【云分享】等保2.0网络安全服务解决方案(一）

4月28日，亚马逊云科技Marktplace携手Agilewing举行了等级保护2.0解决方案会议。会议根据安全责任共担模式，安全性和合规性是亚马逊云科技与客户的共同责任。

Agilewing作为亚马逊云科技合作伙伴通过亚马逊云科技 Marketplace 共同构建了众多的安全生态解决方案，提供云原生的安全相关服务和安全最佳实践，帮助客户实现云端安全与合规。

Agilewing安全顾问高亚川在会议上为大家分享了等保2.0网络服务解决方案。

■ 等保2.0总体方案介绍 ■

我国的网络安全工作从1994的国务院147号令为开端，在2008年进入了等级保护1.0元年。等保1.0更多的信息安全等级保护，也就是我们现在经常提到的ISO27001管理体系标准，Agilewing现已通过了ISO27001标准审核。

2017年网络安全法的颁布，标志着网络安全上升为了国家战略的高度。提出了没有网络安全就没有国家安全的基调，从此我国网络安全工作有了基础性的法律框架，有了网络安全的“基本法”。

2019年发布的《信息安全技术 网络安全等级保护测评要求》，《信息安全技术 网络安全等级保护测评要求》，《信息安全技术 网络安全等级保护安全设计技术要求》等相关标准标志在等保进入了2.0时代。

■ 基本框架 ■

等保2.0充分体现了“一个中心三重防御”的思想，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用。

安全物理环境，安全物理通信网络，安全区域边界，安全计算环境和安全管理中心共同构成了等保2.0的技术要求；安全管理制度，安全管理机构，安全管理人员，安全建设管理和安全运维管理则构成了等保2.0的管理要求。这两方面的要求便是等保2.0基本框架的基本内容。

BYOK的工作原理如上图，硬件加密机产生加密密钥，云服务商用加密机生产出来的密钥到云环境里做加解密。而加密机给的密钥是有时限的，时效一过，亚马逊云环境里的加密密钥也就失效了，就需要再到HSM加密机去再拿一次加密密钥，这就保证了时效一过数据无法打开，这也就是亚马逊KMS+BYOK的架构。也就是说，光有亚马逊密钥是不够的，通过自带密钥去管理云数据才是合规的。

■ 特点及新变化 ■

相比于等保1.0，等保2.0有其独特的特点和新变化。

总的来说，等保2.0既满足了国家相关法律和制度的要求，也降低了信息安全风险，进而提高定级对象的安全防护能力，在合理地规避或降低风险的同时，又履行和落实网络信息安全责任义务。因此等保2.0也可以被广泛应用在以下行业中。

■ Agilewing解决方案 ■

整体来讲，Agilewing通过以下四个部分来帮助客户实现等保2.0，尤其是云上等保备案的实现的。

这四部分是依次递进的关系。首先通过网络安全等级保护服务和信息安全管理体系咨询来获悉客户在等保上的需求点。大部分情况下客户是有一定的网络安全防护能力的，或者是建立了一部分安全管理规范的，只是不熟悉等保2.0的合规标准，对自己是否具备了与等保2.0所要求的安全防护措施和安全管理标准的能力一知半解，更有的不清楚等保2.0究竟是做什么，这些都需要Agilewing都会帮客户咨询解答。

其次在了解了等保上的需求点之后就可以通过渗透测试、漏洞扫描、信息安全风险评估等一系列安全服务来评估客户与等保2.0要求直接的差距，再接下来就是通过相应的安全设置和安全产品的配置来达到等保2.0的要求。

最后就要有“授人以渔”的能力，通过安全培训提高员工安全意识，以及培养员工安全合规的开发理念与运维的标准。这个是Agilewing的一个整体的等保网络安全的解决方案。