云上企业如何过等保—陆陆科技
云上与云下企业过等保的区别
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。《网络安全法》出台后,网络安全等级保护制度上升到了法律层面,不做等保就“等于”违法早已深入人心。等保2.0标准从2019年12月1日正式实施,并且已出现违法等保导致的被处罚的案例。
网络安全法规定“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则及其他相关规定,前提是云平台通过等保级别不低于用户系统级别,否则影响云上用户的信息系统等级保护定级备案。因此只要云平台通过等保测评,传统环境中的物理安全、网络安全、虚拟层安全等基础安全防护要求,云上用户投入可以因为云平台的能力而大幅下降,关注点可以更加聚焦在业务和系统的防护要求。
云上企业如何过等保
云上企业要通过等保2.0测评,前提是云平台通过等保级别不低于用户系统级别,企业只需要对自身云上系统和业务做合规测评即可。所以云平台通过测评是云上企业满足等保合规要求的前提条件。以阿里云用户为例来说,阿里云的公共云、专有云、行业云均通过了等级保护三级及以上测评备案,云上企业只需要对业务系统做合规测评。
不同服务模式下等保技术测评要求
企业使用的云服务类别(IaaS、PaaS和SaaS服务模式)不同,等保2.0所要求的技术测评项目也有所不同。用户自建云平台或IDC环境中,基础安全防护需由用户自身承担相应的安全能力建设。在云计算环境中,用户无需关注物理、网络、通信等基础安全防护,只需要关注云服务类别下的安全防护能力,以下是在阿里云不同云服务类别下用户所要承担的技术要求:
从上可以看出,在云平台通过等保2.0测评的前提下,企业上云的程度越深,自身所需要进行测评项数量就越少,当然所需要投入的成本就会更低,让企业拥有高等级安全能力同时,可以有更多精力聚焦在自身业务发展上。
如果是IaaS用户,只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标,不需关注物理机房环境和云平台网络等内容,测评条款数约是自建云平台的62.4%。
如果是PaaS用户则需要测评内容更少,只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标,测评范围是自建云平台的36.8%。
对于SaaS用户来说,只需要关注涉及应用安全配置以及业务数据保护的45项技术指标,需要投入的人力和经费成本也最少。