最近新发布的等保2.0中,在第三级云计算安全扩展要求的安全通信网络方面,增加了两条:
一是应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;
二是提供开发接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。
这第二条很重要,有利于解决云服务商安全服务的锁定能力,赋予云服务客户更大的自主选择权。从等保第二级到第四级,安全区域边界的要求变化不大,主要是在入侵防范中增加了“应在检测到网络攻击行为、异常流量情况时进行告警”。
如果整体来看,安全区域边界引入了“访问控制”机制,即在虚拟化网络边界、不同等级的网络安全区域设置访问控制规则,让不同的人做自己范围内的事。
在安全等级保护第三级中,还增加了身份鉴别板块,即“当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制”。这一条的增加,有利于大大提高云和终端设备连接的安全性。同样,第三级增加了入侵防范板块,对虚拟机的安全进行着重强调,包括虚拟机资源隔离、虚拟机重启和恶意代码感染等。
整个重点是在数据和信息保护方面。第三级强调,云服务客户数据、用户个人信息等存储于中国境内,并且只有在客户授权下,云服务商或第三方才具有云服务客户数据的管理权限。规定也强调,在虚拟机迁移时,要保证数据的完整性,并在检测到完整性受到破坏时,采取必要的恢复措施。
在云服务商方面,规定明确要求“安全合规”,并且云计算平台为其承载的业务应用系统提供相应等级的安全保护能力。
西部数码提供云平台用户与各省市等级保护测评机构的沟通渠道,帮助西部数码云平台用户的信息系统完成等级保护测评工作,业务链接 https://www.west.cn/web/dengbao/
