日前，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)正式對(duì)外發(fā)布，并將于2019年12月1日正式實(shí)施。

近年來(lái)，隨著云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等新興技術(shù)的發(fā)展，以及網(wǎng)絡(luò)安全形勢(shì)的變化，傳統(tǒng)等保的安全要求已經(jīng)無(wú)法有效應(yīng)對(duì)新的安全風(fēng)險(xiǎn)和新威脅，等保2.0正是在此背景下推出。

相比1.0版本，等保2.0有哪些重要變化?

首先，法律效力不同。等保制度的政策依據(jù)從條例法規(guī)提升到法律層面，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確提出了要實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者如果不履行等級(jí)保護(hù)義務(wù)將受到處罰。

其次，保護(hù)對(duì)象更科學(xué)更全面。等保2.0把云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等都納入了等級(jí)保護(hù)對(duì)象范圍，并針對(duì)這些新技術(shù)、新應(yīng)用提出了特殊的安全擴(kuò)展要求。例如，要求云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)，云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等也應(yīng)確保存儲(chǔ)于中國(guó)境內(nèi)。

再次，構(gòu)建主動(dòng)防御體系。等保2.0突出“一個(gè)中心、三重防護(hù)”的理念，更為注重構(gòu)建全方位的主動(dòng)防御，構(gòu)建感知預(yù)警、安全分析、動(dòng)態(tài)防護(hù)、全面檢測(cè)、應(yīng)急處置等于一體的網(wǎng)絡(luò)安全綜合防御體系。

最后，等保測(cè)評(píng)要求不同。等保1.0要求三級(jí)系統(tǒng)至少每年進(jìn)行一次等級(jí)測(cè)評(píng)，四級(jí)系統(tǒng)至少每半年進(jìn)行一次等級(jí)測(cè)評(píng)。而等保2.0則要求網(wǎng)絡(luò)運(yùn)營(yíng)者選擇符合國(guó)家規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，對(duì)三級(jí)以上系統(tǒng)每年開展等級(jí)測(cè)評(píng)，也就是說(shuō)四級(jí)系統(tǒng)每年至少保證一次等級(jí)測(cè)評(píng)，降低了網(wǎng)絡(luò)運(yùn)營(yíng)者的管理壓力。此外，等保1.0要求60分基本符合，而在等保2.0里，測(cè)評(píng)達(dá)到75分以上才算基本符合。

云環(huán)境下的等級(jí)保護(hù)，你準(zhǔn)備好了嗎?

依據(jù)等保2.0標(biāo)準(zhǔn)，在云環(huán)境下開展等級(jí)保護(hù)工作應(yīng)遵循如下原則：

• 應(yīng)確保云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)。

• 應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)。

• 云計(jì)算平臺(tái)的運(yùn)維地點(diǎn)應(yīng)位于中國(guó)境內(nèi)，如需境外對(duì)境內(nèi)云計(jì)算平臺(tái)實(shí)施運(yùn)維操作應(yīng)遵循國(guó)家相關(guān)規(guī)定。

• 云計(jì)算平臺(tái)運(yùn)維過(guò)程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、日志信息等存儲(chǔ)于中國(guó)境內(nèi)，如需出境應(yīng)遵循國(guó)家相關(guān)規(guī)定。

值得一提的是，云計(jì)算平臺(tái)和云上租戶的應(yīng)用系統(tǒng)需要分開定級(jí)。云平臺(tái)的等級(jí)要不低于云上租戶的業(yè)務(wù)應(yīng)用系統(tǒng)的最高級(jí)。

其中，針對(duì)云服務(wù)商的云平臺(tái)，等保2.0明確提出：對(duì)于公有云定級(jí)流程為云平臺(tái)先定級(jí)測(cè)評(píng)，再提供云服務(wù)。對(duì)于私有云，定級(jí)流程為云平臺(tái)先定級(jí)測(cè)評(píng)，再將已定級(jí)應(yīng)用系統(tǒng)向云平臺(tái)遷移。

針對(duì)云租戶的應(yīng)用系統(tǒng)，比如某政府單位門戶網(wǎng)站系統(tǒng)，在嵌入公有云平臺(tái)后，還需要對(duì)這個(gè)門戶網(wǎng)站獨(dú)立定級(jí)備案、進(jìn)行等保測(cè)評(píng)。不過(guò)，涉及云平臺(tái)部分的內(nèi)容可以不重復(fù)測(cè)評(píng)，測(cè)評(píng)結(jié)論直接引用即可。

不同的云計(jì)算服務(wù)模式下，不同責(zé)任主體的責(zé)任也是不同的。等保2.0對(duì)于云服務(wù)商、云租戶的職責(zé)劃分如下：

1、對(duì)于IaaS基礎(chǔ)設(shè)施服務(wù)模式，云服務(wù)商的職責(zé)范圍包括虛擬機(jī)監(jiān)視器和硬件，云租戶的職責(zé)范圍包括操作系統(tǒng)、中間件和應(yīng)用數(shù)據(jù);

2、對(duì)于PaaS平臺(tái)即服務(wù)的服務(wù)模式，云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)和中間件。云租戶的職責(zé)范圍為應(yīng)用和數(shù)據(jù)。

3、對(duì)于SaaS軟件服務(wù)模式，云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)、中間件和應(yīng)用，云租戶的職責(zé)范圍包括部分應(yīng)用職責(zé)及用戶使用職責(zé)。

企業(yè)如何通過(guò)等保“大考”?

總體而言，等保2.0的覆蓋面更廣，測(cè)評(píng)要求也更加嚴(yán)格。很多企業(yè)本身就在為做等保勞心勞力，針對(duì)不久后實(shí)施的新等保標(biāo)準(zhǔn)，究竟要如何有效應(yīng)對(duì)呢?

通過(guò)等保測(cè)評(píng)的第一大捷徑，是選擇具備等保資質(zhì)的云服務(wù)商。這樣，云上租戶可以復(fù)用云平臺(tái)和SaaS應(yīng)用的測(cè)評(píng)結(jié)果，讓企業(yè)通過(guò)等保測(cè)評(píng)的時(shí)間大大縮短。

據(jù)悉，寶信軟件旗下的寶之云品牌率先以“等保2.0”標(biāo)準(zhǔn)建設(shè)自身平臺(tái)的安全規(guī)范體系，其寶之云云計(jì)算基礎(chǔ)平臺(tái)、寶之云IDC支撐平臺(tái)、郵箱云此前相繼通過(guò)了等保三級(jí)測(cè)評(píng)。

此外，寶信軟件還幫助寶武集團(tuán)、華寶信托、申能集團(tuán)等多家行業(yè)用戶構(gòu)建了符合國(guó)家等保標(biāo)準(zhǔn)的安全體系，并順利獲得了等保認(rèn)證。

以華寶證券為例，鑒于國(guó)家對(duì)金融行業(yè)的安全要求非常嚴(yán)格，寶之云啟用了防篡改功能對(duì)郵箱漏洞進(jìn)行加固，并采用了異地備份，進(jìn)一步保障了數(shù)據(jù)安全，讓用戶順利獲得等保(三級(jí))認(rèn)證。

持續(xù)保護(hù)，讓企業(yè)數(shù)據(jù)更安全

企業(yè)業(yè)務(wù)在不斷發(fā)展，網(wǎng)絡(luò)攻擊隨時(shí)隨地都會(huì)發(fā)生，面對(duì)變幻莫測(cè)的內(nèi)外部環(huán)境，企業(yè)需要專業(yè)的安全服務(wù)團(tuán)隊(duì)來(lái)持續(xù)保護(hù)。

因此，在滿足平臺(tái)等保合規(guī)性的同時(shí)，寶之云為用戶提供給一站式安全服務(wù)，保護(hù)企業(yè)數(shù)據(jù)免受外界威脅，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

寶之云的安全服務(wù)團(tuán)隊(duì)具備包括ISO27001信息安全管理體系認(rèn)證、安全運(yùn)維服務(wù)資質(zhì)二級(jí)、可信云認(rèn)證等在內(nèi)的全面信息安全資質(zhì)，有能力為政企用戶提供安全咨詢、風(fēng)險(xiǎn)評(píng)估及規(guī)劃、安全評(píng)估及滲透測(cè)試等服務(wù)，從最初的規(guī)劃設(shè)計(jì)、實(shí)施整改、管理體系建設(shè)，到最后的測(cè)試階段，以等級(jí)保護(hù)為抓手，提升用戶安全合規(guī)管理水平。

從企業(yè)的切實(shí)安全需求出發(fā)，寶之云的安全服務(wù)團(tuán)隊(duì)將協(xié)助用戶識(shí)別風(fēng)險(xiǎn)，認(rèn)清安全風(fēng)險(xiǎn)的現(xiàn)狀，并制定相應(yīng)的處置計(jì)劃。新上的系統(tǒng)、新增加的功能，也能盡快滿足網(wǎng)絡(luò)安全的相關(guān)要求。

在技術(shù)層面，寶之云的云管平臺(tái)會(huì)對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，一旦出現(xiàn)問(wèn)題，及時(shí)堵住漏洞，防止系統(tǒng)被篡改、被入侵。并定期提供精細(xì)化、可視化的分析報(bào)告，讓用戶全面了解安全態(tài)勢(shì)。

隨著“等保2.0”標(biāo)準(zhǔn)的正式發(fā)布，企業(yè)網(wǎng)絡(luò)安全建設(shè)有了新的法律依據(jù)和標(biāo)準(zhǔn)體系，寶之云也將持續(xù)助力政企用戶的信息安全建設(shè)，為各行各業(yè)提供更安全、更專業(yè)的服務(wù)。