如果说网络信息安全的防御和抵抗是一场长期的战争,网络安全法强调的是每个人发展的战略定位,而等级保护条例等相关法律法规则是更为细致的战略布局。
由于E保2.0有很多值得注意的变化,在云计算方面确实有太多应该明确但仍有误解的地方,我们将采用专题讲座的方式,从云计算的分级保护规定开始,到非常容易对分级保护产生疑虑的重要规定,最后到实际的实施意见,从而明确如何开展分级保护工作的难题。这是系列产品讲座之首:云计算。
Isobao2.0时代最受关注的变化是其维护范围的极大扩展。除此之外,Isobao2.0基本上对很多细分安全领域的法规和规范进行了优化和扩展,不仅开拓了创新,提高了保障法规的门槛,也使工作的依据更加清晰和实用。
E保是在原有E保框架下对新事物的拓展。在云计算框架下,等级保护仍然必须是落地的,包括评估、备案、基建整改、等级评估、监督管理五个规定动作。不同的是,平等保护框架下新提升的要素,必须对原有等级保护工作的主要内容进行拓展和统一。
首先,租户和服务平台的责任划分很难。在云计算的标准下,现阶段采用云服务平台和租用者的义务分担制度。从IaaS到PaaS再到SaaS,云租户的义务越来越低,但无论如何,对于云租户来说,网络信息安全自始至终都是最关键的安全风险,我们不能懈怠。
其次,评估和处理备案是一个难题。传统信息内容系统的结构随着业务流程的变化而变化,实际上受到物理互联网和安全防护设备的束缚;对于云自然环境,采用虚拟边界作为系统评价的边界。原有的思路无法体现业务流程应用系统的逻辑顺序,必须从业务流程应用的角度考虑,梳理业务流程应用和匹配的控制模块。
一般情况下,在考核备案工作中,客户企业自行填写考核备案申请书,交由公安网监单位进行备案工作。然而,在大多数情况下,客户企业在评估机构的帮助下开展这项工作。系统安全的基础建设和等级评估不必严格按照这个顺序进行。可以先评估后整改,也可以先评估后基本建设。其实他们是想根据自己的具体情况来做。
选择评估机构非常重要。评估机构的公信力和质量直接关系到单位信息系统中后期的整改内容。早发现问题,早整改,可以合理降低黑客攻击风险,提高网络信息安全防护能力。
评估中仍有两个关键的误解:
1.已经托管的云系统还要等保险吗?
按照“谁运营谁负责,谁应用谁负责,谁使用谁负责”的标准,系统的责任主体仍然属于互联网运营商自身,因此仍然要承担网络信息安全的相对义务。系统评价还是要评价,该等保险的还是要等保险。
使用系统云服务器或托管后,并不是负责安全的主体迁移,只是系统所属主机房的详细地址变更。自然,在云计算平台模式下,Iaas、Paas、Saas在安全管理上有一些不同的方式,但也不是没有义务。
2.系统评级越低越好?
最终的评价是基于被损害的行为主体和对行为主体的损害程度,以客观事实为依据,而不是主观随意的评价。评价低,表面的规定比较容易考虑,但是相对的保护措施不够相对。一旦受到攻击,就会因小失大。
再次立案是个难题。传统的归档系统非常简单。IT基础设施建设、运维管理地址、工商注册大多一致。你可以马上去你所在城市的大局,网警或者大队。众所周知,使用云服务器的系统部署在各种云服务平台上,云服务平台的具体物理地址通常与云系统互联网运营商的详细地址并不相同。大中型云服务平台也有很多物理连接点,无法确定云服务平台的实际物理地址。因此,从方便当地公安部门管控的角度出发,该系统应在系统具体运维管理组所在城市的网警单位备案。
然后就是基建怎么整改的问题。云计算对IT架构、业务流程系统的部署方法和服务项目都产生了深远的危害。一方面,使客户能够快速、可扩展、按需、随时获取it资源和服务项目,完成IT即服务项目的变更,这是一个关键的信息管理转型。另一方面,这种新型的IT架构也带来了新的安全挑战和要求。
边界、通信、测量的安全是必须要考虑的,最重要的是云网信息安全的基础建设。根据客户的具体要求和相关安全合规管理规范,在数据信息建立、传输、存储、应用、资源共享和销毁的项目生命周期内,开展云自然环境下的网络信息安全设计方案和网络信息安全服务体系,以确保客户数据信息在云自然环境下的安全应用,维护云自然环境下数据信息的安全、保密和机密。
是终评中的难题。云计算系统保障措施一般通过系统整体工作能力来体现,云计算安全扩展规定作为整体情况,在报告结构上相当于整体评价。每个评价项目没有重复匹配一个或几个评价目标。等保工作是一项持续性的工作,等保评估也是一项经常性的工作。三级制规定每年做一次,四级制半年做一次,二级制部分制造业明确规定两年做一次。没有明文规定的制造业一般建议每两年做一次评估。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)