• <th id="rplln"></th>

  • <dd id="rplln"></dd>
    1. <button id="rplln"><acronym id="rplln"></acronym></button>
      1. 行業新聞

        等級保護2.0系列問答(四)

        第16問:我單位自建的云計算平臺如何開展等級保護工作?


        在云計算環境中,將云計算平臺作為基礎設施,云客戶業務系統作為信息系統,分別作為定級對象進行定級。對于大型云計算平臺,當運管平臺共用時,可將云計算基礎設施與運管平臺系統分開定級。責任分離,分別定級,各自備案。云計算基礎設施的安全保護等級不低于其所支撐的業務系統的等級。

        針對私有云用戶,也要按照云平臺和云業務系統,分別進行定級。并且云平臺的安全等級不低于其所支撐的業務系統的等級。

        對于云計算平臺和云業務系統,則分別依據等?;疽笾械脑茢U展要求和安全通用要求來開展等級保護工作。對于私有云,定級流程為云平臺先定級測評,再將已定級應用系統向云平臺遷移。

        第17問:部署在公有云上的信息系統如何開展等級保護工作?

        依據等保2.0,在對公有云環境下開展等級保護工作應遵循如下原則:

        ? 應確保云計算平臺不承載高于其安全保護等級的業務應用系統。
        ? 應確保云計算基礎設施位于中國境內。
        ? 云計算平臺的運維地點應位于中國境內,如需境外對境內云計算平臺實施運維操作應遵循國家相關規定。
        ? 云計算平臺運維過程產生的配置數據、鑒別數據、業務數據、日志信息等存儲于中國境內,如需出境應遵循國家相關規定。

        依據等?;疽笾械陌踩ㄓ靡蠛驮茢U展要求開展云計算平臺的等級保護工作。公有云服務方側的云計算平臺單獨作為定級對象定級,云租戶側的等級保護對象也應作為單獨的定級對象定級,云平臺的等級要不低于云上租戶的業務應用系統的最高級。

        公有云開展等級保護一般分為兩個部分:

        一是云平臺本身,在等保2.0里面明確提出:對于公有云定級流程為云平臺先定級測評,再提供云服務。

        二是云租戶信息系統,比如某政府單位門戶網站系統,在嵌入公有云平臺后,還需要對這個門戶網站獨立定級備案、進行等保測評。其中,涉及云平臺部分的內容可以不重復測評,測評結論直接引用即可。

        不同云計算服務模式需要采取不同職責劃分方式:

        (一)對于IaaS基礎設施服務模式,云服務商的職責范圍包括虛擬機監視器和硬件,云租戶的職責范圍包括操作系統、中間件和應用數據。

        (二)對于PaaS平臺即服務的服務模式,云服務商的職責范圍包括硬件、虛擬機監視器、操作系統和中間件。云租戶的職責范圍為應用和數據。

        (三)對于SaaS軟件服務模式,云服務商的職責范圍包括硬件、虛擬機監視器、操作系統、中間件和應用,云租戶的職責范圍包括部分應用職責及用戶使用職責。

        第18問:對于工業控制系統如何開展等級保護工作?


        依據等?;疽笾械陌踩ㄓ靡蠛凸た財U展要求來對工業控制系統開展等級保護工作。

        工業控制系統主要包括現場采集/執行、現場控制、過程控制和生產管理等特征要素。其中,現場采集/執行、現場控制和過程控制等要素應作為一個整體對象定級,各要素不單獨定級;生產管理要素可單獨定級。

        對于大型工業控制系統,可以根據系統功能、責任主體、控制對象和生產廠商等因素劃分為多個定級對象。

        工控擴展要求保護主要包括:室外控制設備防護、工業控制系統、網絡架構安全、撥號使用控制無線使用控制、控制設備安全、漏洞和風險管理、惡意代碼防范管理等方面內容。

        工業控制系統安全擴展要求主要針對現場控制層和現場設備層提出特殊安全要求,其他層次使用安全通用要求條款,對工業控制系統的保護需要根據實際情況使用基本要求。

        第19問:我單位有大數據系統、物聯網系統、云系統如何按照等保2.0開展工作?

        大數據系統、物聯網系統、云計算平臺和云業務系統按照等保2.0相關標準分別進行定級、備案、方案設計、集成實施、系統測評等相關工作。

        大數據系統應作為單獨定級對象進行定級,安全責任主體相同的大數據、大數據平臺和應用可作為一個整體對象定級。

        物聯網主要包括感知、網絡傳輸和處理應用等特征要素,應將以上要素作為一個整體對象定級,各要素不單獨定級。

        云平臺單獨作為定級對象定級、云租戶的等級保護對象也應單獨作為定級對象定級。對于大型云計算平臺,應將云計算基礎設施和有關輔助服務系統化為不同的定級對象。

        在設計安全解決方案時,不僅要滿足安全通用要求的共性安全需求,還要考慮大數據、物聯網和云計算的擴展安全要求的個性安全需求。

        第20問:視頻監控系統是否需要開展等級保護工作?


        視頻監控系統是否需要開展等級保護工作,從兩個方面來回答這個問題:

        一方面是:等級20.里面在安全通用技術要求里面,安全物理環境中的防盜竊和防破壞控制項中,明確要求“應設置機房防盜竊報警系統或者設置有專人值守的視頻監控系統”。視頻監控系統作為等保2.0中安全物理環境中防盜竊和防破壞的技術手段之一,列入等保2.0基本要求的標準之中。

        另外一方面,視頻監控系統是否需要按照等級保護相關標準要求進行等級保護工作。視頻監控系統本身也是重要的信息系統之一,也會存在諸多安全問題,如:弱口令漏洞、權限提升漏洞、拒絕服務漏洞、敏感信息泄露、資源非法利用等等。視頻監控系統是否按照等保進行建設、管理和運維,需要看視頻監控系統受到攻擊或者破壞是是否影響到公民、法人和其他組織的合法權益,社會秩序、公共利益以及國家安全。以及受到攻擊或者破壞時,受到何種程度的危害,是造成一般損害,還是造成嚴重損害,或者造成特別嚴重損害。

        參照等級保護定級指南對公共安全視頻監控系統進行安全等級劃分。公共安全視頻監控系統屬于國家“平安城市”的重要組成部分,同時也是保障國家治安防護水平的關鍵基礎設施,并且運行的業務數據包括重要、敏感的公共安全信息和個人隱私信息,如果系統遭受入侵或者破壞會給公共安全、社會秩序和公共利益、公民、法人和相關組織的合法權益造成損害。根據損害程度對公共安全視頻監控系統的網絡安全防護要求以及測評大致可以參照等級保護中對二級至三級系統的要求。

        等級保護參考定級


        聯系我們

        聯系人:

        手 機:13308321100

        郵 箱:hf@cqwonder.com

        公 司:重慶網鼎科技有限公司

        地 址:渝中區石油路1號(恒大名都)6幢 1-4#

        用手機掃描二維碼關閉
        二維碼
        粗长巨龙挤进新婚少妇未删版,美女脱了内裤后打开腿照片,国产成人AV大片大片在线播放
      2. <th id="rplln"></th>

      3. <dd id="rplln"></dd>
        1. <button id="rplln"><acronym id="rplln"></acronym></button>