等保2.0安全擴展要求講了些什么

基本要求的一個突出變化是由安全要求改進為通用要求和擴展要求，新增加對云計算、移動互聯、工業控制系統、物聯網新技術應用的適用場景（大數據方面以附錄形式提出）。通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現，應根據安全保護等級實現相應級別的通用要求，而擴展要求針對個性化保護需求提出，需要根據特定技術或特定的應用場景選擇性實現擴展要求。如圖10所示。

公安部信息安全等級保護評估中心副研究員馬力表示，這意味著單位在實施等保工作時，通用要求是必須要做的，而擴展要求要根據實際應用場景來選擇，例如單位的業務系統如果采用了云計算技術，在進行等保工作是就要在符合某級別通用要求的基礎上，再進行對應的云計算擴展要求。

圖10 安全通用要求與安全擴展要求

安全擴展要求的變化

云計算安全擴展要求章節針對云計算的特點提出特殊保護要求，對云計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環境管理”等方面。

移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求，對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”等方面。

工業控制系統安全擴展要求章節針對工業控制系統的特點提出特殊保護要求，對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。

物聯網安全擴展要求章節針對物聯網的特點提出特殊保護要求，對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。

單位如何開展云計算環境的等級保護工作

很多云租戶片面地認為安全防護應該由云服務商實現，只需把業務系統遷移至云端即可，但實際上云租戶也是有安全責任的。

綠盟科技提醒，云服務商和云服務客戶擁有不同控制范圍，其安全責任邊界不同，云服務商和云服務客戶應根據各自安全責任，進行安全防護能力建設。

在云計算環境中，應將云服務方側的云計算平臺單獨作為定級對象定級，云租戶側的等級保護對象也應作為單獨的定級對象定級。

啟明星辰建議，對于單位自建的云平臺，將云平臺作為基礎設施，云客戶業務系統作為信息系統，分別作為定級對象進行定級。對于大型云平臺，當運管平臺共用時，可將云計算基礎設施與運管平臺系統分開定級。責任分離，分別定級，各自備案。云計算基礎設施的安全保護等級不低于其所支撐的業務系統的等級。針對私有云用戶，也要按照云平臺和云業務系統，分別進行定級。并且云平臺的安全等級不低于其所支撐的業務系統的等級。

對于部署在公有云上的信息系統開展等級保護工作，應遵循如下原則：應確保云計算平臺不承載高于其安全保護等級的業務應用系統；應確保云計算基礎設施位于中國境內；云計算平臺的運維地點應位于中國境內，如需境外對境內云計算平臺實施運維操作應遵循國家相關規定；云計算平臺運維過程產生的配置數據、鑒別數據、業務數據、日志信息等存儲于中國境內，如需出境應遵循國家相關規定。

公有云服務方側的云平臺單獨作為定級對象定級，云租戶側的等級保護對象也應作為單獨的定級對象定級，云平臺的等級要不低于云上租戶的業務應用系統的最高級。

公有云開展等級保護一般分為兩個部分：一是云平臺本身，等保2.0中明確提出對于公有云定級流程為云平臺先定級測評，再提供云服務。二是云租戶信息系統，比如某政府單位門戶網站系統，在嵌入公有云平臺后，還需對該門戶網站獨立定級備案、進行等保測評。其中，涉及云平臺部分的內容可以不重復測評，測評結論直接引用即可。

不同云計算服務模式需要采取不同職責劃分方式：對于IaaS服務模式，云服務商的職責范圍包括虛擬機監視器和硬件，云租戶的職責范圍包括操作系統、中間件和應用數據；對于PaaS服務模式，云服務商的職責范圍包括硬件、虛擬機監視器、操作系統和中間件。云租戶的職責范圍為應用和數據；對于SaaS服務模式，云服務商的職責范圍包括硬件、虛擬機監視器、操作系統、中間件和應用，云租戶的職責范圍包括部分應用職責及用戶使用職責。

結語：

等保2.0時代已經到來，等保合規工作值得每一個組織機構去學習和重視。事實上，由于當前復雜的網絡安全形勢，合規早已不是也決不能是組織機構的最低要求，更多還要考慮其本身的網絡安全需要，從自身出發做好網絡安全保障工作，這樣才能確保企業能夠積極應對新時期的各種網絡威脅與挑戰。