科普下,什么网站app要通过等保测评?通过等保有什么好处?

信息系统(包括网络)按照重要性和受破坏后的危害性评估,分成五个安全保护等级(从第一级到第五级逐级增高),企业按照自己业务情况定级。

信息安全等级保护2.0所涉及的行业:

1.金融,尤其是互联网金融 (不做等保不允许经营,监管最严)

2.医疗 (各大医院系统必须做等保,互联网医疗要想上线取得线上诊疗资质,必须过等保)

3.教育 (211,985大学必须做等保,互联网+教育如学生管理系统、学校网站等重要系统必须做等保)

4.能源 (上级主管部门要求)

5.通信 (上级主管部门要求)

6.交通 (上级主管部门要求)

7.政府机关,企事业单位,央企(等保和负责人的绩效考核挂钩)

8.征信行业(行业要求必须做等保)

9.软件开发(行业或者甲方要求必须做等保)

10.物联网(行业或者甲方要求必须做等保)

11.工业数据安全(行业或者甲方要求必须做等保)

12.大数据(行业或者甲方要求必须做等保)

13.云计算 (阿里云,华为云,云电话,云视频,云服务等等)

14.快递行业(不做等保不给换许可证)

15.酒店行业(属于最近严查行业)

《信息安全等级保护管理办法》

信息系统的保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

云上等保合规介绍

1.1.阿里云自身的安全认证

作为全球领先的云服务提供商,阿里云一直在数据安全审计、合规认证方面向更高的标准 演进。目前,阿里云几乎已经拿到了亚太地区权威合规认证的 “全满贯”:获得全球首张云 安全国际认证金牌 CSA-STAR,全球首家通过德国 C5 云安全基础要求和所有附加条款,获得 ISO 多体系认证,专有云和公共云平台通过等保 2.0 合规测评等等。2019 年,阿里云更是当选 由国家互联网应急中心 CNCERT 颁发的国家级网络安全应急服务支撑单位。 阿里云完善的合规体系认证代表着企业上阿里云之后系统底座的安全可靠,原来企业需要 自己建机房或自建云,需要在物理机房环境、网络、系统等方面都需要建设等保合规能力,上 云之后都可以交给阿里云,并且这些底座的安全能力是经过诸多权威第三方认证和认可的,上 云即可默认获得。

阿里云合规能力大图

由于等保 2.0 是目前云上企业最为关注的问题之一,在本章节会重点针对云上等保 2.0 合 规问题进行分析。

1.2.云上与云下企业过等保的区别

等保 2.0 全称网络安全等级保护 2.0 制度,是我国网络安全领域的基本国策、基本制度。 《网络安全法》出台后,网络安全等级保护制度上升到了法律层面,不做等保就“等于”违法 早已深入人心。等保 2.0 标准从 2019 年 12 月 1 日正式实施,并且已出现违法等保导致的被处 罚的案例。 网络安全法规定“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则及其他相关规定, 前 提是云平台通过等保级别不低于用户系统级别,否则影响云上用户的信息系统等级保护定级备 案。因此只要云平台通过等保测评,传统环境中的物理安全、网络安全、虚拟层安全等基础安 全防护要求,云上用户投入可以因为云平台的能力而大幅下降,关注点可以更加聚焦在业务和 系统的防护要求。

1.3.针对云上企业等保 2.0 的新要求

●针对云计算安全扩展要求的支持

等保 2.0 中增加了云计算方面的安全扩展要求,每一级安全扩展要求都分为安全物理环 境、安全通信网络、安全区域边界、安全计算环境和安全建设管理五个部分。等保 2.0 重点强 调“保证云计算基础设施位于中国境内”,“确保云服务客户数据、用户个人信息等存储于中 国境内”,同时云平台需要结合 IaaS、PaaS、SaaS 模式用户,提供云产品安全能力和云安全 产品能力。

●针对物联网扩展要求的支持

根据等保 2.0 物联网三级要求,物联网场景用户需关注包括感知节点设备物理防护、接入 控制、入侵防范、感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理及感知 节点管理这 8 大要求,共计有 20 条测评项。因此在物联网扩展要求中,需要云平台提供物联网安全基础设施能力,包括:物联网可信执行环境、设备身份认证、可信服务管理,包括风险 监测、分析和安全运营能力等。

1.4.云上企业如何过等保

云上企业要通过等保 2.0 测评,前提是云平台通过等保级别不低于用户系统级别,企业只 需要对自身云上系统和业务做合规测评即可。所以云平台通过测评是云上企业满足等保合规要 求的前提条件。对于阿里云用户来说,阿里云的公共云、专有云、行业云均通过了等级保护三 级及以上测评备案,云上企业只需要对业务系统做合规测评。

● 不同服务模式下等保技术测评要求

企业使用的云服务类别(IaaS、PaaS 和 SaaS 服务模式)不同,等保 2.0 所要求的技术测 评项目也有所不同。用户自建云平台或 IDC 环境中,基础安全防护需由用户自身承担相应的安 全能力建设。在云计算环境中,用户无需关注物理、网络、通信等基础安全防护,只需要关注 云服务类别下的安全防护能力,以下是在阿里云不同云服务类别下用户所要承担的技术要求:

1. 如果是 IaaS 用户,只需关注涉及自身虚拟基础环境和业务应用系统安全的 83 项技术指标, 不需关注物理机房环境和云平台网络等内容,测评条款数约是自建云平台的 62.4%。

2. 如果是 PaaS 用户则需要测评内容更少,只需要关注涉及产品配置以及自身业务应用系统安 全的 49 项技术指标,测评范围是自建云平台的 36.8%。

3. 对于 SaaS 用户来说,只需要关注涉及应用安全配置以及业务数据保护的 45 项技术指标, 需要投入的人力和经费成本也最少。

阿里云不同服务模式下的云上用户等保 2.0 技术测评项数量

从上可以看出,在云平台通过等保 2.0 测评的前提下,企业上云的程度越深,自身所需要 进行测评项数量就越少,当然所需要投入的成本就会更低,让企业拥有高等级安全能力同时, 可以有更多精力聚焦在自身业务发展上。

● 如何满足等保 2.0 中物联网安全的扩展要求

等保 2.0 物联网部分主要扩展了感知层的安全要求,在物理和环境安全、网络和通讯安 全、设备和计算安全,以及应用和数据安全做了扩展要求。用户需要建设并满足相应的安全防 护能力后,才能通过等保 2.0 物联网扩展要求。如果用户物联网平台在云计算环境中,云平台 物联网扩展支持能力不同,用户所承担的安全建设能力要求不同。对于阿里云用户来说,只需 要通过涉及设备物理防护及感知节点管理相关的 19 项技术指标中的 7 条技术指标测评即可。

●云上用户等保测评流程

等级保护工作流程包括定级、备案、建设整改、等级测评、监督检查五个阶段,阿里云为 云上用户提供了一站式服务,全面覆盖等保定级阶段、备案阶段、建设整改阶段以及等保测评 阶段。通过差距性分析评估,帮助用户找出业务系统安全管理过程中与等保 2.0 要求的实际差 距,同时提供安全管理加固建议、协助安全产品选型、协助各项安全加固,最终通过等保测评。依托阿里云安全团队多年的技术实战和经验沉淀,可以帮助客户快速解决等保测评过程中 的各类安全风险,提高服务效率,提升客户整体安全防护能力。

想要该方案或者阿里云其他方案—联系我们

2020-11-30T15:49:30+00:00