《网络安全法》出台后,网络安全等级保护制度上升到了法律层面,不做等保就“等于”违法早已深入人心。等保2.0最大的特点就是从原有传统系统基础上延伸到了云计算、移动互联、物联网和大数据等新兴领域,因此云上用户从12月1日正式迎来云等保大考验。
那么,问题来了,等保条款那么多,用户在云上看不见摸不着,对物联网要求又一头雾水,该测什么?能测什么?等保物联网扩展要求怎么做才能合规?用户到底该关注哪些内容呢?在做等保过程中,云服务商到底能帮助用户做什么呢?
面对大量的上述咨询和疑惑,阿里云发布了全国首个《阿里公共云用户等保2.0合规能力白皮书》,针对等保通用安全要求、云技术及物联网扩展要求一一解答。
(一)择“优”云服务商才能得优
按照等保2.0定级指南要求,明确指出云上用户应用系统和云服务商云计算部分、物联网部分要分别作为单独的定级对象。同时,等保2.0测评要求又有了更新变化,测评结论从原有等保1.0时代的“符合、基本符合、不符合”变成现在的“优、良、中、差”,低于70分就是差,70分以上才算基本符合要求,因此及格分数调高了,测评要求也更严格了。
同时,对于用户来说想要拿到“优”,必须同时满足以下三个条件:(1)选择的云平台等级测评结论为优;(2)业务应用系统存在的问题中无中、高风险项;(3)得分高于90分(含90分)。也就是说,用户的等保测评结论与云平台绑定,只有选择测评结论为“优”的云平台,用户才有可能拿到“优”。
作为云等保2.0时代的先行者和践行者,阿里云继2016年成为全国唯