等保2.0正式实施,阿里云发布全国首个《阿里公共云用户等保2.0合规能力白皮书》
《网络安全法》出台后,网络安全等级保护制度上升到了法律层面,不做等保就“等于”违法早已深入人心。等保2.0最大的特点就是从原有传统系统基础上延伸到了云计算、移动互联、物联网和大数据等新兴领域,因此云上用户从12月1日正式迎来云等保大考验。
那么,问题来了,等保条款那么多,用户在云上看不见摸不着,对物联网要求又一头雾水,该测什么?能测什么?等保物联网扩展要求怎么做才能合规?用户到底该关注哪些内容呢?在做等保过程中,云服务商到底能帮助用户做什么呢?
面对大量的上述咨询和疑惑,阿里云发布了全国首个《阿里公共云用户等保2.0合规能力白皮书》,针对等保通用安全要求、云技术及物联网扩展要求一一解答。
(一)择“优”云服务商才能得优
按照等保2.0定级指南要求,明确指出云上用户应用系统和云服务商云计算部分、物联网部分要分别作为单独的定级对象。同时,等保2.0测评要求又有了更新变化,测评结论从原有等保1.0时代的“符合、基本符合、不符合”变成现在的“优、良、中、差”,低于70分就是差,70分以上才算基本符合要求,因此及格分数调高了,测评要求也更严格了。
同时,对于用户来说想要拿到“优”,必须同时满足以下三个条件:(1)选择的云平台等级测评结论为优;(2)业务应用系统存在的问题中无中、高风险项;(3)得分高于90分(含90分)。也就是说,用户的等保测评结论与云平台绑定,只有选择测评结论为“优”的云平台,用户才有可能拿到“优”。
作为云等保2.0时代的先行者和践行者,阿里云继2016年成为全国唯一一家云计算等保新标准试点示范单位后,又再一次成为全国首家以高分通过权威机构等保2.0测评的云服务商,为云上用户拿“优”奠定了良好基础。
(二)公共云上比云下等保测评更轻松
除了选择优质的云平台,如果用户想要拿到较好的测评结论,还需要关注哪些点呢?白皮书中明确指出云上用户等保测评范围和使用的云服务模式紧密相关。
白皮书一方面根据IaaS、PaaS和SaaS服务模式对阿里云全系云产品进行了分类,让用户能够快速定位到自己使用的云产品到底属于哪种服务模式;另一方面明确了三种服务模式下云上用户适用的等保2.0标准中的技术条款,让用户提前准备需要关注的测评指标和范围。
图1 不同服务模式下的云上用户等保2.0技术测评项数量
从图1不同服务模式下的云上用户等保2.0技术测评项可以看出,如果用户是自建云平台或传统IDC托管,那么等保中的所有技术条款都要进行测评。如果是IaaS用户,只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标,不需关注物理机房环境和云平台网络等内容,测评条款数约是自建云平台的62.4%。如果是PaaS用户则需要测评内容更少,只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标,测评范围是自建云平台的36.8%。对于SaaS用户来说,只需要关注涉及应用安全配置以及业务数据保护的45项技术指标,需要投入的人力和经费成本也最少。
综合来讲,云时代因服务模式不同带来的云上用户合规责任的变化,使得公共云用户比自建云平台或传统IDC用户在等保2.0中投入的合规成本大幅降低,并且在PaaS和SaaS服务模式下优势更为突出,可以让用户将更多精力聚焦自身的业务应用系统和数据安全保护上。
(三)物联网扩展要求其实不难
根据等保2.0物联网扩展要求,物联网场景用户需关注包括感知节点设备物理防护、接入控制、入侵防范、感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理及感知节点管理这8大要求,对应有20条测评项。
白皮书根据这8大要求,通过阿里云IoT安全产品进行了合规性阐述,让用户能够通过阿里云快速定位到更安全、更便捷、更轻量的安全产品。
不论用户是自建物联网平台或使用阿里云物联网平台,用户只需要关注涉及设备物理防护及感知节点管理相关的7条技术指标。
作为物联网领域的先驱者,阿里云具备全面的物联网安全基础设施能力,包括具有自主知识产权的物联网可信执行环境、设备身份认证、可信服务管理,并结合阿里云大数据强大的安全情报、风险检测和分析能力及人工智能构建物联网安全运营中心,为用户提供设备全生命周期安全管理服务,为用户通过物联网扩展要求奠定了坚实的基础。
(四)阿里云助力云上用户通过等保2.0考验
白皮书依照云计算等保2.0合规能力技术体系,结合阿里云安全技术和管理优势,详细阐述了用户等保合规体系,需要依赖云平台安全、云产品安全、云安全产品以及只能由用户自建的四项安全能力。
其中,云平台安全能力由阿里云自行承担,用户无需关注;云产品安全能力则是利用云计算优势云平台自带的原生安全能力以及云产品默认的安全属性,用户只需负责安全配置;云安全产品能力是基于阿里巴巴集团多年的安全实践以及云平台常态化的攻防实践,为云上用户提供专业的安全产品和服务。
图2 阿里云IaaS服务模式下用户等保2.0安全能力组成
白皮书从最典型的IaaS服务模式场景出发,通过上述四项安全能力,为用户提供了最佳安全合规实践指引。从图2可以看出,用户在依赖云平台安全能力基础之上,利用云原生安全优势和产品默认安全属性,直接实现66项(占79.1%)技术控制点安全能力。同时,如果用户还可以选择配套的阿里云安全产品,实现55项(占65.1%)技术控制点安全能力,我们也面向不同需求用户提供了等保2.0安全套餐,为用户顺利通过等保2.0保驾护航。
等保2.0已正式实施,云等保作为等保2.0时代的重要创新,用户需要了解云上等保与传统云下等保的区别,也要充分利用云计算、物联网服务模式带来的技术优势,更好的复用云基础设施的合规能力,让自己更聚焦于自身的业务应用系统和数据安全保护。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
阿里云与MongoDB达成战略合作
作者:邹大斌 【原创】 2019-11-29 16:31:58 11月26日,开源数据库厂商MongoDB与阿里云共同宣布达成战略合作。作为合作的第一步,最新版MongoDB 4.2数据库产品正式上线阿里云平台,阿里云目前成为全球唯一可提供最新版MongoDB服务的云厂商,双方合作打通了企业在云上使用最新版开源数据库的通道。 2018年年末,因不满云计算厂商光使用不付钱,MongoDB采用了新的开源授权模式,从AGPLv3变更为服务器端公用授权SSPL。SSPL 明确要求托管 MongoDB 实例的云计算公司要么获取商业许可证要么向社区开源其服务代码。授权模式的变更看起来对云服务商不利,但这件事反而成了MongoDB与阿里云深化合作的一个契机。 11月26日,开源数据库厂商MongoDB与阿里云共同宣布达成战略合作。作为合作的第一步,最新版MongoDB 4.2数据库产品正式上线阿里云平台,阿里云目前成为全球唯一可提供最新版MongoDB服务的云厂商,双方合作打通了企业在云上使用最新版开源数据库的通道。 阿里巴巴集团副总裁、阿里云智能数据库事业部总经理李飞飞在发布会上表示,MongoD...
- 下一篇
4个备受争议的物联网和人工智能军事应用
军方一直是物联网的早期采用者,并一直在投资以扩展其物联网和人工智能项目。这里有4个有争议的物联网和人工智能军事应用。 图片来源:https://pixabay.com/images/id-4358343/ 编译:iothome 您是否一直在关注备受争议的谷歌“Project Maven”?如果没有,我们将在稍后重述。但是,让我们先从关键要点开始:人工智能(AI)和物联网(IoT)无疑具有军事应用,但这些应用将极具争议。 事情是这样的,在2017年,美国五角大楼公布了Maven计划。据TechSpot报道,它的任务是在对抗ISIS的战斗中部署人工智能、大数据和机器学习,其目的是筛选并分析数千小时的无人机监控录像。 谷歌今年早些时候签署协议,向五角大楼提供分析录像的机器学习算法。尽管谷歌保证这些工具只会用于非攻击性目的,但谷歌的员工还是非常愤怒,一些员工签署了请愿书,还有一些员工提出了辞职。今年6月,谷歌宣布将不再续签明年到期的协议。 英国《金融时报》指出,这涉及多个项目,这一决定可能会改变该公司在国防承包领域的发展轨迹,因为谷歌认为这笔交易是“赢得更多军事合同的敲门砖”。 彭博社报道,创...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装Docker,最新的服务器搭配容器使用
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- 设置Eclipse缩进为4个空格,增强代码规范
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能