對(duì)于傳統(tǒng)意義的數(shù)據(jù)大集中,現(xiàn)有的等級(jí)保護(hù)政策及標(biāo)準(zhǔn)已有了比較明確的保障思路和方法,并在實(shí)踐中有了比較成熟的案例,但對(duì)于云來說,“虛擬化”和“分散處理”兩種技術(shù)是云計(jì)算兩項(xiàng)關(guān)鍵技術(shù),也是云區(qū)別于以上業(yè)務(wù)的明顯特點(diǎn),給云平臺(tái)按照等級(jí)保護(hù)思路開展安全保障帶來了新的問題。對(duì)于云計(jì)算帶來的新挑戰(zhàn),筆者認(rèn)為主要有以下幾點(diǎn):
1業(yè)務(wù)可控性
等級(jí)保護(hù)工作的主要目的是提高國(guó)家重要信息系統(tǒng)、網(wǎng)絡(luò)的信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),強(qiáng)調(diào)可控,不同地區(qū)、單位或個(gè)人的系統(tǒng)安全建設(shè)需要符合所在國(guó)家和地區(qū)的法規(guī),目前國(guó)家層面、行業(yè)層面要求IT部門應(yīng)對(duì)單位關(guān)鍵信息實(shí)現(xiàn)自主可控。
但在云計(jì)算環(huán)境下,依賴虛擬化技術(shù)提供服務(wù),數(shù)據(jù)可能會(huì)在數(shù)據(jù)中心和物理主機(jī)之間移動(dòng),以確保負(fù)載均衡,用戶可能根本無法知道其數(shù)據(jù)存儲(chǔ)位置,甚至更不用說哪個(gè)國(guó)家或地區(qū)了。因此從實(shí)現(xiàn)可控目標(biāo),定位數(shù)據(jù)的精確位置對(duì)于公共云的應(yīng)用來說是一個(gè)值得考慮的問題。而且所有數(shù)據(jù)放在公共云上,并且使用共享資源,就很難證明遵從了法規(guī)的要求,云平臺(tái)的安全等級(jí)建設(shè)是否符合所服務(wù)業(yè)務(wù)和數(shù)據(jù)的安全等級(jí)要求也是要考慮的問題。
2 核心技術(shù)的自主可控
面對(duì)云計(jì)算,雖然在我國(guó)建設(shè)了不少公有、私有云計(jì)算平臺(tái),并不能保證我們就能夠控制云平臺(tái)中的信息資源,也不能保證我們就是唯一的控制者。由于很多技術(shù)仍然控制在國(guó)外企業(yè)手中,大規(guī)模的云計(jì)算平臺(tái)可能成為國(guó)外勢(shì)力控制中國(guó)的平臺(tái),一些從國(guó)外購(gòu)買獲得而不加以認(rèn)真研究改良的所謂自主產(chǎn)品,更在很大程度麻痹了國(guó)人,這種自主知識(shí)產(chǎn)權(quán)的本質(zhì)就是買下了推廣他人產(chǎn)品的權(quán)利,更為重要的是,互聯(lián)網(wǎng)是云發(fā)揮作用的基礎(chǔ),基于互聯(lián)網(wǎng)的云計(jì)算本身就是巨大安全隱患。
如何在云計(jì)算核心技術(shù)并不在我們掌控的條件下實(shí)現(xiàn)核心安全技術(shù)自主可控是需要重點(diǎn)考慮的問題。
3 虛擬化技術(shù)安全問題及測(cè)評(píng)
在云平臺(tái)的安全保障中,僅僅采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)是不夠的,虛擬化所帶來新的安全問題應(yīng)該得到重視,而且傳統(tǒng)的安全防護(hù)手段基本安裝在系統(tǒng)的內(nèi)容環(huán)境中,易于檢查,而且,目前也有了完善的檢查技術(shù)。但對(duì)在系統(tǒng)之外的云計(jì)算應(yīng)用進(jìn)行檢查的難度非常大,如何對(duì)虛擬化的安全防護(hù)和保障技術(shù)進(jìn)行測(cè)評(píng)是等級(jí)保護(hù)中面臨的又一問題。
對(duì)于等級(jí)保護(hù)工作保護(hù)的重點(diǎn)——重要系統(tǒng)和網(wǎng)絡(luò)來說,雖然都可能定為3級(jí)或4級(jí),但由于所承載業(yè)務(wù)對(duì)于計(jì)算、存儲(chǔ)、安全等的需求不同,在安全整改過程中不應(yīng)是千篇一律的,是否應(yīng)用云平臺(tái)也不能干篇一律。重要信息系統(tǒng)將自己的業(yè)務(wù)應(yīng)用和數(shù)據(jù)保存到云平臺(tái)上,什么都沒考慮就突然應(yīng)用云服務(wù)是一種輕率的選擇,應(yīng)對(duì)國(guó)家重要信息系統(tǒng)(3級(jí)以上含3級(jí))進(jìn)行適合性研究,對(duì)云應(yīng)用符合性提出建議參考。
如果一定要進(jìn)行云計(jì)算化,建議重要信息系統(tǒng)以私有云建設(shè)為前期重點(diǎn),從開銷、運(yùn)用程度、安全等方面考慮,將內(nèi)部的系統(tǒng)分為幾個(gè)領(lǐng)域,為以后的云遷移預(yù)先設(shè)計(jì)道路是最理想的方法。在運(yùn)用云之前,必須對(duì)已有系統(tǒng)和業(yè)務(wù)進(jìn)行整理,并對(duì)云化事物和非云化事物進(jìn)行區(qū)分。
京公網(wǎng)安備 11010502049343號(hào)