基于等保2.0的信息系統三級安全規劃的探討

李尚智 蘇浩偉 曹超生 林海汝 何澤欽

本文主要基于《信息安全技術網絡安全等級保護基本要求（GB/T 22239-2019）》（簡稱“等保2.0”）對部署在私有云上的信息系統進行三級安全規劃的探討，并按照等保2.0要求，設計了整體云安全規劃框架，從合規治理、防護監控等角度出發，闡述滿足信息系統等保三級配套的基礎安全保障及措施。

一、引言

（一）信息安全環境

當前，新應用新技術隨著信息技術的飛速發展而不斷涌現，大數據、物聯網、云計算等新技術廣泛應用已成為各行各業產業結構升級必不可少的環節。而其中，網絡和信息系統作為這些新技術的重要基礎，在整個經濟社會中具有舉足輕重的作用。而隨著信息技術的不斷發展，黑客技術對網絡及信息系統構成的威脅日益嚴峻，以致國家層面對網絡和信息安全的重視程度亦隨之提升。

由于傳統信息安全理念已難以適應當前新技術下的信息系統發展安全保障要求，國家將新業務形態及新系統形態下的應用、支撐新模式的服務、以及重要的資源和數據，進一步納入到等級保護的基本要求范圍。

（二）等保2.0出臺

回顧GB/T 22239-2008《信息安全技術信息安全等級保護基本要求》（簡稱“等保1.0”），已經不能滿足新技術新應用的基本要求，而且在風險評估、監測預警、安全管控體系等方面也需要進行優化，對此，國家結合當前新技術新應用的發展形勢，對等保1.0進行了修編，擴展了大數據、物聯網、云計算等新技術領域的安全要求，于2019年5月10日正式出臺等保2.0（ GB/ T 22239-2019《信息安全技術網絡安全等級保護基本要求》）替代了等保1.0，并于2019年12月1日正式全面推廣實施。……