793      技術社區[雲棲]

《網絡安全法》和雲等保框架下，企業如何為安全掌舵？

至頂網 陳廣成 https://security.zhiding.cn/security_zone/2017/0329/3091348.shtml

還有兩個月時間，《中華人民共和國網絡安全法》就要正式實施。《網絡安全法》首先對“網絡（Cyber）”進行了重新定義，是指“由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的係統”，而“網絡安全（Cyber Security）”，是指“通過采取必要措施，防範對網絡的攻擊、侵入、幹擾、破壞和非法使用以及意外事故，使網絡處於穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力”。

從宏觀的層麵來講，這意味著網絡安全同國土、經濟安全等一樣成為國家安全的一個重要組成部分；從小的方麵來講，意味著網絡運營者（指網絡的所有者、管理者和網絡服務提供者）需要擔負起履行網絡安全的責任。談到法律，我們常說到一個詞，“有法可依”，《網絡安全法》的實施意味著那些涉及到網絡的運營主體如果對安全不重視甚至出現影響較大的事故，將會受到法律的處罰。

為什麼強調“處罰”這個詞？因為隨著過去二十年中國信息技術及互聯網的發展，就以個人信息泄露舉例，大規模的個人隱私數據泄露導致的經濟損失和社會影響越來越大，但往往這樣的事情發生了就過去了，責任方似乎不痛不癢。《網絡安全法》的落地就是對這樣的事情說“不”，安全事故一旦發生，相關責任主體不再是“事不關己高高掛起”，而是要受到法律的懲治，進而降低甚至避免安全事故的發生。

所以，無論對於信息技術服務商還是網絡運營的企事業單位來說，需要加強安全管理與防範，發現係統內部存在的安全隱患和不足，從而滿足國家法律法規的要求。更重要的是，通過提高信息係統的安全防護水平是對用戶、社會的一種責任，尤其對於市場企業來說，重視安全也是增強市場競爭力的關鍵。

有必要強調的是，《網絡安全法》不隻是對“事後”的處罰，更是將預防安全風險提高到至關重要的地位。在法律層麵如何規範安全預防？等級保護製度就是其重要的衡量指標。《網絡安全法》第二十一條明確規定，“國家實行網絡安全等級保護製度。網絡運營者應當按照網絡安全等級保護製度的要求，履行下列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改”。

企業該如何滿足《網絡安全法》和等保要求，在談這個話題前，我們再來用現實案例說明它對我們身邊一些熟悉的行業帶來的影響。

《網絡安全法》和等保對行業影響

就在前幾日，3月16日下午，各省市公安部門組織收聽收看全國2017年網絡安全信息通報暨公安機關網絡安全執法檢查工作電視電話會議。

據了解，此次執法檢查自今年3月至9月在全國各地開展，為期6個月，以黨政機關、重要行業、國有企事業單位、大型信息技術和互聯網企業為重點保衛目標，將采取自查自評、技術檢測、現場檢查、跟蹤督辦、複合檢測相結合的方式，全麵梳理摸排國家關鍵信息基礎設施，檢測排查並督促整改網絡安全重大漏洞隱患、風險和突出問題，加大行政執法力度，保障各地網絡安全。

此處除了針對國家關鍵基礎設施、涉及國家安全與社會民生行業的重點檢查，還包括針對一些新興行業在安全法和等保框架下同樣沒有例外。隨著一些新興互聯網業務的興起並越來越普及，相關的監管部門開始意識到需要在業務監管過程中加強網絡安全的監管。其中最為典型的是網貸、網約車和直播三大行業，在各自的行業監管要求中都特別強調了等級保護的要求。

首先以網貸行業為例，2016年8月17日，中國銀監會、工業和信息化部、公安部、國家互聯網信息辦公室聯合製定並發布了《網絡借貸信息中介機構業務活動管理暫行辦法》。其中第十八條規定：“網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級保護製度的要求，開展信息係統定級備案和等級測試”。2017年3月，網傳北京監管部門對北京多家網貸平台進行了檢查，並下發《網絡借貸信息中介機構事實認定及整改要求》，其中一條就是“未開展信息係統定級備案和等級測試”。

再來看網約車行業，2016年7月，交通運輸部製定了《網絡預約出租汽車經營服務管理暫行辦法》，並定於11月1日正式執行，文件中要求網約車平台提供“依法建立並落實網絡安全管理製度和安全保護技術措施的證明材料”； 11月3日，交通運輸部聯合其他5個部委出台了《關於網絡預約出租汽車經營者申請線上服務能力認定工作流程的通知》，要求申請從事網約車經營的，應向企業注冊地相應出租汽車行政主管部門提交線上服務能力材料，其中安全方麵的具體內容包括：“網絡與信息係統安全等級保護定級報告、專家評審意見、備案證明及測評報告”。

同樣在直播行業，2016年11月4日，國家互聯網信息辦公室發布《互聯網直播服務管理規定》，即日起執行。其中第七條要求“互聯網直播服務提供者應當落實主體責任，配備與服務規模相適應的專業人員，健全信息審核、信息安全管理、值班巡查、應急處置、技術保障等製度”。

在此隻是列舉這三大行業為代表的互聯網新興業務，其實等保的適用範圍包括境內的所有計算機係統，換句話說沒有哪個行業能逃避責任和監管。所以，等級保護該做嗎？麵對這個問題，答案無疑是肯定的。企事業單位要做得是從係統定級、係統備案、等保測評、建設整改等開展一係列工作。

但是廣大新興互聯網行業從業者對等級保護要求是非常陌生的，大多數中小平台也處於業務高速發展的過程中，安全建設相對較為滯後，也難以滿足等級保護的要求。這時候該怎麼辦？也許又有人出了“點子”，因為新興的行業或中小平台大多也是采用的新興信息服務，比如雲。“那等保同樣交給雲服務商吧！”實則不然，即使采用了雲，這個責任也不可能甩出去。

根據等保“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，依據GB/T31167-2014《信息安全技術 雲計算服務安全管理指南》中的責任分擔模型，隻要這個業務應用係統不是由雲服務商直接提供的，雲上用戶都需要對這個應用係統負責，對這個係統和數據的安全負責。阿裏雲構建的“等保合規生態”可以為雲上租戶落實國家網絡安全等級保護製度提供一站式服務。

雲端的等保測評

以中國最大雲服務商阿裏雲為例，2016年10月14日，阿裏雲宣布完成公安部組織的等級保護標準和雲計算等級保護新標準試點示範工作，成為全國首家通過國家級權威測評的雲計算服務商。其中公共雲平台、電子政務雲平台、大數據平台等五大係統通過等級保護三級備案、測評，金融雲平台通過等級保護四級的備案、測評。

不過，雖然阿裏雲通過了等級保護測評，並不代表雲上租戶的係統滿足等保的要求。雲租戶側的等級保護對象也應作為單獨的定級對象定級，在最新GB/T31167-2014《信息安全技術 雲計算服務安全管理指南》和GB/T22239.2《網絡安全等級保護基本要求 第二部分：雲計算安全擴展要求》中明確了不同服務模式下雲服務方和雲租戶的安全管理責任主體，文末可參考以IaaS模式為例，雲服務方與雲租戶的責任劃分。

那麼，企業如果將係統部署在雲上，如何才能快速完成雲上係統的等保合規？在此方麵，阿裏雲的做法值得稱讚，為了解決阿裏雲上係統能夠快速滿足等保合規的需求，阿裏雲通過建立“等保合規生態”，聯合阿裏雲的安全谘詢合作機構、各地測評機構和監管部門，提供一站式、全流程的等保合規解決方案。在“等保合規生態”中，阿裏雲提供雲安全產品和服務，谘詢廠商提供全流程技術支撐和谘詢服務，測評機構提供測評服務，公安機關負責備案審核和監督檢查。

阿裏雲“等保合規生態”方案

阿裏雲建立等保合規生態的目的，可以希望幫助用戶迅速找到等保相關的各方機構，並快速進行項目實施。在等保實施每個階段，由谘詢廠商、阿裏雲協助運營單位完成相關工作，最後接受測評機構的測評，同時接受公安機關的監管。

所以，即使實施等保測評並不是一件簡單的工作，對於很多新興行業也麵臨經驗不足，但是如果是雲的用戶，這項工作在例如阿裏雲等雲服務商的支持下，所有的等保合規工作並不難於去完成。難的是，在如今《網絡安全法》和等保框架下，企業要轉變過去對安全邊緣化的思路，從而重視安全並規避風險。

附IaaS模式下雲服務方與雲租戶的責任劃分

點擊查看阿裏雲等級保護安全合規方案：https://click.aliyun.com/m/11851/

最後更新：2017-04-01 17:00:39

  上一篇： 3月29日雲棲精選夜讀：阿裏“NASA”首個重磅武器亮相——機器學習平台PAI2.0

  下一篇： 亞雲郵件營銷軟件背後的阿裏雲平台支持