新聞中心

NEWS CENTER

首頁

安全事件

威脅形式

政策標(biāo)準(zhǔn)

云等保合規(guī)建設(shè)

發(fā)布時間：

2021-06-29

作者：

來源：

瀏覽量：

在“十四五規(guī)劃”的開局年之際，等保不僅影響著我國數(shù)字產(chǎn)業(yè)相關(guān)信息技術(shù)領(lǐng)域的發(fā)展程度，還直接關(guān)系到企業(yè)自身的網(wǎng)絡(luò)安全。

在國家層面上，也通過《網(wǎng)絡(luò)安全法》作為法律依據(jù)，明確了企業(yè)不做等保的行為就是違法。但是由于不同地區(qū)不同企業(yè)對等級保護制度的認(rèn)知程度不同，應(yīng)對的積極性也不同。于是，企業(yè)因網(wǎng)站防護薄弱，相關(guān)信息系統(tǒng)網(wǎng)站遭到篡改并發(fā)布有害信息等社會新聞屢見不鮮。因為企業(yè)網(wǎng)絡(luò)安全防護不到位所帶來的信息泄露、勒索或者系統(tǒng)停用也會給社會和相關(guān)用戶造成不良影響。此外，企業(yè)自身的品牌形象不僅受到損害，還需承擔(dān)相應(yīng)執(zhí)法機關(guān)做出的金額罰款。

很多企業(yè)在享受上云帶來的各種便利的同時，依舊沒能意識到實施等級保護在自身企業(yè)形象、社會及法律層面的重要性，而且還對云等保存在理解誤區(qū)：

1、誤區(qū)一：我的系統(tǒng)已經(jīng)上云了，系統(tǒng)就不用去定級了

2、誤區(qū)二：我是云租戶，云平臺的等級跟我沒關(guān)系

3、誤區(qū)三：上云，全部安全就由云服務(wù)商負(fù)責(zé)

對于想順利通過（云）等保測評，完善自身云上系統(tǒng)安全監(jiān)測及防護能力的企業(yè)而言，這幾個問題處理得好，就是“合理合法”，處理不好，就要“違法且散財”。

仔細(xì)分析這幾個問題的話，會發(fā)現(xiàn)，其實這幾個問題涉及到（云）等保是什么、（云）等保怎么做。

云等保是什么？

云等保不是新鮮事物，而是在安全通用基本要求的基礎(chǔ)上新增了云等保拓展要求。云等保對比傳統(tǒng)等保而言，定級、備案、建設(shè)整改、測評、監(jiān)督檢查等環(huán)節(jié)都必不可少，云等保總體分為兩個部分，技術(shù)要求及管理要求。除了物理和環(huán)境安全，還有云平臺的基礎(chǔ)框架安全建設(shè)，就是網(wǎng)絡(luò)和通信安全中的一部分，都是不需要云租戶自己建設(shè)的，而其它技術(shù)要求則需要通過云上安全服務(wù)產(chǎn)品進(jìn)行滿足。

在云計算環(huán)境中，應(yīng)將云資源平臺作為單獨定級對象，云租戶側(cè)的等級保護對象也應(yīng)作為單獨的定級對象定級。同時云計算平臺安全保護等級，原則上不低于其承載的業(yè)務(wù)系統(tǒng)的安全保護等級。

在明確完被測系統(tǒng)是云計算平臺還是業(yè)務(wù)應(yīng)用系統(tǒng)后，上面幾個問題就有了清楚的答案：

1、我的系統(tǒng)已經(jīng)上云了，系統(tǒng)就不用去定級了

不行，要分開定級，新的定級指南里明確說明，云計算平臺和云上的租戶應(yīng)用系統(tǒng)要分開定級。

2、我是云租戶，云平臺的等級跟我沒關(guān)系

不對，云平臺的等級要不低于云上租戶的業(yè)務(wù)應(yīng)用系統(tǒng)的最高級。且明確規(guī)定“國家關(guān)鍵信息基礎(chǔ)設(shè)施（重要云計算平臺）的安全保護等級應(yīng)不低于第三級”。

3、上云，全部安全就由云服務(wù)商負(fù)責(zé)

不對，云計算環(huán)境的安全性由云服務(wù)商和租戶共同保障。

云計算的設(shè)施層（物理環(huán)境）、硬件層（物理設(shè)備）、資源抽象和控制層都處于云服務(wù)商的完全控制下，所有安全責(zé)任由云服務(wù)商承擔(dān)。應(yīng)用軟件層、軟件平臺層、虛擬化計算資源層的安全責(zé)任則由雙方共同承擔(dān)，越靠近底層的云計算服務(wù)（即LaaS），云服務(wù)商的管理和安全責(zé)任越大；反之，云租戶的管理和安全責(zé)任越大。

云等保怎么做？

基于云等保2.0安全合規(guī)的第三方中立安全托管服務(wù)方案：

基于目前企業(yè)上云以及業(yè)務(wù)互聯(lián)網(wǎng)化后所面臨的的云上安全隱患以及云等保2.0 合規(guī)問題，我們提出第三方中立云等保2.0安全合規(guī)解決方案，全面適配各類公有云、私有云及跨云場景等保合規(guī)需求，一方面提升云上安全檢測防護能力，另一方面圍繞云等保合規(guī)要求所涉及的網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全各層面條款，提供相應(yīng)的安全防護服務(wù)支撐。

一個中心：云安全管理平臺（安全管理中心）

提供兩種管理視角，云計算平臺安全管理視角和云上業(yè)務(wù)應(yīng)用系統(tǒng)安全管理視角，分別從不同的維度對整個云計算環(huán)境做安全管控。

提供日志監(jiān)控、告警中心、策略管理、安全防護、數(shù)據(jù)分析、狀態(tài)監(jiān)控等功能，滿足安全管理中心標(biāo)準(zhǔn)中對安全集中管控的要求。

提供等級保護套餐服務(wù)，用戶可以一鍵獲取滿足等級保護二級和等級保護三級所需的安全能力，幫助用戶輕松過等保。

三重防護：縱深防御安全體系、安全資源池（通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全）

以SECaaS（Security as a Service）安全即服務(wù)為核心，通過對各類安全資源的管理、調(diào)度、編排，將安全產(chǎn)品的能力抽象匯聚到彈性的安全資源池，將安全能力資源池化、服務(wù)化、運營化，使安全能力全面適配各類云平臺云環(huán)境，對云環(huán)境所面臨的各類安全風(fēng)險進(jìn)行持續(xù)的管理和評估，為安全運維運營能力薄弱的用戶提供一站式的云安全產(chǎn)品與服務(wù)。

全方位構(gòu)建事前預(yù)防、事中響應(yīng)、事后審計的閉環(huán)安全保障體系，各安全組件防護相互聯(lián)動，策略自動調(diào)優(yōu)，幫助用戶落實云等保2.0的安全防護價值。

等保方案為何能助力過（云）等保測評？

安全責(zé)任邊界清晰：安全管理平臺提供不同的視角，分配不同的權(quán)限，全面實現(xiàn)對云計算環(huán)境的安全管理，云服務(wù)商與云服務(wù)客戶權(quán)限隔離，明晰各自的安全責(zé)任邊界。

一站式云安全托管服務(wù)解決方案：安全資源池安全能力完備，可滿足用戶不同維度的安全需求，構(gòu)成檢測、監(jiān)測、響應(yīng)、審計的全過程、立體化全防護體系。

提供等級保護套餐服務(wù)：根據(jù)等級保護標(biāo)準(zhǔn)的不同要求，為用戶提供等級保護二級套餐和等級保護三級套餐，幫助用戶輕松過等保。

安全可視化：通過統(tǒng)一的可視化的管理平臺，幫助用戶快速掌握安全動態(tài)數(shù)據(jù)，提升安全管理效率。

當(dāng)云等保解決方案能方方面面地符合企業(yè)管理層的過保要求后，考驗靈魂的問題來了！預(yù)算！預(yù)算！預(yù)算！

領(lǐng)域,信息技術(shù)

相關(guān)文件

無

2021年網(wǎng)絡(luò)安全威脅和趨勢

無