云服务@云服务客户落实网络安全等级保护2.0
2017年6月1日《网络安全法》正式实施 , 网络安全等级保护进入有法可依的2.0时代 , 网络安全等级保护制度规定于《网络安全法》的第二十一条 , 要求网络运营者应当按照网络安全等级保护制度 , 履行相应安全保护义务 , 保障网络免受干扰、破坏或者未经授权的访问 , 防止网络数据泄露或者被窃取、篡改 。
网络安全等级保护系列标准于2018年12月 , 2019年5月陆续发布 , 《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》(下称“基本要求”)已于12月1日起正式实施 。 业务应用系统逐步“云上”部署或迁移“上云” , 作为云上业务系统的运营者该如何落实等级保护制度 , 如何开展网络安全等级保护工作?本篇对此简要分析 , 助力云服务客户快速、高效地落实网络安全等级保护制度 。 网络安全等级保护制度中两个关键动作“定级”、“测评” , 关于云服务客户如何顺利开展这两项关键动作 , 需明确:面向“对象”和面向“责任” 。
面向对象——等级保护对象 , 测评对象 1 等级保护对象
基于云计算特性 , 在不同的云计算保护形态下 , 对于公有云 , 等级保护对象可分为“云计算平台”、“云服务客户业务系统” , 基于云计算服务模式的不同 , 云计算平台这一保护对象可以分为“云计算基础服务平台(IaaS类)、云计算数据开发平台(PaaS类)、云计算应用服务平台(SaaS类)” 。 对于云服务客户而言 , 其部署在不同云计算服务模式下的业务应用系统 , 应作为等级保护对象 , 等级保护对象为云服务客户业务系统 。
2测评对象
云服务客户在明确等级保护对象为云服务客户业务应用系统时 , 在开展等级保护测评工作 , 明确测评对象前首先需了解安全责任 。 在明确安全责任的情况下 , 对测评对象进行合适的选取 , 如在IaaS服务模式下 , 测评对象类有:
本文插图
面向“责任”——安全责任 , 基本要求责任 1 安全责任
【云服务@云服务客户落实网络安全等级保护2.0】“因为信任 , 所以选择” , 云服务客户选择将业务系统部署在云上 , 在应用云服务商提供的便捷、高效的云服务同时 , 应与云服务商”划”清安全责任边界 , 了解清楚业务系统“上云”后需面对的安全责任 , 而不是对安全责任进行“甩锅” 。 关于云计算安全责任 , 在不同的云计算服务模式下 , 云服务客户分担的责任也有所不同 。
本文插图
在基础设施即服务(IaaS)模式下 , 云服务客户需对其部署在云上的各类可控的资源进行安全配置:对虚拟网络资源安全防护 , 对其云资源账户进行安全策略配置 , 对运维人员实施权限管理及职责分离 , 并对云产品合理的安全策略配置 。 此外 , 对于云服务客户自行部署在云上的业务应用、数据库及中间件等均需云服务客户进行安全管理;
在平台即服务(PaaS)模式下 , 云服务客户需保证其部署在云平台上的业务应用和数据的安全性 , 并对云产品进行安全配置 , 云资源账户安全管理;
在软件即服务(SaaS)模式下 , 云服务客户仅需对其选用的应用进行安全配置 , 并对自身业务数据做好安全防护工作 。
无论哪种云服务模式 , 云服务客户对其业务数据拥有所有权和控制权 , 需负责各项具体的数据安全配置 。
2 基本要求责任
网络安全等级保护基本要求包括通用要求和扩展要求 , 对于云服务客户而言 , 无论是通用要求还是扩展要求 , 均需满足 , 但考虑到部分条款的特殊性与针对性 , 部分基本要求条款可能在云服务客户侧不适用 。 如部署在公有云平台(IaaS)上的云服务客户业务系统 , 安全通信网络、安全区域边界及安全管理中心这几个安全类主要针对虚拟网络、虚拟网络架构、虚拟网络边界 , 而不应将其安全责任归属于云平台 。
推荐阅读
![[昆明广播电视台]昆明正在建造一艘大型客船!今年有望恢复滇池夜航](https://imgcdn.toutiaoyule.com/20200427/20200427173533202750a_t.jpeg)
- 云祭扫代祭服务■哈尔滨:“云祭扫”“代祭服务”寄哀思
- 「科技小数据」消费信贷的客户呈现出年轻化的趋势,新消费崛起
- 「北京头条客户端」科技部:将加大对前沿技术研发的攻关和支持力度
- 【北京日报客户端】4000多家中小银行主要经营指标处在合理区间
- 『北京日报客户端』疫情影响是否会超过2008年金融危机?央行:目前还没有
- 『服务中心』河北雄安商务服务中心复工:打造高质量标志性工程
- 『人民日报客户端』35+55!持续关注!
- [央视新闻客户端]民众试行戴口罩购物,奥地利确诊病例破万
- 人民日报客户端▲非洲49国确诊新冠肺炎超6000例
- 博鳌一龄推出全新康养旅游产品 免费为海南援鄂医护人员提供服务