06-安全法规-ACA-01-网络安全等级保护

本文涉及的产品
性能测试 PTS,5000VUM额度
应用实时监控服务-应用监控,每月50GB免费额度
可观测监控 Prometheus 版,每月50GB免费额度
简介: 06-安全法规-ACA-01-网络安全等级保护

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程06-安全法规-ACA-01-网络安全等级保护

课程地址:https://edu.aliyun.com/course/3111981/lesson/18875


06-安全法规-ACA-01-网络安全等级保护


内容介绍:

一、等级保护相关法律法规

二、阿里云与客户共同支撑云上信息系统通过等级保护测评

三、云上系统等级保护定级和备案

四、等保2.0基本要求

 

课程介绍

本次课程的目标分为两个部分,第一是了解等级保护工作流程和技术架构,第二是了解网络安全重要的法律法规。本次课程分为两个章节,分别为网络安全等级保护以及网络安全法律法规。

 

一、等级保护相关法律法规

第一个章节,网络安全等级保护。我们先看等级保护相关的法律法规。网络安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,等保 2. 0 也就是大概经历了三个阶段,从 2017 年的6月 1号中华人民共和国网络安全法正式实施,到 2018 年的 6 月份公安部出台了网络安全等级保护条例征求稿的意见,再到 19 年5月份发布了信息安全技术网络安全等级保护的这个要求,也就是等保二点儿零,到2019 年的 12 月份,等保二点儿零就开始正地落正式的落地实施。在 2021 年的 4 月份,基于等保的这个要求之上,又落地实施了较关键信息基础设施安全保护条例。


这里主要就是等保 1. 0 到 2. 0 的一个演进过程。等保 1. 0 在 1994 年时,国务院颁布的 147 号链计算机信息系统安全保护条例为指导标准,就提出等保 1. 0 的概念。随着信息技术的快速发展和演进,近几年云计算、大数据、物联网、移动互联等技术的兴起,原来等保 1. 0 已经无法适应新技术的发展,于是就有后来的等保 2. 0 的颁布与落地。 等保 2.0相较于等保1.0的主要变化就是强调一个中心三重防护的理念。一个中心指的就是安全管理,中心三重防护就是指通信网络防护、区域边界防护以及计算环境防护。

图片110.png

用户经常会问到一个问题,就是我的业务在云上需不需要做等保?根据谁运营谁负责,谁使用谁负责,谁主管谁负责的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任。该做等保的还得做等保。

 

二、阿里云与客户共同支撑云上信息系统通过等级保护测评

下面是云上责任共担的模型,指的是安全责任,是由双方共同承担。 阿里云要保障云平台自身的安全,并且提供安全产品和能力给到云上的租户,租户负责基于阿里云服务构建的应用系统的安全,右边这个图就是进一步定义云服务提供商应负责的部分,以及租户应负责的部分,以及双方共同承担责任的部分有哪些。

图片111.png

 

以下是等级保护在实施的过程中的主要流程,共分为五步,分别为定级、备案、整改、测评以及监督管理。

 图片112.png

下图是讲关于用户定级的参考,等保一共分为 5 级,定级的参考主要就是依据这张表,这张表我们可以看到主要分为两个维度,分别是受侵害的客体以及对相应客体的侵害程度,定级的高低取决于对受侵害客体的以及对相应客体侵害程度的程度,越高它的定级就越高。

图片113.png

 

三、云上系统等级保护定级和备案

这是关于云上系统的等级保护的定级和备案范围涵盖了租户侧以及云平台侧。
图片114.png云平台主要负责将云计算平台的定级结果向所辖公安机关进行备案地,备案地为运维管理端所在地,云租户侧负责对云平台上承载的租户信息系统进行定级备案。


备案地为工商注册或实际经营所在地,云租户信息系统的这个备案级别一般不会超过其所在云平台的备案级别。

 

四、等保2.0基本要求

等保 2. 0 的基本要求总体涵盖了安全通用要求以及安全扩展要求。安全通用要求又包含了技术和管理两大类,技术要求包含安全物理环境安全通信网络安全、区域边界安全计算环境以及安全管理中心。管理要求又包含安全管理制度、安全管理机构、安全管理人员、安全建设管理以及安全运维管理。

在安全扩展要求又包含语音计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。

图片115.png

接下来介绍阿里云的安全体系架构。这张图是摘自于阿里云安全官方的一个白皮书里,阿里云整体是提供了五恒两纵的一个安全架构体系,五恒分别是指云平台安全、用户基础安全、用户数据安全、用户应用安全以及用户业务安全,两纵分别指的是用户账户安全以及用户安全监控和运营,这两纵是覆盖到租户侧以及阿里云侧,简单就是阿里云不仅需要负责自身云平台侧的安全能力建设,同时在阿里云上发布的云产品本身也自带安全属性,除用来保障产品自身的安全性的同时,还提供像云盾系列的安全产品,覆盖云租户的基础安全、数据安全、应用安全以及业务安全。可供租户来使用,与此同时阿里云还集成云市场上第三方的安全厂商的安全产品,给租户带来了最大化的方案选择以及安全的保障。

图片116.png

 

这里就是来解释等保三级典型的技术方案架构参考,通过这张图我们知道里面是有多款阿里云盾的产品组合而成,不同的产品是分别可以覆盖像等保测评过程当中对于技术要求的这五大维度。

图片117.png

 

阿里云在全国是属于首家高分通过公安全 2. 0 测评的云服务商。 下面左图是公共云等保三级的备案证明,右侧这张图是指的阿里云高分通过的测评报告的样例。

图片118.png

 

在做等保过程中,那流程的分工是怎样的?
等保在一开始的系统定级系统备案系统,这个建设整改和等级测评的是分别需要像运营单位、阿里云咨询机构以及测评机构分别进行一个介入和测试。

图片119.png

到了第五个阶段,就是由主要由运营单位、咨询机构以及公安机关三者来进行一个协同,运用单位主要是接受公安机关的定期检查,咨询机构主要是协助运营单位接受检查和进行整改。

相关文章
|
2月前
|
存储 安全 网络安全
云计算与网络安全:探索云服务中的安全挑战与对策
【10月更文挑战第6天】在数字化转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着其应用的广泛性,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的安全策略和最佳实践,以帮助组织构建更加安全的云环境。我们将从云服务的基础知识出发,逐步深入到网络安全和信息安全的关键领域,最后通过代码示例展示如何实施这些安全措施。
|
15天前
|
云安全 人工智能 安全
|
21天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
28天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
1月前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与应对策略
【10月更文挑战第33天】在数字化转型的浪潮中,云计算作为支撑现代企业IT架构的核心,其安全性成为业界关注的焦点。本文从云计算服务的基本概念出发,探讨了云环境下的网络安全风险,并分析了信息安全的关键技术领域。通过对比传统网络环境与云端的差异,指出了云计算特有的安全挑战。文章进一步提出了一系列应对策略,旨在帮助企业和组织构建更为坚固的云安全防护体系。最后,通过一个简化的代码示例,演示了如何在云计算环境中实施基本的安全措施。
|
2月前
|
存储 安全 网络安全
云计算与网络安全的融合之路:探索云服务的安全边界
【10月更文挑战第6天】随着云计算技术的飞速发展,越来越多的企业和个人选择将数据和应用迁移到云端。然而,随之而来的网络安全问题也日益凸显。本文将从云计算的基础概念入手,探讨云服务中的网络安全挑战,并提出相应的信息安全策略。文章旨在为读者提供一个关于如何在享受云计算便捷的同时,保障数据安全和隐私保护的全面视角。
|
2月前
|
存储 安全 网络安全
云计算与网络安全:构建安全的数字基石
【10月更文挑战第10天】 在当今数字化时代,云计算已成为推动企业创新和效率的关键驱动力。然而,随着数据和业务向云端迁移,网络安全问题变得日益突出。本文将探讨云计算与网络安全的融合,分析云服务中的主要安全挑战,并讨论如何通过先进的信息安全技术来应对这些挑战。我们将重点关注加密技术、访问控制、安全审计以及云服务提供商(CSP)的角色,以构建一个安全可靠的云计算环境。
|
2月前
|
安全 大数据 网络安全
网络安全与信息安全:守护数字世界的坚盾在数字化浪潮席卷全球的今天,网络安全已成为维系社会稳定、促进经济发展的重要基石。本文旨在深入探讨网络安全漏洞、加密技术及安全意识等核心议题,通过分享前沿知识与实用策略,助力构建更加安全可靠的网络环境。
【10月更文挑战第8天】 本文聚焦网络安全领域的关键要素,包括安全漏洞的识别与防御、加密技术的演进与应用,以及安全意识的培养与提升。通过对最新研究成果和实际案例的分析,文章揭示了网络安全威胁的多样性和复杂性,强调了综合防护策略的重要性。同时,倡导社会各界共同参与,形成全民网络安全意识,共筑数字空间的安全防线。
77 0
|
2月前
|
存储 安全 网络安全
云计算与网络安全:构建安全、可靠的云服务生态
【10月更文挑战第7天】 在数字化时代,云计算已成为企业运营的核心支柱。然而,随着云服务的普及,网络安全问题也日益凸显。本文将探讨云计算与网络安全的关系,分析云服务中的安全隐患,并提出相应的解决方案。通过深入剖析云计算的发展趋势和面临的安全挑战,本文旨在为企业构建安全、可靠的云服务生态提供指导。
57 0
|
2月前
|
存储 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与策略
【10月更文挑战第7天】随着云计算技术的飞速发展,企业和个人越来越依赖云服务来存储和处理数据。然而,这种便利性也带来了新的网络安全威胁和挑战。本文将探讨云计算环境下的网络安全问题,分析当前面临的安全挑战,并提出相应的防护策略。我们将通过实际案例和简单的代码示例,展示如何在云计算环境中实施有效的安全措施,以保护数据和系统免受网络攻击。