使用公有云上解決方案，APP是否滿足等保2.0要求？

等級保護(hù)2.0標(biāo)準(zhǔn)自2019年12月1日正式落地實(shí)施開始,就在網(wǎng)絡(luò)安全法規(guī)中占據(jù)了重要位置,所有等級保護(hù)測評必須按照2.0標(biāo)準(zhǔn)進(jìn)行實(shí)施。

等保2.0的發(fā)布,是對除傳統(tǒng)的信息系統(tǒng)之外的新型網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力提升的有效補(bǔ)充,是貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》、實(shí)現(xiàn)國家網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的基礎(chǔ)。

基于定級、備案、建設(shè)和整改、等級測評、檢查5個運(yùn)行步驟,等保2.0也將信息系統(tǒng)按照重要程度由低到高分為5個等級,相應(yīng)實(shí)施不同保護(hù)策略:

一級系統(tǒng)簡單,不需要備案,影響程度很小,因此不作為重點(diǎn)監(jiān)管對象;

二級系統(tǒng)大概50萬個左右;

三級系統(tǒng)大概5萬個;

四級系統(tǒng)量級較大,比如支付寶、銀行總行系統(tǒng)、國家電網(wǎng)系統(tǒng),有1000個左右;

五級系統(tǒng)屬國家級、國防類的系統(tǒng),比如核電站、軍用通信系統(tǒng)。

截至目前,根據(jù)各測評機(jī)構(gòu)和APP運(yùn)營商的反映,有部分移動應(yīng)用的服務(wù)器端部署在公有云上(如阿里云、騰訊云等),這些公有云平臺也提供了面向等級保護(hù)合規(guī)要求的解決方案。

那么,如果使用了云平臺提供的解決方案,移動應(yīng)用是否就能夠滿足等級保護(hù)2.0標(biāo)準(zhǔn)的要求呢?

從覆蓋范圍來看

云平臺提供的等級保護(hù)解決方案主要是針對應(yīng)用系統(tǒng)的通用安全要求,對等級保護(hù)2.0標(biāo)準(zhǔn)的擴(kuò)展要求是覆蓋不足的。

移動互聯(lián)安全擴(kuò)展要求有三個保護(hù)對象:移動應(yīng)用、無線網(wǎng)絡(luò)和移動終端,目前云平臺的等級保護(hù)方案對無線網(wǎng)絡(luò)和移動終端都無法覆蓋,主要是覆蓋了移動應(yīng)用的服務(wù)器端,對應(yīng)用客戶端(我們通常所說的APP)安全防護(hù)是沒有覆蓋到的。

從方案內(nèi)容來看

云平臺提供的等級保護(hù)解決方案主要是針對云數(shù)據(jù)中心的安全防護(hù)產(chǎn)品,如防火墻、入侵檢測等,對于需要非產(chǎn)品類安全能力來滿足的要求難以提供。

具體到移動互聯(lián)安全領(lǐng)域,移動應(yīng)用的客戶端的安全檢測、安全加固、客戶端軟件的安全防護(hù)都難以通過云平臺的解決方案得以有效的滿足。

從專業(yè)角度來看

有些云平臺會提供APP檢測和加固的解決方案,但其提供的方案普遍屬于基礎(chǔ)性方案(比如檢測僅提供靜態(tài)檢測,加固僅提供傳統(tǒng)的加殼等),僅適用于對安全防護(hù)要求不高的APP。

而對于納入等級保護(hù)的APP而言,這種強(qiáng)度的保護(hù)顯然是不夠的,一方面難以發(fā)現(xiàn)深層次的安全隱患,另一方面這種加固對于具備逆向工程能力的攻擊者而言是形同虛設(shè)的。

而且,根據(jù)“誰運(yùn)營誰負(fù)責(zé),誰使用誰負(fù)責(zé),誰主管誰負(fù)責(zé)”的原則,系統(tǒng)責(zé)任主體仍然還是屬于網(wǎng)絡(luò)運(yùn)營者自己。

因此,對于納入等級保護(hù)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)而言,僅依賴于云平臺所提供等級保護(hù)合規(guī)方案,并不能完全符合等級保護(hù)2.0的要求,尤其是在移動互聯(lián)安全領(lǐng)域,應(yīng)該采用專業(yè)的移動互聯(lián)安全解決方案。

能信安提供的移動互聯(lián)安全解決方案,可以在云平臺通用解決方案的基礎(chǔ)上,提供APP的深度安全檢測和高強(qiáng)度的加固解決方案、無線網(wǎng)絡(luò)的安全防御、智能移動終端設(shè)備的安全檢測等專業(yè)能力,從而為網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供覆蓋全面、內(nèi)容完整、技術(shù)先進(jìn)的等級保護(hù)合規(guī)解決方案。

移動安全是一個動態(tài)而非靜止的過程,不是通過一次測評就可以一勞永逸的,能信安將協(xié)助企業(yè)通過落實(shí)等保安全要求,嚴(yán)格執(zhí)行各項(xiàng)安全管理的規(guī)章制度,保障系統(tǒng)合規(guī)性和安全性,并穩(wěn)定運(yùn)行。