1、阿里云云上系统等保合规解决方 案主讲人:行逸目录1.等级保护概述2.云上等保合规方案3.阿里云优势什么是等保 基本概念 信息安全等级保护管理办法 :国家通过制定统一的信息安全等级保护 管理规范和技术标准 ,组织公民、法人和其他组织对信息系统 分等级实行安全保护 ,对等级保护工作的实施进行 监督、管理 。 制度要求 中华人民共和国网络安全法 : “ 国家实行 网络安全等级保护制度 。 网络运营者应当按照网络安全等级保护制度的要求 , 履行下列安全保护义务 , 保障网络免受干扰 、 破坏或者未经授权的访问 , 防止网络数据泄露或者被窃取 、 篡改 ” 。 国家信息化领导小组关于加强信息安全保障工作
2、的意见 ( 中办发200327号 ) 规定: 要重点保护基础信息网络和关系国家安全 、 经济命脉 、 社会稳定等方面的重要信息系统 , 抓紧建立信息安全等级保护制度 。 地位和作用 国家信息安全保障工作的基本制度、基本国策; 开展信息安全工作的基本方法;促进信息化、维护国家信息安全的根本保障。 网络安全等级保护的 适用范围 : 中华人民共和国境内 的计算机信息系统 网络安全等级保护的 主管单位 : 公安机关 负责 网络安全等级保护 工作的监督、检查、指导 监管力度 : 二级及以上 系统均纳入公安机关监管范围,其中三级系统至少每年测评一次 三级 系统对 安全产品 主要要求 : 境内独立法人 、
3、自主知识产权、信息安全产品认证证书 严重性 :发现不符合网络安全等级保护有关管理规范和技术标准要求,公安机关应当通知其运营使用单位限期整改,并发送 网络安全等级保护限期整改通知书 ,逾期不改正的,给予警告并向其上级主管部门通报; 在限期内拒不改进的,由公安机关处以警告或者 停机整顿基本概念 关注要点等级保护具体分级说明等级 等级定义 适用系统第一级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损 害国家安全、社会秩序和公共利益 不重要系统第二级 信息系统受到破坏后, 会对公民、法人和其他组织的合法权益产生严重损害 ,或者对社会秩序和公共利益造成损害,但不损害国家安全 一
4、般重要系统第三级 信息系统受到破坏后,会对 社会秩序和公共利益造成严重损害 ,或者对国家安全造成损害 比较重要系统第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家 安全造成严重损害 非常重要系统第五级 信息系统受到破坏后,会对 国家安全 造成特别严重损害 极度重要系统云上系统的等保要求绝大部分集中在二级和三级系统 :阿里云平台等保合规情况介绍2016年 9月,阿里云通过新的云计算安全等级保护三级要求的测评,这是目前 国内首批 、 也是唯一一家 通过国家权威机构依据 云等保要求联合测评 的 公共云 服务平台。按照新的云等保要求和监管部门的意见,在具体的云上应用等级保
5、护合规和测评中, 涉及阿里云平台侧的相关要求不再进行单独测评 , 可以直接引用阿里云平台的测评结论。阿里云将提供以下材料,协助租户云上系统通过等保测评:1.阿里云 等保备案证明2.阿里云测评报告封面及结论页3.阿里云客户等级保护测评说明阿里云安全资质可以从阿里云官网链接 https:/ 获得阿里云的相关安全服务资质信息,供测评使用:云上系统合规责任共担客户虚拟网络安全虚拟主机安全应用安全数据安全账号认证授权审计账号认证授权审计阿里云平台地域( Region) 可用区( AZ) 阿里骨干传输网基础设施和 环境安全物理设备安全 计算 存储 网络阿里云分布式云操作系统ECS资源抽象和控制安全RDS
6、OSS 大数据 云上系统等保合规由客户负责 GB/T 22239-2008 信息安全技术 信息安全等级保护基本要求 GB/T 22239.1 信息安全技术 信息安全等级保护基本要求 第 1部分安全通用要求 (征求意见稿) GB/T 22239.2 信息安全技术 信息安全等级保护基本 要求 第 2部分云计算安全扩展要求 (征求意见稿)阿里云与云上系统 对应标准云平台等保合规由阿里云负责第三方SaaS 第三方PaaS目录1.等级保护概述2.云上等保合规方案3.阿里云优势等级保护实施流程根据系统保护等级和各地政策的不同,等级保护实施 的流程顺序 略有区别 ,但基本都包括:系统定级、整改建设、等级测评
7、、系统备案和监督检查等五项工作。三级系统的标准实施流程如下:系统定级 系统备案 整改建设 等级测评监督检查流程解读系统定级 :信息系统运营使用单位要按照 信息安全等级保护管理办法 和 网络安全等级保护定级指南 ,初步确定定级对象的安全保护等级,起草 网络安全等级保护定级报告 (有统一的模板); 三级以上系统,定级结论需要进行专家评审;系统备案 :信息系统安全保护等级为 第二级以上时 ,备案时应当提交 网络安全等级保护备案表 和 定级报告 ;第三级以上系统,还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案 等。建设整改 :依据 网络安全等级保护基本要求 ,利用自有或第三方的 安全产品和专家服务 ,对信息系统进行安全建设和整改,同时制定相应的 安全管理制度 ;等级测评 :信息系统建设整改完成后,运营使用单位应当选择合适的测评机构,依据 网络安全等级保护测评要求 等技术标准,定期对信息系统安全等级状况 开展等级测评 。监督检查 :公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责。
