【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
服务创造价值、存在造就未来
政府单位
行业等保 您的位置:首页>行业等保>政府单位 >
等保2.0时代政务云安全建设
等保2.0时代政务云安全建设
2019年5月13日等级保护2.0三个国家标准正式发布,分别是《基本要求》、《设计技术要求》、《测评要求》。等保2.0实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖;对于使用新技术的等保对象需要同时满足“通用要求+安全扩展”的要求,均包含技术部分+管理部分。
简介 ∨

1611636282211609.png

2019年5月13日等级保护2.0三个国家标准正式发布,分别是《基本要求》、《设计技术要求》、《测评要求》。等保2.0实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖;对于使用新技术的等保对象需要同时满足“通用要求+安全扩展”的要求,均包含技术部分+管理部分。等级保护2.0是网络安全的一次重大升级,是国家推进网络安全工作最重要的落地动作之一。

政务云不仅仅是等级保护对象,也是关键信息基础设施,网络安全建设成为重中之重,不仅为政务云自身安全负责,也要为承载的各政府单位信息化业务保驾护航。本次等保2.0发布,对政务云安全建设规范影响巨大。我们拥有丰富的政务云行业技术积累和行业洞察力,在标准颁布之前就联合国家信息中心一同发布《政务云网络安全合规性指引》、《政务云网络安全合规性技术实施指南》,并以安徽省政务云为试点,以等保2.0要求为测评标准,完成三级测评,为全国各政务云安全提供建设参考。

那么我们来看下,等保2.0下的政务云安全建设有哪些关注要点?

01云服务方与云服务客户责任划分清晰明确

等保2.0下云计算平台需自身先通过等保测评,且云平台不得承载高于其保护等级的业务应用系统。比如某省政务云平台定级为三级,可以承载二级或者三级业务,但不可以承载四级业务。此外,云服务方(政务云建设单位)和云服务客户(政务云使用单位)之间有了更加清晰的安全责任边界,根据政务云提供的服务类型和级别(IaaS/PaaS/SaaS),划分安全责任范围。

等级保护2.0对整个要求项体系做了一定改变,整体理念保持“一个中心三重防护”不变,具体分类发生变化,其中最显著的变化是技术要求中增加安全管理中心,二级及二级以上系统必须建设安全管理中心,这也是加强主动安全防御体系建设的重要体现。信息安全一直践行“主动安全”,形成全栈-意图-使能核心技术理念,为政务云打造以网络安全态势感知、安全云为核心的安全管理中心,帮助用户实现政务云安全的全面可管、可控、快速响应。

相比等保1.0,等保2.0安全通用的要求项整体减少,等保三级由290项变为211项,删除失效要求项、对部分要求项进行合理化修改、新增部分要求项。云计算安全扩展要求章节针对于云计算的特点提出特殊保护要求,等保三级增加46项云安全扩展要求。政务云平台属于关键信息基础设施范畴,其定级不低于三级,也就是政务云平台等保至少需要参考211项通用要求+46项云扩展要求。此外,部分政务云的建设可能已经涉及大数据,未来也将有可能涉及物联网,对应参考等保2.0中相应要求。

我们不仅具备领先的安全技术理念,也具备丰富的政务云安全实践经验和技术创新能力。我们承建了14个部委级、20个省级、300+地市级政务云,积累了丰富的实践经验和技术特色。例如,SDN对云网安资源的统一资源调配、策略管控,帮助用户降低安全运维难度、加快运维效率;20+种安全服务目录与OpenStack平台实现无缝融合,帮助用户构建更全面的云服务菜单;高性能、高可靠、多功能的融合安全网关作为政务云“安全核心”,简化政务云安全架构,保障政务云核心网络稳定性;丰富的NFV组件构建快速扩展、灵活调配的安全资源池,满足业务快速上云,安全业务高效随行的需求。

03政务云服务方安全能力要求提升

等保体系并不强制要求保护对象满足所有要求,传统等保60分即达到基本符合,但在等保2.0中测评达到75分以上才算基本符合,这意味着等保对象的“及格线”拔高,对建设单位的网络安全能力提出更高要求。对于政务云而言,特别是部分已经通过等保测评但整体分数偏低的政务云,需要进一步强化安全建设。根据我们丰富的政务云安全实践经验,建议用户在租户安全资源池、安全监测能力、数据安全能力、安全管理中心等维度多做考虑,这些建设点是过去被动安全防护理念中容易被忽视的点。

政务云安全的建设要以国家网络安全法为指导,以网络安全等级保护技术标准为基础,以政务行业网络安全技术标准为参考,满足自身安全防护所需,符合公安部、网信办等监管部门审查要求。等级保护2.0的到来,为政务云安全建设提出更高的要求,防御理念由被动转变为主动,防御手段融合了更多新兴技术,如态势感知、可信计算,此外从安全管理上也提出了更多的要求,政务云需构建完备的安全管理体系,“机构”、“制度”和“人员”三要素全面提升,缺一不可,同时还应对政务云建设整改过程、运行维护过程的重要活动实施控制和管理。

Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。