【信息安全等級保護資訊網】專注網絡安全等級保護,歡迎您的光臨!
等級保護咨詢電話:400-1021-996
信息安全等級保護資訊網
服務創造價值、存在造就未來
政府單位
行業等保 您的位置:首頁>行業等保>政府單位 >
等保2.0時代政務云安全建設
等保2.0時代政務云安全建設
2019年5月13日等級保護2.0三個國家標準正式發布,分別是《基本要求》、《設計技術要求》、《測評要求》。等保2.0實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋;對于使用新技術的等保對象需要同時滿足“通用要求+安全擴展”的要求,均包含技術部分+管理部分。
簡介 ∨

1611636282211609.png

2019年5月13日等級保護2.0三個國家標準正式發布,分別是《基本要求》、《設計技術要求》、《測評要求》。等保2.0實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋;對于使用新技術的等保對象需要同時滿足“通用要求+安全擴展”的要求,均包含技術部分+管理部分。等級保護2.0是網絡安全的一次重大升級,是國家推進網絡安全工作最重要的落地動作之一。

政務云不僅僅是等級保護對象,也是關鍵信息基礎設施,網絡安全建設成為重中之重,不僅為政務云自身安全負責,也要為承載的各政府單位信息化業務保駕護航。本次等保2.0發布,對政務云安全建設規范影響巨大。我們擁有豐富的政務云行業技術積累和行業洞察力,在標準頒布之前就聯合國家信息中心一同發布《政務云網絡安全合規性指引》、《政務云網絡安全合規性技術實施指南》,并以安徽省政務云為試點,以等保2.0要求為測評標準,完成三級測評,為全國各政務云安全提供建設參考。

那么我們來看下,等保2.0下的政務云安全建設有哪些關注要點?

01云服務方與云服務客戶責任劃分清晰明確

等保2.0下云計算平臺需自身先通過等保測評,且云平臺不得承載高于其保護等級的業務應用系統。比如某省政務云平臺定級為三級,可以承載二級或者三級業務,但不可以承載四級業務。此外,云服務方(政務云建設單位)和云服務客戶(政務云使用單位)之間有了更加清晰的安全責任邊界,根據政務云提供的服務類型和級別(IaaS/PaaS/SaaS),劃分安全責任范圍。

等級保護2.0對整個要求項體系做了一定改變,整體理念保持“一個中心三重防護”不變,具體分類發生變化,其中最顯著的變化是技術要求中增加安全管理中心,二級及二級以上系統必須建設安全管理中心,這也是加強主動安全防御體系建設的重要體現。信息安全一直踐行“主動安全”,形成全棧-意圖-使能核心技術理念,為政務云打造以網絡安全態勢感知、安全云為核心的安全管理中心,幫助用戶實現政務云安全的全面可管、可控、快速響應。

相比等保1.0,等保2.0安全通用的要求項整體減少,等保三級由290項變為211項,刪除失效要求項、對部分要求項進行合理化修改、新增部分要求項。云計算安全擴展要求章節針對于云計算的特點提出特殊保護要求,等保三級增加46項云安全擴展要求。政務云平臺屬于關鍵信息基礎設施范疇,其定級不低于三級,也就是政務云平臺等保至少需要參考211項通用要求+46項云擴展要求。此外,部分政務云的建設可能已經涉及大數據,未來也將有可能涉及物聯網,對應參考等保2.0中相應要求。

我們不僅具備領先的安全技術理念,也具備豐富的政務云安全實踐經驗和技術創新能力。我們承建了14個部委級、20個省級、300+地市級政務云,積累了豐富的實踐經驗和技術特色。例如,SDN對云網安資源的統一資源調配、策略管控,幫助用戶降低安全運維難度、加快運維效率;20+種安全服務目錄與OpenStack平臺實現無縫融合,幫助用戶構建更全面的云服務菜單;高性能、高可靠、多功能的融合安全網關作為政務云“安全核心”,簡化政務云安全架構,保障政務云核心網絡穩定性;豐富的NFV組件構建快速擴展、靈活調配的安全資源池,滿足業務快速上云,安全業務高效隨行的需求。

03政務云服務方安全能力要求提升

等保體系并不強制要求保護對象滿足所有要求,傳統等保60分即達到基本符合,但在等保2.0中測評達到75分以上才算基本符合,這意味著等保對象的“及格線”拔高,對建設單位的網絡安全能力提出更高要求。對于政務云而言,特別是部分已經通過等保測評但整體分數偏低的政務云,需要進一步強化安全建設。根據我們豐富的政務云安全實踐經驗,建議用戶在租戶安全資源池、安全監測能力、數據安全能力、安全管理中心等維度多做考慮,這些建設點是過去被動安全防護理念中容易被忽視的點。

政務云安全的建設要以國家網絡安全法為指導,以網絡安全等級保護技術標準為基礎,以政務行業網絡安全技術標準為參考,滿足自身安全防護所需,符合公安部、網信辦等監管部門審查要求。等級保護2.0的到來,為政務云安全建設提出更高的要求,防御理念由被動轉變為主動,防御手段融合了更多新興技術,如態勢感知、可信計算,此外從安全管理上也提出了更多的要求,政務云需構建完備的安全管理體系,“機構”、“制度”和“人員”三要素全面提升,缺一不可,同時還應對政務云建設整改過程、運行維護過程的重要活動實施控制和管理。

Copyright ? 2020-2021 信息安全等級保護資訊網 All Rights Reserved. 備案號碼:皖ICP備19012162號-3
本站文章內容部分來源于網絡轉載,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表本站立場,轉載目的在于傳遞更多信息。如有侵權,請聯系刪除。
色婷婷亚洲婷婷五月小说专区