等保2.0安全擴(kuò)展要求講了些什么

基本要求的一個(gè)突出變化是由安全要求改進(jìn)為通用要求和擴(kuò)展要求，新增加對云計(jì)算、移動互聯(lián)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)新技術(shù)應(yīng)用的適用場景（大數(shù)據(jù)方面以附錄形式提出）。通用要求針對共性化保護(hù)需求提出，等級保護(hù)對象無論以何種形式出現(xiàn)，應(yīng)根據(jù)安全保護(hù)等級實(shí)現(xiàn)相應(yīng)級別的通用要求，而擴(kuò)展要求針對個(gè)性化保護(hù)需求提出，需要根據(jù)特定技術(shù)或特定的應(yīng)用場景選擇性實(shí)現(xiàn)擴(kuò)展要求。如圖10所示。

公安部信息安全等級保護(hù)評估中心副研究員馬力表示，這意味著單位在實(shí)施等保工作時(shí)，通用要求是必須要做的，而擴(kuò)展要求要根據(jù)實(shí)際應(yīng)用場景來選擇，例如單位的業(yè)務(wù)系統(tǒng)如果采用了云計(jì)算技術(shù)，在進(jìn)行等保工作是就要在符合某級別通用要求的基礎(chǔ)上，再進(jìn)行對應(yīng)的云計(jì)算擴(kuò)展要求。

圖10 安全通用要求與安全擴(kuò)展要求

安全擴(kuò)展要求的變化

云計(jì)算安全擴(kuò)展要求章節(jié)針對云計(jì)算的特點(diǎn)提出特殊保護(hù)要求，對云計(jì)算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”和“云計(jì)算環(huán)境管理”等方面。

移動互聯(lián)安全擴(kuò)展要求章節(jié)針對移動互聯(lián)的特點(diǎn)提出特殊保護(hù)要求，對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點(diǎn)的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等方面。

工業(yè)控制系統(tǒng)安全擴(kuò)展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點(diǎn)提出特殊保護(hù)要求，對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面。

物聯(lián)網(wǎng)安全擴(kuò)展要求章節(jié)針對物聯(lián)網(wǎng)的特點(diǎn)提出特殊保護(hù)要求，對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點(diǎn)的物理防護(hù)”、“感知節(jié)點(diǎn)設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等方面。

單位如何開展云計(jì)算環(huán)境的等級保護(hù)工作

很多云租戶片面地認(rèn)為安全防護(hù)應(yīng)該由云服務(wù)商實(shí)現(xiàn)，只需把業(yè)務(wù)系統(tǒng)遷移至云端即可，但實(shí)際上云租戶也是有安全責(zé)任的。

綠盟科技提醒，云服務(wù)商和云服務(wù)客戶擁有不同控制范圍，其安全責(zé)任邊界不同，云服務(wù)商和云服務(wù)客戶應(yīng)根據(jù)各自安全責(zé)任，進(jìn)行安全防護(hù)能力建設(shè)。

在云計(jì)算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺單獨(dú)作為定級對象定級，云租戶側(cè)的等級保護(hù)對象也應(yīng)作為單獨(dú)的定級對象定級。

啟明星辰建議，對于單位自建的云平臺，將云平臺作為基礎(chǔ)設(shè)施，云客戶業(yè)務(wù)系統(tǒng)作為信息系統(tǒng)，分別作為定級對象進(jìn)行定級。對于大型云平臺，當(dāng)運(yùn)管平臺共用時(shí)，可將云計(jì)算基礎(chǔ)設(shè)施與運(yùn)管平臺系統(tǒng)分開定級。責(zé)任分離，分別定級，各自備案。云計(jì)算基礎(chǔ)設(shè)施的安全保護(hù)等級不低于其所支撐的業(yè)務(wù)系統(tǒng)的等級。針對私有云用戶，也要按照云平臺和云業(yè)務(wù)系統(tǒng)，分別進(jìn)行定級。并且云平臺的安全等級不低于其所支撐的業(yè)務(wù)系統(tǒng)的等級。

對于部署在公有云上的信息系統(tǒng)開展等級保護(hù)工作，應(yīng)遵循如下原則：應(yīng)確保云計(jì)算平臺不承載高于其安全保護(hù)等級的業(yè)務(wù)應(yīng)用系統(tǒng)；應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)；云計(jì)算平臺的運(yùn)維地點(diǎn)應(yīng)位于中國境內(nèi)，如需境外對境內(nèi)云計(jì)算平臺實(shí)施運(yùn)維操作應(yīng)遵循國家相關(guān)規(guī)定；云計(jì)算平臺運(yùn)維過程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、日志信息等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。

公有云服務(wù)方側(cè)的云平臺單獨(dú)作為定級對象定級，云租戶側(cè)的等級保護(hù)對象也應(yīng)作為單獨(dú)的定級對象定級，云平臺的等級要不低于云上租戶的業(yè)務(wù)應(yīng)用系統(tǒng)的最高級。

公有云開展等級保護(hù)一般分為兩個(gè)部分：一是云平臺本身，等保2.0中明確提出對于公有云定級流程為云平臺先定級測評，再提供云服務(wù)。二是云租戶信息系統(tǒng)，比如某政府單位門戶網(wǎng)站系統(tǒng)，在嵌入公有云平臺后，還需對該門戶網(wǎng)站獨(dú)立定級備案、進(jìn)行等保測評。其中，涉及云平臺部分的內(nèi)容可以不重復(fù)測評，測評結(jié)論直接引用即可。

不同云計(jì)算服務(wù)模式需要采取不同職責(zé)劃分方式：對于IaaS服務(wù)模式，云服務(wù)商的職責(zé)范圍包括虛擬機(jī)監(jiān)視器和硬件，云租戶的職責(zé)范圍包括操作系統(tǒng)、中間件和應(yīng)用數(shù)據(jù)；對于PaaS服務(wù)模式，云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)和中間件。云租戶的職責(zé)范圍為應(yīng)用和數(shù)據(jù)；對于SaaS服務(wù)模式，云服務(wù)商的職責(zé)范圍包括硬件、虛擬機(jī)監(jiān)視器、操作系統(tǒng)、中間件和應(yīng)用，云租戶的職責(zé)范圍包括部分應(yīng)用職責(zé)及用戶使用職責(zé)。

結(jié)語：

等保2.0時(shí)代已經(jīng)到來，等保合規(guī)工作值得每一個(gè)組織機(jī)構(gòu)去學(xué)習(xí)和重視。事實(shí)上，由于當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全形勢，合規(guī)早已不是也決不能是組織機(jī)構(gòu)的最低要求，更多還要考慮其本身的網(wǎng)絡(luò)安全需要，從自身出發(fā)做好網(wǎng)絡(luò)安全保障工作，這樣才能確保企業(yè)能夠積極應(yīng)對新時(shí)期的各種網(wǎng)絡(luò)威脅與挑戰(zhàn)。