html模版《網絡安全法》和雲等保框架下 企業如何為安全掌舵?
還有兩個月時間,《中華人民共和國網絡安全法》就要正式實施。《網絡安全法》首先對 網絡(Cyber) 進行瞭重新定義,是指 由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統 ,而 網絡安全(Cyber Security) ,是指 通過采取必要措施,防范對網絡的攻擊、侵入、幹擾、破壞和非法使用以及意外事故,使網絡處於穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力 。

從宏觀的層面來講,這意味著網絡安全同國土、經濟安全等一樣成為國傢安全的一個重要組成部分;從小的方面來講,意味著網絡運營者(指網絡的所有者、管理者和網絡服務提供者)需要擔負起履行網絡安全的責任。談到法律,我們常說到一個詞, 有法可依 ,《網絡安全法》的實施意味著那些涉及到網絡的運營主體如果對安全不重視甚至出現影響較大的事故,將會受到法律的處罰。

為什麼強調 處罰 這個詞?因為隨著過去二十年中國信息技術及互聯網的發展,就以個人信息泄露舉例,大規模的個人隱私數據泄露導致的經濟損失和社會影響越來越大,但往往這樣的事情發生瞭就過去瞭,責任方似乎不痛不癢。《網絡安全法》的落地就是對這樣的事情說 不 ,安全事故一旦發生,相關責任主體不再是 事不關己高高掛起 ,而是要受到法律的懲治,進而降低甚至避免安全事故的發生。

所以,無論對於信息技術服務商還是網絡運營的企事業單位來說,需要加強安全管理與防范,發現系統內部存在的安全隱患和不足,從而滿足國傢法律法規的要求。更重要的是,通過提高信息系統的安全防護水平是對用戶、社會的一種責任,尤其對於市場企業來說,重視安全也是增強市場競爭力的關鍵。

有必要強調的是,《網絡安全法》不隻是對 事後 的處罰,更是將預防安全風險提高到至關重要的地位。在法律層面如何規范安全預防?等級保護制度就是其重要的衡量指標。《網絡安全法》第二十一條明確規定, 國傢實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改 。

企業該如何滿足《網絡安全法》和等保要求,在談這個話題前,我們再來用現實案例說明它對我們身邊一些熟悉的行業帶來的影響。

《網絡安全法》和等保對行業影響

就在前幾日,3月16日下午,各省市公安部門組織收聽收看全國2017年網絡安全信息通報暨公安機關網絡安全執法檢查工作電視電話會議。

據瞭解,此次執法檢查自今年3月至9月在全國各地開展,為期6個月,以黨政機關、重要行業、國有企事業單位、大型信息技術和互聯網企業為重點保衛目標,將采取自查自評、技術檢測、現場檢查、跟蹤督辦、復合檢測相結合的方式,全面梳理摸排國傢關鍵信息基礎設施,檢測排查並督促整改網絡安全重大漏洞隱患、風險和突出問題,加大行政執法力度,保障各地網絡安全。

此處除瞭針對國傢關鍵基礎設施、涉及國傢安全與社會民生行業的重點檢查,還包括針對一些新興行業在安全法和等保框架下同樣沒有例外。隨著一些新興互聯網業務的興起並越來越普及,相關的監管部門開始意識到需要在業務監管過程中加強網絡安全的監管。其中最為典型的是網貸、網約車和直播三大行業,在各自的行業監管要求中都特別強調瞭等級保護的要求。

首先以網貸行業為例,2016年8月17日,中國銀監會、工業和信息化部、公安部、國傢互聯網信息辦公室聯合制定並發佈瞭《網絡借貸信息中介機構業務活動管理暫行辦法》。其中第十八條規定: 網絡借貸信息中介機構應當按照國傢網絡安全相關規定和國傢信息安全等級保護制度的要求,開展信息系統定級備案和等級測試 。2017年3月,網傳北京監管部門對北京多傢網貸平臺進行瞭檢查,並下發《網絡借貸信息中介機構事實認定及整改要求》,其中一條就是 未開展信息系統定級備案和等級測試 。

再來看網約車行業,2016年7月,交通運輸部制定瞭《網絡預約出租汽車經營服務管理暫行辦法》,並定於11月1日正式執行,文件中要求網約車平臺提供 依法建立並落實網絡安全管理制度和安全保護技術措施的證明材料 ; 11月3日,交通運輸部聯合其他5個部委出臺瞭《關於網絡預約出租汽車經營者申請線上服務能力認定工作流程的通知》,要求申請從事網約車經營的,應向企業註冊地相應出租汽車行政主管部門提交線上服務能力材料,其中安全方面的具體內容包括: 網絡與信息系統安全等級保護定級報告、專傢評審意見、備案證明及測評報告 。

同樣在直播行業,2016年11月4日,國傢互聯網信息辦公室發佈《互聯網直播服務管理規定》,即日起執行。其中第七條要求 互聯網直播服務提供者應當落實主體責任,配備與服務規模相適應的專業人員,健全信息審核、信息安全管理、值班巡查、應急處置、技術保障等制度 。

在此隻是列舉這三大行業為代表的互聯網新興業務,其實等保的適用范圍包括境內的所有計算機系統,換句話說沒有哪個行業能逃避責任和監管。所以,等級保護該做嗎?面對這個問題,答案無疑是肯定的。企事業單位要做得是從系統定級、系統備案、等保測評、建設整改等開展一系列工作。

但是廣大新興互聯網行業從業者對等級保護要求是非常陌生的,大多數中小平臺也處於業務高速發展的過程中,安全建設相對較為滯後,也難以滿足等級保護的要求。這時候該怎麼辦?也許又有人出瞭 點子 ,因為新興的行業或中小平臺大多也是采用的新興信息服務,比如雲。 那等保同樣交給雲服務商吧! 實則不然,即使采用瞭雲,這個責任也不可能甩出去。

根據等保 誰主管誰負責、誰運營誰負責、誰使用誰負責 的原則,依據GB/T31167-2014《信息安全技術 雲計算服務安全管理指南》中的責任分擔模型,隻要這個業務應用系統不是由雲服務商直接提供的,雲上用戶都需要對這個應用系統負責,對這個系統和數據的安全負責。阿裡雲構建的 等保合規生態 可以為雲上租戶落實國傢網絡安全等級保護制度提供一站式服務。

雲端的等保測評

以中國最大雲服務商阿裡雲為例,2016年10月14日,阿裡雲宣佈完成公安部組織的等級保護標準和雲計算等級保護新標準試點示范工作,成為全國首傢通過國傢級權威測評的雲計算服務商。其中公共雲平臺、電子政務雲平臺、大數據平臺等五大系統通過等級保護三級備案、測評,金融雲平臺通過等級保護四級的備案、測評。

不過,雖然阿裡雲通過瞭等級保護測評,並不代表雲上租戶的系統滿足等保的要求。雲租戶側的等級保護對象也應作為單獨的定級對象定級,在最新GB/T31167-2014《信息安全技術 雲計算服務安全管理指南》和GB/T22239.2《網絡安全等級保護基本要求 第二部分:雲計算安全擴展要求》中明確瞭不同服務模式下雲服務方和雲租戶的安全管理責任主體,文末可參考以IaaS模式為例,雲服務方與雲租戶的責任劃分。

那麼,企業如果將系統部署在雲上,如何才能快速完成雲上系統的等保合規?在此方面,阿裡雲的做法值得稱贊,為瞭解決阿裡雲上系統能夠快速滿足等保合規的需求,阿裡雲通過建立 等保合規生態 ,聯合阿裡雲的安全咨詢合作機構、各地測評機構和監管部門,提供一站式、全流程的等保合規解決方案。在 等保合規生態 中,阿裡雲提供雲安全產品和服務,咨詢廠商提供全流程技術支撐和咨詢服務,測評機構提供測評服務,公安機關負責備案審核和監督檢查。

阿裡雲 等保合規生態 方案

阿裡雲建立等保合規生態的目的,可以希望幫助用戶迅速找到等保相關的各方機構,並快速進行項目實施。在等保實施每個階段,由咨詢廠商、阿裡雲協助運營單位完成相關工作,最後接受測評機構的測評,同時接受公安機關的監管。

所以,即使實施等保測評並不是一件簡單的工作,對於很多新興行業也面臨經驗不足,但是如果是雲的用戶,這項工作在例如阿裡雲等雲服務商的支持下,所有的等保合規工作並不難於去完成。難的是,在如今《網絡安全法》和等保框架下,企業要轉變過去對安全邊緣化的思路,從而重視安全並規避風險。

附IaaS模式下雲服務方與雲租戶的責任劃分

層面

安全要求

安全組件

責任主體

物理和環境安全

物理位置選擇

數據中心及物理設施

雲服務方

網絡和通信安全

網絡結構、訪問控制、遠程訪問、入侵防范、安全審計

物理網絡及附屬設備、虛擬網絡管理平臺

雲服務方

雲租戶虛擬網絡安全域

雲租戶

設備和計算安bose汽車喇叭車用喇叭推薦

身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護

物理網絡及附屬設備、虛擬網絡管理平臺、物理宿主機及附屬設備、虛擬機管理平臺、鏡像等

雲服務方

雲租戶虛擬網絡設備、虛擬安全設備、虛擬機等

雲租戶

應用outlander音響改裝和數據安全

安全審計、資源控制、接口安全、數據完整性、數據保密性、數據備份恢復

雲管理平臺(含運維和運營)、

鏡像、快照等

雲服務方

雲租戶應用系統及相關軟件組件、雲租戶應用系統配置、雲租戶業務相關數據等

雲租戶

安全管理機構和人員

授權和審批

授權和審批流程、文檔等

雲服務方

系統安全建設管理

安全方案設計、測試驗收、雲服務商選擇、供應鏈管理

雲計算平臺接口、安全措施、供應鏈管理流程、安全事件和重要變更信息

雲服務方

雲服務商選擇及管理流程

雲租戶

系統安全運維管理

監控和審計管理

監控和審計管理的相關流程、策略和數據

雲服務方、雲租戶



點擊查看阿裡雲等級保護安全合規方案:http://click.aliyun.com/m/11851/

A786D2DF914F98DE
, , , ,
創作者介紹

天痕的日常生活

ttgda5jh3f 發表在 痞客邦 PIXNET 留言(0) 人氣()