标准分类变化
一中心三防护的设计思想
安全要求变化
安全通用要求和安全扩展要求
云计算安全扩展要求
云计算 等保2.0安全要求
安全通用要求
云计算安全扩展要求
技术要求 管理要求
安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心
安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理
等保2.0时代
2007年，《信息安全等 级保护管理办法》发布 信息安全等级保护制度正 式实施，进入等保1.0时 代
2017年《网络安全法》 第二十一条规定国家实行 网络安全等级保护制度， 标志着等级保护制度的法 律地位
2019年12月1日，等级保护2.0正 式实施
1
2
3
4
5
6
1994年，国务院147号 令第一次提出“计算机信 息系统实行安全等级保护” 概念
2008年，GB/T 222392008 《信息安全技术 信 息系统安全等级保护基本 要求》国家标准发布实施
2019年5月13日， GB/T22239-2019《信息 安全技术 网络安全等级保 护基本要求》 国家标准正式颁布,标志着 “等保2.0”时代正式到来
等保2.0主要变化 标准名称变化
网络安全等级保护
云计算平台 应为客户提 供按需使用 的安全能力
云计算平台 应能为客户 提供逻辑独
享的网络
云计算基础 设施要位于
中国境内
云服务客户数 据，用户个人 信息等存储于
中国境内
云上等保误区
误区一：我的系统已经上云了，系统就不用去定级了 误区二：我的系统已经上云了，测评找云平台即可 误区三：上云，全部安全就由云服务商负责
云租户
云租户侧的等级保护对象也应作为单独的定级对象 定级
在对云租户业务应用系统进行等级测评时，应选择 全部《安全测评通用要求》 和《云计算安全测评 扩展要求》 中适用于云租户业务系统的部分指标
云计算安全扩展要求
云平台和云 上租户系统 分别定级和
测评
云计算平台 不承载高于 其安全保护 等级的业务
应用系统
云平台完备的安全技术和管理架构，以及提供的安全防护体系，更有利于 租户通过等级保护测评
云平台测评结论可供租户系统测评时复用： 云平台等保备案证明 云测评报告关键页 部分测评项说明
金山云 咨询机构 测评机构 公安机关
定级
备案
建设整改
等级测评
监督检查
确定安全保护等级，编 准备备案材料，到当地 建设符合等级要求的安 准备和接受测评机构测 接受公安机关的定期检
写定级报告
公安机关备案
全技术和管理体系
评
查
协助专业咨询机构为运 营单位提供辅导服务
辅导运营单位准备定级 对象，准备定级报告，
全面的安全防护体系
金山云提供丰富的安 全产品和行业最资深 的安全专家服务，全 面满足等保的建设要 求，保障快速、合规
的建设整改
金山云等保服务解决方案
技术要求
安全通信网 络
应采用校验技术或密码技术保证数据完整性和保密性；
应对进出网络的数据流实现基于应用协议和应用内容的访问控制
解决方案 SSL证书 WEB应用防火墙
漏洞扫描
安全管理中 应能够对网络中安全事件识别、报警和分析；汇总各个设备审计数据集中分析；态势感知
心
应定期对系统日常运行、系统漏洞和数据备份等情况进行常规检查；对发现的 安全漏洞和隐患及时进行修补；对安全人员技能培训等
高级安全服务
云金上山高云级安安全全服服务务
云上的租户系统通过等级保护测评时，物理安全、部分网络安全和安全管 理的结论可以复用
云计算平台自身安全防护要求 云计算平台向其上租户系统提供安全服务能力的要求 针对租户的安全要求
云计算安全扩展要求
云计算环境
云服务方
在云计算环境中，应将云服务方侧的云计算平台单 独作为定级对象定级
在对云服务方的云计算平台上进行等级测评时，应 选择全部《安全测评通用要求》 +《云计算安全测 评扩展要求》 中适用于云计算平台的部分指标
结论可以复用。
优质的等保测评服务
金山云联合各地优质 的咨询机构和测评机 构，为您提供完整、 持续的等保合规咨询 服务和等保测评服务， 帮助客户轻松过等保
全面的安全防护体系
金山云提供丰富的安 全产品和行业最资深 的安全专家服务，全 面满足等保的建设要 求，保障快速、合规
的建设整改
金山云等保服务流程
角色/流程 运营单位
安全区域边 界
应根在据网会络话边状界态部信署息访控问制控访制问策；略，优化规则、ACL表，地址、端口、协议检查；安全组
应在关键网络节点监控攻击，限制内外双向攻击，行为分析检测新型网络攻击 幵记录、报警
高防IP
应遵循最小安装原则，具有鉴别用户身份、管理端口、远程防窃听、双因子身 份鉴别、漏洞发现修补、入侵检测报警的功能
云环境责任共担
层级
IaaS PaaS SaaS
云服务商
设施、硬件、资源抽象控制层安全等
设施、硬件、资源抽象控制层安全 虚拟化计算资源、软件平台等
全
云租户
应用平台、软件平台、虚拟化计算资源等 应用平台等
部分应用安全责任、应用的安全使用等
云平台助备的安全技术 和管理架构，以及提 供的安全防护体系， 更有利于租户通过等 级保护测评。物理安 全、部分网络安全等
对等级保护对象符合性 状况进行测评
当地公安机关审核受理 备案材料
公安机关监督检查运营 单位开展等级保护工作
云平台助力等保合规
合规的基础设施平台
平台完备的安全技术 和管理架构，以及提 供的安全防护体系， 更有利于租户通过等 级保护测评。物理安 全、部分网络安全等
结论可以复用。
优质的等保测评服务
金山云联合各地优质 的咨询机构和测评机 构，为您提供完整、 持续的等保合规咨询 服务和等保测评服务， 帮助客户轻松过等保
幵组织专家评审
协助专业咨询机构为运 营单位提供辅导服务
辅导运营单位准备备案 材料和提交备案申请
依据差距评估和整改方 案提供合规安全产品和
服务
辅导运营单位进行差距 评估，方案设计幵完成
建设整改
提供云平台安全资质， 等保备案证明，测评报
告关键页等材料
协助运营单位配合测评 中心开展测评工作幵进
行整改
协助运营单位接受检查 和进行整改
服务器安全
安全计算环 应能够对登录的用户账户管理、授权；清理无用、共享账户；对重要主体和客 境 体设置安全标记，控制访问；
堡垒机
应覆盖性审计用户行为和安全事件；审计记录包含必要信息幵定期备份、防止 篡改删除；审计进程保护，防止中断；
数据库审计
应能够识别安全漏洞和隐患，对发现的安全漏洞及隐患进行修补；
云市场快速发展
自2016 年以来，中国已经跃居全球仅次于美国的第二大公有云IaaS市场。2018年，全球前十大公有云IaaS服务商中，中国已有阿里巴巴、腾讯、中国电信、金山云四家服 务商上榜。而在2014年，仅阿里巴巴一家企业入围。相比全球其它区域市场，中国互联网行业高速发展、政策强力推动、市场活跃需求、服务商大举投入，使得公有云服 务市场获得了快速发展，也为中国更多公有云服务商带来了发展壮大的可能。