伴隨著《網(wǎng)絡(luò)安全法》出臺(tái)，等級(jí)保護(hù)制度上升到法律層面。在此背景下孕育出來等保2.0相比之前的等保要求，在等級(jí)保護(hù)的對(duì)象、保護(hù)的內(nèi)容、保護(hù)的體系都大不相同。

當(dāng)然，云等保不是新鮮的事物，而是在原等保框架下的擴(kuò)展要求。云等保的各環(huán)節(jié)與傳統(tǒng)等保相同，包括定級(jí)、備案、建設(shè)整改、測(cè)評(píng)、監(jiān)督檢查等，因此只需要對(duì)原有等級(jí)保護(hù)相關(guān)工作的具體內(nèi)容進(jìn)行擴(kuò)充并統(tǒng)一。

傳統(tǒng)信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)伴隨業(yè)務(wù)變化而變化，系統(tǒng)各組件功能與硬件緊耦合，在安全防護(hù)上強(qiáng)調(diào)分區(qū)域和縱深防御。直觀上來說，就像鐵路局各管一段，信息系統(tǒng)通常以物理網(wǎng)絡(luò)或者安全設(shè)備為邊界進(jìn)行劃分。

但是，云計(jì)算系統(tǒng)網(wǎng)絡(luò)架構(gòu)是扁平化的，業(yè)務(wù)應(yīng)用系統(tǒng)與硬件平臺(tái)松耦合，猶如航空運(yùn)輸。如果信息系統(tǒng)的劃分，單純的以物理網(wǎng)絡(luò)或安全設(shè)備為邊界進(jìn)行劃分，將無法體現(xiàn)出業(yè)務(wù)應(yīng)用系統(tǒng)的邏輯關(guān)系，更無法保證業(yè)務(wù)信息的安全和系統(tǒng)服務(wù)的安全，這就猶如以機(jī)場(chǎng)劃分各航空公司一樣不適用。

云計(jì)算系統(tǒng)邊界劃分

云計(jì)算系統(tǒng)邊界劃分基本場(chǎng)景包括兩個(gè)類型：

第一類場(chǎng)景：存在業(yè)務(wù)應(yīng)用不獨(dú)占硬件物理資源或硬件物理資源上運(yùn)行的基礎(chǔ)服務(wù)系統(tǒng)是所有業(yè)務(wù)應(yīng)用公用的情況，這時(shí)定級(jí)系統(tǒng)的邊界應(yīng)劃在虛擬邊界處，這個(gè)虛擬邊界就是運(yùn)行業(yè)務(wù)應(yīng)用所用到的最底層獨(dú)占虛擬資源，通常是虛擬機(jī)。如下圖所示：

在上圖場(chǎng)景中有3個(gè)業(yè)務(wù)應(yīng)用，通過對(duì)業(yè)務(wù)應(yīng)用的梳理，業(yè)務(wù)應(yīng)用1單獨(dú)成為一個(gè)定級(jí)系統(tǒng)，業(yè)務(wù)應(yīng)用2和業(yè)務(wù)應(yīng)用3組成另一個(gè)定級(jí)系統(tǒng)。這兩個(gè)定級(jí)系統(tǒng)共用底層服務(wù)，因此我們把底層服務(wù)連同硬件一起作為一個(gè)定級(jí)系統(tǒng)C，即云計(jì)算平臺(tái)。定級(jí)系統(tǒng)A和定級(jí)系統(tǒng)B就是云平臺(tái)上承載的業(yè)務(wù)應(yīng)用系統(tǒng)。

第二類場(chǎng)景：業(yè)務(wù)應(yīng)用對(duì)應(yīng)的系統(tǒng)模塊存在相對(duì)獨(dú)立的底層服務(wù)和硬件資源，因此可以將整個(gè)系統(tǒng)邊界劃分到硬件物理設(shè)備，從而確定兩個(gè)定級(jí)系統(tǒng)，如下圖所示。如果這個(gè)場(chǎng)景對(duì)應(yīng)的是對(duì)外提供服務(wù)的云計(jì)算系統(tǒng)，那么定級(jí)系統(tǒng)A就是一個(gè)使用了云計(jì)算技術(shù)的應(yīng)用系統(tǒng)，而頂級(jí)系統(tǒng)B是另一個(gè)使用了云計(jì)算技術(shù)的應(yīng)用系統(tǒng)。同理，我們依然可以在定級(jí)系統(tǒng)B上嵌套場(chǎng)景1，此時(shí)定級(jí)系統(tǒng)B這個(gè)云計(jì)算平臺(tái)就會(huì)承載更多的業(yè)務(wù)應(yīng)用系統(tǒng)。

云等保責(zé)任共擔(dān)與定級(jí)

在對(duì)云計(jì)算系統(tǒng)進(jìn)行測(cè)評(píng)時(shí)應(yīng)同時(shí)滿足安全通用要求和云計(jì)算安全擴(kuò)展要求部分的相關(guān)要求。在這個(gè)過程中根據(jù)云上系統(tǒng)的責(zé)任分擔(dān)不同，要對(duì)安全通用要求和云計(jì)算安全擴(kuò)展要求做拆分，云服務(wù)商和云服務(wù)客戶針對(duì)應(yīng)要求采取對(duì)應(yīng)安全保護(hù)措施。

這時(shí)我們要考慮幾方面因素，首先要確定被測(cè)系統(tǒng)是云計(jì)算平臺(tái)還是業(yè)務(wù)應(yīng)用系統(tǒng)。其次，確定被測(cè)系統(tǒng)使用哪種服務(wù)模式，以此來確定保護(hù)責(zé)任。

在確定了服務(wù)商和客戶各自保護(hù)責(zé)任之后，在定級(jí)過程中需要注意以下4點(diǎn)：

1. 云計(jì)算平臺(tái)安全保護(hù)等級(jí)，原則上不低于其承載的業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)。
2. 國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施(重要云計(jì)算平臺(tái))的安全保護(hù)等級(jí)應(yīng)不低于第三極。
3. 在云計(jì)算環(huán)境中，應(yīng)將云資源平臺(tái)作為單獨(dú)定級(jí)對(duì)象，云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí)。
4. 對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。

云等保的備案方法

傳統(tǒng)企業(yè)IT基礎(chǔ)設(shè)施、運(yùn)維地點(diǎn)、工商注冊(cè)地基本一致，備案地明確。但是，云計(jì)算系統(tǒng)基礎(chǔ)設(shè)施通常遍布多地，與運(yùn)維地點(diǎn)和工商注冊(cè)地不完全一致，存在備案地點(diǎn)不明確的問題。

云服務(wù)提供商負(fù)責(zé)將云計(jì)算平臺(tái)的定級(jí)結(jié)果向所轄公安機(jī)關(guān)進(jìn)行備案，備案地應(yīng)為運(yùn)維管理端所在地。云租戶負(fù)責(zé)對(duì)云平臺(tái)上承載的租戶信息系統(tǒng)進(jìn)行定級(jí)備案，備案地為工商注冊(cè)或?qū)嶋H經(jīng)營(yíng)所在地。

云等保的建設(shè)整改

云等保的建設(shè)整改/測(cè)評(píng)對(duì)象與傳統(tǒng)信息系統(tǒng)建設(shè)整改/測(cè)評(píng)對(duì)象大不相同，如下表所示。云計(jì)算系統(tǒng)保護(hù)對(duì)象中增加了虛擬化、云管理平臺(tái)、鏡像文件等云計(jì)算獨(dú)有內(nèi)容。

云平臺(tái)在安全建設(shè)中，強(qiáng)調(diào)安全能力集成，包括統(tǒng)一身份認(rèn)證、統(tǒng)一用戶授權(quán)、統(tǒng)一賬戶管理、統(tǒng)一安全審計(jì)等。在平臺(tái)內(nèi)部強(qiáng)調(diào)通訊加密與認(rèn)證、動(dòng)態(tài)監(jiān)測(cè)預(yù)警、快速應(yīng)急響應(yīng)能力建設(shè)、安全產(chǎn)品合規(guī)等。

云計(jì)算系統(tǒng)測(cè)評(píng)打分

在對(duì)云計(jì)算系統(tǒng)測(cè)評(píng)打分時(shí)，業(yè)務(wù)系統(tǒng)打分是不需要與云計(jì)算平臺(tái)的得分結(jié)果共同計(jì)算，只需將業(yè)務(wù)系統(tǒng)可測(cè)評(píng)項(xiàng)進(jìn)行打分后計(jì)算即可，不可測(cè)項(xiàng)做“N/A”處理。

那么是否完全不考慮云平臺(tái)的得分結(jié)果呢?顯然不是，在做業(yè)務(wù)系統(tǒng)測(cè)評(píng)前首要看的就是云計(jì)算平臺(tái)是否完成等級(jí)測(cè)評(píng)，然后索要云平臺(tái)測(cè)評(píng)報(bào)告結(jié)論蓋章頁。在出具云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)報(bào)告時(shí)，將云平臺(tái)測(cè)評(píng)得分一并放在最終得分一欄。如：云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)測(cè)評(píng)得分為85分，云計(jì)算平臺(tái)得分為90分，則云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告得分欄填寫“(85,90)”。

此外，需要特別注意：

1. 在對(duì)云租戶測(cè)評(píng)時(shí)，如果云平臺(tái)本身未測(cè)評(píng)，則無法對(duì)云租戶系統(tǒng)進(jìn)行測(cè)評(píng)。
2. 對(duì)云租戶系統(tǒng)測(cè)評(píng)打分時(shí)，不但要考慮云租戶系統(tǒng)自身得分，還應(yīng)關(guān)注云平臺(tái)得分，云平臺(tái)得分高低將影響租戶系統(tǒng)得分。

本文名稱：云等保安全合規(guī)要求解讀
分享地址：http://www.2m8n56k.cn/news15/104315.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、關(guān)鍵詞優(yōu)化、標(biāo)簽優(yōu)化、網(wǎng)站維護(hù)、建站公司、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：[email protected]。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)