等级保护2.0标准自2019年12月1日正式落地实施开始,就在网络安全法规中占据了重要位置,所有等级保护测评必须按照2.0标准进行实施。
等保2.0的发布,是对除传统的信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。
基于定级、备案、建设和整改、等级测评、检查5个运行步骤,等保2.0也将信息系统按照重要程度由低到高分为5个等级,相应实施不同保护策略:
一级系统简单,不需要备案,影响程度很小,因此不作为重点监管对象;
二级系统大概50万个左右;
三级系统大概5万个;
四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,有1000个左右;
五级系统属国家级、国防类的系统,比如核电站、军用通信系统。
截至目前,根据各测评机构和APP运营商的反映,有部分移动应用的服务器端部署在公有云上(如阿里云、腾讯云等),这些公有云平台也提供了面向等级保护合规要求的解决方案。
那么,如果使用了云平台提供的解决方案,移动应用是否就能够满足等级保护2.0标准的要求呢?
从覆盖范围来看
云平台提供的等级保护解决方案主要是针对应用系统的通用安全要求,对等级保护2.0标准的扩展要求是覆盖不足的。
移动互联安全扩展要求有三个保护对象:移动应用、无线网络和移动终端,目前云平台的等级保护方案对无线网络和移动终端都无法覆盖,主要是覆盖了移动应用的服务器端,对应用客户端(我们通常所说的APP)安全防护是没有覆盖到的。
从方案内容来看
云平台提供的等级保护解决方案主要是针对云数据中心的安全防护产品,如防火墙、入侵检测等,对于需要非产品类安全能力来满足的要求难以提供。
具体到移动互联安全领域,移动应用的客户端的安全检测、安全加固、客户端软件的安全防护都难以通过云平台的解决方案得以有效的满足。
从专业角度来看
有些云平台会提供APP检测和加固的解决方案,但其提供的方案普遍属于基础性方案(比如检测仅提供静态检测,加固仅提供传统的加壳等),仅适用于对安全防护要求不高的APP。
而对于纳入等级保护的APP而言,这种强度的保护显然是不够的,一方面难以发现深层次的安全隐患,另一方面这种加固对于具备逆向工程能力的攻击者而言是形同虚设的。
而且,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己。
因此,对于纳入等级保护的网络应用系统而言,仅依赖于云平台所提供等级保护合规方案,并不能完全符合等级保护2.0的要求,尤其是在移动互联安全领域,应该采用专业的移动互联安全解决方案。
能信安提供的移动互联安全解决方案,可以在云平台通用解决方案的基础上,提供APP的深度安全检测和高强度的加固解决方案、无线网络的安全防御、智能移动终端设备的安全检测等专业能力,从而为网络应用系统提供覆盖全面、内容完整、技术先进的等级保护合规解决方案。
移动安全是一个动态而非静止的过程,不是通过一次测评就可以一劳永逸的,能信安将协助企业通过落实等保安全要求,严格执行各项安全管理的规章制度,保障系统合规性和安全性,并稳定运行。
