本文档介绍阿里云等保咨询服务。

背景

等级保护是我国在信息安全保障领域的一项基本制度,开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务,是企业义不容辞的信息安全义务。

纳入等保保护监管范围的企业需要根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素进行定级及备案工作。

等级保护整改服务是面向等保客户提供的专业辅导服务,其目标是通过差距报告解读、安全咨询、安全整改等服务内容,加强和完善客户在管理和技术方面的安全保障能力,缩小安全现状与等级保护要求之间的差距,协助客户顺利完成等保测评备案工作。

本服务由阿里云安全合作伙伴提供,阿里云提供服务指导及服务质量监督工作。

云上与云下企业过等保的区别

等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。《网络安全法》出台后,网络安全等级保护制度上升到了法律层面,不做等保就“等于”违法早已深入人心。等保2.0标准从2019年12月1日正式实施,并且已出现违法等保导致的被处罚的案例。

网络安全法规定“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则及其他相关规定,前提是云平台通过等保级别不低于用户系统级别,否则影响云上用户的信息系统等级保护定级备案。因此只要云平台通过等保测评,传统环境中的物理安全、网络安全、虚拟层安全等基础安全防护要求,云上用户投入可以因为云平台的能力而大幅下降,关注点可以更加聚焦在业务和系统的防护要求。

云上企业如何过等保

云上企业要通过等保2.0测评,前提是云平台通过等保级别不低于用户系统级别,企业只需要对自身云上系统和业务做合规测评即可。所以云平台通过测评是云上企业满足等保合规要求的前提条件。对于阿里云用户来说,阿里云的公共云、专有云、行业云均通过了等级保护三级及以上测评备案,云上企业只需要对业务系统做合规测评。

  • 不同服务模式下等保技术测评要求

    企业使用的云服务类别(IaaS、PaaS和SaaS服务模式)不同,等保2.0所要求的技术测评项目也有所不同。用户自建云平台或IDC环境中,基础安全防护需由用户自身承担相应的安全能力建设。在云计算环境中,用户无需关注物理、网络、通信等基础安全防护,只需要关注云服务类别下的安全防护能力,以下是在阿里云不同云服务类别下用户所要承担的技术要求:

    • 如果是IaaS用户,只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标,不需关注物理机房环境和云平台网络等内容,测评条款数约是自建云平台的62.4%。
    • 如果是PaaS用户则需要测评内容更少,只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标,测评范围是自建云平台的36.8%。
    • 对于SaaS用户来说,只需要关注涉及应用安全配置以及业务数据保护的45项技术指标,需要投入的人力和经费成本也最少。

    从上可以看出,在云平台通过等保2.0测评的前提下,企业上云的程度越深,自身所需要进行测评项数量就越少,当然所需要投入的成本就会更低,让企业拥有高等级安全能力同时,可以有更多精力聚焦在自身业务发展上。

  • 如何满足等保2.0中物联网安全的扩展要求

    等保2.0物联网部分主要扩展了感知层的安全要求,在物理和环境安全、网络和通讯安全、设备和计算安全,以及应用和数据安全做了扩展要求。用户需要建设并满足相应的安全防护能力后,才能通过等保2.0物联网扩展要求。如果用户物联网平台在云计算环境中,云平台物联网扩展支持能力不同,用户所承担的安全建设能力要求不同。对于阿里云用户来说,只需要通过涉及设备物理防护及感知节点管理相关的19项技术指标中的7条技术指标测评即可。

  • 云上用户等保测评流程

    等级保护工作流程包括定级、备案、建设整改、等级测评、监督检查五个阶段,阿里云为云上用户提供了一站式服务,全面覆盖等保定级阶段、备案阶段、建设整改阶段以及等保测评阶段。通过差距性分析评估,帮助用户找出业务系统安全管理过程中与等保2.0要求的实际差距,同时提供安全管理加固建议、协助安全产品选型、协助各项安全加固,最终通过等保测评。依托阿里云安全团队多年的技术实战和经验沉淀,可以帮助客户快速解决等保测评过程中的各类安全风险,提高服务效率,提升客户整体安全防护能力。

服务内容

  • 等级保护整改方案咨询

    根据差距评估结果,结合用户的业务现状,设计满足等级保护要求的整改方案。

  • 安全产品选型及部署指导

    根据安全整改方案,协助客户完成安全产品的选型和采购、部署工作。

    对云盾安全产品进行接入及优化配置以满足等保要求。

  • 系统安全整改工作

    根据差距评估结果和阿里云最佳安全实践,对网络、服务器、数据库根据等保要求进行技术整改。

  • 安全管理咨询

    根据等级保护对安全管理的要求,提供部分安全管理制度设计和执行指导。

服务流程及输出结果

  • 安全整改服务与等保测评的流程关系如下图所示:等保测评服务流程图
    • 《安全整改建议书》
    • 《XXX客户等保测评服务报告》
  • 项目实施周期

    一般情况下:1~3个月。但在项目实施过程中,因涉及客户内部夸部门沟通协调、三方测评机构协调等因素,交付周期可能存在不确定性,因此具体交付周期根据现场情况调整。

  • 服务方式
    • 等保咨询+测评服务一站式服务。
    • 由阿里云全资子公司长亭科技负责咨询部分并邀请专业的第三方测评公司负责等保测评。

常见问题

Q:服务的实施方是谁?

A:本服务是由阿里云授权的第三方专业安全服务提供商提供的,阿里云对其提供技术指导及服务质量监督。

Q:服务的报价根据哪些信息得出?

A:主要依据系统等级(涉及测评项不同)、ECS(涉及工作量不同)、地区(北上广深价格稍贵)、是否首次测评(首次涉及工作量较多,如:加固建议,管理建议等)。

Q:服务的价格中包含了哪些费用?

A:等保咨询服务下单的费用包含了咨询费用和测评费用。

Q:等保咨询服务的服务周期是多久?

A:从购买时开始提供服务直到客户完成正式测评工作,或者是从购买开始起一年的服务期,以先到的作为本服务截止时间。

如客户是2020年5月1日购买服务,2020年8月1日通过正式测评并拿到测评报告,则本服务在8月1日截止,如客户一直未能进行正式测评服务,则选2021年5月1日作为服务的截止时间。

Q:如果一次测评没通过,还可以继续提供整改服务么?

A:在一年的期限内,本服务将持续提供直到客户通过等保测评。

Q:本服务支持退款么?

A:在服务正式开始前可以申请退款,一旦服务正式开始提供产生工作量则不提供退款服务。

Q:内网是否需要做等级测评?

A:需要。首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系。

《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。

Q:信息系统如何定级?

A:根据受损害的客体对象的不同和损害程度来判断等级。受损害的客体对象分为三类:公民、法人和其他组织的合法权益,社会秩序及公共利益,国家安全;损害程度分成三类:一般损害、严重损害和特别严重损害,通过两者条件将等级分为一级到五级。

Q:如何证明信息系统已经符合等保要求?

A:需要用户向属地网监进行定级备案,获取等保备案证明,同时通过具备测评资质的测评机构对信息系统进行安全测评,获得年度网络安全等级保护测评报告,对于达到至少合格以上测评结论才能证明该信息系统符合等级保护的安全要求。