信息化觀察網(wǎng)

對于傳統(tǒng)意義的數(shù)據(jù)大集中，現(xiàn)有的等級保護政策及標準已有了比較明確的保障思路和方法，并在實踐中有了比較成熟的案例，但對于云來說，“虛擬化”和“分散處理”兩種技術是云計算兩項關鍵技術，也是云區(qū)別于以上業(yè)務的明顯特點，給云平臺按照等級保護思路開展安全保障帶來了新的問題。對于云計算帶來的新挑戰(zhàn)，筆者認為主要有以下幾點：

1業(yè)務可控性

等級保護工作的主要目的是提高國家重要信息系統(tǒng)、網(wǎng)絡的信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，強調(diào)可控，不同地區(qū)、單位或個人的系統(tǒng)安全建設需要符合所在國家和地區(qū)的法規(guī)，目前國家層面、行業(yè)層面要求IT部門應對單位關鍵信息實現(xiàn)自主可控。

但在云計算環(huán)境下，依賴虛擬化技術提供服務，數(shù)據(jù)可能會在數(shù)據(jù)中心和物理主機之間移動，以確保負載均衡，用戶可能根本無法知道其數(shù)據(jù)存儲位置，甚至更不用說哪個國家或地區(qū)了。因此從實現(xiàn)可控目標，定位數(shù)據(jù)的精確位置對于公共云的應用來說是一個值得考慮的問題。而且所有數(shù)據(jù)放在公共云上，并且使用共享資源，就很難證明遵從了法規(guī)的要求，云平臺的安全等級建設是否符合所服務業(yè)務和數(shù)據(jù)的安全等級要求也是要考慮的問題。

2 核心技術的自主可控

面對云計算，雖然在我國建設了不少公有、私有云計算平臺，并不能保證我們就能夠控制云平臺中的信息資源，也不能保證我們就是唯一的控制者。由于很多技術仍然控制在國外企業(yè)手中，大規(guī)模的云計算平臺可能成為國外勢力控制中國的平臺，一些從國外購買獲得而不加以認真研究改良的所謂自主產(chǎn)品，更在很大程度麻痹了國人，這種自主知識產(chǎn)權的本質(zhì)就是買下了推廣他人產(chǎn)品的權利，更為重要的是，互聯(lián)網(wǎng)是云發(fā)揮作用的基礎，基于互聯(lián)網(wǎng)的云計算本身就是巨大安全隱患。

如何在云計算核心技術并不在我們掌控的條件下實現(xiàn)核心安全技術自主可控是需要重點考慮的問題。

3 虛擬化技術安全問題及測評

在云平臺的安全保障中，僅僅采用傳統(tǒng)的網(wǎng)絡安全技術是不夠的，虛擬化所帶來新的安全問題應該得到重視，而且傳統(tǒng)的安全防護手段基本安裝在系統(tǒng)的內(nèi)容環(huán)境中，易于檢查，而且，目前也有了完善的檢查技術。但對在系統(tǒng)之外的云計算應用進行檢查的難度非常大，如何對虛擬化的安全防護和保障技術進行測評是等級保護中面臨的又一問題。

對于等級保護工作保護的重點——重要系統(tǒng)和網(wǎng)絡來說，雖然都可能定為3級或4級，但由于所承載業(yè)務對于計算、存儲、安全等的需求不同，在安全整改過程中不應是千篇一律的，是否應用云平臺也不能干篇一律。重要信息系統(tǒng)將自己的業(yè)務應用和數(shù)據(jù)保存到云平臺上，什么都沒考慮就突然應用云服務是一種輕率的選擇，應對國家重要信息系統(tǒng)(3級以上含3級)進行適合性研究，對云應用符合性提出建議參考。

如果一定要進行云計算化，建議重要信息系統(tǒng)以私有云建設為前期重點，從開銷、運用程度、安全等方面考慮，將內(nèi)部的系統(tǒng)分為幾個領域，為以后的云遷移預先設計道路是最理想的方法。在運用云之前，必須對已有系統(tǒng)和業(yè)務進行整理，并對云化事物和非云化事物進行區(qū)分。