安全狗解讀雲等保：網路安全法是戰略，等保規範是戰術佈置

如果說網路安全的攻防對抗是一場持久的戰爭,《網路安全法》指出了我們的戰略方向,而《等級保護條例》等相關法律法規則是更詳細的戰術佈置。

鑑於等保2.0有諸多引人注目的變化,並且對於雲端計算而言,又實在存在有太多應當說清楚但仍然有誤區的地方,我們將用專題的形式,從雲端計算的等級保護條例開始,再擴充套件到等級保護容易存在疑惑的關鍵條例,最後落腳到具體的實施方案,來講清楚等級保護工作如何開展的問題。 本篇是系列專題的第一篇:雲端計算篇

等保2.0時代最受關注的變化,莫過於其保護範圍的大大擴充套件,此外,在原有的基礎上,等保2.0細化擴充套件了諸多細分安全領域的要求和標準,既與時俱進提高了保障的要求門檻,也讓工作開展的依據更加清晰和可操作。

雲等保是在原等保框架下對新事物的擴充套件,雲端計算架構之下,等級保護依然需要落地,包括定級、備案、建設整改、等級測評、監督檢查五個規定動作。不同的是等保框架下新增加的元素需要對原有等級保護相關工作的具體內容進行擴充並統一。

首先是租戶和平臺的責任劃分問題。在雲端計算條件下,目前採取的是雲平臺和租戶的責任共擔機制,而從IaaS到PaaS再到SaaS模式,雲租戶所需要承擔的責任是越來越少的,但無論如何,對於雲租戶而言,資料安全始終是最核心的安全問題,不可鬆懈。

其次是定級備案的問題。傳統的資訊系統其架構是隨著業務變化而變化的,實際上是以物理網路和安全裝置為邊界的;而對於雲環境而言,則是以虛擬邊界作為系統定級的邊界,採用原有的思路無法體現出業務應用系統的邏輯關係,需要從業務應用的角度出發,梳理業務應用和對應的模組。

原則上,定級、備案工作是由使用者單位自己填寫定級備案表交給公安網監部門去進行備案工作,但考慮到實際情況,絕大多數情況下都是使用者單位在測評機構的協助下完成這些工作。系統安全建設和等級測評的工作不一定要嚴格按照這個順序開展,可以先測評再整改,也可以先建設再測評,具體還是根據自身實際情況來辦。

選擇的測評機構很重要,測評機構的權威性,測評質量直接關係到單位資訊系統後期整改內容,提前發現問題提前整改,可以有效降低被攻擊的風險,提高資訊保安防護能力。

在定級當中還存在著兩個重要誤區:

1、已經託管的雲系統是否需要等保?

根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,該系統責任主體還是屬於網路運營者自己,所以還是得承擔相應的網路安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。

系統上雲或託管後,並不是安全責任主體轉移,只是系統所在機房地址的變更,當然在公有云模式下,Iaas、Paas、Saas不同模式相應的安全責任會有些區別,但是並不是沒有責任。

2、系統定級越低越好?

最終定級是根據受侵害的客體以及對客體侵害的程度來確定的,以事實為根據,而不是主觀隨意定級。定級低了,表面上要求更容易滿足,但相應的防護措施也相對不足,一旦遭受攻擊,反而得不償失。

再次是備案的問題。傳統的系統備案很簡單,IT基礎設施、運維地點、工商註冊地基本上都是一致的,直接去所在地市局、網安或者是分局即可;然而上雲的系統由於部署在各類雲平臺上面,而云平臺的實際實體地址往往和雲系統網路運營者不在同一地址,大型雲平臺還有許多物理節點,很難確定雲平臺的具體實體地址,因此從方便屬地公安機關監管的角度出發,應該在系統實際運維團隊所在地市網安部門進行系統備案。

再就是如何建設整改的問題。雲端計算已經深刻的影響到了IT架構、業務系統部署方式,以及服務模式,一方面它可以讓使用者快速、彈性、按需、隨時隨地的獲取到IT資源和服務,實現IT即服務的轉變,是重要的一次資訊化變革,另一方面這種新型的IT架構也帶來了新的安全挑戰和安全需求。

邊界、通訊和計算的安全均需要考慮在內,而重中之重的則是雲資料安全的建設,依據客戶實際需求和相關安全合規標準,進行資料建立、傳輸、儲存、使用、共享和銷燬在內的全生命週期的雲環境下的資料安全設計,以及資料安全體系建設,從而保障使用者資料在雲環境下的安全使用,保護雲環境中的資料的機密性、可用性、完整性。

最後是測評的問題。雲端計算系統保護措施通常是以系統整體能力體現,雲端計算安全擴充套件要求作為全域性對待,在報告結構上等同於全域性測評,各測評項不再重複對應一個或多個測評物件。等保工作是一個持續的工作,等保測評也是一個週期性的工作,三級系統要求每年做一次,四級系統每半年做一次,二級系統部分行業明確要求每兩年做一次,沒有明確要求的行業一般是建議兩年做一次測評。

安全狗對國家等級保護規範進行了詳細整理,並依託完善的產品體系和專業的服務水平,把技術標準落實到每一種應用的配置檢查工作上,同時結合等級保護工作過程,對業務系統資產進行等保定級跟蹤,根據資產定級自動進行對應級別的安全配置檢查,對合規情況出具等保符合性報告,保證系統建設符合等保要求,促使等保監督檢查工作高效執行。我們將依託專業的技術和服務力量,持之以恆地為使用者提供專業的安全產品和服務,滿足使用者的合規等保需求。