0531-67800866

等保2.0实施两周年专题 云安全你真的做到了吗?

发布时间:2021-12-10    浏览:0

《信息安全技术网络安全等级保护基本要求2.0版本》从2019年12月1日开始实施至今,已过去2年。2年间,5G、云计算、云原生、零信任等新兴科技与安全概念也纷纷涌现并逐渐成熟。各行各业用户也从“上云是否安全”的疑惑,发生180°态度大转变,从被动改为主动拥抱“上云”这一时代趋势。然而,尽管态度发生转变,但企业对安全上云产品的选择判断以及云上安全运营情况依旧令人担忧。

 


众多企业上云后,依靠硬件架构堆砌的传统安全防护方式已不再符合当下边界逐渐模糊的虚拟化环境。无独有偶,互联网、互联网+的企业业务发展速度越来越快,系统更新频繁,企业内部人员对日益增多的核心资产也逐渐失去控制。同时,随着云原生、零信任、无服务器化等新技术与概念的引入与普及,企业云安全管理面临的挑战越来越高,对企业安全运维人员水平的要求也不断被拔高。面对种种情况,企业若想抓住“数字经济东风”,壮大业务规模,亟需的是能进行一站式云安全托管服务、能满足云等保合规要求的云安全管理平台。

 


企业用户可以从以下几个方面考虑如何选择合适的云安全产品(划重点):

 


1   明确网络安全等级保护合规的必要性


根据《网络安全法》第二十一条、第三十一条、第五十九条的规定,网络运营者需履行网络安全保护义务,保护网络免受干扰、破坏或未经授权被访问,防止网络数据泄露或者遭到窃取与篡改,对于公共通信和信息服务、能源、交通等重要行业,其遭到破坏后会对国家安全、国计民生、公共利益的关键信息基础设施产生危害的,需要进行重点保护,如不履行,则会面临高额罚款的惩处。

 

除了国家政策的明确要求与规定,对于企业自身而言,及时做好网络安全等级保护合规的要求,明确好责任划分和工作方法,能有效维护企业安全生命周期;在企业网络安全体系构建的过程中,也能从以往“被动挨打”的局面扭转为主动防御。

 


2    明确自身的云安全需求



由于业务发展需求,企业往往会采用OA、CRM等多种业务信息系统,多个系统共同运行,资产暴露面难以收敛。同时,由于公司组织架构多层级、分公司众多,企业会衍生出自建本地云、采用公有云或者二者都有等混合云环境的运营状态。在权责不明晰、防护边界不确定的情况下,会存在没法及时响应等保合规的国家要求、对复杂老旧的漏洞没及时处理、信息安全建设难度大、组建安全团队成本高等挑战与难题,但是网络安全威胁与攻击日益猖獗,企业稍有不慎,就会陷入被动的处境,这些都是对自身云安全需求认识不到位导致的。

 

企业可以从自身云平台是否合规、安全防护与管理是否到位;业务系统的开发与使用是否存在难以解决的漏洞;云平台提供方的等级保护是否合规;安全管理流程是否规范化等多个层面出发,权衡分析后明确自身的云安全需求。

 


3   评估云安全管理平台功能


安全市场上,一个好的云安全管理平台在对传统硬件防火墙边界防护做有效的补充和增强的基础上,还需要具备(云)主机安全、WEB应用安全、网站防篡改、网站安全监测服务、抗DDoS云服务、微隔离服务、补丁管理服务、容器安全服务、日志分析和态势感知服务、云堡垒机服务、数据库审计服务、公有云租户安全等保服务与能力等,同时平台需具备7*24小时的安全专家服务。只有拥有这些服务与能力的云安全管理平台才能为企业构建纵深防御体系,有效应对千变万化的云上安全威胁。 

 


4     评估云安全管理平台优势


在了解完云安全管理平台的功能全貌后,企业还需要结合平台的一些优势进行综合考虑:

1、能否适配阿里云、腾讯云等多个云平台,并且是第三方中立

2、安全能力是否丰富, 是否满足合规要求

3、云安全管理平台是否可统一管理,是否操作简单易维护

4、云安全管理平台是否可持续提供安全增值,云租户可否按需选购纵深立体防御体系

5、企业是否满足专业权威机构认证,具备等保安全建设服务资质

6、开发周期长短,是否即开即用

7、产品是否会额外占用企业硬件资源

8、采用产品后,后期安全运维人员的投入多少

 

很多企业用户在评估完后又苦于安全产品价格和后期运维投入成本而止步不前,或者是只按当前的个别安全需求采购单个产品,后续有新的安全需求再叠加采购不同安全厂商的产品,多个产品叠加使用,不仅兼容性受限,还得警惕产品间的安全漏洞与风险,整体安全管理和采购成本居高不下。


文章来源:等级保护测评