等保2.0正式实施,阿里云发布全国首个《阿里公共云用户等保2.0合规能力白皮书》

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心 免费版,不限时长
简介: 面对大量的咨询和疑惑,阿里云在公安部信息安全等级保护评估中心指导下,发布全国首个《阿里公共云用户等保2.0合规能力白皮书》,为您一一解答。白皮书从云服务商和云上用户安全合规责任划分出发,首次公开阐述公共云上用户在不同服务模式下的安全合规责任和等保2.0适用条款,基于最典型的IaaS服务模式场景,为您提供最佳安全合规实践指引,首次深度解读云计算、物联网扩展要求合规实践。

《网络安全法》出台后,网络安全等级保护制度上升到了法律层面,不做等保就“等于”违法早已深入人心。等保2.0最大的特点就是从原有传统系统基础上延伸到了云计算、移动互联、物联网和大数据等新兴领域,因此云上用户从12月1日正式迎来等保2.0大考验。

那么,问题来了,等保2.0该怎么做?

  • 云服务商已经通过等保了,云上用户是不是默认已经通过,还需要单独做等保吗?
  • 等保条款那么多,用户在云上看不见摸不着,对于新增的云计算扩展要求和物联网扩展要求,用户到底该关注哪些内容呢?
  • 在做等保过程中,云服务商到底能帮助用户做什么呢?

面对大量的上述咨询和疑惑,阿里云在公安部信息安全等级保护评估中心指导下,发布全国首个《阿里公共云用户等保2.0合规能力白皮书》,为您一一解答。白皮书从云服务商和云上用户安全合规责任划分出发,首次公开阐述公共云上用户在不同服务模式下的安全合规责任和等保2.0适用条款,基于最典型的IaaS服务模式场景,为您提供最佳安全合规实践指引,首次深度解读云计算、物联网扩展要求合规实践。

一、择“优”云服务商才能得优

按照等保2.0定级指南要求,明确指出云上用户应用系统和云服务商云计算平台部分要分别作为单独的定级对象,也就是说云上用户自己的应用系统也要单独进行等保测评 。同时,云等保2.0测评要求的最新变化,测评结论从原有等保1.0时代的“符合、基本符合、不符合”变成现在的“优、良、中、差”,低于70分就是差,70分以上才算基本符合要求,因此及格分数调高了,测评要求也更严格了。

对于用户来说想要拿到“优”,必须同时满足以下三个条件:

  1. 选择的云平台等级测评结论为优;
  2. 业务应用系统存在的问题中无中、高风险项;
  3. 得分高于90分(含90分)。

也就是说,用户的等保测评结论与云平台绑定,只有选择测评结论为“优”的云平台,用户才有可能拿到“优”。

作为云等保2.0时代的先行者和践行者,阿里云继2016年成为全国唯一一家云计算等保新标准试点示范单位后,又再一次成为全国首家以高分通过公安部权威机构等保2.0测评的云服务商,为云上用户拿“优”奠定了良好基础。

二、公共云上比云下等保测评更轻松

除了选择优质的云平台,如果用户想要拿到较好的测评结论,还需要关注哪些点呢?白皮书中明确指出云上用户等保测评范围和使用的云服务模式紧密相关。

白皮书一方面根据IaaS、PaaS和SaaS服务模式对阿里云全系云产品进行了分类,让用户能够快速定位到自己使用的云产品到底属于哪种服务模式;另一方面在公安部信息安全等级保护评估中心指导和认可下,明确了三种服务模式下云上用户适用的等保2.0标准中的技术条款,让用户提前准备需要关注的测评指标和范围。

图片 1.png
图1 不同服务模式下的云上用户等保2.0技术测评项数量

从图1不同服务模式下的云上用户等保2.0技术测评项可以看出,如果用户是自建云平台或传统IDC托管,那么等保中的所有技术条款都要进行测评。如果是IaaS用户,只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标,不需关注物理机房环境和云平台网络等内容,测评条款数约是自建云平台的62.4%。如果是PaaS用户则需要测评内容更少,只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标,测评范围是自建云平台的36.8%。对于SaaS用户来说,只需要关注涉及应用安全配置以及业务数据保护的45项技术指标,需要投入的人力和经费成本也最少。

综合来讲,云时代因服务模式不同带来的云上用户合规责任的变化,使得公共云用户比自建云平台或传统IDC用户在等保2.0中投入的合规成本大幅降低,并且在PaaS和SaaS服务模式下优势更为突出,可以让用户将更多精力聚焦自身的业务应用系统和数据安全保护上。

三、物联网扩展要求其实不难

根据等保2.0物联网三级要求,物联网场景用户需关注包括感知节点设备物理防护、接入控制、入侵防范、感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理及感知节点管理这8大要求,共计有20条测评项。

白皮书根据这8大要求,通过阿里云IoT安全产品进行了合规性阐述,让用户能够通过阿里云快速定位到更安全、更便捷、更轻量的安全产品。

不论用户是自建物联网平台或使用阿里云物联网平台,用户都需要关注涉及设备物理防护及感知节点管理相关的7条技术指标。

作为物联网领域的先驱者,阿里云具备全面的物联网安全基础设施能力,包括具有自主知识产权的物联网可信执行环境、设备身份认证、可信服务管理,并结合阿里云大数据强大的安全情报、风险检测和分析能力及人工智能构建物联网安全运营中心,为用户提供设备全生命周期安全管理服务,为用户通过物联网扩展要求奠定了坚实的基础。

四、助力云上用户通过等保2.0考验

白皮书依照公安部信息安全等级保护评估中心提出的云计算等保2.0合规能力技术体系,结合阿里云安全技术和管理优势,详细阐述了用户等保合规体系,需要依赖云平台安全、云产品安全、云安全产品以及只能由用户自建的四项安全能力。

其中,云平台安全能力由阿里云自行承担,用户无需关注;云产品安全能力则是利用云计算优势云平台自带的原生安全能力以及云产品默认的安全属性,用户只需负责安全配置;云安全产品能力是基于阿里巴巴集团多年的安全实践以及云平台常态化的攻防实践,为云上用户提供专业的安全产品和服务。

图2.jpg
图2 阿里云IaaS服务模式下用户等保2.0安全能力组成

白皮书从最典型的IaaS服务模式场景出发,通过上述四项安全能力,为用户提供了最佳安全合规实践指引。从图2可以看出,用户在依赖云平台安全能力基础之上,利用云原生安全优势和产品默认安全属性,直接实现66项(占79.1%)技术控制点安全能力。同时,用户还可以选择配套的阿里云安全产品,实现54项(占65.1%)技术控制点安全能力。与此同时,阿里云为用户提供了一站式等保解决方案,专业、快速、合规的解决方案助力云上超过千家客户无忧过等保;并面向不同需求的用户提供不同的等保2.0安全套餐,为用户顺利通过等保2.0保驾护航。

等保2.0已正式实施,云等保作为等保2.0时代的重要创新,用户需要了解云上等保与传统云下等保的区别,也要充分利用云计算、物联网服务模式带来的技术优势,更好的复用云基础设施的合规能力,让自己更聚焦于自身的业务应用系统和数据安全保护。

若想了解更多信息,您可以扫描下方二维码,获取《阿里公共云用户等保2.0合规能力白皮书》:

公共云-小.jpg

2019年3月份,阿里云联合公安部信息安全等级保护评估中心还发布了《阿里专有云等保2.0合规能力白皮书》,基于云等保合规技术框架,给出了阿里专有云多种交付场景下等保2.0合规的最佳实践,旨在为政府、企业、组织机构等相关单位满足等保合规要求提供行动指南。如需获取白皮书全文,请扫描下方二维码索取。
专有云二维码-小.jpg

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
存储 运维 安全
阿里云发布SaaS数据本地化服务,助力企业跨国扩展与合规
阿里云SaaS数据本地化服务(Alibaba Cloud InCountry Service,简称ACIS) 由阿里云和 InCountry合作推出,为使用海外SaaS或者应用的企业客户提供了一种将受管制数据在境内存储和处理,以实现合规的SaaS服务。
1337 0
阿里云发布SaaS数据本地化服务,助力企业跨国扩展与合规
|
1月前
|
存储 运维 安全
2024年度云治理企业成熟度发展报告解读(二)云市场背景调查数据
报告中指出,大多数企业在云计算实践中的管理与数据使用方面存在显著问题,特别是72.5%的客户仍依赖控制台开通资源,42.4%采用多账号管理但仅14.7%启用单点登录,以及多数企业使用root用户管理资源,导致安全风险。
2024年度云治理企业成熟度发展报告解读(二)云市场背景调查数据
|
1月前
|
监控 供应链 安全
云计算环境下的等保测评
云计算环境以其灵活、高效和可扩展性,成为现代企业信息化基础设施的重要组成部分。然而,云环境的复杂性和动态性也给信息安全带来了新的挑战,尤其是等级保护测评(简称“等保测评”)在云环境下变得更加复杂和重要。
33 0
|
云安全 城市大脑 安全
阿里云发布《云上数字政府之数据安全建设指南》
9月20日,在北京举办的2022阿里云云上数字政府峰会上,阿里云正式推出云上数字政府系列白皮书——《云上数字政府之数据安全建设指南》(简称《指南》)。
369 1
|
安全
《阿里云产品手册2022-2023 版》——阿里云是亚洲安全合规资质最全的云服务厂商之一
《阿里云产品手册2022-2023 版》——阿里云是亚洲安全合规资质最全的云服务厂商之一
166 0
|
移动开发 运维 安全
顶象助力多家中央政企单位等保2.0安全合规建设
以“网络安全为人民,网络安全靠人民”为主题的2022年国家网络安全周在合肥开幕。国家网络安全周是为了“共建网络安全,共享网络文明”而开展的主题活动,聚焦网络安全教育技术产业融合发展,通过重要活动与主题活动相结合,线上活动与线下活动相结合,着力提升全民安全意识、防护技能,提升网络安全水平,促进产业发展。 自2014年以来,国家网络安全周已经持续举办9年。在这9年里,《网络安全法》、《等保2.0核心标准》、《数据安全法》、《个人信息保护法》、《反电信网络诈骗法》等一大批重要的法律法规和标准陆续出台,规推动了我国网络安全产业发展。
145 1
顶象助力多家中央政企单位等保2.0安全合规建设
|
安全 算法 专有云
国内首家云平台!阿里云专有云通过商用密码应用安全性评估
阿里云凭借自研飞天云操作系统的全方位安全能力,成为国内首家通过云平台密评的云厂商。
3054 0
国内首家云平台!阿里云专有云通过商用密码应用安全性评估
|
弹性计算 算法 安全
阿里云数据安全产品能力通过中国信通院验证测试!
阿里云数据安全中心,帮助客户一站式解决数据治理、数据防泄漏等难题。
785 0
阿里云数据安全产品能力通过中国信通院验证测试!
|
安全 物联网 云计算
阿里云发布全国首个《阿里公共云用户等保2.0合规能力白皮书》深度解读等云计算、物联网扩展要求
12月1日,信息系统等级保护条列 2.0(以下简称等保2.0)正式实施,相较等保1.0,本次等保2.0覆盖领域更广,从原有传统系统基础上延伸到了云计算、移动互联、物联网和大数据等新兴领域。为了应对这样的新变化,阿里云发布了全国首个《阿里公共云用户等保2.0合规能力白皮书》,针对等保通用安全要求、物联网扩展要求及云技术进行了一一解答。
2625 0
阿里云发布全国首个《阿里公共云用户等保2.0合规能力白皮书》深度解读等云计算、物联网扩展要求
|
安全 网络安全
阿里云积极落实等级保护制度,政务云全国首个通过等保2.0合规评测
5月16日,阿里云“电子政务云平台系统”正式通过网络安全等级保护三级测评。这是等保2.0正式国家标准GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》发布后全国首个通过等保2.0国标测评的云平台。
6888 0