■ 云上與云下企業(yè)過等保的區(qū)別
等保2.0全稱網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度���,是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策����、基本制度�����?!毒W(wǎng)絡(luò)安全法》出臺(tái)后�,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升到了法律層面�,不做等保就“等于”違法早已深入人心�。等保2.0標(biāo)準(zhǔn)從2019年12月1日正式實(shí)施,并且已出現(xiàn)違法等保導(dǎo)致的被處罰的案例�����。
網(wǎng)絡(luò)安全法規(guī)定“誰運(yùn)營誰負(fù)責(zé)�����,誰使用誰負(fù)責(zé)���,誰主管誰負(fù)責(zé)”的原則及其他相關(guān)規(guī)定,前提是云平臺(tái)通過等保級(jí)別不低于用戶系統(tǒng)級(jí)別����,否則影響云上用戶的信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案。因此只要云平臺(tái)通過等保測(cè)評(píng)����,傳統(tǒng)環(huán)境中的物理安全、網(wǎng)絡(luò)安全��、虛擬層安全等基礎(chǔ)安全防護(hù)要求��,云上用戶投入可以因?yàn)樵破脚_(tái)的能力而大幅下降,關(guān)注點(diǎn)可以更加聚焦在業(yè)務(wù)和系統(tǒng)的防護(hù)要求�。
■ 不同服務(wù)模式下等保技術(shù)測(cè)評(píng)要求
企業(yè)使用的云服務(wù)類別(IaaS、PaaS和SaaS服務(wù)模式)不同�����,等保2.0所要求的技術(shù)測(cè)評(píng)項(xiàng)目也有所不同�。用戶自建云平臺(tái)或IDC環(huán)境中,基礎(chǔ)安全防護(hù)需由用戶自身承擔(dān)相應(yīng)的安全能力建設(shè)����。在云計(jì)算環(huán)境中,用戶無需關(guān)注物理���、網(wǎng)絡(luò)���、通信等基礎(chǔ)安全防護(hù),只需要關(guān)注云服務(wù)類別下的安全防護(hù)能力�。
如果是IaaS用戶,只需關(guān)注涉及自身虛擬基礎(chǔ)環(huán)境和業(yè)務(wù)應(yīng)用系統(tǒng)安全的83項(xiàng)技術(shù)指標(biāo)�,不需關(guān)注物理機(jī)房環(huán)境和云平臺(tái)網(wǎng)絡(luò)等內(nèi)容,測(cè)評(píng)條款數(shù)約是自建云平臺(tái)的62.4%�����。
如果是PaaS用戶則需要測(cè)評(píng)內(nèi)容更少,只需要關(guān)注涉及產(chǎn)品配置以及自身業(yè)務(wù)應(yīng)用系統(tǒng)安全的49項(xiàng)技術(shù)指標(biāo)����,測(cè)評(píng)范圍是自建云平臺(tái)的36.8%。
對(duì)于SaaS用戶來說����,只需要關(guān)注涉及應(yīng)用安全配置以及業(yè)務(wù)數(shù)據(jù)保護(hù)的45項(xiàng)技術(shù)指標(biāo),需要投入的人力和經(jīng)費(fèi)成本也最少�。
從上可以看出,在云平臺(tái)通過等保2.0測(cè)評(píng)的前提下����,企業(yè)上云的程度越深,自身所需要進(jìn)行測(cè)評(píng)項(xiàng)數(shù)量就越少����,當(dāng)然所需要投入的成本就會(huì)更低�,讓企業(yè)擁有高等級(jí)安全能力同時(shí),可以有更多精力聚焦在自身業(yè)務(wù)發(fā)展上��。
■ 如何滿足等保2.0中物聯(lián)網(wǎng)安全的擴(kuò)展要求
等保2.0物聯(lián)網(wǎng)部分主要擴(kuò)展了感知層的安全要求�����,在物理和環(huán)境安全、網(wǎng)絡(luò)和通訊安全�����、設(shè)備和計(jì)算安全����,以及應(yīng)用和數(shù)據(jù)安全做了擴(kuò)展要求。用戶需要建設(shè)并滿足相應(yīng)的安全防護(hù)能力后�,才能通過等保2.0物聯(lián)網(wǎng)擴(kuò)展要求。如果用戶物聯(lián)網(wǎng)平臺(tái)在云計(jì)算環(huán)境中��,云平臺(tái)物聯(lián)網(wǎng)擴(kuò)展支持能力不同�,用戶所承擔(dān)的安全建設(shè)能力要求不同。例如對(duì)于阿里云用戶來說�����,只需要通過涉及設(shè)備物理防護(hù)及感知節(jié)點(diǎn)管理相關(guān)的19項(xiàng)技術(shù)指標(biāo)中的7條技術(shù)指標(biāo)測(cè)評(píng)即可���。
■ 云上用戶等保測(cè)評(píng)流程
等級(jí)保護(hù)工作流程包括定級(jí)�、備案�����、建設(shè)整改、等級(jí)測(cè)評(píng)��、監(jiān)督檢查五個(gè)階段��,我們?yōu)樵粕嫌脩籼峁┝艘徽臼椒?wù)�,全面覆蓋等保定級(jí)階段、備案階段���、建設(shè)整改階段以及等保測(cè)評(píng)階段�����。通過差距性分析評(píng)估����,幫助用戶找出業(yè)務(wù)系統(tǒng)安全管理過程中與等保2.0要求的實(shí)際差距����,同時(shí)提供安全管理加固建議��、協(xié)助安全產(chǎn)品選型���、協(xié)助各項(xiàng)安全加固��,最終通過等保測(cè)評(píng)���。我們的安全團(tuán)隊(duì)多年的技術(shù)實(shí)戰(zhàn)和經(jīng)驗(yàn)沉淀�����,可以幫助客戶快速解決等保測(cè)評(píng)過程中的各類安全風(fēng)險(xiǎn)����,提高服務(wù)效率����,提升客戶整體安全防護(hù)能力。
■ 服務(wù)內(nèi)容
等級(jí)保護(hù)整改方案咨詢
根據(jù)差距評(píng)估結(jié)果���,結(jié)合用戶的業(yè)務(wù)現(xiàn)狀����,設(shè)計(jì)滿足等級(jí)保護(hù)要求的整改方案��。
安全產(chǎn)品選型及部署
根據(jù)安全整改方案����,協(xié)助客戶完成安全產(chǎn)品的選型和采購��、部署工作����。
對(duì)安全產(chǎn)品進(jìn)行接入及優(yōu)化配置以滿足等保要求���。
系統(tǒng)安全整改工作
根據(jù)差距評(píng)估結(jié)果�����,對(duì)網(wǎng)絡(luò)��、服務(wù)器��、數(shù)據(jù)庫根據(jù)等保要求進(jìn)行技術(shù)整改�。
安全管理咨詢
根據(jù)等級(jí)保護(hù)對(duì)安全管理的要求����,提供部分安全管理制度設(shè)計(jì)和執(zhí)行指導(dǎo)。
黑龍江等保測(cè)評(píng)
等保咨詢熱線:15084670000,15124562202
