热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

面向网络运营者的等保2.0最全实用解读!

面向,网络,运营,者,的,等,保,2,0

伴随着网络安全法的出台,等级保护工作进入2.0时代,其中有哪些最引人注目的变化?


等级保护对象从原来单纯的信息系统拓展到了很多个领域,其中云计算系统是等级保护重点要关注的一个领域。

而等级保护的标准体系也进行了大的升级,在原等级保护核心标准(基本要求、测评要求、设计要求)的基础上,进行重新修订,整个标准体系制定为一个矩阵,针对每一个特定的安全领域,做了相应的扩展要求,比如云计算领域,制定云计算扩展要求。


在这种情况下:

  • 云等保如何落地?
  • 云服务商该如何做?
  • 云租户该如何做?

面对这些问题,我们特邀来自公安部信息安全等级保护评估中心的专家深度解读《云计算环境下的等级保护》:


                                                     9ede9b4f221a1c8c5c3921cfd54107995182b168

首先,需要对云计算环境中的安全责任进行明确

不同的服务模式下,不同责任主体的责任也是不同的。云服务商,云租户的责任划分需要明晰。

d458e356e93bc46f5ec3276dc1eeda1124f9947e


IaaS服务模式下:云服务方责任硬件及虚拟化层的防护。虚拟化以上的客户机的安全防护,数据库防护以及中间件和应用及数据的防护,这都是租户需要去面对的问题。

PaaS服务模式下:客户将虚拟机的安全防护责任交给了云服务商,云租户更应该关心在这之上,如软件开发平台以及应用和数据本身的安全防护。

SaaS服务模式下:进一步上移,这个时候作为租户来讲,需要关心的其实就是应用提供侧相关的安全配置,以及数据安全的防护,这都是租户需要考虑的内容。


数据安全防护,无论IaaS、PaaS到SaaS,对于云租户来讲,这是始终要面对的重要问题。


不同的责任划分下,云等保究竟该怎么做?

云等保不是新鲜的事物,而是在原等保框架下对新事物的扩展。云计算架构之下,等级保护依然需要落地,包括定级、备案、建设整改、等级测评、监督检查五个规定动作。


不同的是等保框架下新增加的元素需要对原有等级保护相关工作的具体内容进行扩充并统一。


 一、系统的定级  

传统的信息系统,强调分区分域、纵深防御,网络架构伴随业务变化而变化,系统各组件能与硬件紧耦合。信息系统的系统划分其实是以物理网络/安全设备为边界的硬件设备的划分。


云的环境下,把虚拟边界作为系统定级的边界。

云计算系统网络架构扁平化,业务应用系统与硬平台松耦合。信息系统的系统划分,像传统单纯的以物理网络/安全设备为边界的划分方法已经无法体现出业务应用系统的逻辑关系,也无法体现对业务信息安全和系统服务安全。


所以,定级需要从业务应用的角度出发

梳理有哪些业务应用,及对应哪些模块


常见的场景有两种:

d35c9e7d16a3509780064c036071e9a8c9d3af5f


场景一:

如每种应用都需要使用物理基础支撑平台,则业务应用系统可不包含基础支撑的物理硬件部分,根据业务应用的关联性,进行切分定级。像公共云就是这种状态,如果定级系统C的运行主体是云服务商的话,上面就是云租户的业务应用系统。


511d59ecf08440fa2fecef17b2a0fd55746d107e


场景二:

如基础支撑平台可以对应到不同业务应用系统,则将基础支撑平台的物理设备一同划入相应定级系统。


业务应用是可以跟承载的硬件平台有对应关系的,比如说某一个应用固定的使用一堆的硬件服务器,独立成一个平台,那这个时候就可以一刀切作为一个单独的定级系统。如说像阿里淘宝的很多系统就是这样的架构,比如说我们可以在定级系统B这一块还可以在切分一下,那可能这一边又变成一个小的一朵云,下面是一个云平台。上面是整个的各个的承载的业务应用系统,就是云租户的系统。


在定级当中存在两个重要误区:


误区一:我的系统已经上云了,系统就不用去定级了?

答案是不行!要分开定级,新的定级指南里明确说明,云计算平台和云上的租户应用系统要分开定级。


误区二:云平台的等级跟云租户的等级没有关系

云平台的等级要不低于云上租户的业务应用系统的最高级。且明确规定“国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级”。比如一个互联网金融公司,运营的系统定到了四级,那么选择上的云平台必须是四级的云平台,如果去三级的云平台去备案的时候会遇到一些问题,而且即便是上了以后,云平台在监管这块也无法达到不合规要求。


 二、备案  


去哪备案?

传统的系统备案很简单,IT基础设施、运维地点、工商注册地基本上都是一致,去所在地市局、网安或者是分局去备案就可以。

但是云的这种状态下,特别是对于云服务商来讲就比较典型了,工商注册地、办公地点都不一样。比如说像阿里云,注册地在北京,运维地点在杭州,然后机房遍布全国各地。云租户也是这个问题,公司开在北京,可能技术人员、运维人员都在北京,但是你上的这种云可能他的物理位置或者不知道,或者是即便知道有可能也不在北京,那这个时候怎么办?

所以我们现在有这样一个原则,对于云上的系统,不管是云平台还是云租户,以你的运维人员的所在地为备案地点。原因与公安机关方便监管相关,案件发生后,公安机关需要运维人员配合去调取相关证据,做证据固定、数据采集。


 三、建设整改  


云计算系统等级保护标准制定专家建议可以从以下几个方面入手:


  1. 统一思维去考量,统一认证、统一账户管理、统一授权,统一安全审计。

    其中关于安全审计方面,标准条款里有明确要求,主机的安全审计、网络的审计、数据库的安全审计都必不可少。


  2. 侧重动态监测预警、快速应急响应能力建设以及服务安全产品合规。

    如果用户自己搭建私有云,那么建议一定要有这样的能力。


  3. 重点保护的是业务数据安全和用户的隐私安全。

    数据安全这块真的是很重要,我们在安全扩展里有明确要求,一个是数据库的安全审计。要求云服务商开放第三方接口,支持第三方的安全审计的产品接入;还有一个就是对于云租户,同样要求要有自己的审计。在做云租户的系统检查或者测评的时候,一样要看你有没有做安全审计。


 四、测评  


云计算系统保护措施通常是以系统整体能力体现,云计算安全扩展要求作为全局对待,在报告结构上等同于全局测评,各测评项不再重复对应一个或多个测评对象。


如需获取更详细的演讲PPT

关注“安华云安全”微信

8f444a73ba4e341131bbdb1fa0661b0f2d5346dd

点击菜单“获取PPT”获取


安华云安全旗下云安全产品拥有等保过审丰富的实施经验,包括:云审计、云防火墙、安全运维等完全符合等保测评规定,欢迎了解:

阿里云市场官方店铺:https://shop14d60793.market.aliyun.com/ 




推荐阅读
  • FinOps 与 Serverless 的结合:破解云成本难题
    本文探讨了如何通过 FinOps 实践优化 Serverless 应用的成本管理,提出了首个 Serverless 函数总成本估计模型,并分享了多种有效的成本优化策略。 ... [详细]
  • 深入解析Serverless架构模式
    本文将详细介绍Serverless架构模式的核心概念、工作原理及其优势。通过对比传统架构,探讨Serverless如何简化应用开发与运维流程,并介绍当前主流的Serverless平台。 ... [详细]
  • 数据库内核开发入门 | 搭建研发环境的初步指南
    本课程将带你从零开始,逐步掌握数据库内核开发的基础知识和实践技能,重点介绍如何搭建OceanBase的开发环境。 ... [详细]
  • 本文详细介绍了macOS系统的核心组件,包括如何管理其安全特性——系统完整性保护(SIP),并探讨了不同版本的更新亮点。对于使用macOS系统的用户来说,了解这些信息有助于更好地管理和优化系统性能。 ... [详细]
  • 通过与阿里云的合作,牛客网成功解决了跨国视频面试中的网络卡顿问题,为求职者和面试官提供了更加流畅的沟通体验。 ... [详细]
  • 本文探讨了如何在日常工作中通过优化效率和深入研究核心技术,将技术和知识转化为实际收益。文章结合个人经验,分享了提高工作效率、掌握高价值技能以及选择合适工作环境的方法,帮助读者更好地实现技术变现。 ... [详细]
  • 探索电路与系统的起源与发展
    本文回顾了电路与系统的发展历程,从电的早期发现到现代电子器件的应用。文章不仅涵盖了基础理论和关键发明,还探讨了这一学科对计算机、人工智能及物联网等领域的深远影响。 ... [详细]
  • 科研单位信息系统中的DevOps实践与优化
    本文探讨了某科研单位通过引入云原生平台实现DevOps开发和运维一体化,显著提升了项目交付效率和产品质量。详细介绍了如何在实际项目中应用DevOps理念,解决了传统开发模式下的诸多痛点。 ... [详细]
  • 2018年3月31日,CSDN、火星财经联合中关村区块链产业联盟等机构举办的2018区块链技术及应用峰会(BTA)核心分会场圆满举行。多位业内顶尖专家深入探讨了区块链的核心技术原理及其在实际业务中的应用。 ... [详细]
  • 尽管深度学习带来了广泛的应用前景,其训练通常需要强大的计算资源。然而,并非所有开发者都能负担得起高性能服务器或专用硬件。本文探讨了如何在有限的硬件条件下(如ARM CPU)高效运行深度神经网络,特别是通过选择合适的工具和框架来加速模型推理。 ... [详细]
  • 本文作者分享了在阿里巴巴获得实习offer的经历,包括五轮面试的详细内容和经验总结。其中四轮为技术面试,一轮为HR面试,涵盖了大量的Java技术和项目实践经验。 ... [详细]
  • 福克斯新闻数据库配置失误导致1300万条敏感记录泄露
    由于数据库配置错误,福克斯新闻暴露了一个58GB的未受保护数据库,其中包含约1300万条网络内容管理记录。任何互联网用户都可以访问这些数据,引发了严重的安全风险。 ... [详细]
  • 深入解析Java虚拟机(JVM)架构与原理
    本文旨在为读者提供对Java虚拟机(JVM)的全面理解,涵盖其主要组成部分、工作原理及其在不同平台上的实现。通过详细探讨JVM的结构和内部机制,帮助开发者更好地掌握Java编程的核心技术。 ... [详细]
  • vivo Y5s配备了联发科Helio P65八核处理器,这款处理器采用12纳米工艺制造,具备两颗高性能Cortex-A75核心和六颗高效能Cortex-A55核心。此外,它还集成了先进的图像处理单元和语音唤醒功能,为用户提供卓越的性能体验。 ... [详细]
  • Spring Cloud学习指南:深入理解微服务架构
    本文介绍了微服务架构的基本概念及其在Spring Cloud中的实现。讨论了微服务架构的主要优势,如简化开发和维护、快速启动、灵活的技术栈选择以及按需扩展的能力。同时,也探讨了微服务架构面临的挑战,包括较高的运维要求、分布式系统的复杂性、接口调整的成本等问题。最后,文章提出了实施微服务时应遵循的设计原则。 ... [详细]
author-avatar
CC小乖2502924425_929
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有