使用公有云上解決方案，APP是否滿足等保2.0要求？

等級保護2.0標準自2019年12月1日正式落地實施開始,就在網(wǎng)絡安全法規(guī)中占據(jù)了重要位置,所有等級保護測評必須按照2.0標準進行實施。

等保2.0的發(fā)布,是對除傳統(tǒng)的信息系統(tǒng)之外的新型網(wǎng)絡系統(tǒng)安全防護能力提升的有效補充,是貫徹落實《中華人民共和國網(wǎng)絡安全法》、實現(xiàn)國家網(wǎng)絡安全戰(zhàn)略目標的基礎。

基于定級、備案、建設和整改、等級測評、檢查5個運行步驟,等保2.0也將信息系統(tǒng)按照重要程度由低到高分為5個等級,相應實施不同保護策略:

一級系統(tǒng)簡單,不需要備案,影響程度很小,因此不作為重點監(jiān)管對象;

二級系統(tǒng)大概50萬個左右;

三級系統(tǒng)大概5萬個;

四級系統(tǒng)量級較大,比如支付寶、銀行總行系統(tǒng)、國家電網(wǎng)系統(tǒng),有1000個左右;

五級系統(tǒng)屬國家級、國防類的系統(tǒng),比如核電站、軍用通信系統(tǒng)。

截至目前,根據(jù)各測評機構和APP運營商的反映,有部分移動應用的服務器端部署在公有云上(如阿里云、騰訊云等),這些公有云平臺也提供了面向等級保護合規(guī)要求的解決方案。

那么,如果使用了云平臺提供的解決方案,移動應用是否就能夠滿足等級保護2.0標準的要求呢?

從覆蓋范圍來看

云平臺提供的等級保護解決方案主要是針對應用系統(tǒng)的通用安全要求,對等級保護2.0標準的擴展要求是覆蓋不足的。

移動互聯(lián)安全擴展要求有三個保護對象:移動應用、無線網(wǎng)絡和移動終端,目前云平臺的等級保護方案對無線網(wǎng)絡和移動終端都無法覆蓋,主要是覆蓋了移動應用的服務器端,對應用客戶端(我們通常所說的APP)安全防護是沒有覆蓋到的。

從方案內(nèi)容來看

云平臺提供的等級保護解決方案主要是針對云數(shù)據(jù)中心的安全防護產(chǎn)品,如防火墻、入侵檢測等,對于需要非產(chǎn)品類安全能力來滿足的要求難以提供。

具體到移動互聯(lián)安全領域,移動應用的客戶端的安全檢測、安全加固、客戶端軟件的安全防護都難以通過云平臺的解決方案得以有效的滿足。

從專業(yè)角度來看

有些云平臺會提供APP檢測和加固的解決方案,但其提供的方案普遍屬于基礎性方案(比如檢測僅提供靜態(tài)檢測,加固僅提供傳統(tǒng)的加殼等),僅適用于對安全防護要求不高的APP。

而對于納入等級保護的APP而言,這種強度的保護顯然是不夠的,一方面難以發(fā)現(xiàn)深層次的安全隱患,另一方面這種加固對于具備逆向工程能力的攻擊者而言是形同虛設的。

而且,根據(jù)“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,系統(tǒng)責任主體仍然還是屬于網(wǎng)絡運營者自己。

因此,對于納入等級保護的網(wǎng)絡應用系統(tǒng)而言,僅依賴于云平臺所提供等級保護合規(guī)方案,并不能完全符合等級保護2.0的要求,尤其是在移動互聯(lián)安全領域,應該采用專業(yè)的移動互聯(lián)安全解決方案。

能信安提供的移動互聯(lián)安全解決方案,可以在云平臺通用解決方案的基礎上,提供APP的深度安全檢測和高強度的加固解決方案、無線網(wǎng)絡的安全防御、智能移動終端設備的安全檢測等專業(yè)能力,從而為網(wǎng)絡應用系統(tǒng)提供覆蓋全面、內(nèi)容完整、技術先進的等級保護合規(guī)解決方案。

移動安全是一個動態(tài)而非靜止的過程,不是通過一次測評就可以一勞永逸的,能信安將協(xié)助企業(yè)通過落實等保安全要求,嚴格執(zhí)行各項安全管理的規(guī)章制度,保障系統(tǒng)合規(guī)性和安全性,并穩(wěn)定運行。