■ 云上與云下企業過等保的區別
等保2.0全稱網絡安全等級保護2.0制度,是我國網絡安全領域的基本國策、基本制度?!毒W絡安全法》出臺后,網絡安全等級保護制度上升到了法律層面,不做等保就“等于”違法早已深入人心。等保2.0標準從2019年12月1日正式實施,并且已出現違法等保導致的被處罰的案例。
網絡安全法規定“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則及其他相關規定,前提是云平臺通過等保級別不低于用戶系統級別,否則影響云上用戶的信息系統等級保護定級備案。因此只要云平臺通過等保測評,傳統環境中的物理安全、網絡安全、虛擬層安全等基礎安全防護要求,云上用戶投入可以因為云平臺的能力而大幅下降,關注點可以更加聚焦在業務和系統的防護要求。
■ 不同服務模式下等保技術測評要求
企業使用的云服務類別(IaaS、PaaS和SaaS服務模式)不同,等保2.0所要求的技術測評項目也有所不同。用戶自建云平臺或IDC環境中,基礎安全防護需由用戶自身承擔相應的安全能力建設。在云計算環境中,用戶無需關注物理、網絡、通信等基礎安全防護,只需要關注云服務類別下的安全防護能力。
如果是IaaS用戶,只需關注涉及自身虛擬基礎環境和業務應用系統安全的83項技術指標,不需關注物理機房環境和云平臺網絡等內容,測評條款數約是自建云平臺的62.4%。
如果是PaaS用戶則需要測評內容更少,只需要關注涉及產品配置以及自身業務應用系統安全的49項技術指標,測評范圍是自建云平臺的36.8%。
對于SaaS用戶來說,只需要關注涉及應用安全配置以及業務數據保護的45項技術指標,需要投入的人力和經費成本也最少。
從上可以看出,在云平臺通過等保2.0測評的前提下,企業上云的程度越深,自身所需要進行測評項數量就越少,當然所需要投入的成本就會更低,讓企業擁有高等級安全能力同時,可以有更多精力聚焦在自身業務發展上。
■ 如何滿足等保2.0中物聯網安全的擴展要求
等保2.0物聯網部分主要擴展了感知層的安全要求,在物理和環境安全、網絡和通訊安全、設備和計算安全,以及應用和數據安全做了擴展要求。用戶需要建設并滿足相應的安全防護能力后,才能通過等保2.0物聯網擴展要求。如果用戶物聯網平臺在云計算環境中,云平臺物聯網擴展支持能力不同,用戶所承擔的安全建設能力要求不同。例如對于阿里云用戶來說,只需要通過涉及設備物理防護及感知節點管理相關的19項技術指標中的7條技術指標測評即可。
■ 云上用戶等保測評流程
等級保護工作流程包括定級、備案、建設整改、等級測評、監督檢查五個階段,我們為云上用戶提供了一站式服務,全面覆蓋等保定級階段、備案階段、建設整改階段以及等保測評階段。通過差距性分析評估,幫助用戶找出業務系統安全管理過程中與等保2.0要求的實際差距,同時提供安全管理加固建議、協助安全產品選型、協助各項安全加固,最終通過等保測評。我們的安全團隊多年的技術實戰和經驗沉淀,可以幫助客戶快速解決等保測評過程中的各類安全風險,提高服務效率,提升客戶整體安全防護能力。
■ 服務內容
等級保護整改方案咨詢
根據差距評估結果,結合用戶的業務現狀,設計滿足等級保護要求的整改方案。
安全產品選型及部署
根據安全整改方案,協助客戶完成安全產品的選型和采購、部署工作。
對安全產品進行接入及優化配置以滿足等保要求。
系統安全整改工作
根據差距評估結果,對網絡、服務器、數據庫根據等保要求進行技術整改。
安全管理咨詢
根據等級保護對安全管理的要求,提供部分安全管理制度設計和執行指導。