安全資訊

系統部署在阿里云上，也需要做等保。不過(guò)相比線(xiàn)下做等保，部署在阿里云上的系統過(guò)等保要更簡(jiǎn)單也更快捷。今天這篇文章就給大家分享一下部署在阿里云上的系統怎么做等保。
 
一、部署在阿里云的系統，如何做等保備案？
 
先定級再備案，系統定級仍然是根據《定級指南》。確定信息系統等級以后，就可以準備材料到公安機關(guān)進(jìn)行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統需要的備案材料有所差異。第三級以上信息系統需提供以下材料：（一）系統拓撲結構及說(shuō)明；（二）系統安全組織機構和管理制度；（三）系統安全保護設施設計實(shí)施方案或者改建實(shí)施方案；（四）系統使用的信息安全產(chǎn)品清單及其認證、銷(xiāo)售許可證明；（五）測評后符合系統安全保護等級的技術(shù)檢測評估報告；（六）信息系統安全保護等級專(zhuān)家評審意見(jiàn)；（七）主管部門(mén)審核批準信息系統安全保護等級的意見(jiàn)。
 
備案材料準備好以后，要提交到哪個(gè)公安機關(guān)進(jìn)行備案呢？答：由于上云的系統部署在各類(lèi)云平臺上面，但云平臺的實(shí)際物理地址又往往和云系統網(wǎng)絡(luò )運營(yíng)者不在同一地址，企業(yè)/機構往往不知道去哪里進(jìn)行定級備案。不過(guò)，從方便屬地公安機關(guān)監管的角度出發(fā)，企業(yè)/機構應該在系統實(shí)際運維團隊所在地市的網(wǎng)安部門(mén)進(jìn)行系統備案。
 
二、部署在阿里云的系統，如何通過(guò)等級測評？
 
備案成功之后，就可以著(zhù)手準備信息系統的測評和整改工作。測評步驟和線(xiàn)下系統的測評要求沒(méi)什么兩樣，但需要注意的是，云上過(guò)等保，云服務(wù)商和云服務(wù)客戶(hù)擁有不同控制范圍，其安全責任邊界不同。具體來(lái)說(shuō)，如果企業(yè)的系統部署在某個(gè)云平臺上，那么涉及云平臺側的相關(guān)要求，客戶(hù)就不用再單獨測評，可以直接引用該平臺的測評結論，所以更加簡(jiǎn)單?？梢砸玫臏y評結論包括物理和環(huán)境安全以及部分網(wǎng)絡(luò )和通信安全、安全管理等。
 
在這一步，企業(yè)根據公安機關(guān)推薦的測評機構名單挑選合適的測評機構來(lái)給自己的信息系統做測評即可。測評機構測評結束之后，會(huì )出具測評報告，如果測評通過(guò)，企業(yè)將測評報告提交公安機關(guān)進(jìn)行備份，就算是落實(shí)了這一次的等級保護。如果測評發(fā)現信息系統有安全問(wèn)題，不符合等保要求，企業(yè)的技術(shù)人員就需要對這些問(wèn)題進(jìn)行整改，然后重新測評，直至測評通過(guò)。當然，企業(yè)也可以委托第三方專(zhuān)業(yè)等保整改機構來(lái)做，比如靈狐網(wǎng)絡(luò )。
 
三、部署在云上的系統做等保和線(xiàn)下系統做等保有什么區別？
 
答案：無(wú)論系統在云上還是線(xiàn)下，都要做等保，但云上過(guò)等保更容易。
 
1. 極大降低等保成本
 
如果客戶(hù)選擇線(xiàn)下過(guò)等保，很容易遇到一個(gè)麻煩的事情——由于線(xiàn)下機房用了很多年，設備老舊，當客戶(hù)進(jìn)行等級測評的時(shí)候，就會(huì )因為機房不達標而一直通過(guò)不了，白花測評費。為了解決這個(gè)問(wèn)題，客戶(hù)必須花大價(jià)錢(qián)購買(mǎi)設備，成本就會(huì )非常高，甚至要花一兩百萬(wàn)。同時(shí)由于要更換的設備多，會(huì )導致等保整改周期特別長(cháng)，耗費很多不必要的時(shí)間。
 
但如果客戶(hù)選擇云上過(guò)等保，由于云平臺已經(jīng)通過(guò)等保認證，客戶(hù)在進(jìn)行等級測評的時(shí)候，就不需要再考慮線(xiàn)下機房這一塊的情況，可以直接采用云平臺的等保證明，就會(huì )省去很大一部分的時(shí)間和成本。根據等保專(zhuān)家靈狐網(wǎng)絡(luò )做過(guò)的等保案例，選擇云上過(guò)等保的客戶(hù)，能比選擇線(xiàn)下過(guò)等保的客戶(hù)節約十分之九的成本。
 
2. 省心省時(shí)間：云平臺側標準無(wú)需再考慮
 
雖然根據等保2.0相關(guān)規定，“誰(shuí)主管誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責”，云服務(wù)客戶(hù)也必須要進(jìn)行等保測評。但是云上過(guò)等保，企業(yè)需要測評的項目會(huì )減少，自然能更快通過(guò)。以部署在阿里云的系統為例，阿里云采用的是“云上系統合規責任共擔”機制，租戶(hù)的云上系統等保合規由客戶(hù)負責，阿里云負責的是云平臺等保合規。由于阿里云已經(jīng)通過(guò)云計算安全等級保護三級測評，在具體的云上應用等級保護合規和測評中，涉及阿里云平臺側的相關(guān)要求不再進(jìn)行單獨測評，可以直接引用阿里云平臺的測評結論，可以引用的測評結論包括物理和環(huán)境安全以及部分網(wǎng)絡(luò )和通信安全、安全管理等。
 
換句話(huà)說(shuō)，雖然企業(yè)/機構還是得按照要求給自己的云上系統做等保，但作為云租戶(hù)，從IaaS到PaaS再到SaaS模式,企業(yè)/機構所需要承擔的責任是越來(lái)越少的。
 

 
四、部署在云平臺的系統可以找誰(shuí)做等級保護？
 
在詳細整理國家相關(guān)等保規范的基礎上，靈狐整合云安全產(chǎn)品的技術(shù)優(yōu)勢，聯(lián)合優(yōu)質(zhì)等保咨詢(xún)、等保測評合作資源，竭誠為企業(yè)提供等保項目的一站式服務(wù)，全面覆蓋等保定級、備案、建設整改以及測評階段。無(wú)論是定級備案，還是測評整改，我們都能協(xié)助企業(yè)快速合規落實(shí)等級保護工作。
 
而在云上過(guò)等保這一塊，作為阿里云戰略級合作伙伴，我們也能快速滿(mǎn)足企業(yè)的需求。如果涉及到云上安全設備的購買(mǎi)，我們還能為企業(yè)爭取更多折扣。