基本要求的一個突出變化是由安全要求改進為通用要求和擴展要求，新增加對云計算、移動互聯(lián)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)新技術(shù)應(yīng)用的適用場景（大數(shù)據(jù)方面以附錄形式提出）。通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現(xiàn)，應(yīng)根據(jù)安全保護等級實現(xiàn)相應(yīng)級別的通用要求，而擴展要求針對個性化保護需求提出，需要根據(jù)特定技術(shù)或特定的應(yīng)用場景選擇性實現(xiàn)擴展要求。如圖10所示。

公安部信息安全等級保護評估中心副研究員馬力表示，這意味著單位在實施等保工作時，通用要求是必須要做的，而擴展要求要根據(jù)實際應(yīng)用場景來選擇，例如單位的業(yè)務(wù)系統(tǒng)如果采用了云計算技術(shù)，在進行等保工作是就要在符合某級別通用要求的基礎(chǔ)上，再進行對應(yīng)的云計算擴展要求。

圖10 安全通用要求與安全擴展要求

安全擴展要求的變化

云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求，對云計算環(huán)境主要增加的內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務(wù)商選擇”和“云計算環(huán)境管理”等方面。

移動互聯(lián)安全擴展要求章節(jié)針對移動互聯(lián)的特點提出特殊保護要求，對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等方面。

工業(yè)控制系統(tǒng)安全擴展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求，對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面。

物聯(lián)網(wǎng)安全擴展要求章節(jié)針對物聯(lián)網(wǎng)的特點提出特殊保護要求，對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括“感知節(jié)點的物理防護”、“感知節(jié)點設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面。

單位如何開展云計算環(huán)境的等級保護工作

很多云租戶片面地認為安全防護應(yīng)該由云服務(wù)商實現(xiàn)，只需把業(yè)務(wù)系統(tǒng)遷移至云端即可，但實際上云租戶也是有安全責任的。

綠盟科技提醒，云服務(wù)商和云服務(wù)客戶擁有不同控制范圍，其安全責任邊界不同，云服務(wù)商和云服務(wù)客戶應(yīng)根據(jù)各自安全責任，進行安全防護能力建設(shè)。

在云計算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計算平臺單獨作為定級對象定級，云租戶側(cè)的等級保護對象也應(yīng)作為單獨的定級對象定級。

啟明星辰建議，對于單位自建的云平臺，將云平臺作為基礎(chǔ)設(shè)施，云客戶業(yè)務(wù)系統(tǒng)作為信息系統(tǒng)，分別作為定級對象進行定級。對于大型云平臺，當運管平臺共用時，可將云計算基礎(chǔ)設(shè)施與運管平臺系統(tǒng)分開定級。責任分離，分別定級，各自備案。云計算基礎(chǔ)設(shè)施的安全保護等級不低于其所支撐的業(yè)務(wù)系統(tǒng)的等級。針對私有云用戶，也要按照云平臺和云業(yè)務(wù)系統(tǒng)，分別進行定級。并且云平臺的安全等級不低于其所支撐的業(yè)務(wù)系統(tǒng)的等級。

對于部署在公有云上的信息系統(tǒng)開展等級保護工作，應(yīng)遵循如下原則：應(yīng)確保云計算平臺不承載高于其安全保護等級的業(yè)務(wù)應(yīng)用系統(tǒng)；應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)；云計算平臺的運維地點應(yīng)位于中國境內(nèi)，如需境外對境內(nèi)云計算平臺實施運維操作應(yīng)遵循國家相關(guān)規(guī)定；云計算平臺運維過程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、日志信息等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。

公有云服務(wù)方側(cè)的云平臺單獨作為定級對象定級，云租戶側(cè)的等級保護對象也應(yīng)作為單獨的定級對象定級，云平臺的等級要不低于云上租戶的業(yè)務(wù)應(yīng)用系統(tǒng)的最高級。

公有云開展等級保護一般分為兩個部分：一是云平臺本身，等保2.0中明確提出對于公有云定級流程為云平臺先定級測評，再提供云服務(wù)。二是云租戶信息系統(tǒng)，比如某政府單位門戶網(wǎng)站系統(tǒng)，在嵌入公有云平臺后，還需對該門戶網(wǎng)站獨立定級備案、進行等保測評。其中，涉及云平臺部分的內(nèi)容可以不重復(fù)測評，測評結(jié)論直接引用即可。

不同云計算服務(wù)模式需要采取不同職責劃分方式：對于IaaS服務(wù)模式，云服務(wù)商的職責范圍包括虛擬機監(jiān)視器和硬件，云租戶的職責范圍包括操作系統(tǒng)、中間件和應(yīng)用數(shù)據(jù)；對于PaaS服務(wù)模式，云服務(wù)商的職責范圍包括硬件、虛擬機監(jiān)視器、操作系統(tǒng)和中間件。云租戶的職責范圍為應(yīng)用和數(shù)據(jù)；對于SaaS服務(wù)模式，云服務(wù)商的職責范圍包括硬件、虛擬機監(jiān)視器、操作系統(tǒng)、中間件和應(yīng)用，云租戶的職責范圍包括部分應(yīng)用職責及用戶使用職責。

結(jié)語：

等保2.0時代已經(jīng)到來，等保合規(guī)工作值得每一個組織機構(gòu)去學習和重視。事實上，由于當前復(fù)雜的網(wǎng)絡(luò)安全形勢，合規(guī)早已不是也決不能是組織機構(gòu)的最低要求，更多還要考慮其本身的網(wǎng)絡(luò)安全需要，從自身出發(fā)做好網(wǎng)絡(luò)安全保障工作，這樣才能確保企業(yè)能夠積極應(yīng)對新時期的各種網(wǎng)絡(luò)威脅與挑戰(zhàn)。