云上等級保護(hù)解決方案
現(xiàn)在很多公司基于成本、便捷性的考慮,漸漸把一些業(yè)務(wù)系統(tǒng)或者公司對外網(wǎng)站移到了云平臺上。剛開始很多公司應(yīng)該是由于缺乏技術(shù)人員和IT維護(hù)人員,所以選擇了云平臺,覺得托管的方式,可以省去很多運(yùn)維的工作。但是,隨著等保2.0的到來,云上系統(tǒng)和網(wǎng)站也需要開展等級保護(hù)工作了,是否需要進(jìn)行定級備案,需要根據(jù)實(shí)際情況而定。因此,云租戶不要急于開展等保工作,先來弄清這些內(nèi)容,對你有好處。
首先,弄清楚租用(托管)的云平臺是否通過了等級保護(hù)三級或者四級定級備案。
為什么要弄清楚這個(gè)呢?因?yàn)樵破脚_沒有備案證明的話,將影響到該云平臺上的租戶的信息系統(tǒng)等保備案或者網(wǎng)站等保備案。
依據(jù):
根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定,云平臺的等級不可以低于云上租戶的業(yè)務(wù)應(yīng)用系統(tǒng)的最高級,并且明確規(guī)定“國家關(guān)鍵信息基礎(chǔ)設(shè)施(云計(jì)算平臺)的安全保護(hù)等級不低于三級”。
根據(jù)網(wǎng)絡(luò)安全法規(guī)定“誰運(yùn)營誰負(fù)責(zé),誰使用誰負(fù)責(zé),誰主管誰負(fù)責(zé)”的原則,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營者自己,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該進(jìn)行系統(tǒng)定級的還是得定級,該做等保的還是得做等保。
因此,在云計(jì)算環(huán)境中,將云服務(wù)方側(cè)的云計(jì)算平臺單獨(dú)作為定級對象定級,云租戶側(cè)的等級保護(hù)對象作為單獨(dú)的定級對象定級。
云租戶負(fù)責(zé)對云平臺上承載的租戶信息系統(tǒng)進(jìn)行定級備案,備案地為工商注冊或?qū)嶋H經(jīng)營所在地。
其次,要弄清楚,目前使用的那種類型的云平臺服務(wù)。
弄清楚云平臺服務(wù)類型,可以幫助您確定哪些系統(tǒng)需要進(jìn)行等級保護(hù)測評,哪些不需要。
系統(tǒng)上云或托管后,并不是安全責(zé)任主體轉(zhuǎn)移,只是系統(tǒng)所在機(jī)房地址的變更,當(dāng)然在公有云模式下,Iaas、Paas、Saas不同模式相應(yīng)的安全責(zé)任會有些區(qū)別,但是并不是沒有責(zé)任。因此,不同模式下的測評內(nèi)容有一些區(qū)別。下圖是針對上述模式提出一些等級保護(hù)建設(shè)的一些參考,具體情況需要結(jié)合具體云服務(wù)商的具體情況而定。
一般情況下,Iaas、Paas模式下租戶的應(yīng)用系統(tǒng)需要獨(dú)立開展等級保護(hù),而Saas模式下租戶的應(yīng)用系統(tǒng)是否需要開展等級保護(hù)需要結(jié)合具體情況而定。
最后,就是根據(jù)租戶在云平臺上的系統(tǒng)對照等保定級要求,進(jìn)行自我評估,定級為等保二級以上的需要開展等保工作。一般來說,普通的企業(yè)官網(wǎng)(資訊類,不涉及在線交易的)一般定級為一級即可,可以自主定級,注重相關(guān)的安全保護(hù)就好,無需進(jìn)行等級保護(hù)測評。但是一些具備在線交易,特別是允許第三方在該平臺/網(wǎng)站進(jìn)行在線交易的(如電商、游戲平臺、知識付費(fèi)平臺)等等根據(jù)用戶量以及數(shù)據(jù)類型,一般定級為二級以上,具體二級,還是三級,需要結(jié)合具體信息系統(tǒng)情況分析。一般建議可以先定級為二級。上述內(nèi)容僅供參考,具體情況還是需要各位按照等保定級標(biāo)準(zhǔn),依據(jù)等保定級申請結(jié)果而定。
另外,提醒各位云租戶哦,等級保護(hù)是一個(gè)長期工作,目標(biāo)是為了讓被測評對象能夠動態(tài)完善網(wǎng)絡(luò)安全的防護(hù)能力,所以二級等保需要每兩年至少開展一次等保測評,三級以上的需要每年開展等保測評。因此,等級保護(hù)不是首次過了,就行,還需要持續(xù)做網(wǎng)絡(luò)安全工作,定期開展等保測評工作。