安全資訊

云上與云下企業(yè)過(guò)等保的區別

等保2.0全稱(chēng)網(wǎng)絡(luò )安全等級保護2.0制度，是我國網(wǎng)絡(luò )安全領(lǐng)域的基本國策、基本制度?！毒W(wǎng)絡(luò )安全法》出臺后，網(wǎng)絡(luò )安全等級保護制度上升到了法律層面，不做等保就“等于”違法早已深入人心。等保2.0標準從2019年12月1日正式實(shí)施，并且已出現違法等保導致的被處罰的案例。

網(wǎng)絡(luò )安全法規定“誰(shuí)運營(yíng)誰(shuí)負責，誰(shuí)使用誰(shuí)負責，誰(shuí)主管誰(shuí)負責”的原則及其他相關(guān)規定，前提是云平臺通過(guò)等保級別不低于用戶(hù)系統級別，否則影響云上用戶(hù)的信息系統等級保護定級備案。因此只要云平臺通過(guò)等保測評，傳統環(huán)境中的物理安全、網(wǎng)絡(luò )安全、虛擬層安全等基礎安全防護要求，云上用戶(hù)投入可以因為云平臺的能力而大幅下降，關(guān)注點(diǎn)可以更加聚焦在業(yè)務(wù)和系統的防護要求。

不同服務(wù)模式下等保技術(shù)測評要求

企業(yè)使用的云服務(wù)類(lèi)別（IaaS、PaaS和SaaS服務(wù)模式）不同，等保2.0所要求的技術(shù)測評項目也有所不同。用戶(hù)自建云平臺或IDC環(huán)境中，基礎安全防護需由用戶(hù)自身承擔相應的安全能力建設。在云計算環(huán)境中，用戶(hù)無(wú)需關(guān)注物理、網(wǎng)絡(luò )、通信等基礎安全防護，只需要關(guān)注云服務(wù)類(lèi)別下的安全防護能力。

• 如果是IaaS用戶(hù)，只需關(guān)注涉及自身虛擬基礎環(huán)境和業(yè)務(wù)應用系統安全的83項技術(shù)指標，不需關(guān)注物理機房環(huán)境和云平臺網(wǎng)絡(luò )等內容，測評條款數約是自建云平臺的62.4%。
• 如果是PaaS用戶(hù)則需要測評內容更少，只需要關(guān)注涉及產(chǎn)品配置以及自身業(yè)務(wù)應用系統安全的49項技術(shù)指標，測評范圍是自建云平臺的36.8%。
• 對于SaaS用戶(hù)來(lái)說(shuō)，只需要關(guān)注涉及應用安全配置以及業(yè)務(wù)數據保護的45項技術(shù)指標，需要投入的人力和經(jīng)費成本也最少。

從上可以看出，在云平臺通過(guò)等保2.0測評的前提下，企業(yè)上云的程度越深，自身所需要進(jìn)行測評項數量就越少，當然所需要投入的成本就會(huì )更低，讓企業(yè)擁有高等級安全能力同時(shí)，可以有更多精力聚焦在自身業(yè)務(wù)發(fā)展上。

• 如何滿(mǎn)足等保2.0中物聯(lián)網(wǎng)安全的擴展要求

  等保2.0物聯(lián)網(wǎng)部分主要擴展了感知層的安全要求，在物理和環(huán)境安全、網(wǎng)絡(luò )和通訊安全、設備和計算安全，以及應用和數據安全做了擴展要求。用戶(hù)需要建設并滿(mǎn)足相應的安全防護能力后，才能通過(guò)等保2.0物聯(lián)網(wǎng)擴展要求。如果用戶(hù)物聯(lián)網(wǎng)平臺在云計算環(huán)境中，云平臺物聯(lián)網(wǎng)擴展支持能力不同，用戶(hù)所承擔的安全建設能力要求不同。例如對于阿里云用戶(hù)來(lái)說(shuō)，只需要通過(guò)涉及設備物理防護及感知節點(diǎn)管理相關(guān)的19項技術(shù)指標中的7條技術(shù)指標測評即可。

• 云上用戶(hù)等保測評流程

  等級保護工作流程包括定級、備案、建設整改、等級測評、監督檢查五個(gè)階段，我們?yōu)樵粕嫌脩?hù)提供了一站式服務(wù)，全面覆蓋等保定級階段、備案階段、建設整改階段以及等保測評階段。通過(guò)差距性分析評估，幫助用戶(hù)找出業(yè)務(wù)系統安全管理過(guò)程中與等保2.0要求的實(shí)際差距，同時(shí)提供安全管理加固建議、協(xié)助安全產(chǎn)品選型、協(xié)助各項安全加固，最終通過(guò)等保測評。我們的安全團隊多年的技術(shù)實(shí)戰和經(jīng)驗沉淀，可以幫助客戶(hù)快速解決等保測評過(guò)程中的各類(lèi)安全風(fēng)險，提高服務(wù)效率，提升客戶(hù)整體安全防護能力。

服務(wù)內容

• 等級保護整改方案咨詢(xún)

  根據差距評估結果，結合用戶(hù)的業(yè)務(wù)現狀，設計滿(mǎn)足等級保護要求的整改方案。

• 安全產(chǎn)品選型及部署

  根據安全整改方案，協(xié)助客戶(hù)完成安全產(chǎn)品的選型和采購、部署工作。

  對安全產(chǎn)品進(jìn)行接入及優(yōu)化配置以滿(mǎn)足等保要求。

• 系統安全整改工作

  根據差距評估結果，對網(wǎng)絡(luò )、服務(wù)器、數據庫根據等保要求進(jìn)行技術(shù)整改。

• 安全管理咨詢(xún)

  根據等級保護對安全管理的要求，提供部分安全管理制度設計和執行指導。