郭濤

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策、基本制度和基本方法。

面對(duì)信息技術(shù)的快速發(fā)展與網(wǎng)絡(luò)安全形勢(shì)的不斷變化，等保2.0在1.0的基礎(chǔ)上出臺(tái)，注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，強(qiáng)化“一個(gè)中心，三重防護(hù)”的安全保護(hù)體系。

如何群策群力，加速等保2.0落地？

如何保障云平臺(tái)與云上租戶(hù)的安全？

等保2.0對(duì)災(zāi)備又有哪些新要求？

來(lái)，讓我們梳理開(kāi)啟等保2.0新時(shí)代。

等保2.0，一個(gè)全新的網(wǎng)絡(luò)安全時(shí)代的開(kāi)始！

2019年5月13日，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0（以下簡(jiǎn)稱(chēng)等保2.0）標(biāo)準(zhǔn)正式發(fā)布，并將于2019年12月1日開(kāi)始實(shí)施。

等保2.0的發(fā)布標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作進(jìn)入一個(gè)嶄新的階段，對(duì)于加強(qiáng)我國(guó)網(wǎng)絡(luò)安全保障工作，提升網(wǎng)絡(luò)安全保護(hù)能力具有十分重要的意義。

開(kāi)啟網(wǎng)絡(luò)安全新時(shí)代

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策、基本制度和基本方法。隨著信息技術(shù)的快速發(fā)展，以及網(wǎng)絡(luò)安全形勢(shì)的不斷變化，等保2.0在1.0的基礎(chǔ)上，注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，實(shí)現(xiàn)了對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象全覆蓋，以及除個(gè)人及家庭自建網(wǎng)絡(luò)之外的領(lǐng)域全覆蓋。

等保工作循序漸進(jìn)

過(guò)去這些年，我國(guó)的等級(jí)保護(hù)工作一直處在有序推進(jìn)中。在上個(gè)世紀(jì)80年代興起的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)研究的基礎(chǔ)上，1994年，國(guó)務(wù)院發(fā)布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》;1999年發(fā)布《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》強(qiáng)制性標(biāo)準(zhǔn);2003年，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》要求，“抓緊建立信息安全等級(jí)保護(hù)制度”。近年來(lái)，國(guó)家有關(guān)部委也曾多次聯(lián)合發(fā)文，明確要求國(guó)家重點(diǎn)工程必須通過(guò)信息安全等級(jí)保護(hù)的測(cè)評(píng)和驗(yàn)收。

經(jīng)過(guò)不斷的發(fā)展和完善，我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度具有科學(xué)性、創(chuàng)新性和前瞻性。以前的標(biāo)準(zhǔn)都是針對(duì)計(jì)算部件的保護(hù)，而我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度第一個(gè)提出信息系統(tǒng)安全保護(hù)，并且提出了五級(jí)保護(hù)的分類(lèi)方法，從業(yè)務(wù)信息和系統(tǒng)服務(wù)兩個(gè)維度來(lái)定級(jí)，率先實(shí)行定級(jí)（風(fēng)險(xiǎn)感知）、建設(shè)（防護(hù)）、測(cè)評(píng)（整改）、監(jiān)督檢查和應(yīng)急恢復(fù)的全過(guò)程防護(hù)。

此次等保2.0的發(fā)布不僅在網(wǎng)絡(luò)安全行業(yè)，甚至在整個(gè)社會(huì)都激起了強(qiáng)烈反響。等級(jí)保護(hù)工作為何如此重要？

首先，它是國(guó)家法律的要求。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中第二十一條明確規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

其次，國(guó)家相關(guān)機(jī)關(guān)對(duì)違反《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的行為、企業(yè)加大了執(zhí)法力度。有法可依、有法必依、執(zhí)法必嚴(yán)，在網(wǎng)絡(luò)安全領(lǐng)域正蔚然成風(fēng)。

再次，企業(yè)出于自身業(yè)務(wù)安全的考慮，應(yīng)按照國(guó)家等保標(biāo)準(zhǔn)建設(shè)網(wǎng)絡(luò)安全體系，不斷提高企業(yè)信息系統(tǒng)的信息安全防護(hù)能力，降低信息系統(tǒng)被攻擊的風(fēng)險(xiǎn)，滿足自身業(yè)務(wù)的健康發(fā)展。

最后，我們已經(jīng)步入云計(jì)算、大數(shù)據(jù)時(shí)代，新時(shí)代的應(yīng)用需求，以及技術(shù)的快速更迭，要求不斷擴(kuò)展保護(hù)對(duì)象的范圍，特別是對(duì)云計(jì)算平臺(tái)、物聯(lián)網(wǎng)等新興應(yīng)用和平臺(tái)的保護(hù)，亟須制定相關(guān)的法律和制度。

中國(guó)工程院院士沈昌祥指出，等保2.0標(biāo)準(zhǔn)具有以下三大特點(diǎn)：第一，基本要求、測(cè)評(píng)要求和技術(shù)要求框架統(tǒng)一，采用安全管理中心支持下的三重防護(hù)結(jié)構(gòu)框架;通用安全要求+新型應(yīng)用安全擴(kuò)展要求，將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等列入標(biāo)準(zhǔn)規(guī)范;第三，把基于可信根的可信驗(yàn)證列入各級(jí)別和各環(huán)節(jié)主要功能要求。

從1.0到2.0的變化

在1.0的基礎(chǔ)上，等保2.0借鑒國(guó)際先進(jìn)安全保護(hù)技術(shù)，創(chuàng)新性地提出安全保護(hù)通用要求，實(shí)現(xiàn)了對(duì)新技術(shù)、新應(yīng)用安全保護(hù)對(duì)象的全覆蓋和安全保護(hù)領(lǐng)域的全覆蓋。等保2.0由包括網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求、網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求和網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求3個(gè)核心標(biāo)準(zhǔn)在內(nèi)的多項(xiàng)標(biāo)準(zhǔn)構(gòu)成。等保2.0突出技術(shù)思維和立體防范，注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，進(jìn)一步強(qiáng)化了“一個(gè)中心，三重防護(hù)”的安全保護(hù)體系。

網(wǎng)絡(luò)安全要與時(shí)俱進(jìn)。等保2.0引領(lǐng)了網(wǎng)絡(luò)安全發(fā)展的新趨勢(shì)，強(qiáng)調(diào)“四個(gè)變化”——變被動(dòng)防護(hù)為主動(dòng)防護(hù)，變靜態(tài)防護(hù)為動(dòng)態(tài)防護(hù)，變單點(diǎn)防護(hù)為整體防控，變粗放防護(hù)為精準(zhǔn)防護(hù)，旨在建立“打防管控”一體化的網(wǎng)絡(luò)安全綜合防御體系，從而提升國(guó)家網(wǎng)絡(luò)安全的整體防御能力。

從等保1.0到等保2.0，有很多方面的變化，主要體現(xiàn)在：體系框架和保障思路的變化、定級(jí)對(duì)象的變化、測(cè)評(píng)的變化、等保要求的組合變化、控制點(diǎn)和要求項(xiàng)的變化。具體來(lái)看，將原標(biāo)準(zhǔn)中的“信息系統(tǒng)安全等級(jí)保護(hù)”改為“網(wǎng)絡(luò)安全等級(jí)保護(hù)”，與網(wǎng)絡(luò)安全法保持一致;保護(hù)對(duì)象由原來(lái)的“信息系統(tǒng)”改為“等級(jí)保護(hù)對(duì)象”;等保1.0中規(guī)定的安全要求在等保2.0中修改為安全通用要求和安全擴(kuò)展要求，增加了云計(jì)算、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等安全場(chǎng)景下的擴(kuò)展要求;另外還有在安全控制點(diǎn)方面的改進(jìn)，比如強(qiáng)化可信計(jì)算技術(shù)的使用等諸多改進(jìn)。

等保2.0分為以下五個(gè)安全保護(hù)等級(jí)。

第一級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)免受來(lái)自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在自身遭到損害后，能夠恢復(fù)部分功能。

第二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和處置安全事件，在自身遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。

第三級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能。

第四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復(fù)所有功能。

第五級(jí)安全保護(hù)能力：由于情況特殊不在等保系列標(biāo)準(zhǔn)中闡述。無(wú)論企業(yè)屬于哪種行業(yè)，無(wú)論企業(yè)規(guī)模大小，只要使用了有關(guān)的網(wǎng)絡(luò)和信息系統(tǒng)，無(wú)一例外都應(yīng)嚴(yán)格落實(shí)等級(jí)保護(hù)制度。企業(yè)可以通過(guò)定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)階段，滿足等保2.0的各項(xiàng)要求。

群策群力? 加速等保2.0落地

對(duì)于等保2.0標(biāo)準(zhǔn)的發(fā)布，各廠商反響熱烈，都積極行動(dòng)起來(lái)，投身到新安全技術(shù)和產(chǎn)品的研發(fā)中，全力做好網(wǎng)絡(luò)安全服務(wù)，幫助用戶(hù)建立可信、合規(guī)的網(wǎng)絡(luò)安全體系。

新華三集團(tuán)認(rèn)為，等保2.0的發(fā)布是對(duì)除傳統(tǒng)信息系統(tǒng)之外的新型網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力提升的有效補(bǔ)充，也是貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、實(shí)現(xiàn)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的重要基礎(chǔ)。未來(lái)，新華三將進(jìn)一步貫徹網(wǎng)絡(luò)安全等級(jí)保護(hù)工作精神，以豐富的經(jīng)驗(yàn)積累為基礎(chǔ)，以先進(jìn)的安全技術(shù)和強(qiáng)大的專(zhuān)家隊(duì)伍為保障，更高效、更合理地協(xié)助各行各業(yè)的用戶(hù)完成等級(jí)保護(hù)建設(shè)工作。

作為等保2.0標(biāo)準(zhǔn)的主要起草單位之一，華為能夠提供系統(tǒng)化的等保建設(shè)思路和完整的安全解決方案，涵蓋云數(shù)據(jù)中心安全、智慧園區(qū)安全、智慧城市安全、視頻云安全、工控系統(tǒng)安全等。華為云已經(jīng)通過(guò)了等保4級(jí)測(cè)評(píng)，還聯(lián)合公安部三所等有資質(zhì)的等保測(cè)評(píng)機(jī)構(gòu)推出了專(zhuān)業(yè)測(cè)評(píng)服務(wù)，指導(dǎo)客戶(hù)進(jìn)行安全服務(wù)的選型和部署。

華為是一家在芯片、軟件和硬件上都具備自研能力的網(wǎng)絡(luò)安全廠商，能夠?yàn)榭蛻?hù)提供自主可控的網(wǎng)絡(luò)安全解決方案。華為的第三代沙箱、威脅誘捕系統(tǒng)和安全威脅態(tài)勢(shì)感知平臺(tái)等安全系統(tǒng)，可以有效抵御高級(jí)威脅，可以滿足等保2.0的新增要求，協(xié)助客戶(hù)順利完成等保建設(shè)和測(cè)評(píng)。

對(duì)于云計(jì)算平臺(tái)的安全保護(hù)，各廠商都十分重視。360云安全整體解決方案已在國(guó)內(nèi)多個(gè)省市的政務(wù)云系統(tǒng)中成功落地，為滿足云等保測(cè)評(píng)提供了云主機(jī)安全和云內(nèi)網(wǎng)絡(luò)安全的技術(shù)支撐。360與眾多知名云計(jì)算廠商在云安全風(fēng)險(xiǎn)評(píng)估和云等保技術(shù)對(duì)標(biāo)方面展開(kāi)合作，依托自主研發(fā)的云安全管理平臺(tái)，同時(shí)結(jié)合多種領(lǐng)先的虛擬化安全技術(shù)，將傳統(tǒng)安全與虛擬化技術(shù)深度融合，可有效消除云計(jì)算帶來(lái)的安全風(fēng)險(xiǎn)，能夠滿足等保2.0對(duì)云計(jì)算安全的相關(guān)技術(shù)要求，為政企客戶(hù)的云安全提供整體解決方案。

對(duì)于單位自建的云平臺(tái)，啟明星辰建議，可以將云平臺(tái)作為基礎(chǔ)設(shè)施，云客戶(hù)業(yè)務(wù)系統(tǒng)作為信息系統(tǒng)，分別作為定級(jí)對(duì)象進(jìn)行定級(jí);對(duì)于大型云平臺(tái)，當(dāng)運(yùn)管平臺(tái)共用時(shí)，可將云計(jì)算基礎(chǔ)設(shè)施與運(yùn)管平臺(tái)系統(tǒng)分開(kāi)定級(jí)。云計(jì)算基礎(chǔ)設(shè)施的安全保護(hù)等級(jí)不能低于其所支撐的業(yè)務(wù)系統(tǒng)的等級(jí)。對(duì)于部署在公有云上的信息系統(tǒng)開(kāi)展等級(jí)保護(hù)工作，應(yīng)遵循如下原則：應(yīng)確保云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng);應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi);云計(jì)算平臺(tái)的運(yùn)維地點(diǎn)應(yīng)位于中國(guó)境內(nèi)，如需境外對(duì)境內(nèi)云計(jì)算平臺(tái)實(shí)施運(yùn)維操作應(yīng)遵循國(guó)家相關(guān)規(guī)定;云計(jì)算平臺(tái)運(yùn)維過(guò)程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、日志信息等存儲(chǔ)于中國(guó)境內(nèi)，如需出境應(yīng)遵循國(guó)家相關(guān)規(guī)定。

綠盟科技圍繞等保2.0推出了專(zhuān)業(yè)一體化的等保安全合規(guī)咨詢(xún)服務(wù)，比如信息系統(tǒng)安全合規(guī)咨詢(xún)、云計(jì)算安全合規(guī)咨詢(xún)、工業(yè)控制系統(tǒng)安全合規(guī)咨詢(xún)、物聯(lián)網(wǎng)安全合規(guī)咨詢(xún)、移動(dòng)互聯(lián)安全合規(guī)咨詢(xún)。

以工控領(lǐng)域?yàn)槔?，依?jù)等保2.0工業(yè)控制系統(tǒng)安全擴(kuò)展要求，基于工業(yè)控制系統(tǒng)的應(yīng)用環(huán)境和場(chǎng)景，并結(jié)合工業(yè)控制相關(guān)業(yè)務(wù)模型，綠盟科技工業(yè)控制系統(tǒng)安全合規(guī)咨詢(xún)服務(wù)可提供對(duì)工控系統(tǒng)進(jìn)行合規(guī)評(píng)估、資產(chǎn)安全評(píng)估、網(wǎng)絡(luò)異常行為審計(jì)、視頻監(jiān)控設(shè)備評(píng)估、主機(jī)惡意代碼評(píng)估等服務(wù)內(nèi)容，并協(xié)助對(duì)評(píng)估結(jié)果數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，可幫助用戶(hù)快速掌握合規(guī)現(xiàn)狀，定位工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

中國(guó)工程院院士沈昌祥歸納出等保2.0的時(shí)代特征：在法律支撐層面，我國(guó)的計(jì)算機(jī)系統(tǒng)等級(jí)保護(hù)條例提升為國(guó)家基礎(chǔ)性法律制度，即網(wǎng)絡(luò)安全法中的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;在科學(xué)技術(shù)層面，由分層被動(dòng)防護(hù)發(fā)展到科學(xué)安全框架下的主動(dòng)免疫安全可信防護(hù)體系;在工程應(yīng)用層面，由傳統(tǒng)的計(jì)算機(jī)信息系統(tǒng)防護(hù)轉(zhuǎn)向了新型計(jì)算環(huán)境下的網(wǎng)絡(luò)空間主動(dòng)防御體系建設(shè)。等保2.0時(shí)代，將重點(diǎn)對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)安全進(jìn)行全面安全防護(hù)，以確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全。沈昌祥表示，等級(jí)保護(hù)由1.0到2.0是從被動(dòng)防御變成主動(dòng)防御，應(yīng)進(jìn)一步夯實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)。

華為認(rèn)為，等保建設(shè)并非一蹴而就，而是一個(gè)長(zhǎng)久持續(xù)的過(guò)程，整網(wǎng)的系統(tǒng)化安全建設(shè)和持續(xù)的產(chǎn)品安全能力升級(jí)才是關(guān)鍵。

等保2.0的宣貫和推廣需要群策群力，眾人拾柴火焰高。對(duì)此，深信服深有體會(huì)。踐行等保2.0標(biāo)準(zhǔn)需要著重做好以下三方面工作：各機(jī)構(gòu)部門(mén)可以通過(guò)宣貫、培訓(xùn)等多種多樣的方式，幫助用戶(hù)深刻理解和應(yīng)用等保2.0;相關(guān)解決方案提供商可以通過(guò)自身產(chǎn)品和技術(shù)的創(chuàng)新、業(yè)務(wù)場(chǎng)景的適配，為用戶(hù)提供切實(shí)可行的等保2.0解決方案;監(jiān)管部門(mén)、評(píng)測(cè)機(jī)構(gòu)、安全廠商以及其他相關(guān)組織機(jī)構(gòu)應(yīng)通力協(xié)作，共同推動(dòng)等保2.0的落地。

云平臺(tái)與云上租戶(hù)的安全? 兩手抓兩手硬

等保2.0可以說(shuō)對(duì)保護(hù)對(duì)象進(jìn)行了最大程度的擴(kuò)展，重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要行業(yè)和部門(mén)的核心業(yè)務(wù)系統(tǒng)、工業(yè)控制系統(tǒng)，以及黨政機(jī)關(guān)、企事業(yè)單位、大型互聯(lián)網(wǎng)企業(yè)等的重要網(wǎng)站、大數(shù)據(jù)、云平臺(tái)、智能設(shè)備設(shè)施等全部進(jìn)入了等保2.0保護(hù)的范疇。所謂安全無(wú)邊界，安全無(wú)死角。

其中云平臺(tái)的保護(hù)是重中之重。曾幾何時(shí)，安全性是企業(yè)上云的最大障礙。隨著安全技術(shù)的不斷進(jìn)步，相關(guān)政策措施的不斷完善，特別是企業(yè)和消費(fèi)者安全管理和安全消費(fèi)意識(shí)的逐步提高，云安全有了更可靠的保障。

舉例來(lái)說(shuō)，國(guó)內(nèi)很多城市的政府部門(mén)都在積極建設(shè)本地的政務(wù)云平臺(tái)，由于各委辦局和街道的數(shù)十甚至數(shù)百個(gè)信息系統(tǒng)都運(yùn)行在政務(wù)云平臺(tái)上，政務(wù)云的安全性必須得到有效保障。政務(wù)云平臺(tái)除了要滿足云計(jì)算平臺(tái)通用的安全規(guī)定和要求以外，還應(yīng)滿足基礎(chǔ)設(shè)施位置、鏡像和快照保護(hù)、云服務(wù)商選擇、供應(yīng)鏈管理和云計(jì)算環(huán)境管理等方面對(duì)安全性、合規(guī)性方面的要求。因?yàn)橐粋€(gè)云平臺(tái)之上需要承載不同的定級(jí)對(duì)象和不同的責(zé)任方，所以云服務(wù)商在提供云平臺(tái)服務(wù)時(shí)不僅要保障云平臺(tái)自身的安全防護(hù)，更重要的是，還要保護(hù)云平臺(tái)之上所有租戶(hù)系統(tǒng)的安全。

對(duì)于等保2.0的變化，各云服務(wù)商都十分關(guān)注，積極參與相關(guān)嚴(yán)格的評(píng)測(cè)，也通過(guò)創(chuàng)新的安全解決方案保證云租戶(hù)的安全。

一個(gè)中心、三重防護(hù)

等保2.0更強(qiáng)調(diào)“一個(gè)中心、三重防護(hù)”的網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì)架構(gòu)。一個(gè)中心指的是安全管理中心，而三重防護(hù)指的是安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)”。許多云服務(wù)商就是基于“一個(gè)中心，三重防護(hù)”這一中心思想進(jìn)行的架構(gòu)設(shè)計(jì)。

如果沒(méi)有安全性的保障，阿里云的業(yè)務(wù)也不會(huì)有如此快速的成長(zhǎng)。云服務(wù)商的首要任務(wù)就是建立與用戶(hù)之間的“信任”，而這種信任很大一部分就來(lái)源于云服務(wù)商擁有的云平臺(tái)的安全、可靠、合規(guī)。2019年，阿里云專(zhuān)有云平臺(tái)通過(guò)了等保2.0四級(jí)（可交付的最高等級(jí)）測(cè)評(píng)，并聯(lián)合公安部信息安全等級(jí)保護(hù)評(píng)估中心發(fā)布了《阿里專(zhuān)有云等保合規(guī)白皮書(shū)》。2019年5月16日，阿里云“電子政務(wù)云平臺(tái)系統(tǒng)”通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)。

阿里云對(duì)安全和合規(guī)體系的建設(shè)一直十分重視。早在2013年，阿里云便獲得了全球首張?jiān)瓢踩珖?guó)際認(rèn)證金牌（CSA-STAR）;2015年，阿里承諾“絕對(duì)不碰客戶(hù)數(shù)據(jù)”;2018年，阿里云在全產(chǎn)品、全節(jié)點(diǎn)通過(guò)ISO認(rèn)證的同時(shí)，還拿下了云服務(wù)用戶(hù)數(shù)據(jù)保護(hù)能力的多項(xiàng)認(rèn)證;同樣是在2018年，阿里云從平臺(tái)、系統(tǒng)、產(chǎn)品、服務(wù)、合規(guī)、流程、政策等方面，全面按照GDPR的要求進(jìn)行數(shù)據(jù)保護(hù)與相關(guān)服務(wù)改進(jìn)，相關(guān)工作已準(zhǔn)備就緒，同年12月，阿里云獲得ISO/IEC 27017和ISO/IEC 27018兩項(xiàng)權(quán)威認(rèn)證。諸多權(quán)威認(rèn)證、資質(zhì)和測(cè)試表明，阿里云無(wú)論是在自身平臺(tái)和管理體系建設(shè)上，還是在保證客戶(hù)信息安全方面，都符合國(guó)內(nèi)外相關(guān)行業(yè)標(biāo)準(zhǔn)的要求，在安全、可信、合規(guī)等方面持續(xù)改進(jìn)。

云服務(wù)商對(duì)于安全的追求是永無(wú)止境的。除了進(jìn)行第三方合規(guī)認(rèn)證之外，阿里云還在數(shù)據(jù)安全機(jī)制、流程、技術(shù)等方面不斷創(chuàng)新。舉例來(lái)說(shuō)，阿里云建立了包含雙因素身份認(rèn)證、增強(qiáng)訪問(wèn)控制、內(nèi)部審計(jì)、第三方審計(jì)在內(nèi)的“四位一體”的數(shù)據(jù)安全機(jī)制流程，以及芯片級(jí)的SGX加密技術(shù)、用戶(hù)數(shù)據(jù)全鏈路加密方案，全方位確保用戶(hù)云上數(shù)據(jù)的安全。特別值得一提的是，阿里云將隱私設(shè)計(jì)（Privacy by Design）、安全性的理念，貫穿于自身系統(tǒng)和產(chǎn)品設(shè)計(jì)中，所有云產(chǎn)品上線之前必須通過(guò)“安全+隱私設(shè)計(jì)”雙重評(píng)估。

為消除企業(yè)上云時(shí)可能存在的對(duì)云服務(wù)安全的擔(dān)心，阿里云將人工智能、深度學(xué)習(xí)等先進(jìn)技術(shù)融入到其安全產(chǎn)品中，在基礎(chǔ)安全、數(shù)據(jù)安全、業(yè)務(wù)安全等方面為用戶(hù)提供完整的安全保護(hù)。

作為等保2.0國(guó)標(biāo)的深度參與單位，阿里云曾牽頭負(fù)責(zé)云擴(kuò)展部分的設(shè)計(jì)要求。阿里云安全防護(hù)遵循“一個(gè)中心，三重防護(hù)”的安全技術(shù)設(shè)計(jì)框架設(shè)計(jì)，采用統(tǒng)一的認(rèn)證、權(quán)限管理、審計(jì)管理、安全管理中心進(jìn)行云平臺(tái)的內(nèi)控和安全管理，并由專(zhuān)業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì)開(kāi)展運(yùn)營(yíng)，以確保云平臺(tái)基座的穩(wěn)固。

沒(méi)有安全合規(guī)??沒(méi)有企業(yè)“出?！?/p>

等保2.0的保護(hù)對(duì)象擴(kuò)展到了云計(jì)算、大數(shù)據(jù)等新興技術(shù)領(lǐng)域，意味著云平臺(tái)自身要按照等保2.0的最新要求加強(qiáng)安全與合規(guī)性的建設(shè)，滿足國(guó)家法律的要求。

騰訊云TStack也通過(guò)了公安部網(wǎng)絡(luò)安全等級(jí)保護(hù)四級(jí)資質(zhì)測(cè)評(píng)。這表明，騰訊云TStack具有穩(wěn)定、全面的安全性能，可為用戶(hù)提供高效可靠的云服務(wù)，同時(shí)滿足等保2.0對(duì)合規(guī)性的要求。

從2013年開(kāi)始，騰訊云TStack就一直為騰訊集團(tuán)內(nèi)部多個(gè)系統(tǒng)提供支持服務(wù)，在安全保護(hù)積累了豐富的經(jīng)驗(yàn)。騰訊云還通過(guò)了CSA STAR金牌認(rèn)證、ISO27001信息安全認(rèn)證、可信云認(rèn)證等多項(xiàng)國(guó)內(nèi)外權(quán)威認(rèn)證，不斷提升云平臺(tái)的安全合規(guī)性。

針對(duì)等保2.0提出的一些具體要求，騰訊云已經(jīng)做好了充分的準(zhǔn)備。比如，面對(duì)“安全管理中心”的新要求，騰訊云推出了云安全運(yùn)營(yíng)中心，實(shí)現(xiàn)了云上資源和業(yè)務(wù)安全集中管控，可以滿足系統(tǒng)管理、安全管理、審計(jì)管理三個(gè)方面的標(biāo)準(zhǔn)要求。安全運(yùn)營(yíng)中心是基于企業(yè)云端安全數(shù)據(jù)和騰訊安全大數(shù)據(jù)的云安全運(yùn)營(yíng)平臺(tái)，通過(guò)對(duì)海量數(shù)據(jù)進(jìn)行多維、智能的持續(xù)分析，為企業(yè)提供漏洞情報(bào)、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)、泄漏監(jiān)測(cè)及風(fēng)險(xiǎn)可視等能力，并采取相應(yīng)的安全措施，幫助用戶(hù)實(shí)現(xiàn)全生命周期安全運(yùn)營(yíng)。

針對(duì)密碼管理方面的新要求，騰訊云提供了完整的數(shù)據(jù)加密與密鑰管理方案，完全滿足國(guó)家等級(jí)保護(hù)的相關(guān)要求。企業(yè)借助騰訊云的數(shù)據(jù)加密服務(wù)，可以保證重要數(shù)據(jù)在傳輸、存儲(chǔ)、使用過(guò)程中的安全，覆蓋敏感數(shù)據(jù)加密、金融支付安全、電子政務(wù)、電子票據(jù)、身份認(rèn)證、CA、物聯(lián)網(wǎng)、區(qū)塊鏈等眾多應(yīng)用場(chǎng)景。

在安全合規(guī)服務(wù)方面，騰訊云可提供涵蓋多項(xiàng)國(guó)內(nèi)外權(quán)威標(biāo)準(zhǔn)（ISO 27001、ISO 27018、ISO 22301、ISO 20000、ISO 9001）以及相關(guān)的法律法規(guī)（如GDPR、個(gè)人信息保護(hù)規(guī)范）的咨詢(xún)、培訓(xùn)、測(cè)評(píng)和評(píng)估等一系列服務(wù)。

近幾年，騰訊云一直在積極布局“出?！睒I(yè)務(wù)。如果沒(méi)有安全合規(guī)，企業(yè)“出?！睂⒋绮诫y行。針對(duì)那些“出?！钡钠髽I(yè)，海外當(dāng)?shù)乇O(jiān)管會(huì)審查企業(yè)所使用的云平臺(tái)是否合規(guī)，企業(yè)的安全性是否足夠好等。因此，“出?！逼髽I(yè)所使用的云平臺(tái)的安全合規(guī)性便成了“出?！逼髽I(yè)首要考量的因素。

早在騰訊云開(kāi)展海外業(yè)務(wù)前，負(fù)責(zé)云平臺(tái)安全合規(guī)的騰訊云鼎實(shí)驗(yàn)室就先對(duì)海外合規(guī)要求進(jìn)行了分析，包括不同國(guó)家和地區(qū)在安全體系、數(shù)據(jù)安全、個(gè)人信息保護(hù)，以及金融行業(yè)、政務(wù)行業(yè)等的合規(guī)要求;除此之外，還對(duì)韓國(guó)、日本、美國(guó)、德國(guó)、加拿大、泰國(guó)、俄羅斯等地網(wǎng)絡(luò)安全、數(shù)據(jù)安全方面的合規(guī)要求進(jìn)行分析，同時(shí)，也在積極進(jìn)行各國(guó)合規(guī)認(rèn)證，從而加速自身云平臺(tái)國(guó)際合規(guī)性的進(jìn)程。

UCloud等保2.0合規(guī)解決方案基于“一個(gè)中心，三重防護(hù)”的架構(gòu)設(shè)計(jì)思想，依托已通過(guò)等保三級(jí)認(rèn)證的UCloud云平臺(tái)基礎(chǔ)設(shè)施環(huán)境，為用戶(hù)提供了“一站式”的安全合規(guī)方案。

做好“一站式”安全合規(guī)

具體來(lái)看，在安全計(jì)算環(huán)境方面，等保2.0要求“能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為并提供報(bào)警，采用免受惡意代碼攻擊的技術(shù)措施，或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為”。UCloud等保2.0合規(guī)解決方案提供的UCloud主機(jī)入侵檢測(cè)系統(tǒng)可以檢測(cè)正在發(fā)生的入侵行為，包括暴力破解、木馬后門(mén)等行為，并對(duì)主機(jī)風(fēng)險(xiǎn)進(jìn)行評(píng)估，識(shí)別不安全配置、弱口令及安全漏洞等。另外，UCloud Web漏洞掃描系統(tǒng)還可對(duì)網(wǎng)站域名進(jìn)行一鍵掃描，自動(dòng)生成報(bào)告，主動(dòng)及時(shí)發(fā)現(xiàn)漏洞，提前修復(fù)漏洞免受入侵威脅。為確保數(shù)據(jù)的保密性和完整性，UCloud還能提供數(shù)字證書(shū)服務(wù)USSL，用戶(hù)網(wǎng)站可使用正規(guī)有效的SSL證書(shū)實(shí)現(xiàn)HTTPS傳輸，使網(wǎng)站安全可信，防劫持、防篡改、防監(jiān)聽(tīng)。

在安全審計(jì)方面，UCloud等保2.0合規(guī)解決方案提供的堡壘機(jī)可實(shí)現(xiàn)雙因子身份鑒別、權(quán)限控制和主機(jī)操作審計(jì)。UCloud數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可以對(duì)數(shù)據(jù)庫(kù)審計(jì)和事務(wù)日志進(jìn)行審查，并對(duì)用戶(hù)分析數(shù)據(jù)庫(kù)的各類(lèi)正常、異常、違規(guī)操作提供證據(jù)。

針對(duì)安全區(qū)域邊界，等保2.0的具體要求集中體現(xiàn)在，在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為，尤其新型網(wǎng)絡(luò)攻擊行為（如DDoS攻擊，CC攻擊等），檢測(cè)對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類(lèi)型、攻擊時(shí)間、攻擊流量等。

針對(duì)此，UCloud等保2.0解決方案提供了DDoS攻擊防護(hù)服務(wù)，當(dāng)攻擊超過(guò)UCloud提供的免費(fèi)基礎(chǔ)防護(hù)閾值時(shí)，用戶(hù)可購(gòu)買(mǎi)使用DDoS高防產(chǎn)品來(lái)進(jìn)行防護(hù)。DDoS高防產(chǎn)品支持防護(hù)ACK、SYN、連接耗盡等各類(lèi)常見(jiàn)攻擊，最高能夠提供1Tbps的攻擊防護(hù)。另外，UCloud Web應(yīng)用防火墻還可以完成CC防護(hù)及常見(jiàn)Web漏洞檢測(cè)和攔截，具有網(wǎng)頁(yè)防篡改功能，可保障網(wǎng)站業(yè)務(wù)的可用性、完整性。

針對(duì)安全通信網(wǎng)絡(luò)，等保2.0也有要求，即劃分不同的網(wǎng)絡(luò)區(qū)域，避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，網(wǎng)絡(luò)區(qū)域之間安全隔離，同時(shí)要求云用戶(hù)采用云平臺(tái)提供的選擇安全組件、配置安全策略等。另外，等保2.0還要求提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的冗余。UCloud等保2.0合規(guī)解決方案提供了“外網(wǎng)防火墻+UVPC+ACL”的組合模式，用戶(hù)通過(guò)該產(chǎn)品組合可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界訪問(wèn)控制、各網(wǎng)絡(luò)區(qū)域安全隔離以及訪問(wèn)規(guī)則設(shè)置等，并為云平臺(tái)和用戶(hù)的網(wǎng)絡(luò)邊界防護(hù)和隔離提供安全保障。

針對(duì)安全管理中心，等保2.0要求，對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況、審計(jì)數(shù)據(jù)進(jìn)行集中監(jiān)測(cè)，對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。UCloud等保2.0合規(guī)解決方案提供了態(tài)勢(shì)感知系統(tǒng)，可通過(guò)大數(shù)據(jù)分析和深度機(jī)器學(xué)習(xí)來(lái)發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，從而提高攻擊行為的可見(jiàn)性、可溯源性和可防御性;同時(shí)，配合集中日志審計(jì)系統(tǒng)，進(jìn)行各類(lèi)安全事項(xiàng)的集中管理，并與優(yōu)盾安全產(chǎn)品相結(jié)合，為用戶(hù)提供“事前預(yù)防，事中控制，事后審計(jì)”的全程安全管控分析。

從安全計(jì)算環(huán)境、安全區(qū)域邊界到安全通信網(wǎng)絡(luò)，再到安全管理中心，UCloud等保2.0合規(guī)解決方案從多個(gè)維度為云應(yīng)用的安全保駕護(hù)航。未來(lái)，UCloud將不斷完善和優(yōu)化其等保解決方案，持續(xù)為客戶(hù)提供安全、可信、合規(guī)的一站式等級(jí)保護(hù)解決方案，確保云環(huán)境的安全。

等保2.0對(duì)災(zāi)備有新要求

對(duì)比等保1.0，云災(zāi)備廠商深圳市科力銳科技有限公司（以下簡(jiǎn)稱(chēng)科力銳）分析了等保2.0在數(shù)據(jù)保護(hù)和災(zāi)備方面的一些新變化、新要求。

等保2.0提出災(zāi)備剛需

等保2.0在技術(shù)部分新增了“本地”，要求提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能;同時(shí)增加了對(duì)異地備份的要求，要求批量將數(shù)據(jù)傳送到異地保存。

另外，還要將異地備份的頻度提升為實(shí)時(shí)備份，且需要制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等;還要求建立異地災(zāi)備中心，提供業(yè)務(wù)應(yīng)用的實(shí)時(shí)切換。

綜上，科力銳認(rèn)為，等保2.0在災(zāi)備建設(shè)上提出了剛性需求;不僅僅備份文件需要執(zhí)行整機(jī)應(yīng)用級(jí)災(zāi)備，重要的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)也需要;從二級(jí)到四級(jí)的管理要求中，都要求制定演練和災(zāi)難恢復(fù)計(jì)劃，以確保災(zāi)備系統(tǒng)的可用性和可靠性，遭遇應(yīng)急事件時(shí)可以快速恢復(fù)業(yè)務(wù)服務(wù);等級(jí)越高對(duì)RPO和RTO的要求越高，不能快速災(zāi)難恢復(fù)是無(wú)法滿足等保2.0要求的。

面對(duì)等保2.0對(duì)災(zāi)備提出的新要求，科力銳提供的災(zāi)備解決方案可以讓多云統(tǒng)一災(zāi)備和負(fù)載遷移更可靠、更快速、更簡(jiǎn)單。

按照等保2.0的要求，備份是基礎(chǔ)、驗(yàn)證是關(guān)鍵、恢復(fù)是根本。科力銳推出的新一代災(zāi)備一體機(jī)可提供全生命周期的災(zāi)備全流程管理能力，讓客戶(hù)擁有災(zāi)備系統(tǒng)的運(yùn)營(yíng)、管理和應(yīng)急恢復(fù)能力。

另外，科力銳提供的災(zāi)備云DRaaS服務(wù)是開(kāi)放的公有云平臺(tái)生態(tài)系統(tǒng)，它以服務(wù)的方式為用戶(hù)提供基于云架構(gòu)的災(zāi)備服務(wù)，保障用戶(hù)的應(yīng)用系統(tǒng)和數(shù)據(jù)的安全、可靠，不再遭受因主機(jī)故障、軟件錯(cuò)誤、人為誤操作、病毒攻擊等因素導(dǎo)致的數(shù)據(jù)丟失或長(zhǎng)時(shí)間業(yè)務(wù)停頓。

為更好地滿足等保2.0的要求，數(shù)據(jù)保護(hù)和災(zāi)備也要安全可靠、兼容性強(qiáng)、敏捷快速、可視可見(jiàn)?？屏︿J的目標(biāo)是為災(zāi)備賦能，實(shí)現(xiàn)隨處災(zāi)備，數(shù)據(jù)不丟，以及隨時(shí)恢復(fù)，業(yè)務(wù)少停。

兩大核心內(nèi)容

同樣以云災(zāi)備為主營(yíng)業(yè)務(wù)的英方云也密切關(guān)注等保2.0的進(jìn)展。等保2.0發(fā)布以來(lái)，英方云組織了多場(chǎng)面向行業(yè)用戶(hù)的等保2.0研討會(huì)和沙龍活動(dòng)，通過(guò)多種形式宣傳等保2.0，旨在讓更多用戶(hù)對(duì)等保2.0有更全面和深入的了解，最大限度地保證業(yè)務(wù)和數(shù)據(jù)的安全、合規(guī)。

英方云強(qiáng)調(diào)，等保2.0主要涉及了“從異地定時(shí)備份變?yōu)楫惖貙?shí)時(shí)備份”和“從系統(tǒng)冗余（冷熱無(wú)要求）變成熱冗余，并保證業(yè)務(wù)的高可用切換”這兩大核心內(nèi)容。英方云的災(zāi)備解決方案可以幫助客戶(hù)更好地滿足等保2.0對(duì)災(zāi)備的新要求。

英方云（i2yun.com）是上海英方軟件股份有限公司旗下的企業(yè)業(yè)務(wù)連續(xù)性云服務(wù)平臺(tái)，它基于互聯(lián)網(wǎng)為企業(yè)用戶(hù)提供災(zāi)備高可用服務(wù)，讓用戶(hù)數(shù)據(jù)和業(yè)務(wù)在私有云、公有云或者混合云上實(shí)現(xiàn)自由地流動(dòng)、保護(hù)、應(yīng)用和分享。英方已和阿里云、騰訊云、華通云、中國(guó)電信天翼云等達(dá)成了云戰(zhàn)略合作伙伴協(xié)議，其主要的產(chǎn)品和服務(wù)，包括容災(zāi)高可用、實(shí)時(shí)數(shù)據(jù)災(zāi)備”、持續(xù)數(shù)據(jù)保護(hù)、內(nèi)容分發(fā)、數(shù)據(jù)庫(kù)同步、系統(tǒng)熱遷移、英方云、英方容錯(cuò)、i2UP統(tǒng)一數(shù)據(jù)管理平臺(tái)等在客戶(hù)中得到了廣泛應(yīng)用。

后記

就在記者要結(jié)束本文時(shí)看到了一條最新消息：7月22日，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、財(cái)政部發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》，該辦法將于2019年9月1日起施行。無(wú)論在哪個(gè)時(shí)代，安全問(wèn)題將如影隨行。只有妥善地解決安全、可信、合規(guī)的問(wèn)題，企業(yè)的上云之路才能更加平坦順暢，企業(yè)的業(yè)務(wù)發(fā)展和創(chuàng)新才能得到保障。