等保20落地實(shí)施指南

1、 等保2.0落地實(shí)施指南目 錄 TOC o 1-3 h z u HYPERLINK l _Toc13032658 1.等保2.0有哪些重要變化 PAGEREF _Toc13032658 h 3 HYPERLINK l _Toc13032659 2.云環(huán)境下的等級(jí)保護(hù)方案 PAGEREF _Toc13032659 h 5 HYPERLINK l _Toc13032660 3.企業(yè)如何通過等?！按罂肌?PAGEREF _Toc13032660 h 7 HYPERLINK l _Toc13032661 4.持續(xù)保護(hù)，讓企業(yè)數(shù)據(jù)更安全 PAGEREF _Toc13032661 h 8日前，網(wǎng)絡(luò)安全等級(jí)

2、保護(hù)制度2.0標(biāo)準(zhǔn)正式對(duì)外發(fā)布，并將于2019年12月1日正式實(shí)施。近年來，隨著云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等新興技術(shù)的發(fā)展，以及網(wǎng)絡(luò)安全形勢(shì)的變化，傳統(tǒng)等保的安全要求已經(jīng)無法有效應(yīng)對(duì)新的安全風(fēng)險(xiǎn)和新威脅，等保2.0正是在此背景下推出。等保2.0有哪些重要變化首先，法律效力不同。等保制度的政策依據(jù)從條例法規(guī)提升到法律層面，中華人民共和國網(wǎng)絡(luò)安全法中明確提出了要實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者如果不履行等級(jí)保護(hù)義務(wù)將受到處罰。其次，保護(hù)對(duì)象更科學(xué)更全面。等保2.0把云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等都納入了等級(jí)保護(hù)對(duì)象范圍，并針對(duì)這些新技術(shù)、新應(yīng)用提出了特殊的安全擴(kuò)展要求

3、。例如，要求云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)，云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等也應(yīng)確保存儲(chǔ)于中國境內(nèi)。再次，構(gòu)建主動(dòng)防御體系。等保2.0突出“一個(gè)中心、三重防護(hù)”的理念，更為注重構(gòu)建全方位的主動(dòng)防御，構(gòu)建感知預(yù)警、安全分析、動(dòng)態(tài)防護(hù)、全面檢測(cè)、應(yīng)急處置等于一體的網(wǎng)絡(luò)安全綜合防御體系。最后，等保測(cè)評(píng)要求不同。等保1.0要求三級(jí)系統(tǒng)至少每年進(jìn)行一次等級(jí)測(cè)評(píng)，四級(jí)系統(tǒng)至少每半年進(jìn)行一次等級(jí)測(cè)評(píng)。而等保2.0則要求網(wǎng)絡(luò)運(yùn)營者選擇符合國家規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，對(duì)三級(jí)以上系統(tǒng)每年開展等級(jí)測(cè)評(píng)，也就是說四級(jí)系統(tǒng)每年至少保證一次等級(jí)測(cè)評(píng)，降低了網(wǎng)絡(luò)運(yùn)營者的管理壓力。此外，等保1.0要求60分基本符合，而在等保2.0里，

4、測(cè)評(píng)達(dá)到75分以上才算基本符合。云環(huán)境下的等級(jí)保護(hù)方案依據(jù)等保2.0標(biāo)準(zhǔn)，在云環(huán)境下開展等級(jí)保護(hù)工作應(yīng)遵循如下原則：應(yīng)確保云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)。應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)。云計(jì)算平臺(tái)的運(yùn)維地點(diǎn)應(yīng)位于中國境內(nèi)，如需境外對(duì)境內(nèi)云計(jì)算平臺(tái)實(shí)施運(yùn)維操作應(yīng)遵循國家相關(guān)規(guī)定。云計(jì)算平臺(tái)運(yùn)維過程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、日志信息等存儲(chǔ)于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。值得一提的是，云計(jì)算平臺(tái)和云上租戶的應(yīng)用系統(tǒng)需要分開定級(jí)。云平臺(tái)的等級(jí)要不低于云上租戶的業(yè)務(wù)應(yīng)用系統(tǒng)的最高級(jí)。其中，針對(duì)云服務(wù)商的云平臺(tái)，等保2.0明確提出：對(duì)于公有云定級(jí)流程為云平臺(tái)先定級(jí)測(cè)評(píng)

5、，再提供云服務(wù)。對(duì)于私有云，定級(jí)流程為云平臺(tái)先定級(jí)測(cè)評(píng)，再將已定級(jí)應(yīng)用系統(tǒng)向云平臺(tái)遷移。針對(duì)云租戶的應(yīng)用系統(tǒng)，比如某政府單位門戶網(wǎng)站系統(tǒng)，在嵌入公有云平臺(tái)后，還需要對(duì)這個(gè)門戶網(wǎng)站獨(dú)立定級(jí)備案、進(jìn)行等保測(cè)評(píng)。不過，涉及云平臺(tái)部分的內(nèi)容可以不重復(fù)測(cè)評(píng)，測(cè)評(píng)結(jié)論直接引用即可。不同的云計(jì)算服務(wù)模式下，不同責(zé)任主體的責(zé)任也是不同的。等保2.0對(duì)于云服務(wù)商、云租戶的職責(zé)劃分如下：1、對(duì)于IaaS基礎(chǔ)設(shè)施服務(wù)模式，云服務(wù)商的職責(zé)范圍包括虛擬機(jī)監(jiān)視器和硬件，云租戶的職責(zé)范圍包括操作系統(tǒng)、中間件和應(yīng)用數(shù)據(jù)；2、對(duì)于PaaS平臺(tái)即服務(wù)的服務(wù)模式，云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)和中間件。云租戶的

6、職責(zé)范圍為應(yīng)用和數(shù)據(jù)。3、對(duì)于SaaS軟件服務(wù)模式，云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)、中間件和應(yīng)用，云租戶的職責(zé)范圍包括部分應(yīng)用職責(zé)及用戶使用職責(zé)。企業(yè)如何通過等?！按罂肌笨傮w而言，等保2.0的覆蓋面更廣，測(cè)評(píng)要求也更加嚴(yán)格。很多企業(yè)本身就在為做等保勞心勞力，針對(duì)不久后實(shí)施的新等保標(biāo)準(zhǔn)，究竟要如何有效應(yīng)對(duì)呢？通過等保測(cè)評(píng)的第一大捷徑，是選擇具備等保資質(zhì)的云服務(wù)商。這樣，云上租戶可以復(fù)用云平臺(tái)和SaaS應(yīng)用的測(cè)評(píng)結(jié)果，讓企業(yè)通過等保測(cè)評(píng)的時(shí)間大大縮短。以華寶證券為例，鑒于國家對(duì)金融行業(yè)的安全要求非常嚴(yán)格，xxx啟用了防篡改功能對(duì)郵箱漏洞進(jìn)行加固，并采用了異地備份，進(jìn)一步保障了數(shù)

7、據(jù)安全，讓用戶順利獲得等保（三級(jí)）認(rèn)證。持續(xù)保護(hù)，讓企業(yè)數(shù)據(jù)更安全企業(yè)業(yè)務(wù)在不斷發(fā)展，網(wǎng)絡(luò)攻擊隨時(shí)隨地都會(huì)發(fā)生，面對(duì)變幻莫測(cè)的內(nèi)外部環(huán)境，企業(yè)需要專業(yè)的安全服務(wù)團(tuán)隊(duì)來持續(xù)保護(hù)。因此，在滿足平臺(tái)等保合規(guī)性的同時(shí)，為用戶提供給一站式安全服務(wù)，保護(hù)企業(yè)數(shù)據(jù)免受外界威脅，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。xxx的安全服務(wù)團(tuán)隊(duì)具備包括ISO27001信息安全管理體系認(rèn)證、安全運(yùn)維服務(wù)資質(zhì)二級(jí)、可信云認(rèn)證等在內(nèi)的全面信息安全資質(zhì)，有能力為政企用戶提供安全咨詢、風(fēng)險(xiǎn)評(píng)估及規(guī)劃、安全評(píng)估及滲透測(cè)試等服務(wù)，從最初的規(guī)劃設(shè)計(jì)、實(shí)施整改、管理體系建設(shè)，到最后的測(cè)試階段，以等級(jí)保護(hù)為抓手，提升用戶安全合規(guī)管理水平。從企業(yè)的切實(shí)安全需求出發(fā)，xxx的安全服務(wù)團(tuán)隊(duì)將協(xié)助用戶識(shí)別風(fēng)險(xiǎn)，認(rèn)清安全風(fēng)險(xiǎn)的現(xiàn)狀，并制定相應(yīng)的處置計(jì)劃。新上的系統(tǒng)、新增加的功能，也能盡快滿足網(wǎng)絡(luò)安全的相關(guān)要求。在技術(shù)層面，xxx的云管平臺(tái)會(huì)對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，一旦出現(xiàn)問題，及時(shí)堵住漏洞，防止系統(tǒng)