又是一年高考季,大家在祝福考生的同时,也热衷于吃瓜看戏,讨论考题考点。众所周知,高考战场上既有用于拉开差距的拉分题,也有普惠众生的送分题。高考一年一次,而各位信息主管和安全负责人,则在无时不刻地面对着等保大考。这场永不落幕的大考中,你能分清哪些是送分题,哪些,是送命题吗?
在“十四五规划”的开局年之际,等保大考不仅影响着我国数字产业相关信息技术领域的发展程度,还直接关系到企业自身的网络安全。
在国家层面上,也通过《网络安全法》作为法律依据,明确了企业不做等保的行为就是违法。但是由于不同地区不同企业对等级保护制度的认知程度不同,应对的积极性也不同。于是,企业因网站防护薄弱,相关信息系统网站遭到篡改并发布有害信息等社会新闻屡见不鲜。因为企业网络安全防护不到位所带来的信息泄露、勒索或者系统停用也会给社会和相关用户造成不良影响。此外,企业自身的品牌形象不仅受到损害,还需承担相应执法机关做出的金额罚款。
哪怕同类社会新闻层出不穷,很多企业在享受上云带来的各种便利的同时,依旧没能意识到实施等级保护在自身企业形象、社会及法律层面的重要性,而且还对云等保存在理解误区:
误区一:我的系统已经上云了,系统就不用去定级了
误区二:我是云租户,云平台的等级跟我没关系
误区三:上云,全部安全就由云服务商负责
对于想顺利通过(云)等保大考,完善自身云上系统安全监测及防护能力的企业而言,这几个问题就是“关键考点”,处理不好,就是“散财题”。仔细分析这几个问题的话,会发现,其实这几个问题涉及到(云)等保是什么、(云)等保怎么做。
一、云等保是什么?
云等保不是新鲜事物,而是在安全通用基本要求的基础上新增了云等保拓展要求。云等保对比传统等保而言,定级、备案、建设整改、测评、监督检查等环节都必不可少,云等保总体分为两个部分,技术要求及管理要求。除了物理和环境安全,还有云平台的基础框架安全建设,就是网络和通信安全中的一部分,都是不需要云租户自己建设的,而其它技术要求则需要通过云上安全服务产品进行满足。
在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。同时云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。
在明确完被测系统是云计算平台还是业务应用系统后,再看上面几个问题就能有正确的认知与回答:
1、我的系统已经上云了,系统就不用去定级了?
不行,要分开定级,新的定级指南里明确说明,云计算平台和云上的租户应用系统要分开定级。
我是云租户,云平台的等级跟我没关系
不对,云平台的等级要不低于云上租户的业务应用系统的最高级。且明确规定“国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级”。
3、上云,全部安全就由云服务商负责
不对,云计算环境的安全性由云服务商和租户共同保障。
云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象和控制层都处于云服务商的完全控制下,所有安全责任由云服务商承担。应用软件层、软件平台层、虚拟化计算资源层的安全责任则由双方共同承担,越靠近底层的云计算服务(即IaaS),云服务商的管理和安全责任越大;反之,云租户的管理和安全责任越大。
二、云等保怎么做?
基于云等保2.0安全合规的第三方中立安全托管服务方案
基于目前企业上云以及业务互联网化后所面临的的云上安全隐患以及云等保2.0 合规问题,安全狗提出第三方中立云等保2.0安全合规解决方案,全面适配各类公有云、私有云及跨云场景等保合规需求,一方面提升云上安全检测防护能力,另一方面围绕云等保合规要求所涉及的网络和通信安全、设备和计算安全、应用和数据安全各层面条款,提供相应的安全防护服务支撑。
一个中心:云安全管理平台(安全管理中心)
提供两种管理视角,云计算平台安全管理视角和云上业务应用系统安全管理视角,分别从不同的维度对整个云计算环境做安全管控。
提供日志监控、告警中心、策略管理、安全防护、数据分析、状态监控等功能,满足安全管理中心标准中对安全集中管控的要求。
提供等级保护套餐服务,用户可以一键获取满足等级保护二级和等级保护三级所需的安全能力,帮助用户轻松过等保。
三重防护:纵深防御安全体系、安全资源池(通信网络安全、区域边界安全、计算环境安全)
以SECaaS(Security as a Service)安全即服务为核心,通过对各类安全资源的管理、调度、编排,将安全产品的能力抽象汇聚到弹性的安全资源池,将安全能力资源池化、服务化、运营化,使安全能力全面适配各类云平台云环境,对云环境所面临的各类安全风险进行持续的管理和评估,为安全运维运营能力薄弱的用户提供一站式的云安全产品与服务。
全方位构建事前预防、事中响应、事后审计的闭环安全保障体系,各安全组件防护相互联动,策略自动调优,帮助用户落实云等保2.0的安全防护价值。
三、安全狗等保方案为何能助力过保?
安全狗云等保解决方案具有多重优势,可帮助用户轻松过等保。
安全责任边界清晰:安全管理平台提供不同的视角,分配不同的权限,全面实现对云计算环境的安全管理,云服务商与云服务客户权限隔离,明晰各自的安全责任边界。
一站式云安全托管服务解决方案:安全资源池安全能力完备,可满足用户不同维度的安全需求,构成检测、监测、响应、审计的全过程、立体化全防护体系。
提供等级保护套餐服务:根据等级保护标准的不同要求,为用户提供等级保护二级套餐和等级保护三级套餐,帮助用户轻松过等保。
安全可视化:通过统一的可视化的管理平台,帮助用户快速掌握安全动态数据,提升安全管理效率。
当云等保解决方案能方方面面地符合企业管理层的过保要求后,考验灵魂的问题来了!预算!预算!预算!
这不,临近,安全狗也借着自身云磐升级之际,悄咪咪地搞波活动:
特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。