6月11日,云栖大会 ·上海峰会上,阿里云与公安部第三研究所、国家网络与信息系统安全产品质量监督检验中心和上海计算机软件技术开发中心评测重点实验室,共同发布“阿里云等级保护生态”。
在“等保合规生态”中,阿里云提供云安全产品和服务,咨询厂商提供全流程技术支撑和咨询服务,测评机构提供测评服务,公安机关负责备案审核和监督检查。将整个等保合规流程的时间,从平均一年的时间最快能缩短到一个月。
发布会现场
从左至右:阿里云安全生态负责人陈天鸿;国家网络与信息系统安全产品质量监督检验中心副主任、研究员顾健;国家网络与信息系统安全产品质量监督检验中心检测部主任、研究员陆臻;上海计算机软件技术开发中心评测重点实验室常务副主任刘振宇;上海计算机软件技术开发中心,评测重点实验室副主任李嘉。
目前,包括工业与信息化部电子工业标准化研究所,上海计算机软件技术开发中心,德勤在内的10多家测评、咨询机构,已经加入等级保护生态,共同为云上用户提供从咨询服务、能力提升、到测评监管的“一站式”等保合规服务。
时间缩短一年,等保2.0时代的云上优势
根据《信息安全等级保护管理办法》,等级保护核心工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
对于企业来说,等级保护最耗时耗力的环节是备案和整改建设。
阿里云安全生态负责人陈天鸿介绍:“以往,一家大型国企完成整个等保流程,需要一年,甚至两年。在备案、整改环节中,往往会涉及到硬件、软件、服务的采购和部署,财务的审批,和与监管部门的沟通,对企业和机构的安全团队要求非常高。
但实际上,很少有企业的安全负责人能够‘流畅’地完成等保流程,一般都是困难重重。”
这个困难的根源,一方面在于目前国内大多数企业和机构的安全团队资源限制;另外一方面,企业和机构对各个等保环节如何对接、如何沟通没有经验。这样一来,在大家的印象中,过等保就成了一个重投入、效率慢的工作。
——
而阿里云等保生态的意义就在于:基于云上安全能力,协调各方,将等保的工作变轻、变快。
首先,阿里云与咨询机构、测评机构和监管部门建立起“既有沟通桥梁”,帮助企业完成许多耗时耗力的沟通工作。
其次,阿里云的安全专家团队有成熟的安全体系设计经验,可迅速帮助企业和机构搭建完善、合规的安全体系,完成专业的应急预案。
此外,阿里云所提供的云上等保安全方案,都会与监管要求一一对应。公安部第三研究所在安全专场上,即发布了“阿里云等保用户指引”,从监管的角度,为阿里云上用户提供了“一对一指南”。
最后,阿里云上SaaS化的安全产品,可以实现”按需取用,半小时部署”;除了安装、部署的提速外,阿里云等保生态在服务中遵循就近原则,帮助用户在一天内找到当地最适合他的测评机构,当天启动等保流程。
云平台合规资质完整,放心等保的基础
除了上述的云上等保优势之外,阿里云本身的合规资质,也让合作伙伴和用户,能够放心“搭车”云上等保。
2016年10月14日,阿里云宣布完成公安部组织的等级保护标准和云计算等级保护新标准试点示范工作,成为全国首家通过国家级权威测评的云计算服务商。
其中,公共云平台通过等级保护三级备案、测评,金融云平台通过等级保护四级的备案、测评。(参见:阿里云成为全国首家云等保试点示范平台金融云通过国家等保四级备案测评)
当阿里云通过了等级保护测评,意味着用户可以更专注于云上系统和应用的安全;此外,阿里云完善的合规资历,也能够提升用户“过等保”时的整体评分。
目前,阿里云可为用户提供等保备案证明、测评报告结论页和客户等保障测评说明等材料,协助租户云上系通过等保测评。
信息安全等级保护关键技术国家工程实验室副主任顾健在发布仪式上提到:“等级保护制度在全国已经推行十多年。《网络安全法》的正式实施,将等保提升到了法律的高度。等级保护的影响力、对象、范围、体系,也在不断变化和发展中。”
当等保逐渐深入人心,阿里云希望更多优秀、可信的等级保护合作伙伴,能够加入到这个等级保护生态体系中。
阿里云在整个生态中,将扮演整合协调的角色,并为咨询、测评机构提供从市场和渠道支持。
陈天鸿介绍:“在测评机构方面,我们从公司规模,背景,实力和案例方面进行全面评估,在每个区域选出能力最佳合作伙伴,将合作网络本地化,区域化。在咨询服务方面,我们则更倾向于国内外知名的咨询机构。”