亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

信息安全等級保護(hù)之:云計算

等保2.0時代最受關(guān)注的變化,莫過于其保護(hù)范圍的大大擴(kuò)展,此外,在原有的基礎(chǔ)上,等保2.0細(xì)化擴(kuò)展了諸多細(xì)分安全領(lǐng)域的要求和標(biāo)準(zhǔn),既與時俱進(jìn)提高了保障的要求門檻,也讓工作開展的依據(jù)更加清晰和可操作。


云等保是在原等??蚣芟聦π率挛锏臄U(kuò)展,云計算架構(gòu)之下,等級保護(hù)依然需要落地,包括定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查五個規(guī)定動作。不同的是等??蚣芟滦略黾拥脑匦枰獙υ械燃壉Wo(hù)相關(guān)工作的具體內(nèi)容進(jìn)行擴(kuò)充并統(tǒng)一。


首先是租戶和平臺的責(zé)任劃分問題。在云計算條件下,目前采取的是云平臺和租戶的責(zé)任共擔(dān)機(jī)制,而從IaaS到PaaS再到SaaS模式,云租戶所需要承擔(dān)的責(zé)任是越來越少的,但無論如何,對于云租戶而言,數(shù)據(jù)安全始終是最核心的安全問題,不可松懈。


圖片


其次是定級備案的問題。傳統(tǒng)的信息系統(tǒng)其架構(gòu)是隨著業(yè)務(wù)變化而變化的,實(shí)際上是以物理網(wǎng)絡(luò)和安全設(shè)備為邊界的;而對于云環(huán)境而言,則是以虛擬邊界作為系統(tǒng)定級的邊界,采用原有的思路無法體現(xiàn)出業(yè)務(wù)應(yīng)用系統(tǒng)的邏輯關(guān)系,需要從業(yè)務(wù)應(yīng)用的角度出發(fā),梳理業(yè)務(wù)應(yīng)用和對應(yīng)的模塊。


原則上,定級、備案工作是由用戶單位自己填寫定級備案表交給公安網(wǎng)監(jiān)部門去進(jìn)行備案工作,但考慮到實(shí)際情況,絕大多數(shù)情況下都是用戶單位在測評機(jī)構(gòu)的協(xié)助下完成這些工作。系統(tǒng)安全建設(shè)和等級測評的工作不一定要嚴(yán)格按照這個順序開展,可以先測評再整改,也可以先建設(shè)再測評,具體還是根據(jù)自身實(shí)際情況來辦。


選擇的測評機(jī)構(gòu)很重要,測評機(jī)構(gòu)的權(quán)威性,測評質(zhì)量直接關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容,提前發(fā)現(xiàn)問題提前整改,可以有效降低被攻擊的風(fēng)險,提高信息安全防護(hù)能力。


在定級當(dāng)中還存在著兩個重要誤區(qū):


1、已經(jīng)托管的云系統(tǒng)是否需要等保?

根據(jù)“誰運(yùn)營誰負(fù)責(zé),誰使用誰負(fù)責(zé),誰主管誰負(fù)責(zé)”的原則,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營者自己,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該進(jìn)行系統(tǒng)定級的還是得定級,該做等保的還是得做等保。


系統(tǒng)上云或托管后,并不是安全責(zé)任主體轉(zhuǎn)移,只是系統(tǒng)所在機(jī)房地址的變更,當(dāng)然在公有云模式下,Iaas、Paas、Saas不同模式相應(yīng)的安全責(zé)任會有些區(qū)別,但是并不是沒有責(zé)任。


2、系統(tǒng)定級越低越好?

最終定級是根據(jù)受侵害的客體以及對客體侵害的程度來確定的,以事實(shí)為根據(jù),而不是主觀隨意定級。定級低了,表面上要求更容易滿足,但相應(yīng)的防護(hù)措施也相對不足,一旦遭受攻擊,反而得不償失。



再次是備案的問題。傳統(tǒng)的系統(tǒng)備案很簡單,IT基礎(chǔ)設(shè)施、運(yùn)維地點(diǎn)、工商注冊地基本上都是一致的,直接去所在地市局、網(wǎng)安或者是分局即可;然而上云的系統(tǒng)由于部署在各類云平臺上面,而云平臺的實(shí)際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營者不在同一地址,大型云平臺還有許多物理節(jié)點(diǎn),很難確定云平臺的具體物理地址,因此從方便屬地公安機(jī)關(guān)監(jiān)管的角度出發(fā),應(yīng)該在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門進(jìn)行系統(tǒng)備案。


再就是如何建設(shè)整改的問題。云計算已經(jīng)深刻的影響到了IT架構(gòu)、業(yè)務(wù)系統(tǒng)部署方式,以及服務(wù)模式,一方面它可以讓用戶快速、彈性、按需、隨時隨地的獲取到IT資源和服務(wù),實(shí)現(xiàn)IT即服務(wù)的轉(zhuǎn)變,是重要的一次信息化變革,另一方面這種新型的IT架構(gòu)也帶來了新的安全挑戰(zhàn)和安全需求。


邊界、通信和計算的安全均需要考慮在內(nèi),而重中之重的則是云數(shù)據(jù)安全的建設(shè),依據(jù)客戶實(shí)際需求和相關(guān)安全合規(guī)標(biāo)準(zhǔn),進(jìn)行數(shù)據(jù)創(chuàng)建、傳輸、存儲、使用、共享和銷毀在內(nèi)的全生命周期的云環(huán)境下的數(shù)據(jù)安全設(shè)計,以及數(shù)據(jù)安全體系建設(shè),從而保障用戶數(shù)據(jù)在云環(huán)境下的安全使用,保護(hù)云環(huán)境中的數(shù)據(jù)的機(jī)密性、可用性、完整性。


最后是測評的問題。云計算系統(tǒng)保護(hù)措施通常是以系統(tǒng)整體能力體現(xiàn),云計算安全擴(kuò)展要求作為全局對待,在報告結(jié)構(gòu)上等同于全局測評,各測評項(xiàng)不再重復(fù)對應(yīng)一個或多個測評對象。等保工作是一個持續(xù)的工作,等保測評也是一個周期性的工作,三級系統(tǒng)要求每年做一次,四級系統(tǒng)每半年做一次,二級系統(tǒng)部分行業(yè)明確要求每兩年做一次,沒有明確要求的行業(yè)一般是建議兩年做一次測評。


服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號