云上与云下等保的区别和测评技术要求

■ 云上与云下企业过等保的区别

等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。《网络安全法》出台后，网络安全等级保护制度上升到了法律层面，不做等保就“等于”违法早已深入人心。等保2.0标准从2019年12月1日正式实施，并且已出现违法等保导致的被处罚的案例。

网络安全法规定“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则及其他相关规定，前提是云平台通过等保级别不低于用户系统级别，否则影响云上用户的信息系统等级保护定级备案。因此只要云平台通过等保测评，传统环境中的物理安全、网络安全、虚拟层安全等基础安全防护要求，云上用户投入可以因为云平台的能力而大幅下降，关注点可以更加聚焦在业务和系统的防护要求。

■ 不同服务模式下等保技术测评要求

企业使用的云服务类别（IaaS、PaaS和SaaS服务模式）不同，等保2.0所要求的技术测评项目也有所不同。用户自建云平台或IDC环境中，基础安全防护需由用户自身承担相应的安全能力建设。在云计算环境中，用户无需关注物理、网络、通信等基础安全防护，只需要关注云服务类别下的安全防护能力。

如果是IaaS用户，只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标，不需关注物理机房环境和云平台网络等内容，测评条款数约是自建云平台的62.4%。

如果是PaaS用户则需要测评内容更少，只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标，测评范围是自建云平台的36.8%。

对于SaaS用户来说，只需要关注涉及应用安全配置以及业务数据保护的45项技术指标，需要投入的人力和经费成本也最少。

从上可以看出，在云平台通过等保2.0测评的前提下，企业上云的程度越深，自身所需要进行测评项数量就越少，当然所需要投入的成本就会更低，让企业拥有高等级安全能力同时，可以有更多精力聚焦在自身业务发展上。

■ 如何满足等保2.0中物联网安全的扩展要求

等保2.0物联网部分主要扩展了感知层的安全要求，在物理和环境安全、网络和通讯安全、设备和计算安全，以及应用和数据安全做了扩展要求。用户需要建设并满足相应的安全防护能力后，才能通过等保2.0物联网扩展要求。如果用户物联网平台在云计算环境中，云平台物联网扩展支持能力不同，用户所承担的安全建设能力要求不同。例如对于阿里云用户来说，只需要通过涉及设备物理防护及感知节点管理相关的19项技术指标中的7条技术指标测评即可。

■ 云上用户等保测评流程

等级保护工作流程包括定级、备案、建设整改、等级测评、监督检查五个阶段，我们为云上用户提供了一站式服务，全面覆盖等保定级阶段、备案阶段、建设整改阶段以及等保测评阶段。通过差距性分析评估，帮助用户找出业务系统安全管理过程中与等保2.0要求的实际差距，同时提供安全管理加固建议、协助安全产品选型、协助各项安全加固，最终通过等保测评。我们的安全团队多年的技术实战和经验沉淀，可以帮助客户快速解决等保测评过程中的各类安全风险，提高服务效率，提升客户整体安全防护能力。

■ 服务内容

等级保护整改方案咨询

根据差距评估结果，结合用户的业务现状，设计满足等级保护要求的整改方案。

安全产品选型及部署

根据安全整改方案，协助客户完成安全产品的选型和采购、部署工作。

对安全产品进行接入及优化配置以满足等保要求。

系统安全整改工作

根据差距评估结果，对网络、服务器、数据库根据等保要求进行技术整改。

安全管理咨询

根据等级保护对安全管理的要求，提供部分安全管理制度设计和执行指导。