信息化觀察網(wǎng)

1業(yè)務(wù)可控性

等級保護(hù)工作的主要目的是提高國家重要信息系統(tǒng)、網(wǎng)絡(luò)的信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，強(qiáng)調(diào)可控，不同地區(qū)、單位或個人的系統(tǒng)安全建設(shè)需要符合所在國家和地區(qū)的法規(guī)，目前國家層面、行業(yè)層面要求IT部門應(yīng)對單位關(guān)鍵信息實現(xiàn)自主可控。

但在云計算環(huán)境下，依賴虛擬化技術(shù)提供服務(wù)，數(shù)據(jù)可能會在數(shù)據(jù)中心和物理主機(jī)之間移動，以確保負(fù)載均衡，用戶可能根本無法知道其數(shù)據(jù)存儲位置，甚至更不用說哪個國家或地區(qū)了。因此從實現(xiàn)可控目標(biāo)，定位數(shù)據(jù)的精確位置對于公共云的應(yīng)用來說是一個值得考慮的問題。而且所有數(shù)據(jù)放在公共云上，并且使用共享資源，就很難證明遵從了法規(guī)的要求，云平臺的安全等級建設(shè)是否符合所服務(wù)業(yè)務(wù)和數(shù)據(jù)的安全等級要求也是要考慮的問題。

2 核心技術(shù)的自主可控

面對云計算，雖然在我國建設(shè)了不少公有、私有云計算平臺，并不能保證我們就能夠控制云平臺中的信息資源，也不能保證我們就是唯一的控制者。由于很多技術(shù)仍然控制在國外企業(yè)手中，大規(guī)模的云計算平臺可能成為國外勢力控制中國的平臺，一些從國外購買獲得而不加以認(rèn)真研究改良的所謂自主產(chǎn)品，更在很大程度麻痹了國人，這種自主知識產(chǎn)權(quán)的本質(zhì)就是買下了推廣他人產(chǎn)品的權(quán)利，更為重要的是，互聯(lián)網(wǎng)是云發(fā)揮作用的基礎(chǔ)，基于互聯(lián)網(wǎng)的云計算本身就是巨大安全隱患。

如何在云計算核心技術(shù)并不在我們掌控的條件下實現(xiàn)核心安全技術(shù)自主可控是需要重點考慮的問題。

3 虛擬化技術(shù)安全問題及測評

在云平臺的安全保障中，僅僅采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)是不夠的，虛擬化所帶來新的安全問題應(yīng)該得到重視，而且傳統(tǒng)的安全防護(hù)手段基本安裝在系統(tǒng)的內(nèi)容環(huán)境中，易于檢查，而且，目前也有了完善的檢查技術(shù)。但對在系統(tǒng)之外的云計算應(yīng)用進(jìn)行檢查的難度非常大，如何對虛擬化的安全防護(hù)和保障技術(shù)進(jìn)行測評是等級保護(hù)中面臨的又一問題。

?對于等級保護(hù)工作保護(hù)的重點——重要系統(tǒng)和網(wǎng)絡(luò)來說，雖然都可能定為3級或4級，但由于所承載業(yè)務(wù)對于計算、存儲、安全等的需求不同，在安全整改過程中不應(yīng)是千篇一律的，是否應(yīng)用云平臺也不能干篇一律。重要信息系統(tǒng)將自己的業(yè)務(wù)應(yīng)用和數(shù)據(jù)保存到云平臺上，什么都沒考慮就突然應(yīng)用云服務(wù)是一種輕率的選擇，應(yīng)對國家重要信息系統(tǒng)(3級以上含3級)進(jìn)行適合性研究，對云應(yīng)用符合性提出建議參考。

如果一定要進(jìn)行云計算化，建議重要信息系統(tǒng)以私有云建設(shè)為前期重點，從開銷、運用程度、安全等方面考慮，將內(nèi)部的系統(tǒng)分為幾個領(lǐng)域，為以后的云遷移預(yù)先設(shè)計道路是最理想的方法。在運用云之前，必須對已有系統(tǒng)和業(yè)務(wù)進(jìn)行整理，并對云化事物和非云化事物進(jìn)行區(qū)分。