當(dāng)前位置:首頁(yè) >  IDC >  云計(jì)算 >  正文

云計(jì)算等保如何落地?安全狗幫你抽絲剝繭

 2018-10-18 15:39  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

如果說(shuō)網(wǎng)絡(luò)安全的攻防對(duì)抗是一場(chǎng)持久的戰(zhàn)爭(zhēng),《網(wǎng)絡(luò)安全法》指出了我們的戰(zhàn)略方向,而《等級(jí)保護(hù)條例》等相關(guān)法律法規(guī)則是更詳細(xì)的戰(zhàn)術(shù)布置。

鑒于等保2.0有諸多引人注目的變化,并且對(duì)于云計(jì)算而言,又實(shí)在存在有太多應(yīng)當(dāng)說(shuō)清楚但仍然有誤區(qū)的地方,我們將用專題的形式,從云計(jì)算的等級(jí)保護(hù)條例開(kāi)始,再擴(kuò)展到等級(jí)保護(hù)容易存在疑惑的關(guān)鍵條例,最后落腳到具體的實(shí)施方案,來(lái)講清楚等級(jí)保護(hù)工作如何開(kāi)展的問(wèn)題。本篇是系列專題的第一篇:云計(jì)算篇

等保2.0時(shí)代最受關(guān)注的變化,莫過(guò)于其保護(hù)范圍的大大擴(kuò)展,此外,在原有的基礎(chǔ)上,等保2.0細(xì)化擴(kuò)展了諸多細(xì)分安全領(lǐng)域的要求和標(biāo)準(zhǔn),既與時(shí)俱進(jìn)提高了保障的要求門(mén)檻,也讓工作開(kāi)展的依據(jù)更加清晰和可操作。

云等保是在原等??蚣芟聦?duì)新事物的擴(kuò)展,云計(jì)算架構(gòu)之下,等級(jí)保護(hù)依然需要落地,包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)規(guī)定動(dòng)作。不同的是等??蚣芟滦略黾拥脑匦枰獙?duì)原有等級(jí)保護(hù)相關(guān)工作的具體內(nèi)容進(jìn)行擴(kuò)充并統(tǒng)一。

首先是租戶和平臺(tái)的責(zé)任劃分問(wèn)題。在云計(jì)算條件下,目前采取的是云平臺(tái)和租戶的責(zé)任共擔(dān)機(jī)制,而從IaaS到PaaS再到SaaS模式,云租戶所需要承擔(dān)的責(zé)任是越來(lái)越少的,但無(wú)論如何,對(duì)于云租戶而言,數(shù)據(jù)安全始終是最核心的安全問(wèn)題,不可松懈。

其次是定級(jí)備案的問(wèn)題。傳統(tǒng)的信息系統(tǒng)其架構(gòu)是隨著業(yè)務(wù)變化而變化的,實(shí)際上是以物理網(wǎng)絡(luò)和安全設(shè)備為邊界的;而對(duì)于云環(huán)境而言,則是以虛擬邊界作為系統(tǒng)定級(jí)的邊界,采用原有的思路無(wú)法體現(xiàn)出業(yè)務(wù)應(yīng)用系統(tǒng)的邏輯關(guān)系,需要從業(yè)務(wù)應(yīng)用的角度出發(fā),梳理業(yè)務(wù)應(yīng)用和對(duì)應(yīng)的模塊。

原則上,定級(jí)、備案工作是由用戶單位自己填寫(xiě)定級(jí)備案表交給公安網(wǎng)監(jiān)部門(mén)去進(jìn)行備案工作,但考慮到實(shí)際情況,絕大多數(shù)情況下都是用戶單位在測(cè)評(píng)機(jī)構(gòu)的協(xié)助下完成這些工作。系統(tǒng)安全建設(shè)和等級(jí)測(cè)評(píng)的工作不一定要嚴(yán)格按照這個(gè)順序開(kāi)展,可以先測(cè)評(píng)再整改,也可以先建設(shè)再測(cè)評(píng),具體還是根據(jù)自身實(shí)際情況來(lái)辦。

選擇的測(cè)評(píng)機(jī)構(gòu)很重要,測(cè)評(píng)機(jī)構(gòu)的權(quán)威性,測(cè)評(píng)質(zhì)量直接關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容,提前發(fā)現(xiàn)問(wèn)題提前整改,可以有效降低被攻擊的風(fēng)險(xiǎn),提高信息安全防護(hù)能力。

在定級(jí)當(dāng)中還存在著兩個(gè)重要誤區(qū):

1、已經(jīng)托管的云系統(tǒng)是否需要等保?

根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé),誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí),該做等保的還是得做等保。

系統(tǒng)上云或托管后,并不是安全責(zé)任主體轉(zhuǎn)移,只是系統(tǒng)所在機(jī)房地址的變更,當(dāng)然在公有云模式下,Iaas、Paas、Saas不同模式相應(yīng)的安全責(zé)任會(huì)有些區(qū)別,但是并不是沒(méi)有責(zé)任。

2、系統(tǒng)定級(jí)越低越好?

最終定級(jí)是根據(jù)受侵害的客體以及對(duì)客體侵害的程度來(lái)確定的,以事實(shí)為根據(jù),而不是主觀隨意定級(jí)。定級(jí)低了,表面上要求更容易滿足,但相應(yīng)的防護(hù)措施也相對(duì)不足,一旦遭受攻擊,反而得不償失。

再次是備案的問(wèn)題。傳統(tǒng)的系統(tǒng)備案很簡(jiǎn)單,IT基礎(chǔ)設(shè)施、運(yùn)維地點(diǎn)、工商注冊(cè)地基本上都是一致的,直接去所在地市局、網(wǎng)安或者是分局即可;然而上云的系統(tǒng)由于部署在各類(lèi)云平臺(tái)上面,而云平臺(tái)的實(shí)際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者不在同一地址,大型云平臺(tái)還有許多物理節(jié)點(diǎn),很難確定云平臺(tái)的具體物理地址,因此從方便屬地公安機(jī)關(guān)監(jiān)管的角度出發(fā),應(yīng)該在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門(mén)進(jìn)行系統(tǒng)備案。

再就是如何建設(shè)整改的問(wèn)題。云計(jì)算已經(jīng)深刻的影響到了IT架構(gòu)、業(yè)務(wù)系統(tǒng)部署方式,以及服務(wù)模式,一方面它可以讓用戶快速、彈性、按需、隨時(shí)隨地的獲取到IT資源和服務(wù),實(shí)現(xiàn)IT即服務(wù)的轉(zhuǎn)變,是重要的一次信息化變革,另一方面這種新型的IT架構(gòu)也帶來(lái)了新的安全挑戰(zhàn)和安全需求。

邊界、通信和計(jì)算的安全均需要考慮在內(nèi),而重中之重的則是云數(shù)據(jù)安全的建設(shè),依據(jù)客戶實(shí)際需求和相關(guān)安全合規(guī)標(biāo)準(zhǔn),進(jìn)行數(shù)據(jù)創(chuàng)建、傳輸、存儲(chǔ)、使用、共享和銷(xiāo)毀在內(nèi)的全生命周期的云環(huán)境下的數(shù)據(jù)安全設(shè)計(jì),以及數(shù)據(jù)安全體系建設(shè),從而保障用戶數(shù)據(jù)在云環(huán)境下的安全使用,保護(hù)云環(huán)境中的數(shù)據(jù)的機(jī)密性、可用性、完整性。

最后是測(cè)評(píng)的問(wèn)題。云計(jì)算系統(tǒng)保護(hù)措施通常是以系統(tǒng)整體能力體現(xiàn),云計(jì)算安全擴(kuò)展要求作為全局對(duì)待,在報(bào)告結(jié)構(gòu)上等同于全局測(cè)評(píng),各測(cè)評(píng)項(xiàng)不再重復(fù)對(duì)應(yīng)一個(gè)或多個(gè)測(cè)評(píng)對(duì)象。等保工作是一個(gè)持續(xù)的工作,等保測(cè)評(píng)也是一個(gè)周期性的工作,三級(jí)系統(tǒng)要求每年做一次,四級(jí)系統(tǒng)每半年做一次,二級(jí)系統(tǒng)部分行業(yè)明確要求每?jī)赡曜鲆淮?沒(méi)有明確要求的行業(yè)一般是建議兩年做一次測(cè)評(píng)。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
云計(jì)算

相關(guān)文章

  • 選擇云服務(wù)需要考慮哪些因素?

    作為云計(jì)算技術(shù)落地的重要基礎(chǔ)設(shè)施成果,云服務(wù)器近年來(lái)獲得的飛速發(fā)展有目共睹。云服務(wù)器需求量的激增引發(fā)行業(yè)競(jìng)爭(zhēng)的加劇,甚至很多服務(wù)商將VPS更名為云服務(wù)器混淆視聽(tīng),濫竽充數(shù)。為保證我們互聯(lián)網(wǎng)服務(wù)的正常創(chuàng)建和運(yùn)行,優(yōu)質(zhì)的云服務(wù)器是基礎(chǔ)保障,那么選擇云服務(wù)器要考慮哪些因素呢?一、你的網(wǎng)站目標(biāo)群體你的網(wǎng)站目

  • 2022年中國(guó)云市場(chǎng)份額:阿里云騰訊云下降

    4月23日,IDC發(fā)布《中國(guó)公有云服務(wù)市場(chǎng)(2022下半年)跟蹤》,占據(jù)前四的分別為阿里云(40.6%)、華為云(11.0%)、騰訊云(11.0%)、中國(guó)電信(8.7%)。

  • 什么是云計(jì)算

    云計(jì)算是一種基于互聯(lián)網(wǎng)的計(jì)算模式,它允許用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)可擴(kuò)展的計(jì)算資源,而無(wú)需直接控制這些資源。云計(jì)算的出現(xiàn)改變了傳統(tǒng)計(jì)算模式的局面,為用戶提供了更加靈活、高效和可靠的計(jì)算環(huán)境。云計(jì)算的基本原理是將計(jì)算資源集中在一個(gè)中央服務(wù)器上,并通過(guò)互聯(lián)網(wǎng)向用戶提供計(jì)算服務(wù)。這樣,用戶就可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)計(jì)算

  • 哪些行業(yè)適合選擇云服務(wù)器

    云服務(wù)器已經(jīng)成為數(shù)據(jù)存儲(chǔ)和備份的一種主流方式,對(duì)于許多需要存儲(chǔ)、保護(hù)和管理數(shù)據(jù)的企業(yè)和行業(yè)來(lái)說(shuō),它是個(gè)不錯(cuò)的選擇。無(wú)論您是任何行業(yè)的企業(yè),都可以通過(guò)云服務(wù)器實(shí)現(xiàn)在數(shù)據(jù)存儲(chǔ)和災(zāi)難恢復(fù)方面的優(yōu)化和成本的降低。

  • 租用云服務(wù)器的好處

    云服務(wù)器不僅可以提供可靠、高效和安全的解決方案,同時(shí)還可以節(jié)約成本、節(jié)省時(shí)間和精力,并且提供更好的靈活性來(lái)幫助用戶適應(yīng)其業(yè)務(wù)需求的變化。

熱門(mén)排行

信息推薦