等保2.0正式實施，阿里雲釋出全國首個《阿里公共雲使用者等保2.0合規能力白皮書》

《網路安全法》後，網路安全等級保護制度上升到了法律層面，不做等保就“等於”違法早已深入人心。等保2.0最大的特點就是從原有傳統系統基礎上延伸到了雲端計算、移動互聯、物聯網和大資料等新興領域，因此雲上使用者從12月1日正式迎來等保2.0大考驗。

那麼，問題來了，等保2.0該怎麼做？

• 雲服務商已經透過等保了，雲上使用者是不是預設已經透過，還需要單獨做等保嗎？
• 等保條款那麼多，使用者在雲上看不見摸不著，對於新增的雲端計算擴充套件要求和物聯網擴充套件要求，使用者到底該關注哪些內容呢？
• 在做等保過程中，雲服務商到底能幫助使用者做什麼呢？

面對大量的上述諮詢和疑惑，阿里雲在公安部資訊保安等級保護評估中心指導下，釋出全國首個《阿里公共雲使用者等保2.0合規能力白皮書》，為您一一解答。白皮書從雲服務商和雲上使用者安全合規責任劃分出發，首次公開闡述公共雲上使用者在不同服務模式下的安全合規責任和等保2.0適用條款，基於最典型的IaaS服務模式場景，為您提供最佳安全合規實踐指引，首次深度解讀雲端計算、物聯網擴充套件要求合規實踐。

一、擇“優”雲服務商才能得優

按照等保2.0定級指南要求，明確指出雲上使用者應用系統和雲服務商雲端計算平臺部分要分別作為單獨的定級物件，也就是說雲上使用者自己的應用系統也要單獨進行等保測評 。同時，雲等保2.0測評要求的最新變化，測評結論從原有等保1.0時代的“符合、基本符合、不符合”變成現在的“優、良、中、差”，低於70分就是差，70分以上才算基本符合要求，因此及格分數調高了，測評要求也更嚴格了。

對於使用者來說想要拿到“優”，必須同時滿足以下三個條件：

1. 選擇的雲平臺等級測評結論為優；
2. 業務應用系統存在的問題中無中、高風險項；
3. 得分高於90分（含90分）。

也就是說，使用者的等保測評結論與雲平臺繫結，只有選擇測評結論為“優”的雲平臺，使用者才有可能拿到“優”。

作為雲等保2.0時代的先行者和踐行者，阿里雲繼2016年成為全國唯一一家雲端計算等保新標準試點示範單位後，又再一次成為全國首家以高分透過公安部權威機構等保2.0測評的雲服務商，為雲上使用者拿“優”奠定了良好基礎。

二、公共雲上比雲下等保測評更輕鬆

除了選擇優質的雲平臺，如果使用者想要拿到較好的測評結論，還需要關注哪些點呢？白皮書中明確指出雲上使用者等保測評範圍和使用的雲服務模式緊密相關。

白皮書一方面根據IaaS、PaaS和SaaS服務模式對阿里雲全系雲產品進行了分類，讓使用者能夠快速定位到自己使用的雲產品到底屬於哪種服務模式；另一方面在公安部資訊保安等級保護評估中心指導和認可下，明確了三種服務模式下雲上使用者適用的等保2.0標準中的技術條款，讓使用者提前準備需要關注的測評指標和範圍。

圖1 不同服務模式下的雲上使用者等保2.0技術測評項數量

從圖1不同服務模式下的雲上使用者等保2.0技術測評項可以看出，如果使用者是自建雲平臺或傳統IDC託管，那麼等保中的所有技術條款都要進行測評。如果是IaaS使用者，只需關注涉及自身虛擬基礎環境和業務應用系統安全的83項技術指標，不需關注物理機房環境和雲平臺網路等內容，測評條款數約是自建雲平臺的62.4%。如果是PaaS使用者則需要測評內容更少，只需要關注涉及產品配置以及自身業務應用系統安全的49項技術指標，測評範圍是自建雲平臺的36.8%。對於SaaS使用者來說，只需要關注涉及應用安全配置以及業務資料保護的45項技術指標，需要投入的人力和經費成本也最少。

綜合來講，雲時代因服務模式不同帶來的雲上使用者合規責任的變化，使得公共雲使用者比自建雲平臺或傳統IDC使用者在等保2.0中投入的合規成本大幅降低，並且在PaaS和SaaS服務模式下優勢更為突出，可以讓使用者將更多精力聚焦自身的業務應用系統和資料安全保護上。

三、物聯網擴充套件要求其實不難

根據等保2.0物聯網三級要求，物聯網場景使用者需關注包括感知節點裝置物理防護、接入控制、入侵防範、感知節點裝置安全、閘道器節點裝置安全、抗資料重放、資料融合處理及感知節點管理這8大要求，共計有20條測評項。

白皮書根據這8大要求，透過阿里雲IoT安全產品進行了合規性闡述，讓使用者能夠透過阿里雲快速定位到更安全、更便捷、更輕量的安全產品。

不論使用者是自建物聯網平臺或使用阿里雲物聯網平臺，使用者都需要關注涉及裝置物理防護及感知節點管理相關的7條技術指標。

作為物聯網領域的先驅者，阿里雲具備全面的物聯網安全基礎設施能力,包括具有自主智慧財產權的物聯網可信執行環境、裝置身份認證、可信服務管理,並結合阿里雲大資料強大的安全情報、風險檢測和分析能力及人工智慧構建物聯網安全運營中心,為使用者提供裝置全生命週期安全管理服務，為使用者透過物聯網擴充套件要求奠定了堅實的基礎。

四、助力雲上使用者透過等保2.0考驗

白皮書依照公安部資訊保安等級保護評估中心提出的雲端計算等保2.0合規能力技術體系，結合阿里雲安全技術和管理優勢，詳細闡述了使用者等保合規體系，需要依賴雲平臺安全、雲產品安全、雲安全產品以及只能由使用者自建的四項安全能力。

其中，雲平臺安全能力由阿里雲自行承擔，使用者無需關注；雲產品安全能力則是利用雲端計算優勢雲平臺自帶的原生安全能力以及雲產品預設的安全屬性，使用者只需負責安全配置；雲安全產品能力是基於阿里巴巴集團多年的安全實踐以及雲平臺常態化的攻防實踐，為雲上使用者提供專業的安全產品和服務。

圖2 阿里雲IaaS服務模式下使用者等保2.0安全能力組成

白皮書從最典型的IaaS服務模式場景出發，透過上述四項安全能力，為使用者提供了最佳安全合規實踐指引。從圖2可以看出，使用者在依賴雲平臺安全能力基礎之上，利用雲原生安全優勢和產品預設安全屬性，直接實現66項（佔79.1%）技術控制點安全能力。同時，使用者還可以選擇配套的阿里雲安全產品，實現54項（佔65.1%）技術控制點安全能力。與此同時，阿里云為使用者提供了一站式等保解決方案，專業、快速、合規的解決方案助力雲上超過千家客戶無憂過等保；並面向不同需求的使用者提供不同的等保2.0安全套餐，為使用者順利透過等保2.0保駕護航。

等保2.0已正式實施，雲等保作為等保2.0時代的重要創新，使用者需要了解雲上等保與傳統雲下等保的區別，也要充分利用雲端計算、物聯網服務模式帶來的技術優勢，更好的複用雲基礎設施的合規能力，讓自己更聚焦於自身的業務應用系統和資料安全保護。

原文連結

本文為雲棲社群原創內容，未經允許不得轉載。