亚洲成人av婷婷_国产农村艳妇AⅤ传媒_欧美性爱午夜福利网站_91黄色片在线观看_干进去了视频在线观看_亚洲成年影片免费_日韩无码av一区二区三区_妺妺窝人体色www在线_亚洲熟女小黄视频_国产美女免费永久视频

安全資訊

面向網(wǎng)絡運營者的等保2.0最全實用解讀!

【摘要】 伴隨著網(wǎng)絡安全法的出臺,等級保護工作進入2.0時代,其中有哪些最引人注目的變化? 等級保護對象從原來單純的信息系統(tǒng)拓展到了很多個領域,其中云計算系統(tǒng)是等級保護重點要關注的一個領域。 而等級保護的標準體系也進行了大的升級,在原等級保護核心標準(基本要求、測評要求、設計要求)的基礎上,進行重新修訂,整個標準體系制定為一個矩陣,針對每一個特定的安全領域,做了相應的擴展要求
伴隨著網(wǎng)絡安全法的出臺,等級保護工作進入2.0時代,其中有哪些最引人注目的變化?

等級保護對象從原來單純的信息系統(tǒng)拓展到了很多個領域,其中云計算系統(tǒng)是等級保護重點要關注的一個領域。

而等級保護的標準體系也進行了大的升級,在原等級保護核心標準(基本要求、測評要求、設計要求)的基礎上,進行重新修訂,整個標準體系制定為一個矩陣,針對每一個特定的安全領域,做了相應的擴展要求,比如云計算領域,制定云計算擴展要求。

在這種情況下:

云等保如何落地?

云服務商該如何做?

云租戶該如何做?

面對這些問題,我們特邀來自公安部信息安全等級保護評估中心的專家深度解讀《云計算環(huán)境下的等級保護》:
首先,需要對云計算環(huán)境中的安全責任進行明確

不同的服務模式下,不同責任主體的責任也是不同的。云服務商,云租戶的責任劃分需要明晰。
IaaS服務模式下:云服務方責任硬件及虛擬化層的防護。虛擬化以上的客戶機的安全防護,數(shù)據(jù)庫防護以及中間件和應用及數(shù)據(jù)的防護,這都是租戶需要去面對的問題。

PaaS服務模式下:客戶將虛擬機的安全防護責任交給了云服務商,云租戶更應該關心在這之上,如軟件開發(fā)平臺以及應用和數(shù)據(jù)本身的安全防護。

SaaS服務模式下:進一步上移,這個時候作為租戶來講,需要關心的其實就是應用提供側相關的安全配置,以及數(shù)據(jù)安全的防護,這都是租戶需要考慮的內容。

數(shù)據(jù)安全防護,無論IaaS、PaaS到SaaS,對于云租戶來講,這是始終要面對的重要問題。

不同的責任劃分下,云等保究竟該怎么做?

云等保不是新鮮的事物,而是在原等??蚣芟聦π率挛锏臄U展。在云計算架構之下,等級保護依然需要落地,包括定級、備案、建設整改、等級測評、監(jiān)督檢查五個規(guī)定動作。

不同的是等??蚣芟滦略黾拥脑匦枰獙υ械燃壉Wo相關工作的具體內容進行擴充并統(tǒng)一。

一、系統(tǒng)的定級  

傳統(tǒng)的信息系統(tǒng),強調分區(qū)分域、縱深防御,網(wǎng)絡架構伴隨業(yè)務變化而變化,系統(tǒng)各組件能與硬件緊耦合。信息系統(tǒng)的系統(tǒng)劃分其實是以物理網(wǎng)絡/安全設備為邊界的硬件設備的劃分。


云的環(huán)境下,把虛擬邊界作為系統(tǒng)定級的邊界。

云計算系統(tǒng)網(wǎng)絡架構扁平化,業(yè)務應用系統(tǒng)與硬平臺松耦合。信息系統(tǒng)的系統(tǒng)劃分,像傳統(tǒng)單純的以物理網(wǎng)絡/安全設備為邊界的劃分方法已經無法體現(xiàn)出業(yè)務應用系統(tǒng)的邏輯關系,也無法體現(xiàn)對業(yè)務信息安全和系統(tǒng)服務安全。


所以,定級需要從業(yè)務應用的角度出發(fā)梳理有哪些業(yè)務應用,及對應哪些模塊
場景一:

如每種應用都需要使用物理基礎支撐平臺,則業(yè)務應用系統(tǒng)可不包含基礎支撐的物理硬件部分,根據(jù)業(yè)務應用的關聯(lián)性,進行切分定級。像公共云就是這種狀態(tài),如果定級系統(tǒng)C的運行主體是云服務商的話,上面就是云租戶的業(yè)務應用系統(tǒng)。

場景二:

如基礎支撐平臺可以對應到不同業(yè)務應用系統(tǒng),則將基礎支撐平臺的物理設備一同劃入相應定級系統(tǒng)。

業(yè)務應用是可以跟承載的硬件平臺有對應關系的,比如說某一個應用固定的使用一堆的硬件服務器,獨立成一個平臺,那這個時候就可以一刀切作為一個單獨的定級系統(tǒng)。如說像淘寶的很多系統(tǒng)就是這樣的架構,比如說我們可以在定級系統(tǒng)B這一塊還可以在切分一下,那可能這一邊又變成一個小的一朵云,下面是一個云平臺。上面是整個的各個的承載的業(yè)務應用系統(tǒng),就是云租戶的系統(tǒng)。

在定級當中存在兩個重要誤區(qū):

誤區(qū)一:我的系統(tǒng)已經上云了,系統(tǒng)就不用去定級了?

答案是不行!要分開定級,新的定級指南里明確說明,云計算平臺和云上的租戶應用系統(tǒng)要分開定級。


誤區(qū)二:云平臺的等級跟云租戶的等級沒有關系

云平臺的等級要不低于云上租戶的業(yè)務應用系統(tǒng)的最高級。且明確規(guī)定“國家關鍵信息基礎設施(重要云計算平臺)的安全保護等級應不低于第三級”。比如一個互聯(lián)網(wǎng)金融公司,運營的系統(tǒng)定到了四級,那么選擇上的云平臺必須是四級的云平臺,如果去三級的云平臺去備案的時候會遇到一些問題,而且即便是上了以后,云平臺在監(jiān)管這塊也無法達到不合規(guī)要求。

二、備案
  
去哪備案?

傳統(tǒng)的系統(tǒng)備案很簡單,IT基礎設施、運維地點、工商注冊地基本上都是一致,去所在地市局、網(wǎng)安或者是分局去備案就可以。

但是云的這種狀態(tài)下,特別是對于云服務商來講就比較典型了,工商注冊地、辦公地點都不一樣。比如說像云平臺,注冊地在北京,運維地點在天津,然后機房遍布全國各地。云租戶也是這個問題,公司開在北京,可能技術人員、運維人員都在北京,但是你上的這種云可能他的物理位置或者不知道,或者是即便知道有可能也不在北京,那這個時候怎么辦?

所以我們現(xiàn)在有這樣一個原則,對于云上的系統(tǒng),不管是云平臺還是云租戶,以你的運維人員的所在地為備案地點。原因與公安機關方便監(jiān)管相關,案件發(fā)生后,公安機關需要運維人員配合去調取相關證據(jù),做證據(jù)固定、數(shù)據(jù)采集。

三、建設整改  

云計算系統(tǒng)等級保護標準制定專家建議可以從以下幾個方面入手:

統(tǒng)一思維去考量,統(tǒng)一認證、統(tǒng)一賬戶管理、統(tǒng)一授權,統(tǒng)一安全審計。其中關于安全審計方面,標準條款里有明確要求,主機的安全審計、網(wǎng)絡的審計、數(shù)據(jù)庫的安全審計都必不可少。側重動態(tài)監(jiān)測預警、快速應急響應能力建設以及服務安全產品合規(guī)。如果用戶自己搭建私有云,那么建議一定要有這樣的能力.重點保護的是業(yè)務數(shù)據(jù)安全和用戶的隱私安全。數(shù)據(jù)安全這塊真的是很重要,我們在安全擴展里有明確要求,一個是數(shù)據(jù)庫的安全審計。要求云服務商開放第三方接口,支持第三方的安全審計的產品接入;還有一個就是對于云租戶,同樣要求要有自己的審計。在做云租戶的系統(tǒng)檢查或者測評的時候,一樣要看你有沒有做安全審計。

 四、測評  

云計算系統(tǒng)保護措施通常是以系統(tǒng)整體能力體現(xiàn),云計算安全擴展要求作為全局對待,在報告結構上等同于全局測評,各測評項不再重復對應一個或多個測評對象


版權聲明】本文為華為云社區(qū)用戶原創(chuàng)內容,轉載時必須標注文章的來源(華為云社區(qū)),文章鏈接,文章作者等基本信息,否則作者和本社區(qū)有權追究責任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內容,歡迎發(fā)送郵件至:[email protected]進行舉報,并提供相關證據(jù),一經查實,本社區(qū)將立刻刪除涉嫌侵權內容。

服務熱線

138-6598-3726

產品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡公眾號

微信公眾號