《網絡安全法》出台後,網絡安全等級保護制度上升到了法律層面,不做等保就“等于”違法早已深入人心。等保2.0最大的特點就是從原有傳統系統基礎上延伸到了雲計算、移動互聯、物聯網和大資料等新興領域,是以雲上使用者從12月1日正式迎來等保2.0大考驗。
那麼,問題來了,等保2.0該怎麼做?
- 雲服務商已經通過等保了,雲上使用者是不是預設已經通過,還需要單獨做等保嗎?
- 等保條款那麼多,使用者在雲上看不見摸不着,對于新增的雲計算擴充要求和物聯網擴充要求,使用者到底該關注哪些内容呢?
- 在做等保過程中,雲服務商到底能幫助使用者做什麼呢?
面對大量的上述咨詢和疑惑,阿裡雲在公安部資訊安全等級保護評估中心指導下,釋出全國首個《阿裡公共雲使用者等保2.0合規能力白皮書》,為您一一解答。白皮書從雲服務商和雲上使用者安全合規責任劃分出發,首次公開闡述公共雲上使用者在不同服務模式下的安全合規責任和等保2.0适用條款,基于最典型的IaaS服務模式場景,為您提供最佳安全合規實踐指引,首次深度解讀雲計算、物聯網擴充要求合規實踐。
一、擇“優”雲服務商才能得優
按照等保2.0定級指南要求,明确指出雲上使用者應用系統和雲服務商雲計算平台部分要分别作為單獨的定級對象,也就是說雲上使用者自己的應用系統也要單獨進行等保測評 。同時,雲等保2.0測評要求的最新變化,測評結論從原有等保1.0時代的“符合、基本符合、不符合”變成現在的“優、良、中、差”,低于70分就是差,70分以上才算基本符合要求,是以及格分數調高了,測評要求也更嚴格了。
對于使用者來說想要拿到“優”,必須同時滿足以下三個條件:
- 選擇的雲平台等級測評結論為優;
- 業務應用系統存在的問題中無中、高風險項;
- 得分高于90分(含90分)。
也就是說,使用者的等保測評結論與雲平台綁定,隻有選擇測評結論為“優”的雲平台,使用者才有可能拿到“優”。
作為雲等保2.0時代的先行者和踐行者,阿裡雲繼2016年成為全國唯一一家雲計算等保新标準試點示範機關後,又再一次成為全國首家以高分通過公安部權威機構等保2.0測評的雲服務商,為雲上使用者拿“優”奠定了良好基礎。
二、公共雲上比雲下等保測評更輕松
除了選擇優質的雲平台,如果使用者想要拿到較好的測評結論,還需要關注哪些點呢?白皮書中明确指出雲上使用者等保測評範圍和使用的雲服務模式緊密相關。
白皮書一方面根據IaaS、PaaS和SaaS服務模式對阿裡雲全系雲産品進行了分類,讓使用者能夠快速定位到自己使用的雲産品到底屬于哪種服務模式;另一方面在公安部資訊安全等級保護評估中心指導和認可下,明确了三種服務模式下雲上使用者适用的等保2.0标準中的技術條款,讓使用者提前準備需要關注的測評名額和範圍。
圖1 不同服務模式下的雲上使用者等保2.0技術測評項數量
從圖1不同服務模式下的雲上使用者等保2.0技術測評項可以看出,如果使用者是自建雲平台或傳統IDC托管,那麼等保中的所有技術條款都要進行測評。如果是IaaS使用者,隻需關注涉及自身虛拟基礎環境和業務應用系統安全的83項技術名額,不需關注實體機房環境和雲平台網絡等内容,測評條款數約是自建雲平台的62.4%。如果是PaaS使用者則需要測評内容更少,隻需要關注涉及産品配置以及自身業務應用系統安全的49項技術名額,測評範圍是自建雲平台的36.8%。對于SaaS使用者來說,隻需要關注涉及應用安全配置以及業務資料保護的45項技術名額,需要投入的人力和經費成本也最少。
綜合來講,雲時代因服務模式不同帶來的雲上使用者合規責任的變化,使得公共雲使用者比自建雲平台或傳統IDC使用者在等保2.0中投入的合規成本大幅降低,并且在PaaS和SaaS服務模式下優勢更為突出,可以讓使用者将更多精力聚焦自身的業務應用系統和資料安全保護上。
三、物聯網擴充要求其實不難
根據等保2.0物聯網三級要求,物聯網場景使用者需關注包括感覺節點裝置實體防護、接入控制、入侵防範、感覺節點裝置安全、網關節點裝置安全、抗資料重放、資料融合處理及感覺節點管理這8大要求,共計有20條測評項。
白皮書根據這8大要求,通過阿裡雲IoT安全産品進行了合規性闡述,讓使用者能夠通過阿裡雲快速定位到更安全、更便捷、更輕量的安全産品。
不論使用者是自建物聯網平台或使用阿裡雲物聯網平台,使用者都需要關注涉及裝置實體防護及感覺節點管理相關的7條技術名額。
作為物聯網領域的先驅者,阿裡雲具備全面的物聯網安全基礎設施能力,包括具有自主知識産權的物聯網可信執行環境、裝置身份認證、可信服務管理,并結合阿裡雲大資料強大的安全情報、風險檢測和分析能力及人工智能建構物聯網安全營運中心,為使用者提供裝置全生命周期安全管理服務,為使用者通過物聯網擴充要求奠定了堅實的基礎。
四、助力雲上使用者通過等保2.0考驗
白皮書依照公安部資訊安全等級保護評估中心提出的雲計算等保2.0合規能力技術體系,結合阿裡雲安全技術和管理優勢,詳細闡述了使用者等保合規體系,需要依賴雲平台安全、雲産品安全、雲安全産品以及隻能由使用者自建的四項安全能力。
其中,雲平台安全能力由阿裡雲自行承擔,使用者無需關注;雲産品安全能力則是利用雲計算優勢雲平台自帶的原生安全能力以及雲産品預設的安全屬性,使用者隻需負責安全配置;雲安全産品能力是基于阿裡巴巴集團多年的安全實踐以及雲平台常态化的攻防實踐,為雲上使用者提供專業的安全産品和服務。
圖2 阿裡雲IaaS服務模式下使用者等保2.0安全能力組成
白皮書從最典型的IaaS服務模式場景出發,通過上述四項安全能力,為使用者提供了最佳安全合規實踐指引。從圖2可以看出,使用者在依賴雲平台安全能力基礎之上,利用雲原生安全優勢和産品預設安全屬性,直接實作66項(占79.1%)技術控制點安全能力。同時,使用者還可以選擇配套的阿裡雲安全産品,實作54項(占65.1%)技術控制點安全能力。與此同時,阿裡雲為使用者提供了一站式等保解決方案,專業、快速、合規的解決方案助力雲上超過千家客戶無憂過等保;并面向不同需求的使用者提供不同的等保2.0安全套餐,為使用者順利通過等保2.0保駕護航。
等保2.0已正式實施,雲等保作為等保2.0時代的重要創新,使用者需要了解雲上等保與傳統雲下等保的差別,也要充分利用雲計算、物聯網服務模式帶來的技術優勢,更好的複用雲基礎設施的合規能力,讓自己更聚焦于自身的業務應用系統和資料安全保護。
若想了解更多資訊,您可以掃描下方二維碼,擷取《阿裡公共雲使用者等保2.0合規能力白皮書》:
2019年3月份,阿裡雲聯合公安部資訊安全等級保護評估中心還釋出了《阿裡專有雲等保2.0合規能力白皮書》,基于雲等保合規技術架構,給出了阿裡專有雲多種傳遞場景下等保2.0合規的最佳實踐,旨在為政府、企業、組織機構等相關機關滿足等保合規要求提供行動指南。如需擷取白皮書全文,請掃描下方二維碼索取。