網(wǎng)絡(luò)安全等級保護制度是國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法。

　　面對信息技術(shù)的快速發(fā)展與網(wǎng)絡(luò)安全形勢的不斷變化，等保2.0在1.0的基礎(chǔ)上出臺，注重全方位主動防御、動態(tài)防御、整體防控和精準防護，強化“一個中心，三重防護”的安全保護體系。

　　如何群策群力，加速等保2.0落地？

　　如何保障云平臺與云上租戶的安全？

　　等保2.0對災(zāi)備又有哪些新要求？

　　來，讓我們梳理開啟等保2.0新時代。

　　等保2.0，一個全新的網(wǎng)絡(luò)安全時代的開始！

　　2019年5月13日，網(wǎng)絡(luò)安全等級保護制度2.0（以下簡稱等保2.0）標準正式發(fā)布，并將于2019年12月1日開始實施。

　　等保2.0的發(fā)布標志著我國網(wǎng)絡(luò)安全等級保護工作進入一個嶄新的階段，對于加強我國網(wǎng)絡(luò)安全保障工作，提升網(wǎng)絡(luò)安全保護能力具有十分重要的意義。

　　開啟網(wǎng)絡(luò)安全新時代

　　網(wǎng)絡(luò)安全等級保護制度是國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法。隨著信息技術(shù)的快速發(fā)展，以及網(wǎng)絡(luò)安全形勢的不斷變化，等保2.0在1.0的基礎(chǔ)上，注重全方位主動防御、動態(tài)防御、整體防控和精準防護，實現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象全覆蓋，以及除個人及家庭自建網(wǎng)絡(luò)之外的領(lǐng)域全覆蓋。

　　等保工作循序漸進

　　過去這些年，我國的等級保護工作一直處在有序推進中。在上個世紀80年代興起的計算機信息系統(tǒng)安全保護研究的基礎(chǔ)上，1994年，國務(wù)院發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》；1999年發(fā)布《計算機信息系統(tǒng)安全保護等級劃分準則》強制性標準；2003年，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》要求，“抓緊建立信息安全等級保護制度”。近年來，國家有關(guān)部委也曾多次聯(lián)合發(fā)文，明確要求國家重點工程必須通過信息安全等級保護的測評和驗收。

　　經(jīng)過不斷的發(fā)展和完善，我國的網(wǎng)絡(luò)安全等級保護制度具有科學(xué)性、創(chuàng)新性和前瞻性。以前的標準都是針對計算部件的保護，而我國的網(wǎng)絡(luò)安全等級保護制度第一個提出信息系統(tǒng)安全保護，并且提出了五級保護的分類方法，從業(yè)務(wù)信息和系統(tǒng)服務(wù)兩個維度來定級，率先實行定級（風(fēng)險感知）、建設(shè)（防護）、測評（整改）、監(jiān)督檢查和應(yīng)急恢復(fù)的全過程防護。

　　此次等保2.0的發(fā)布不僅在網(wǎng)絡(luò)安全行業(yè)，甚至在整個社會都激起了強烈反響。等級保護工作為何如此重要？

　　首先，它是國家法律的要求?！吨腥A人民共和國網(wǎng)絡(luò)安全法》中第二十一條明確規(guī)定：國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

　　其次，國家相關(guān)機關(guān)對違反《中華人民共和國網(wǎng)絡(luò)安全法》的行為、企業(yè)加大了執(zhí)法力度。有法可依、有法必依、執(zhí)法必嚴，在網(wǎng)絡(luò)安全領(lǐng)域正蔚然成風(fēng)。

　　再次，企業(yè)出于自身業(yè)務(wù)安全的考慮，應(yīng)按照國家等保標準建設(shè)網(wǎng)絡(luò)安全體系，不斷提高企業(yè)信息系統(tǒng)的信息安全防護能力，降低信息系統(tǒng)被攻擊的風(fēng)險，滿足自身業(yè)務(wù)的健康發(fā)展。

　　最后，我們已經(jīng)步入云計算、大數(shù)據(jù)時代，新時代的應(yīng)用需求，以及技術(shù)的快速更迭，要求不斷擴展保護對象的范圍，特別是對云計算平臺、物聯(lián)網(wǎng)等新興應(yīng)用和平臺的保護，亟須制定相關(guān)的法律和制度。

　　中國工程院院士沈昌祥指出，等保2.0標準具有以下三大特點：第一，基本要求、測評要求和技術(shù)要求框架統(tǒng)一，采用安全管理中心支持下的三重防護結(jié)構(gòu)框架；通用安全要求+新型應(yīng)用安全擴展要求，將云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等列入標準規(guī)范；第三，把基于可信根的可信驗證列入各級別和各環(huán)節(jié)主要功能要求。

　　從1.0到2.0的變化

　　在1.0的基礎(chǔ)上，等保2.0借鑒國際先進安全保護技術(shù)，創(chuàng)新性地提出安全保護通用要求，實現(xiàn)了對新技術(shù)、新應(yīng)用安全保護對象的全覆蓋和安全保護領(lǐng)域的全覆蓋。等保2.0由包括網(wǎng)絡(luò)安全等級保護基本要求、網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求和網(wǎng)絡(luò)安全等級保護測評要求3個核心標準在內(nèi)的多項標準構(gòu)成。等保2.0突出技術(shù)思維和立體防范，注重全方位主動防御、動態(tài)防御、整體防控和精準防護，進一步強化了“一個中心，三重防護”的安全保護體系。

　　網(wǎng)絡(luò)安全要與時俱進。等保2.0引領(lǐng)了網(wǎng)絡(luò)安全發(fā)展的新趨勢，強調(diào)“四個變化”——變被動防護為主動防護，變靜態(tài)防護為動態(tài)防護，變單點防護為整體防控，變粗放防護為精準防護，旨在建立“打防管控”一體化的網(wǎng)絡(luò)安全綜合防御體系，從而提升國家網(wǎng)絡(luò)安全的整體防御能力。

　　從等保1.0到等保2.0，有很多方面的變化，主要體現(xiàn)在：體系框架和保障思路的變化、定級對象的變化、測評的變化、等保要求的組合變化、控制點和要求項的變化。具體來看，將原標準中的“信息系統(tǒng)安全等級保護”改為“網(wǎng)絡(luò)安全等級保護”，與網(wǎng)絡(luò)安全法保持一致；保護對象由原來的“信息系統(tǒng)”改為“等級保護對象”；等保1.0中規(guī)定的安全要求在等保2.0中修改為安全通用要求和安全擴展要求，增加了云計算、工業(yè)控制系統(tǒng)、移動互聯(lián)、物聯(lián)網(wǎng)等安全場景下的擴展要求；另外還有在安全控制點方面的改進，比如強化可信計算技術(shù)的使用等諸多改進。

　　等保2.0分為以下五個安全保護等級。

　　第一級安全保護能力：應(yīng)能夠防護免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當危害程度的威脅所造成的關(guān)鍵資源損害，在自身遭到損害后，能夠恢復(fù)部分功能。

　　第二級安全保護能力：應(yīng)能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和處置安全事件，在自身遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。

　　第三級安全保護能力：應(yīng)能夠在統(tǒng)一安全策略下防護免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災(zāi)難，以及其他相當危害程度的威脅所造成的主要資源損害，能夠及時發(fā)現(xiàn)、監(jiān)測攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能。

　　第四級安全保護能力：應(yīng)能夠在統(tǒng)一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災(zāi)難，以及其他相當危害程度的威脅所造成的資源損害，能夠及時發(fā)現(xiàn)、監(jiān)測發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復(fù)所有功能。

　　第五級安全保護能力：由于情況特殊不在等保系列標準中闡述。無論企業(yè)屬于哪種行業(yè)，無論企業(yè)規(guī)模大小，只要使用了有關(guān)的網(wǎng)絡(luò)和信息系統(tǒng)，無一例外都應(yīng)嚴格落實等級保護制度。企業(yè)可以通過定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查五個階段，滿足等保2.0的各項要求。

　　群策群力 加速等保2.0落地

　　對于等保2.0標準的發(fā)布，各廠商反響熱烈，都積極行動起來，投身到新安全技術(shù)和產(chǎn)品的研發(fā)中，全力做好網(wǎng)絡(luò)安全服務(wù)，幫助用戶建立可信、合規(guī)的網(wǎng)絡(luò)安全體系。

　　新華三集團認為，等保2.0的發(fā)布是對除傳統(tǒng)信息系統(tǒng)之外的新型網(wǎng)絡(luò)系統(tǒng)安全防護能力提升的有效補充，也是貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》、實現(xiàn)國家網(wǎng)絡(luò)安全戰(zhàn)略目標的重要基礎(chǔ)。未來，新華三將進一步貫徹網(wǎng)絡(luò)安全等級保護工作精神，以豐富的經(jīng)驗積累為基礎(chǔ)，以先進的安全技術(shù)和強大的專家隊伍為保障，更高效、更合理地協(xié)助各行各業(yè)的用戶完成等級保護建設(shè)工作。

　　作為等保2.0標準的主要起草單位之一，華為能夠提供系統(tǒng)化的等保建設(shè)思路和完整的安全解決方案，涵蓋云數(shù)據(jù)中心安全、智慧園區(qū)安全、智慧城市安全、視頻云安全、工控系統(tǒng)安全等。華為云已經(jīng)通過了等保4級測評，還聯(lián)合公安部三所等有資質(zhì)的等保測評機構(gòu)推出了專業(yè)測評服務(wù)，指導(dǎo)客戶進行安全服務(wù)的選型和部署。

　　華為是一家在芯片、軟件和硬件上都具備自研能力的網(wǎng)絡(luò)安全廠商，能夠為客戶提供自主可控的網(wǎng)絡(luò)安全解決方案。華為的第三代沙箱、威脅誘捕系統(tǒng)和安全威脅態(tài)勢感知平臺等安全系統(tǒng)，可以有效抵御高級威脅，可以滿足等保2.0的新增要求，協(xié)助客戶順利完成等保建設(shè)和測評。

　　對于云計算平臺的安全保護，各廠商都十分重視。360云安全整體解決方案已在國內(nèi)多個省市的政務(wù)云系統(tǒng)中成功落地，為滿足云等保測評提供了云主機安全和云內(nèi)網(wǎng)絡(luò)安全的技術(shù)支撐。360與眾多知名云計算廠商在云安全風(fēng)險評估和云等保技術(shù)對標方面展開合作，依托自主研發(fā)的云安全管理平臺，同時結(jié)合多種領(lǐng)先的虛擬化安全技術(shù)，將傳統(tǒng)安全與虛擬化技術(shù)深度融合，可有效消除云計算帶來的安全風(fēng)險，能夠滿足等保2.0對云計算安全的相關(guān)技術(shù)要求，為政企客戶的云安全提供整體解決方案。

　　對于單位自建的云平臺，啟明星辰建議，可以將云平臺作為基礎(chǔ)設(shè)施，云客戶業(yè)務(wù)系統(tǒng)作為信息系統(tǒng)，分別作為定級對象進行定級；對于大型云平臺，當運管平臺共用時，可將云計算基礎(chǔ)設(shè)施與運管平臺系統(tǒng)分開定級。云計算基礎(chǔ)設(shè)施的安全保護等級不能低于其所支撐的業(yè)務(wù)系統(tǒng)的等級。對于部署在公有云上的信息系統(tǒng)開展等級保護工作，應(yīng)遵循如下原則：應(yīng)確保云計算平臺不承載高于其安全保護等級的業(yè)務(wù)應(yīng)用系統(tǒng)；應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)；云計算平臺的運維地點應(yīng)位于中國境內(nèi)，如需境外對境內(nèi)云計算平臺實施運維操作應(yīng)遵循國家相關(guān)規(guī)定；云計算平臺運維過程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、日志信息等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。

　　綠盟科技圍繞等保2.0推出了專業(yè)一體化的等保安全合規(guī)咨詢服務(wù)，比如信息系統(tǒng)安全合規(guī)咨詢、云計算安全合規(guī)咨詢、工業(yè)控制系統(tǒng)安全合規(guī)咨詢、物聯(lián)網(wǎng)安全合規(guī)咨詢、移動互聯(lián)安全合規(guī)咨詢。

　　以工控領(lǐng)域為例，依據(jù)等保2.0工業(yè)控制系統(tǒng)安全擴展要求，基于工業(yè)控制系統(tǒng)的應(yīng)用環(huán)境和場景，并結(jié)合工業(yè)控制相關(guān)業(yè)務(wù)模型，綠盟科技工業(yè)控制系統(tǒng)安全合規(guī)咨詢服務(wù)可提供對工控系統(tǒng)進行合規(guī)評估、資產(chǎn)安全評估、網(wǎng)絡(luò)異常行為審計、視頻監(jiān)控設(shè)備評估、主機惡意代碼評估等服務(wù)內(nèi)容，并協(xié)助對評估結(jié)果數(shù)據(jù)進行關(guān)聯(lián)分析，可幫助用戶快速掌握合規(guī)現(xiàn)狀，定位工業(yè)網(wǎng)絡(luò)安全風(fēng)險。

　　中國工程院院士沈昌祥歸納出等保2.0的時代特征：在法律支撐層面，我國的計算機系統(tǒng)等級保護條例提升為國家基礎(chǔ)性法律制度，即網(wǎng)絡(luò)安全法中的網(wǎng)絡(luò)安全等級保護制度；在科學(xué)技術(shù)層面，由分層被動防護發(fā)展到科學(xué)安全框架下的主動免疫安全可信防護體系；在工程應(yīng)用層面，由傳統(tǒng)的計算機信息系統(tǒng)防護轉(zhuǎn)向了新型計算環(huán)境下的網(wǎng)絡(luò)空間主動防御體系建設(shè)。等保2.0時代，將重點對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)安全進行全面安全防護，以確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全。沈昌祥表示，等級保護由1.0到2.0是從被動防御變成主動防御，應(yīng)進一步夯實網(wǎng)絡(luò)安全等級保護基礎(chǔ)。

　　華為認為，等保建設(shè)并非一蹴而就，而是一個長久持續(xù)的過程，整網(wǎng)的系統(tǒng)化安全建設(shè)和持續(xù)的產(chǎn)品安全能力升級才是關(guān)鍵。

　　等保2.0的宣貫和推廣需要群策群力，眾人拾柴火焰高。對此，深信服深有體會。踐行等保2.0標準需要著重做好以下三方面工作：各機構(gòu)部門可以通過宣貫、培訓(xùn)等多種多樣的方式，幫助用戶深刻理解和應(yīng)用等保2.0；相關(guān)解決方案提供商可以通過自身產(chǎn)品和技術(shù)的創(chuàng)新、業(yè)務(wù)場景的適配，為用戶提供切實可行的等保2.0解決方案；監(jiān)管部門、評測機構(gòu)、安全廠商以及其他相關(guān)組織機構(gòu)應(yīng)通力協(xié)作，共同推動等保2.0的落地。

　　云平臺與云上租戶的安全 兩手抓兩手硬

　　等保2.0可以說對保護對象進行了最大程度的擴展，重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要行業(yè)和部門的核心業(yè)務(wù)系統(tǒng)、工業(yè)控制系統(tǒng)，以及黨政機關(guān)、企事業(yè)單位、大型互聯(lián)網(wǎng)企業(yè)等的重要網(wǎng)站、大數(shù)據(jù)、云平臺、智能設(shè)備設(shè)施等全部進入了等保2.0保護的范疇。所謂安全無邊界，安全無死角。

　　其中云平臺的保護是重中之重。曾幾何時，安全性是企業(yè)上云的最大障礙。隨著安全技術(shù)的不斷進步，相關(guān)政策措施的不斷完善，特別是企業(yè)和消費者安全管理和安全消費意識的逐步提高，云安全有了更可靠的保障。

　　舉例來說，國內(nèi)很多城市的政府部門都在積極建設(shè)本地的政務(wù)云平臺，由于各委辦局和街道的數(shù)十甚至數(shù)百個信息系統(tǒng)都運行在政務(wù)云平臺上，政務(wù)云的安全性必須得到有效保障。政務(wù)云平臺除了要滿足云計算平臺通用的安全規(guī)定和要求以外，還應(yīng)滿足基礎(chǔ)設(shè)施位置、鏡像和快照保護、云服務(wù)商選擇、供應(yīng)鏈管理和云計算環(huán)境管理等方面對安全性、合規(guī)性方面的要求。因為一個云平臺之上需要承載不同的定級對象和不同的責(zé)任方，所以云服務(wù)商在提供云平臺服務(wù)時不僅要保障云平臺自身的安全防護，更重要的是，還要保護云平臺之上所有租戶系統(tǒng)的安全。

　　對于等保2.0的變化，各云服務(wù)商都十分關(guān)注，積極參與相關(guān)嚴格的評測，也通過創(chuàng)新的安全解決方案保證云租戶的安全。

　　一個中心、三重防護

　　等保2.0更強調(diào)“一個中心、三重防護”的網(wǎng)絡(luò)安全技術(shù)設(shè)計架構(gòu)。一個中心指的是安全管理中心，而三重防護指的是安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)”。許多云服務(wù)商就是基于“一個中心，三重防護”這一中心思想進行的架構(gòu)設(shè)計。

　　如果沒有安全性的保障，阿里云的業(yè)務(wù)也不會有如此快速的成長。云服務(wù)商的首要任務(wù)就是建立與用戶之間的“信任”，而這種信任很大一部分就來源于云服務(wù)商擁有的云平臺的安全、可靠、合規(guī)。2019年，阿里云專有云平臺通過了等保2.0四級（可交付的最高等級）測評，并聯(lián)合公安部信息安全等級保護評估中心發(fā)布了《阿里專有云等保合規(guī)白皮書》。2019年5月16日，阿里云“電子政務(wù)云平臺系統(tǒng)”通過網(wǎng)絡(luò)安全等級保護三級測評。

　　阿里云對安全和合規(guī)體系的建設(shè)一直十分重視。早在2013年，阿里云便獲得了全球首張云安全國際認證金牌（CSA-STAR）；2015年，阿里承諾“絕對不碰客戶數(shù)據(jù)”；2018年，阿里云在全產(chǎn)品、全節(jié)點通過ISO認證的同時，還拿下了云服務(wù)用戶數(shù)據(jù)保護能力的多項認證；同樣是在2018年，阿里云從平臺、系統(tǒng)、產(chǎn)品、服務(wù)、合規(guī)、流程、政策等方面，全面按照GDPR的要求進行數(shù)據(jù)保護與相關(guān)服務(wù)改進，相關(guān)工作已準備就緒，同年12月，阿里云獲得ISO/IEC 27017和ISO/IEC 27018兩項權(quán)威認證。諸多權(quán)威認證、資質(zhì)和測試表明，阿里云無論是在自身平臺和管理體系建設(shè)上，還是在保證客戶信息安全方面，都符合國內(nèi)外相關(guān)行業(yè)標準的要求，在安全、可信、合規(guī)等方面持續(xù)改進。

　　云服務(wù)商對于安全的追求是永無止境的。除了進行第三方合規(guī)認證之外，阿里云還在數(shù)據(jù)安全機制、流程、技術(shù)等方面不斷創(chuàng)新。舉例來說，阿里云建立了包含雙因素身份認證、增強訪問控制、內(nèi)部審計、第三方審計在內(nèi)的“四位一體”的數(shù)據(jù)安全機制流程，以及芯片級的SGX加密技術(shù)、用戶數(shù)據(jù)全鏈路加密方案，全方位確保用戶云上數(shù)據(jù)的安全。特別值得一提的是，阿里云將隱私設(shè)計（Privacy by Design）、安全性的理念，貫穿于自身系統(tǒng)和產(chǎn)品設(shè)計中，所有云產(chǎn)品上線之前必須通過“安全+隱私設(shè)計”雙重評估。

　　為消除企業(yè)上云時可能存在的對云服務(wù)安全的擔(dān)心，阿里云將人工智能、深度學(xué)習(xí)等先進技術(shù)融入到其安全產(chǎn)品中，在基礎(chǔ)安全、數(shù)據(jù)安全、業(yè)務(wù)安全等方面為用戶提供完整的安全保護。

　　作為等保2.0國標的深度參與單位，阿里云曾牽頭負責(zé)云擴展部分的設(shè)計要求。阿里云安全防護遵循“一個中心，三重防護”的安全技術(shù)設(shè)計框架設(shè)計，采用統(tǒng)一的認證、權(quán)限管理、審計管理、安全管理中心進行云平臺的內(nèi)控和安全管理，并由專業(yè)的安全運營團隊開展運營，以確保云平臺基座的穩(wěn)固。

　　沒有安全合規(guī) 沒有企業(yè)“出海”

　　等保2.0的保護對象擴展到了云計算、大數(shù)據(jù)等新興技術(shù)領(lǐng)域，意味著云平臺自身要按照等保2.0的最新要求加強安全與合規(guī)性的建設(shè)，滿足國家法律的要求。

　　騰訊云TStack也通過了公安部網(wǎng)絡(luò)安全等級保護四級資質(zhì)測評。這表明，騰訊云TStack具有穩(wěn)定、全面的安全性能，可為用戶提供高效可靠的云服務(wù)，同時滿足等保2.0對合規(guī)性的要求。

　　從2013年開始，騰訊云TStack就一直為騰訊集團內(nèi)部多個系統(tǒng)提供支持服務(wù)，在安全保護積累了豐富的經(jīng)驗。騰訊云還通過了CSA STAR金牌認證、ISO27001信息安全認證、可信云認證等多項國內(nèi)外權(quán)威認證，不斷提升云平臺的安全合規(guī)性。

　　針對等保2.0提出的一些具體要求，騰訊云已經(jīng)做好了充分的準備。比如，面對“安全管理中心”的新要求，騰訊云推出了云安全運營中心，實現(xiàn)了云上資源和業(yè)務(wù)安全集中管控，可以滿足系統(tǒng)管理、安全管理、審計管理三個方面的標準要求。安全運營中心是基于企業(yè)云端安全數(shù)據(jù)和騰訊安全大數(shù)據(jù)的云安全運營平臺，通過對海量數(shù)據(jù)進行多維、智能的持續(xù)分析，為企業(yè)提供漏洞情報、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)、泄漏監(jiān)測及風(fēng)險可視等能力，并采取相應(yīng)的安全措施，幫助用戶實現(xiàn)全生命周期安全運營。

　　針對密碼管理方面的新要求，騰訊云提供了完整的數(shù)據(jù)加密與密鑰管理方案，完全滿足國家等級保護的相關(guān)要求。企業(yè)借助騰訊云的數(shù)據(jù)加密服務(wù)，可以保證重要數(shù)據(jù)在傳輸、存儲、使用過程中的安全，覆蓋敏感數(shù)據(jù)加密、金融支付安全、電子政務(wù)、電子票據(jù)、身份認證、CA、物聯(lián)網(wǎng)、區(qū)塊鏈等眾多應(yīng)用場景。

　　在安全合規(guī)服務(wù)方面，騰訊云可提供涵蓋多項國內(nèi)外權(quán)威標準（ISO 27001、ISO 27018、ISO 22301、ISO 20000、ISO 9001）以及相關(guān)的法律法規(guī)（如GDPR、個人信息保護規(guī)范）的咨詢、培訓(xùn)、測評和評估等一系列服務(wù)。

　　近幾年，騰訊云一直在積極布局“出海”業(yè)務(wù)。如果沒有安全合規(guī)，企業(yè)“出海”將寸步難行。針對那些“出海”的企業(yè)，海外當?shù)乇O(jiān)管會審查企業(yè)所使用的云平臺是否合規(guī)，企業(yè)的安全性是否足夠好等。因此，“出海”企業(yè)所使用的云平臺的安全合規(guī)性便成了“出海”企業(yè)首要考量的因素。

　　早在騰訊云開展海外業(yè)務(wù)前，負責(zé)云平臺安全合規(guī)的騰訊云鼎實驗室就先對海外合規(guī)要求進行了分析，包括不同國家和地區(qū)在安全體系、數(shù)據(jù)安全、個人信息保護，以及金融行業(yè)、政務(wù)行業(yè)等的合規(guī)要求；除此之外，還對韓國、日本、美國、德國、加拿大、泰國、俄羅斯等地網(wǎng)絡(luò)安全、數(shù)據(jù)安全方面的合規(guī)要求進行分析，同時，也在積極進行各國合規(guī)認證，從而加速自身云平臺國際合規(guī)性的進程。

　　UCloud等保2.0合規(guī)解決方案基于“一個中心，三重防護”的架構(gòu)設(shè)計思想，依托已通過等保三級認證的UCloud云平臺基礎(chǔ)設(shè)施環(huán)境，為用戶提供了“一站式”的安全合規(guī)方案。

　　做好“一站式”安全合規(guī)

　　具體來看，在安全計算環(huán)境方面，等保2.0要求“能夠檢測到對重要節(jié)點進行入侵的行為并提供報警，采用免受惡意代碼攻擊的技術(shù)措施，或主動免疫可信驗證機制及時識別入侵和病毒行為”。UCloud等保2.0合規(guī)解決方案提供的UCloud主機入侵檢測系統(tǒng)可以檢測正在發(fā)生的入侵行為，包括暴力破解、木馬后門等行為，并對主機風(fēng)險進行評估，識別不安全配置、弱口令及安全漏洞等。另外，UCloud Web漏洞掃描系統(tǒng)還可對網(wǎng)站域名進行一鍵掃描，自動生成報告，主動及時發(fā)現(xiàn)漏洞，提前修復(fù)漏洞免受入侵威脅。為確保數(shù)據(jù)的保密性和完整性，UCloud還能提供數(shù)字證書服務(wù)USSL，用戶網(wǎng)站可使用正規(guī)有效的SSL證書實現(xiàn)HTTPS傳輸，使網(wǎng)站安全可信，防劫持、防篡改、防監(jiān)聽。

　　在安全審計方面，UCloud等保2.0合規(guī)解決方案提供的堡壘機可實現(xiàn)雙因子身份鑒別、權(quán)限控制和主機操作審計。UCloud數(shù)據(jù)庫審計系統(tǒng)可以對數(shù)據(jù)庫審計和事務(wù)日志進行審查，并對用戶分析數(shù)據(jù)庫的各類正常、異常、違規(guī)操作提供證據(jù)。

　　針對安全區(qū)域邊界，等保2.0的具體要求集中體現(xiàn)在，在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為，尤其新型網(wǎng)絡(luò)攻擊行為（如DDoS攻擊，CC攻擊等），檢測對虛擬網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等。

　　針對此，UCloud等保2.0解決方案提供了DDoS攻擊防護服務(wù)，當攻擊超過UCloud提供的免費基礎(chǔ)防護閾值時，用戶可購買使用DDoS高防產(chǎn)品來進行防護。DDoS高防產(chǎn)品支持防護ACK、SYN、連接耗盡等各類常見攻擊，最高能夠提供1Tbps的攻擊防護。另外，UCloud Web應(yīng)用防火墻還可以完成CC防護及常見Web漏洞檢測和攔截，具有網(wǎng)頁防篡改功能，可保障網(wǎng)站業(yè)務(wù)的可用性、完整性。

　　針對安全通信網(wǎng)絡(luò)，等保2.0也有要求，即劃分不同的網(wǎng)絡(luò)區(qū)域，避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，網(wǎng)絡(luò)區(qū)域之間安全隔離，同時要求云用戶采用云平臺提供的選擇安全組件、配置安全策略等。另外，等保2.0還要求提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的冗余。UCloud等保2.0合規(guī)解決方案提供了“外網(wǎng)防火墻+UVPC+ACL”的組合模式，用戶通過該產(chǎn)品組合可實現(xiàn)對網(wǎng)絡(luò)邊界訪問控制、各網(wǎng)絡(luò)區(qū)域安全隔離以及訪問規(guī)則設(shè)置等，并為云平臺和用戶的網(wǎng)絡(luò)邊界防護和隔離提供安全保障。

　　針對安全管理中心，等保2.0要求，對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況、審計數(shù)據(jù)進行集中監(jiān)測，對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理。UCloud等保2.0合規(guī)解決方案提供了態(tài)勢感知系統(tǒng)，可通過大數(shù)據(jù)分析和深度機器學(xué)習(xí)來發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，從而提高攻擊行為的可見性、可溯源性和可防御性；同時，配合集中日志審計系統(tǒng)，進行各類安全事項的集中管理，并與優(yōu)盾安全產(chǎn)品相結(jié)合，為用戶提供“事前預(yù)防，事中控制，事后審計”的全程安全管控分析。

　　從安全計算環(huán)境、安全區(qū)域邊界到安全通信網(wǎng)絡(luò)，再到安全管理中心，UCloud等保2.0合規(guī)解決方案從多個維度為云應(yīng)用的安全保駕護航。未來，UCloud將不斷完善和優(yōu)化其等保解決方案，持續(xù)為客戶提供安全、可信、合規(guī)的一站式等級保護解決方案，確保云環(huán)境的安全。

　　等保2.0對災(zāi)備有新要求

　　對比等保1.0，云災(zāi)備廠商深圳市科力銳科技有限公司（以下簡稱科力銳）分析了等保2.0在數(shù)據(jù)保護和災(zāi)備方面的一些新變化、新要求。

　　等保2.0提出災(zāi)備剛需

　　等保2.0在技術(shù)部分新增了“本地”，要求提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能；同時增加了對異地備份的要求，要求批量將數(shù)據(jù)傳送到異地保存。

　　另外，還要將異地備份的頻度提升為實時備份，且需要制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等；還要求建立異地災(zāi)備中心，提供業(yè)務(wù)應(yīng)用的實時切換。

　　綜上，科力銳認為，等保2.0在災(zāi)備建設(shè)上提出了剛性需求；不僅僅備份文件需要執(zhí)行整機應(yīng)用級災(zāi)備，重要的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)也需要；從二級到四級的管理要求中，都要求制定演練和災(zāi)難恢復(fù)計劃，以確保災(zāi)備系統(tǒng)的可用性和可靠性，遭遇應(yīng)急事件時可以快速恢復(fù)業(yè)務(wù)服務(wù)；等級越高對RPO和RTO的要求越高，不能快速災(zāi)難恢復(fù)是無法滿足等保2.0要求的。

　　面對等保2.0對災(zāi)備提出的新要求，科力銳提供的災(zāi)備解決方案可以讓多云統(tǒng)一災(zāi)備和負載遷移更可靠、更快速、更簡單。

　　按照等保2.0的要求，備份是基礎(chǔ)、驗證是關(guān)鍵、恢復(fù)是根本?？屏︿J推出的新一代災(zāi)備一體機可提供全生命周期的災(zāi)備全流程管理能力，讓客戶擁有災(zāi)備系統(tǒng)的運營、管理和應(yīng)急恢復(fù)能力。

　　另外，科力銳提供的災(zāi)備云DRaaS服務(wù)是開放的公有云平臺生態(tài)系統(tǒng)，它以服務(wù)的方式為用戶提供基于云架構(gòu)的災(zāi)備服務(wù)，保障用戶的應(yīng)用系統(tǒng)和數(shù)據(jù)的安全、可靠，不再遭受因主機故障、軟件錯誤、人為誤操作、病毒攻擊等因素導(dǎo)致的數(shù)據(jù)丟失或長時間業(yè)務(wù)停頓。

　　為更好地滿足等保2.0的要求，數(shù)據(jù)保護和災(zāi)備也要安全可靠、兼容性強、敏捷快速、可視可見?？屏︿J的目標是為災(zāi)備賦能，實現(xiàn)隨處災(zāi)備，數(shù)據(jù)不丟，以及隨時恢復(fù)，業(yè)務(wù)少停。

　　兩大核心內(nèi)容

　　同樣以云災(zāi)備為主營業(yè)務(wù)的英方云也密切關(guān)注等保2.0的進展。等保2.0發(fā)布以來，英方云組織了多場面向行業(yè)用戶的等保2.0研討會和沙龍活動，通過多種形式宣傳等保2.0，旨在讓更多用戶對等保2.0有更全面和深入的了解，最大限度地保證業(yè)務(wù)和數(shù)據(jù)的安全、合規(guī)。

　　英方云強調(diào)，等保2.0主要涉及了“從異地定時備份變?yōu)楫惖貙崟r備份”和“從系統(tǒng)冗余（冷熱無要求）變成熱冗余，并保證業(yè)務(wù)的高可用切換”這兩大核心內(nèi)容。英方云的災(zāi)備解決方案可以幫助客戶更好地滿足等保2.0對災(zāi)備的新要求。

　　英方云（i2yun.com）是上海英方軟件股份有限公司旗下的企業(yè)業(yè)務(wù)連續(xù)性云服務(wù)平臺，它基于互聯(lián)網(wǎng)為企業(yè)用戶提供災(zāi)備高可用服務(wù)，讓用戶數(shù)據(jù)和業(yè)務(wù)在私有云、公有云或者混合云上實現(xiàn)自由地流動、保護、應(yīng)用和分享。英方已和阿里云、騰訊云、華通云、中國電信天翼云等達成了云戰(zhàn)略合作伙伴協(xié)議，其主要的產(chǎn)品和服務(wù)，包括容災(zāi)高可用、實時數(shù)據(jù)災(zāi)備”、持續(xù)數(shù)據(jù)保護、內(nèi)容分發(fā)、數(shù)據(jù)庫同步、系統(tǒng)熱遷移、英方云、英方容錯、i2UP統(tǒng)一數(shù)據(jù)管理平臺等在客戶中得到了廣泛應(yīng)用。

　　后記

　　就在記者要結(jié)束本文時看到了一條最新消息：7月22日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部發(fā)布《云計算服務(wù)安全評估辦法》，該辦法將于2019年9月1日起施行。無論在哪個時代，安全問題將如影隨行。只有妥善地解決安全、可信、合規(guī)的問題，企業(yè)的上云之路才能更加平坦順暢，企業(yè)的業(yè)務(wù)發(fā)展和創(chuàng)新才能得到保障。

　　郭濤

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……