等保2.0即将实施宝之云有份通关秘籍
点击上方“蓝色字体”,选择 “设为星标”
关键讯息,D1时间送达!
日前,网络安全等级保护制度2.0标准正式对外发布,并将于2019年12月1日正式实施。
近年来,随着云计算、移动互联、物联网等新兴技术的发展,以及网络安全形势的变化,传统等保的安全要求已经无法有效应对新的安全风险和新威胁,等保2.0正是在此背景下推出。
相比1.0版本,等保2.0有哪些重要变化?
首先,法律效力不同。等保制度的政策依据从条例法规提升到法律层面,《中华人民共和国网络安全法》中明确提出了要实行网络安全等级保护制度,网络运营者如果不履行等级保护义务将受到处罚。
其次,保护对象更科学更全面。等保2.0把云计算平台、大数据平台、移动互联网、物联网和工业控制系统等都纳入了等级保护对象范围,并针对这些新技术、新应用提出了特殊的安全扩展要求。例如,要求云计算基础设施位于中国境内,云服务客户数据、用户个人信息等也应确保存储于中国境内。
再次,构建主动防御体系。等保2.0突出“一个中心、三重防护”的理念,更为注重构建全方位的主动防御,构建感知预警、安全分析、动态防护、全面检测、应急处置等于一体的网络安全综合防御体系。
最后,等保测评要求不同。等保1.0要求三级系统至少每年进行一次等级测评,四级系统至少每半年进行一次等级测评。而等保2.0则要求网络运营者选择符合国家规定条件的测评机构,对三级以上系统每年开展等级测评,也就是说四级系统每年至少保证一次等级测评,降低了网络运营者的管理压力。此外,等保1.0要求60分基本符合,而在等保2.0里,测评达到75分以上才算基本符合。
云环境下的等级保护,你准备好了吗?
依据等保2.0标准,在云环境下开展等级保护工作应遵循如下原则:
• 应确保云计算平台不承载高于其安全保护等级的业务应用系统。
• 应确保云计算基础设施位于中国境内。
• 云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
• 云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
值得一提的是,云计算平台和云上租户的应用系统需要分开定级。云平台的等级要不低于云上租户的业务应用系统的最高级。
其中,针对云服务商的云平台,等保2.0明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。
针对云租户的应用系统,比如某政府单位门户网站系统,在嵌入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。不过,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不同的云计算服务模式下,不同责任主体的责任也是不同的。等保2.0对于云服务商、云租户的职责划分如下:
1、对于IaaS基础设施服务模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据;
2、对于PaaS平台即服务的服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。
3、对于SaaS软件服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
企业如何通过等保“大考”?
总体而言,等保2.0的覆盖面更广,测评要求也更加严格。很多企业本身就在为做等保劳心劳力,针对不久后实施的新等保标准,究竟要如何有效应对呢?
通过等保测评的第一大捷径,是选择具备等保资质的云服务商。这样,云上租户可以复用云平台和SaaS应用的测评结果,让企业通过等保测评的时间大大缩短。
据悉,宝信软件旗下的宝之云品牌率先以“等保2.0”标准建设自身平台的安全规范体系,其宝之云云计算基础平台、宝之云IDC支撑平台、邮箱云此前相继通过了等保三级测评。
此外,宝信软件还帮助宝武集团、华宝信托、申能集团等多家行业用户构建了符合国家等保标准的安全体系,并顺利获得了等保认证。
以华宝证券为例,鉴于国家对金融行业的安全要求非常严格,宝之云启用了防篡改功能对邮箱漏洞进行加固,并采用了异地备份,进一步保障了数据安全,让用户顺利获得等保(三级)认证。
持续保护,让企业数据更安全
企业业务在不断发展,网络攻击随时随地都会发生,面对变幻莫测的内外部环境,企业需要专业的安全服务团队来持续保护。
因此,在满足平台等保合规性的同时,宝之云为用户提供给一站式安全服务,保护企业数据免受外界威胁,降低网络安全风险。
宝之云的安全服务团队具备包括ISO27001信息安全管理体系认证、安全运维服务资质二级、可信云认证等在内的全面信息安全资质,有能力为政企用户提供安全咨询、风险评估及规划、安全评估及渗透测试等服务,从最初的规划设计、实施整改、管理体系建设,到最后的测试阶段,以等级保护为抓手,提升用户安全合规管理水平。
从企业的切实安全需求出发,宝之云的安全服务团队将协助用户识别风险,认清安全风险的现状,并制定相应的处置计划。新上的系统、新增加的功能,也能尽快满足网络安全的相关要求。
在技术层面,宝之云的云管平台会对系统进行实时监控,一旦出现问题,及时堵住漏洞,防止系统被篡改、被入侵。并定期提供精细化、可视化的分析报告,让用户全面了解安全态势。
随着“等保2.0”标准的正式发布,企业网络安全建设有了新的法律依据和标准体系,宝之云也将持续助力政企用户的信息安全建设,为各行各业提供更安全、更专业的服务。
有道是:莫纠结,空等闲,错过上云好时机~
扫一扫,邂逅宝之云,开启你的云端之旅!
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/