云計算是繼計算機、互聯網之后的信息領域又一重大技術變革。云計算的出現給業界提供了新的發展機遇，與此同時，云計算的安全問題依然是一個嚴峻的挑戰。自1994年國務院頒布《中華人民共和國信息系統安全保護條例》(國務院[19941147號令)以來，信息系統安全等級保護體系逐步完善成熟。在傳統架構的信息系統下發揮了很大的作用。云計算的出現，帶來了一系列系統架構上的變化，但是無論其如何發展，終究是屬于信息系統，具有信息系統的普遍特點。云計算的安全管理，依然可以按照等級保護的要求實施。

云計算安全問題

關于云計算，當前尚沒有一個統一、確定的定義。維基百科認為云計算是一種能夠動態伸縮的虛擬化資源，通過互聯網以服務的方式提供給用戶的計算模式，用戶不需要知道如何管理那些支持云計算的基礎設施。其實云計算是一種概念，不是具體的技術或標準。同時云計算也是一種運營模式，是把IT資源、數據和應用作為服務通過網絡提供給用戶。簡而言之，云計算的本質就是共享與協作。

近年來，各大IT企業紛紛投入云計算，各大商業平臺如雨后春筍幫紛紛推出。然而，這些云平臺的問題也緊接著不斷暴露出來。2007～2008年間，亞馬遜云平臺大范圍故障;2009年，微軟云平臺崩潰，數據丟失;2009年，谷歌也有客戶個人信息泄露？？云計算時代，資源和數據都在云端，安全問題更顯重要。

由于體系結構的變化，云計算安全問題也有其獨有特點：

①在云計算環境下，網絡架構統一、硬件資源高度整合，傳統安全邊界消失;②虛擬化作為云計算的核心技術，對安全設備設計和部署提出更高要求;③數據集中存儲處理，需有效的身份鑒別、認證管理、訪問控制、安全審計等安全機制;④ 數據與應用嚴重依賴云計算中心，其穩定性、可靠性相較傳統系統，要求更高。

云計算模式存在的安全問題有：黑客入侵云端服務器竊取數據;云服務供應商內部員工竊取客戶敏感數據;使用同一云服務供應商的其它客戶意外取得或竊取敏感數據;云端資源遭到惡意濫用，被用來濫發垃圾郵件或惡意主機等;外國政府可以未經客戶授權讀取當地云數據中心內的數據;客戶不易對云服務供應商的安全控制措施和訪問記錄進行審計;云服務供應商災備管理不完善，導致服務中斷;云服務供應商倒閉，無法繼續提供服務;用戶賬號密碼被竊，云服務資源遭到盜用。

等級保護依然適用于云計算

從管理角度來講，等級保護制度是一項綜合性的社會系統工程，將信息系統按照社會化的組織原則進行有序管理，是提升系統安全防護水平的重要手段。在這一點上，云計算環境與傳統信息系統一樣。等級保護涉及到管理的部分，依然適用于云計算。

從技術角度來講，等級保護制度又是一項復雜的技術工程，通過一系列的技術防護手段來實現信息系統的安全設計技術要求。

從等級保護技術設計要求規范來看，原有的思想是構建以安全管理中心支撐下的計算環境、區域邊界與通信網絡三重防護。云計算的模式下，私有云內部的區域邊界已經變得模糊和消失，云計算環境和云通信網絡的構建機制如何，需要重新加以設定。等級保護的技術安全整體架構是從信息系統本身來出發，而云計算也是信息系統，具有信息系統的本質特征，因此，云模式下的信息系統是否也需要構建云計算環境、云通信網絡、云接入邊界，以及云安全管理中心，這與等級保護的整體技術架構設計如出一轍，只是，這樣的云計算體系安全架構需要在“可信”的條件下來進行。

等級保護技術設計要求主要包含“安全計算環境 ‘安全區域邊界 安全通信網絡 安全管理中心”四大部分的內容，從技術、管理、運營等方面進行了規范。

云計算可由以下五個方面分析其主要安全風險及對策：

(1)應用方面。

對于應用系統安全漏洞，需要遵守應用安全開發規范和相關規章制度，并定期執行代碼級安全檢查和系統安全測試。具體可依照等級保護技術設計要求中“安全計算環境”相關內容執行。

(2)數據方面。

對于數據外泄最好的辦法是采用技術措施對敏感數據進行隔離與加密。具體可依照等級保護技術設計要求中“安全計算環境 安全區域邊界 安全通信網絡”相關內容執行。

(3)系統方面。

對于系統安全漏洞問題需要建立安全基線與防護機制，實時監控系統安全事件。具體可依照等級保護技術設計要求中“安全計算環境”相關內容執行。

(4)網絡方面。

對于用戶所關心的網絡傳輸安全問題，可以通過傳輸內容加密來解決。具體可依照等級保護技術設計要求中“安全區域邊界”、“安全通信網絡”相關內容執行。

(5)端點方面。

對于可能在終端位置出現的惡意代碼，通過使用終端安全防護軟件就可以解決。具體可依照等級保護技術設計要求中“安全計算環境”相關內容執行。