当前位置:云计算企业动态 → 正文

等保2.0即将实施宝之云有份通关秘籍

责任编辑:yliang |来源:企业网D1Net  2019-06-27 14:21:52 原创文章 企业网D1Net

日前,网络安全等级保护制度2.0标准正式对外发布,并将于2019年12月1日正式实施。

近年来,随着云计算、移动互联、物联网等新兴技术的发展,以及网络安全形势的变化,传统等保的安全要求已经无法有效应对新的安全风险和新威胁,等保2.0正是在此背景下推出。

相比1.0版本,等保2.0有哪些重要变化?

首先,法律效力不同。等保制度的政策依据从条例法规提升到法律层面,《中华人民共和国网络安全法》中明确提出了要实行网络安全等级保护制度,网络运营者如果不履行等级保护义务将受到处罚。

其次,保护对象更科学更全面。等保2.0把云计算平台、大数据平台、移动互联网、物联网和工业控制系统等都纳入了等级保护对象范围,并针对这些新技术、新应用提出了特殊的安全扩展要求。例如,要求云计算基础设施位于中国境内,云服务客户数据、用户个人信息等也应确保存储于中国境内。

再次,构建主动防御体系。等保2.0突出“一个中心、三重防护”的理念,更为注重构建全方位的主动防御,构建感知预警、安全分析、动态防护、全面检测、应急处置等于一体的网络安全综合防御体系。

最后,等保测评要求不同。等保1.0要求三级系统至少每年进行一次等级测评,四级系统至少每半年进行一次等级测评。而等保2.0则要求网络运营者选择符合国家规定条件的测评机构,对三级以上系统每年开展等级测评,也就是说四级系统每年至少保证一次等级测评,降低了网络运营者的管理压力。此外,等保1.0要求60分基本符合,而在等保2.0里,测评达到75分以上才算基本符合。

云环境下的等级保护,你准备好了吗?

依据等保2.0标准,在云环境下开展等级保护工作应遵循如下原则:

• 应确保云计算平台不承载高于其安全保护等级的业务应用系统。

• 应确保云计算基础设施位于中国境内。

• 云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。

• 云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。

值得一提的是,云计算平台和云上租户的应用系统需要分开定级。云平台的等级要不低于云上租户的业务应用系统的最高级。

其中,针对云服务商的云平台,等保2.0明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。

针对云租户的应用系统,比如某政府单位门户网站系统,在嵌入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。不过,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。

不同的云计算服务模式下,不同责任主体的责任也是不同的。等保2.0对于云服务商、云租户的职责划分如下:

1、对于IaaS基础设施服务模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据;

2、对于PaaS平台即服务的服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。

3、对于SaaS软件服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。

企业如何通过等保“大考”?

总体而言,等保2.0的覆盖面更广,测评要求也更加严格。很多企业本身就在为做等保劳心劳力,针对不久后实施的新等保标准,究竟要如何有效应对呢?

通过等保测评的第一大捷径,是选择具备等保资质的云服务商。这样,云上租户可以复用云平台和SaaS应用的测评结果,让企业通过等保测评的时间大大缩短。

据悉,宝信软件旗下的宝之云品牌率先以“等保2.0”标准建设自身平台的安全规范体系,其宝之云云计算基础平台、宝之云IDC支撑平台、邮箱云此前相继通过了等保三级测评。

此外,宝信软件还帮助宝武集团、华宝信托、申能集团等多家行业用户构建了符合国家等保标准的安全体系,并顺利获得了等保认证。

以华宝证券为例,鉴于国家对金融行业的安全要求非常严格,宝之云启用了防篡改功能对邮箱漏洞进行加固,并采用了异地备份,进一步保障了数据安全,让用户顺利获得等保(三级)认证。

持续保护,让企业数据更安全

企业业务在不断发展,网络攻击随时随地都会发生,面对变幻莫测的内外部环境,企业需要专业的安全服务团队来持续保护。

因此,在满足平台等保合规性的同时,宝之云为用户提供给一站式安全服务,保护企业数据免受外界威胁,降低网络安全风险。

宝之云的安全服务团队具备包括ISO27001信息安全管理体系认证、安全运维服务资质二级、可信云认证等在内的全面信息安全资质,有能力为政企用户提供安全咨询、风险评估及规划、安全评估及渗透测试等服务,从最初的规划设计、实施整改、管理体系建设,到最后的测试阶段,以等级保护为抓手,提升用户安全合规管理水平。

从企业的切实安全需求出发,宝之云的安全服务团队将协助用户识别风险,认清安全风险的现状,并制定相应的处置计划。新上的系统、新增加的功能,也能尽快满足网络安全的相关要求。

在技术层面,宝之云的云管平台会对系统进行实时监控,一旦出现问题,及时堵住漏洞,防止系统被篡改、被入侵。并定期提供精细化、可视化的分析报告,让用户全面了解安全态势。

随着“等保2.0”标准的正式发布,企业网络安全建设有了新的法律依据和标准体系,宝之云也将持续助力政企用户的信息安全建设,为各行各业提供更安全、更专业的服务。

关键字:网络安全 等保2 0 宝之云

原创文章 企业网D1Net

等保2.0即将实施宝之云有份通关秘籍 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2019 京ICP备09108050号-6

^