云计算服务安全评估办法

7月31日,中央网络安全和信息化委员会办公室官方网站更新了“通过云计算服务安全评估的云平台”名单,深信服安全托管运营服务云平台(以下简称“MSS服务平台”)成功入选,获得SaaS服务模式下的“增强级”安全能力级别认证。

从网信办官方网站的名单来看,深信服是第一家通过云计算服务安全评估的安全厂商和MSS服务商,也是目前为止唯一一个以SaaS化云服务模式通过评估的云平台。

MSS服务平台承载着深信服战略业务安全托管服务MSS的运行,此次入选名单及获得认证,代表着MSS服务平台在平台安全性与可控性、用户数据安全、服务人员背景与稳定性、业务连续性、供应链安全情况等方面符合相关标准的严格要求,得到国家网络安全主管部门和测评机构的评估认证,可有效降低党政机关、关键信息基础设施运营者和其他企事业单位采购和使用云化安全托管服务来保障网络安全时带来的安全风险。

历时一年多的权威评估

为提高云计算服务的安全可控水平,2019年7月,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部四部委联合发布了《云计算服务安全评估办法》,组织对云服务提供商的云平台开展安全评估。主要依据以下国家标准对云平台进行评估:

GB/T31168-2014《信息安全技术云计算服务安全能力要求》

GB/T31167-2014《信息安全技术云计算服务安全指南》

GB/T34942-2017《信息安全技术云计算服务安全能力评估方法》

GB/T37972-2019《信息安全技术云计算服务运行监管框架》

评估方式包括技术测试、现场环境勘验、人员访谈、人员背景调查、客户访谈、制度审阅、文档审核等多种方式。

此次MSS服务平台申请的是最高级别“增强级”的评估,且是第一个单独以SaaS服务模式申请评估的云平台,具有一定的创新性,因此评估专家组提出了更高的评估要求。

整个评估过程历时一年多,评估内容具体包括人员背景安全、人员能力水平和稳定性、核心软硬件产品和服务持续供应、核心软硬件产品和服务安全、供应链过程安全、安全组织与岗位职责、制度建设与合同要求、物理安全、系统保护与安全评估、访问控制、维护与审计、数据安全、数据可迁移性承诺、可移植和互操作性、云平台业务连续性等15大类共计562个指标项。

除了依据云安全评估办法的基本要求,还参考其他相关标准对SaaS模式下存在的典型安全风险进行了评估,包括数据采集、数据存储和销毁、租户数据隔离、Web访问安全、平台与设备对接、云地协同机制、服务报告传输等不同环节的安全保障措施。范围之广泛、标准之严格、流程之规范也充分说明了云安全评估的专业性和权威性。

MSS服务平台价值

此次通过评估的云平台为云化安全托管服务MSS的交付提供全方位的能力支持,主要包含3大部分——安全能力中台、安全托管服务平台和专家团队。

其中,安全能力中台(XDR底座)通过多维数据协同与大数据分析对网络侧、终端侧的遥测数据进行聚合、关联,深度精准挖掘风险事件,为服务周期内的检测、分析、调查、响应等工作提供能力支撑;

安全托管服务平台为全服务周期内各项服务工作提供支撑,通过不断沉淀固化最佳服务流程、专家实战经验,并结合威胁狩猎系统、流程引擎、知识库、工具库、工单系统、报告中心等核心模块,规范和提升整体安全托管服务效果、质量及体验。

MSS服务专家包括服务经理、告警分析师、应急响应专家、威胁挖掘专家、高级威胁分析专家、威胁情报专家、攻防专家、业务专家等不同角色,他们利用自身扎实的专业知识和丰富的实战经验,通过云平台强大的技术能力和可控的安全性,为用户提供效果可承诺的省心托管服务。

此次MSS云安全评估工作不是终点,而是安全托管服务MSS继续创新之路的起点。

深信服作为国内率先发布安全托管服务MSS的厂商,将按照云安全评估的严格要求继续完善安全能力,继续全方位地提升MSS服务平台的安全可控水平,致力于让所有用户安全领先一步,为广大用户提供更有效、更放心的安全托管服务。