有关等保2.0的多个困难小结:
1、政府部门自建的云操作系统怎样进行等级保护测评工作?
在云计算环境中,将云操作系统做为基础设施建设、云租户系统做为信息系统,分别做为评级对象进行评级。对于大型云操作系统,当运营和管理平台共用时,可将云计算基础设施建设与运营和管理平台系统分开评级,责任分离,分别评级、分别办理备案。云计算基础设施建设的安全性维护级别不少于其所支撑的业务系统的最高级别。
针对私有云客户,还要按照云平台和云租户信息系统,分别进行评级。而且云平台的安全等级不少于其所支撑的业务系统的最高级别。
对于云操作系统和云租户信息系统,则分别依据等保2.0基础性规定中的通用性规定和云计算安全性扩展规定来进行等级保护测评工作。对于私有云,评级步骤为云平台先评级测评,再将已评级应用系统向云平台迁移。
2、部署在公有云上的信息系统怎样进行等级保护测评工作?
依据等保2.0,在对公有云环境下进行等级保护测评工作应遵循如下原则:
(1)应确保云操作系统不承载高于其安全性维护级别的业务应用系统。
(2)应确保云计算基础设施建设位于中国境内。
(3)云操作系统的运维管理地点应位于中国境内,如需境外对境内云操作系统执行运维管理操作应遵循国家相关规定。
(4)云操作系统运维管理过程产生的配备数据信息、辨别数据信息、业务数据信息、系统日志信息等存储于中国境内,如需出境应遵循国家相关规定。
公有云开展等级保护一般分为两个部分:
(1)是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。
(2)是云租户信息系统,比如政府单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不一样云计算服务模式需要采用不一样职责区分方法:
(1)针对laaS(基础设施即服务)模式,云服务商的岗位工作职责包含虚拟机监视器和硬件配置,云租户的岗位工作职责包含操作系统、中间件和应用数据。
(2)针对PaaS(平台即服务)模式,云服务商的岗位工作职责包含硬件配置、虚拟机监视器、操作系统和中间件。云租户的岗位工作职责为应用和数据。
(3)针对SaaS(软件即服务)模式,云服务商的岗位工作职责包含硬件配置、虚拟机监视器、操作系统、中间件和应用,云租户的岗位工作职责包含部分应用职责及用户应用职责。
3、针对工业控制系统如何开展等级保护工作任务?
依据等级保护基础规定中的安全性通用规定和工控拓展规定来对工业控制系统开展等级保护工作任务。
工业控制系统关键包含当场采集/实行、当场操纵、过程控制和企业生产管理等特征因素。其中,当场采集/实行、当场操纵和过程控制等因素应作为一个总体目标评定,各因素不单独评定,企业生产管理因素可单独评定。
针对大型工业控制系统,能够依据系统功能、责任主体、操纵目标和生产厂商等因素区分为多个评定目标。
工控拓展规定保护关键包含:户外控制系统安全防护、工业控制系统、网络架构安全性、拨号应用操纵无线应用操纵、控制系统安全性、漏洞和风险管理、恶意代码防范管理等方面内容。
工业控制系统安全性拓展规定关键针对当场操纵层和当场设备层明确提出独特安全性规定,别的层级应用安全性通用规定条款,对工业控制系统的保护需要依据实际情况应用基础规定。
4、等级保护2.0测评是否更加严格?
等保测评结论由1.0时代的符合、基础符合、不符合改为2.0时代的优、良、中、差四个等级。其中测评结论”差”的判别依据是被测目标中存在安全问题,而且会导致被测目标面临高等级安全风险,或被测目标综合得分低于70分。
简洁明了来讲,“差”是在系统中存在高危风险或得分低于70分。相当于等级保护1.0时代中的不符合。但是可以看出去等级保护的及格线已经由原先的60分提升来到70分,等级保护对安全性的最低规定已经在显然提升。因此,未来想根据等保测评需要扎扎实实地把安全工作做好才行。当然,等级保护不仅是一种法律认可合规工作任务,更是一种基础的安全工作,根据落实等级保护能够提升网络安全综合防御能力和水准,完成动态防御、主动防御、纵深防御、精准安全防护、总体防控及其联防联控。让更多的网络运营者从等级保护2.0时代中获取等级保护建设的红利。
