隨著一系列等級保護(hù)新標(biāo)準(zhǔn)的順利發(fā)布，網(wǎng)絡(luò)安全等級保護(hù)也進(jìn)入到2.0時代。作為新增的等級保護(hù)對象，云計算平臺/系統(tǒng)新增安全要求如何？有哪些地方值得重點(diǎn)關(guān)注？

今天來為您一一解讀。

一、云安全挑戰(zhàn)

云計算平臺作為信息化建設(shè)中的重要系統(tǒng)，具備開放型巨系統(tǒng)的特征，系統(tǒng)組成極為復(fù)雜。由此決定著云計算平臺將面臨著各個層面的網(wǎng)絡(luò)安全挑戰(zhàn)。

首先，是來自網(wǎng)絡(luò)和通訊的安全挑戰(zhàn)。這類攻擊是借助網(wǎng)絡(luò)、通訊特性如帶寬、傳輸會話、數(shù)據(jù)包轉(zhuǎn)發(fā)等實施的攻擊。例如，直接通過網(wǎng)絡(luò)實施DDOS攻擊，通過網(wǎng)絡(luò)使用不安全接口實施注入、盜取秘鑰、非法獲取敏感數(shù)據(jù)、非法篡改數(shù)據(jù)攻擊，通過網(wǎng)絡(luò)實施賬戶劫持以及通過網(wǎng)絡(luò)傳輸?shù)腁PT類攻擊等。

其次，是面向設(shè)備和計算的安全挑戰(zhàn)。攻擊者利用云計算設(shè)備和平臺性能優(yōu)勢或固有特性實施直接或間接的攻擊，如：身份驗證和憑證被盜取、云計算存儲資源數(shù)據(jù)殘留、存在漏洞的基礎(chǔ)服務(wù)資源被共享使用、云服務(wù)被濫用于其他網(wǎng)絡(luò)攻擊等。

第三，是面向應(yīng)用和數(shù)據(jù)的安全挑戰(zhàn)。應(yīng)用的目的是處理數(shù)據(jù)，云計算軟件漏洞、不安全接口、數(shù)據(jù)庫存儲不受控、黑客攻擊、員工處理數(shù)據(jù)的異常操作、未被授權(quán)的訪問等可造成數(shù)據(jù)泄露、數(shù)據(jù)異常銷毀、數(shù)據(jù)永久丟失等重大損失。

第四，是來自管理、運(yùn)維的安全挑戰(zhàn)。在云計算管理層面，缺乏盡職調(diào)查、數(shù)據(jù)所有權(quán)缺乏保障體系；在運(yùn)維層面，存在云使用方或云租戶對云計算服務(wù)方過度依賴，甚至被云計算服務(wù)方鎖定、惡意越權(quán)訪問、濫用職權(quán)以及誤操作等，存在信息安全隱患的管理和運(yùn)維，這些對云計算平臺的安全穩(wěn)定帶來巨大風(fēng)險和隱患。

二、云等保要求總覽

在政府積極引導(dǎo)和企業(yè)戰(zhàn)略布局等推動下，經(jīng)過近十余年的發(fā)展，云計算已逐漸被市場認(rèn)可和接受，政務(wù)、金融、運(yùn)營商和工業(yè)等多個行業(yè)的信息系統(tǒng)已經(jīng)運(yùn)行在云端。相對于傳統(tǒng)信息系統(tǒng)，云計算平臺/系統(tǒng)如何進(jìn)行等級保護(hù)非常受關(guān)注。新等級保護(hù)標(biāo)準(zhǔn)的發(fā)布，明確了云計算平臺/系統(tǒng)作為等級保護(hù)對象的具體要求，指導(dǎo)云計算平臺/系統(tǒng)的安全建設(shè)。

新標(biāo)準(zhǔn)中對于云計算平臺/系統(tǒng)的等級保護(hù)，仍然根據(jù)“一個中心，三重防護(hù)”體系框架，提出了具體的技術(shù)要求，以及包含云服務(wù)商選擇、供應(yīng)鏈管理和云計算環(huán)境管理等方面的管理要求。云計算平臺/系統(tǒng)的安全建設(shè)或安全整改，需同時根據(jù)安全通用要求和安全擴(kuò)展要求，構(gòu)建具有相應(yīng)等級安全防護(hù)能力的安全防御體系。

注：安全管理制度、安全管理機(jī)構(gòu)和安全管理人員，云計算平臺/系統(tǒng)無單獨(dú)安全擴(kuò)展要求。

三、云等保組織架構(gòu)

云計算等級保護(hù)的施行由兩部分組成，一部分是組織，另外一部分是施行邏輯。就組織而言，云計算等級保護(hù)有完善的指導(dǎo)、規(guī)劃、試測、建設(shè)、驗證、審計和持續(xù)優(yōu)化流程組織形式和流程。

等級保護(hù)實施流程

四、云等?？蚣?br />
云計算等級保護(hù)是整個等保2.0的一部分，它與等級保護(hù)的“通用”部分形成一個整體，來約束云計算平臺的等級保護(hù)建設(shè)，為云計算平臺網(wǎng)絡(luò)安全建設(shè)設(shè)立基線。云計算等級保護(hù)框架按照系統(tǒng)組成來劃分，大致可分為面向整個云計算平臺的防護(hù)要求和面向云計算負(fù)載的防護(hù)要求。

云計算安全等級保護(hù)是等級保護(hù)框架的一部分

云計算系統(tǒng)分級需要綜合等級保護(hù)中的安全通用要求和云計算安全兩個模塊的內(nèi)容，進(jìn)行定級。云計算等級保護(hù)的每個等級依據(jù)威脅對目標(biāo)造成的影響程度，形成有梯度的防護(hù)。這些要求被整體劃分為技術(shù)要求和管理要求，分別面向云計算平臺系統(tǒng)和云計算平臺管理兩個部分。以三級等保建設(shè)為例，其技術(shù)要求160多項、管理要求120多項。

對于云計算平臺/系統(tǒng)的等級保護(hù)，我們以第三級要求說明有哪些應(yīng)該重點(diǎn)關(guān)注。

五、抓住重點(diǎn)

1.責(zé)任共擔(dān)要求

云計算平臺/系統(tǒng)通常由設(shè)施、硬件、資源抽象控制、虛擬化計算資源、軟件平臺和應(yīng)用軟件等組成。根據(jù)不同服務(wù)模式（IaaS、PaaS和SaaS），云服務(wù)商和云服務(wù)客戶擁有不同控制范圍，其安全責(zé)任邊界不同；云服務(wù)商和云服務(wù)客戶應(yīng)根據(jù)各自安全責(zé)任，進(jìn)行安全防護(hù)能力建設(shè)?，F(xiàn)實情況是云服務(wù)客戶通常認(rèn)為安全防護(hù)應(yīng)該由云服務(wù)商實現(xiàn)，只需把業(yè)務(wù)系統(tǒng)遷移至云端即可，這需要引導(dǎo)云服務(wù)客戶關(guān)注等級保護(hù)，并采取相應(yīng)安全防護(hù)，與云服務(wù)商一起共同保護(hù)云計算平臺/系統(tǒng)。

2.安全通信網(wǎng)絡(luò)要求

解讀：

根據(jù)控制范圍，云計算定級對象可分為云服務(wù)商控制部分（如云計算平臺）和云服務(wù)客戶控制部分（如業(yè)務(wù)應(yīng)用系統(tǒng)），應(yīng)分別進(jìn)行定級，且云服務(wù)商控制部分比云服務(wù)客戶控制部分高，云服務(wù)商的測評可以被復(fù)用。在進(jìn)行安全建設(shè)時，云服務(wù)商應(yīng)該為云服務(wù)客戶提供安全產(chǎn)品或服務(wù)，然而云計算平臺/系統(tǒng)，尤其是私有云部署方式下，僅提供基礎(chǔ)的安全能力，并不能滿足等級保護(hù)要求。這就需要云服務(wù)商能夠提供第三方安全產(chǎn)品/服務(wù)或允許客戶接入第三方安全產(chǎn)品或服務(wù)，并且云服務(wù)客戶可以自主設(shè)置安全策略。

3.安全區(qū)域邊界

解讀：

相較于傳統(tǒng)信息系統(tǒng)，云計算平臺/系統(tǒng)新增了一些組件，如宿主機(jī)、虛擬機(jī)和虛擬化網(wǎng)絡(luò)等。所以在做安全區(qū)域邊界設(shè)計時，除了關(guān)注物理區(qū)域邊界和物理網(wǎng)絡(luò)節(jié)點(diǎn)外，還應(yīng)該關(guān)注虛擬化網(wǎng)絡(luò)邊界和虛擬網(wǎng)絡(luò)節(jié)點(diǎn)，以及虛擬機(jī)與物理機(jī)、虛擬機(jī)與虛擬機(jī)間網(wǎng)絡(luò)流量，一方面做好物理網(wǎng)絡(luò)的訪問控制和入侵防范等，另一方面利用云計算平臺/系統(tǒng)的安全能力或第三方安全產(chǎn)品/服務(wù)，做好虛擬區(qū)域邊界的訪問控制和入侵防范等。

安徽靈狐科技作為等級保護(hù)專業(yè)服務(wù)提供商，專注您的線上云等保，詳情請咨詢400電話，一站式解決方案。