06-安全法规-ACA-01-网络安全等级保护

开发者学习笔记【阿里云云安全助理工程师认证（ACA）课程：06-安全法规-ACA-01-网络安全等级保护】

课程地址：https://edu.aliyun.com/course/3111981/lesson/18875

06-安全法规-ACA-01-网络安全等级保护

内容介绍：

一、等级保护相关法律法规

二、阿里云与客户共同支撑云上信息系统通过等级保护测评

三、云上系统等级保护定级和备案

四、等保2.0基本要求

课程介绍

本次课程的目标分为两个部分，第一是了解等级保护工作流程和技术架构，第二是了解网络安全重要的法律法规。本次课程分为两个章节，分别为网络安全等级保护以及网络安全法律法规。

一、等级保护相关法律法规

第一个章节，网络安全等级保护。我们先看等级保护相关的法律法规。网络安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策，等保 2. 0 也就是大概经历了三个阶段，从 2017 年的6月 1号中华人民共和国网络安全法正式实施，到 2018 年的 6 月份公安部出台了网络安全等级保护条例征求稿的意见，再到 19 年5月份发布了信息安全技术网络安全等级保护的这个要求，也就是等保二点儿零，到2019 年的 12 月份，等保二点儿零就开始正地落正式的落地实施。在 2021 年的 4 月份，基于等保的这个要求之上，又落地实施了较关键信息基础设施安全保护条例。

这里主要就是等保 1. 0 到 2. 0 的一个演进过程。等保 1. 0 在 1994 年时，国务院颁布的 147 号链计算机信息系统安全保护条例为指导标准，就提出等保 1. 0 的概念。随着信息技术的快速发展和演进，近几年云计算、大数据、物联网、移动互联等技术的兴起，原来等保 1. 0 已经无法适应新技术的发展，于是就有后来的等保 2. 0 的颁布与落地。 等保 2.0相较于等保1.0的主要变化就是强调一个中心三重防护的理念。一个中心指的就是安全管理，中心三重防护就是指通信网络防护、区域边界防护以及计算环境防护。

用户经常会问到一个问题，就是我的业务在云上需不需要做等保？根据谁运营谁负责，谁使用谁负责，谁主管谁负责的原则，该系统责任主体还是属于网络运营者自己，所以还是得承担相应的网络安全责任。该做等保的还得做等保。

二、阿里云与客户共同支撑云上信息系统通过等级保护测评

下面是云上责任共担的模型，指的是安全责任，是由双方共同承担。 阿里云要保障云平台自身的安全，并且提供安全产品和能力给到云上的租户，租户负责基于阿里云服务构建的应用系统的安全，右边这个图就是进一步定义云服务提供商应负责的部分，以及租户应负责的部分，以及双方共同承担责任的部分有哪些。

以下是等级保护在实施的过程中的主要流程，共分为五步，分别为定级、备案、整改、测评以及监督管理。

下图是讲关于用户定级的参考，等保一共分为 5 级，定级的参考主要就是依据这张表，这张表我们可以看到主要分为两个维度，分别是受侵害的客体以及对相应客体的侵害程度，定级的高低取决于对受侵害客体的以及对相应客体侵害程度的程度，越高它的定级就越高。

三、云上系统等级保护定级和备案

这是关于云上系统的等级保护的定级和备案范围涵盖了租户侧以及云平台侧。
云平台主要负责将云计算平台的定级结果向所辖公安机关进行备案地，备案地为运维管理端所在地，云租户侧负责对云平台上承载的租户信息系统进行定级备案。

备案地为工商注册或实际经营所在地，云租户信息系统的这个备案级别一般不会超过其所在云平台的备案级别。

四、等保2.0基本要求

等保 2. 0 的基本要求总体涵盖了安全通用要求以及安全扩展要求。安全通用要求又包含了技术和管理两大类，技术要求包含安全物理环境安全通信网络安全、区域边界安全计算环境以及安全管理中心。管理要求又包含安全管理制度、安全管理机构、安全管理人员、安全建设管理以及安全运维管理。

在安全扩展要求又包含语音计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。

接下来介绍阿里云的安全体系架构。这张图是摘自于阿里云安全官方的一个白皮书里，阿里云整体是提供了五恒两纵的一个安全架构体系，五恒分别是指云平台安全、用户基础安全、用户数据安全、用户应用安全以及用户业务安全，两纵分别指的是用户账户安全以及用户安全监控和运营，这两纵是覆盖到租户侧以及阿里云侧，简单就是阿里云不仅需要负责自身云平台侧的安全能力建设，同时在阿里云上发布的云产品本身也自带安全属性，除用来保障产品自身的安全性的同时，还提供像云盾系列的安全产品，覆盖云租户的基础安全、数据安全、应用安全以及业务安全。可供租户来使用，与此同时阿里云还集成云市场上第三方的安全厂商的安全产品，给租户带来了最大化的方案选择以及安全的保障。

这里就是来解释等保三级典型的技术方案架构参考，通过这张图我们知道里面是有多款阿里云盾的产品组合而成，不同的产品是分别可以覆盖像等保测评过程当中对于技术要求的这五大维度。

阿里云在全国是属于首家高分通过公安全 2. 0 测评的云服务商。 下面左图是公共云等保三级的备案证明，右侧这张图是指的阿里云高分通过的测评报告的样例。

在做等保过程中，那流程的分工是怎样的？
等保在一开始的系统定级系统备案系统，这个建设整改和等级测评的是分别需要像运营单位、阿里云咨询机构以及测评机构分别进行一个介入和测试。

到了第五个阶段，就是由主要由运营单位、咨询机构以及公安机关三者来进行一个协同，运用单位主要是接受公安机关的定期检查，咨询机构主要是协助运营单位接受检查和进行整改。