基本要求的一个突出变化是由安全要求改进为通用要求和扩展要求,新增加对云计算、移动互联、工业控制系统、物联网新技术应用的适用场景(大数据方面以附录形式提出)。通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等级实现相应级别的通用要求,而扩展要求针对个性化保护需求提出,需要根据特定技术或特定的应用场景选择性实现扩展要求。如图10所示。
公安部信息安全等级保护评估中心副研究员马力表示,这意味着单位在实施等保工作时,通用要求是必须要做的,而扩展要求要根据实际应用场景来选择,例如单位的业务系统如果采用了云计算技术,在进行等保工作是就要在符合某级别通用要求的基础上,再进行对应的云计算扩展要求。
图10 安全通用要求与安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求,对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求,对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求,对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求,对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
很多云租户片面地认为安全防护应该由云服务商实现,只需把业务系统迁移至云端即可,但实际上云租户也是有安全责任的。
绿盟科技提醒,云服务商和云服务客户拥有不同控制范围,其安全责任边界不同,云服务商和云服务客户应根据各自安全责任,进行安全防护能力建设。
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
启明星辰建议,对于单位自建的云平台,将云平台作为基础设施,云客户业务系统作为信息系统,分别作为定级对象进行定级。对于大型云平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级。责任分离,分别定级,各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的等级。针对私有云用户,也要按照云平台和云业务系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的等级。
对于部署在公有云上的信息系统开展等级保护工作,应遵循如下原则:应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定;云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
公有云服务方侧的云平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级,云平台的等级要不低于云上租户的业务应用系统的最高级。
公有云开展等级保护一般分为两个部分:一是云平台本身,等保2.0中明确提出对于公有云定级流程为云平台先定级测评,再提供云服务。二是云租户信息系统,比如某政府单位门户网站系统,在嵌入公有云平台后,还需对该门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不同云计算服务模式需要采取不同职责划分方式:对于IaaS服务模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据;对于PaaS服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据;对于SaaS服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
等保2.0时代已经到来,等保合规工作值得每一个组织机构去学习和重视。事实上,由于当前复杂的网络安全形势,合规早已不是也决不能是组织机构的最低要求,更多还要考虑其本身的网络安全需要,从自身出发做好网络安全保障工作,这样才能确保企业能够积极应对新时期的各种网络威胁与挑战。