|
安全咨询与应急响应服务 | 专业的安全咨询顾问团队,本地化的应急响应专家队伍。 1)7*24小时的远程安全咨询; 2)市区2小时现场紧急救援服务; |
安全渗透测试服务 | 安全专家模拟黑客进行攻击测试: 配置管理;
身份认证;
会话管理; 授权测试; 上传下载; 信息泄漏; 数据存储; |