由公安部牵头的等级保护(简称等保)2.0已于今日正式发布。等保是对企业等组织具有国家法律效力的基本的安全制度,将对企业等组织的信息安全包括云安全工作产生重大的影响。去年6月,华为云就已按照等保2.0的要求,高分通过了等保4级测评;并推出了等保安全服务,助力用户高效进行等保测评。
一、等保是中国信息安全的基本制度
《网络安全法》规定:等级保护,是我国信息安全保障的基本制度。网络运营者应当按安全等级保护制度的要求,履行下列安全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
二、等保的五个等级
等保等级由低到高分为五级,主要依据系统受破坏后危害的范围和严重程度。目前1级系统因影响小,基本不需备案;5级系统目前还不存在,只是理想状态。这里主要介绍2-4级:
(1)2级,受到破坏,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。需国家信息安全监管部门对该级信息系统信息安全等保工作进行指导。
(2)3级,受到破坏,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。需国家监管部门进行监督、检查。
(3)4级,受到破坏,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。需国家监管部门进行强制监督、检查。
三、等保工作的流程
等保工作大致流程如图上五个步骤。其中,最重要的是等级测评,它用来验证系统能否满足相应等级的安全要求。
四、等保2.0较1.0的新变化
2.0有很多新的变化,抛开宏观如架构等的变化,主要关注云用户要实际落地的2条:
1、测评的变化:以前4级系统半年要测评一次,现在3级及以上系统每年做一次。1.0里60分以上算及格,现在75分算及格。
2、测评项的变化:新增了4类新的要求。
(1)入侵防范:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
(2)恶意代码防范:应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
(3)安全审计:应确保审计记录的留存时间符合法律法规要求;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
(4)集中管控:应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;应对网络链路、安全设备、网络设备和服务器等的运行状况、审计数据进行集中监测、汇总、分析;应能对网络中发生的各类安全事件进行识别、报警和分析等。
可见2.0偏重于事后审计、回溯、分析,相关产品如堡垒机、数据库审计等。
五、华为云3招,助力用户进行等保测评
1、保证华为云平台自身满足等保要求
云用户过等保,除须保障自身系统安全,还依赖所在的云平台:
(1)测评时,如果选择的云平台本身未测评,则云用户系统无法进行测评;
(2)对云用户系统的打分,不但要考虑云用户系统自身得分,还要关注云平台得分,云平台得分高低将影响租户系统得分。
华为云通过等保4级测评,解除了用户上述顾虑。
2、推出了一站式等保服务
去年6月9日,华为云联合公安三所等有资质的等保测评机构,推出了专业的测评服务,为客户量身定制等保合规整改建议,指导客户进行安全服务的选型和部署,对网络、主机、数据库、安全管理制度等进行整改,高效地过等保。
3、提供各类满足等保要求的安全服务,如针对等保2.0的4个新增项,对应的服务有:
关于等保的更多内容,请访问华为云官网。