网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

同样在直播行业，2016年11月4日，国家互联网信息办公室发布《互联网直播服务管理规定》，即日起执行。其中第七条要求“互联网直播服务提供者应当落实主体责任，配备与服务规模相适应的专业人员，健全信息审核、信息安全管理、值班巡查、应急处置、技术保障等制度”。

在此只是列举这三大行业为代表的互联网新兴业务，其实等保的适用范围包括境内的所有计算机系统，换句话说没有哪个行业能逃避责任和监管。所以，等级保护该做吗？面对这个问题，答案无疑是肯定的。企事业单位要做得是从系统定级、系统备案、等保测评、建设整改等开展一系列工作。

但是广大新兴互联网行业从业者对等级保护要求是非常陌生的，大多数中小平台也处于业务高速发展的过程中，安全建设相对较为滞后，也难以满足等级保护的要求。这时候该怎么办？也许又有人出了“点子”，因为新兴的行业或中小平台大多也是采用的新兴信息服务，比如云。“那等保同样交给云服务商吧！”实则不然，即使采用了云，这个责任也不可能甩出去。

根据等保“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，依据GB/T31167-2014《信息安全技术 云计算服务安全管理指南》中的责任分担模型，只要这个业务应用系统不是由云服务商直接提供的，云上用户都需要对这个应用系统负责，对这个系统和数据的安全负责。阿里云构建的“等保合规生态”可以为云上租户落实国家网络安全等级保护制度提供一站式服务。

云端的等保测评

以中国最大云服务商阿里云为例，2016年10月14日，阿里云宣布完成公安部组织的等级保护标准和云计算等级保护新标准试点示范工作，成为全国首家通过国家级权威测评的云计算服务商。其中公共云平台、电子政务云平台、大数据平台等五大系统通过等级保护三级备案、测评，金融云平台通过等级保护四级的备案、测评。

不过，虽然阿里云通过了等级保护测评，并不代表云上租户的系统满足等保的要求。云租户侧的等级保护对象也应作为单独的定级对象定级，在最新GB/T31167-2014《信息安全技术 云计算服务安全管理指南》和GB/T22239.2《网络安全等级保护基本要求 第二部分：云计算安全扩展要求》中明确了不同服务模式下云服务方和云租户的安全管理责任主体，文末可参考以IaaS模式为例，云服务方与云租户的责任划分。

那么，企业如果将系统部署在云上，如何才能快速完成云上系统的等保合规？在此方面，阿里云的做法值得称赞，为了解决阿里云上系统能够快速满足等保合规的需求，阿里云通过建立“等保合规生态”，联合阿里云的安全咨询合作机构、各地测评机构和监管部门，提供一站式、全流程的等保合规解决方案。在“等保合规生态”中，阿里云提供云安全产品和服务，咨询厂商提供全流程技术支撑和咨询服务，测评机构提供测评服务，公安机关负责备案审核和监督检查。

阿里云“等保合规生态”方案

阿里云建立等保合规生态的目的，可以希望帮助用户迅速找到等保相关的各方机构，并快速进行项目实施。在等保实施每个阶段，由咨询厂商、阿里云协助运营单位完成相关工作，最后接受测评机构的测评，同时接受公安机关的监管。

所以，即使实施等保测评并不是一件简单的工作，对于很多新兴行业也面临经验不足，但是如果是云的用户，这项工作在例如阿里云等云服务商的支持下，所有的等保合规工作并不难于去完成。难的是，在如今《网络安全法》和等保框架下，企业要转变过去对安全边缘化的思路，从而重视安全并规避风险。