了解：信息安全等级保护在云计算时代的现实意义

yizhongqiao

、引言长期以来跨渠道营销就有着不凡的发展速度，相信未来也是一如既往，势如破竹。

云计算是继计算机、互联之后的信息领域又一重大技术变革。云计算的出现给业界提供了新的发展机遇与此同时云计算的安全问题依然是一个严峻的挑战。自1994国务院颁布《中华人民共和国信息系统安全保护条例》国务院［19941147号令以来信息系统安全等级保护体系逐步完善成熟。在传统架构的信息系统下发挥了很大的作用。云计算的出现带来了一系列系统架构上的变化但是无论其如何发展终究是属于信息系统具有信息系统的普遍特点。云计算的安全管理依然可以按照等级保护的要求实施。

2、云计算安全问题

关于云计算当尚没有一个统一、确定的定义。维基百科认为云计算是一种能够动态伸缩的虚拟化资源通过互联以服务的方式提供给用户的计算模式用户不需要知道如何管理那些支持云计算的基础设施。其实云计算是一种概念不是具体的技术或标准。同时云计算也是一种运营模式是把IT资源、数据和应用作为服务通过络提供给用户。简而言之云计算的本质就是共享与协作。

来各大IT企业纷纷投入与计算各大商业平台如雨后春笋帮纷纷推出。然而这些云平台的问题也紧接着不断暴露出来。2007～2008间亚马逊云平台大范围故障；2009微软云平台崩溃数据丢失；2009谷歌也有客户个人信息泄露？？云计算时代资源和数据都在云端安全问题更显重要。

由于体系结构的变化云计算安全问题也有其独有特点：

①在云计算环境下络架构统一、硬件资源高度整合传统安全边界消失；②虚拟化作为云计算的核心技术对安全设备设计和部署提出更高要求；③数据集中存储处理需有效的身份鉴别、认证管理、访问控制、安全审计等安全机制；④ 数据与应用严重依赖云计算中心其稳定性、可靠性相较传统系统要求更高。

云计算模式存在的安全问题有：黑客入侵云端服务器窃取数据；云服务供应商内部员工窃取客户敏感数据；使用同一云服务供应商的其它客户意外取得或窃取敏感数据；云端资源遭到恶意滥用被用来滥发垃圾邮件或恶意主机等；外国政府可以未经客户授权读取当地云数据中心内的数据；客户不易对云服务供应商的安全控制措施和访问记录进行审计；云服务供应商灾备管理不完善导致服务中断；云服务供应商倒闭无法继续提供服务；用户账号密码被窃云服务资源遭到盗用。

3、等级保护依然适用于云计算

从管理角度来讲等级保护制度是一项综合性的社会系统工程将信息系统按照社会化的组织原则进行有序管理是提升系统安全防护水平的重要手段。在这一点上云计算环境与传统信息系统一样。等级保护涉及到管理的部分依然适用于云计算。

从技术角度来讲等级保护制度又是一项复杂的技术工程通过一系列的技术防护手段来实现信息系统的安全设计技术要求。

从等级保护技术设计要求规范来看原有的思想是构建以安全管理中心支撑下的计算环境、区域边界与宽带络三重防护。云计算的模式下私有云内部的区域边界已经变得模糊和消失云计算环境和云宽带络的构建机制如何需要重新加以设定。等级保护的技术安全整体架构是从信息系统本身来出发而云计算也是信息系统具有信息系统的本质特征因此云模式下的信息系统是否也需要构建云计算环境、云宽带络、云接入边界以及云安全管理中心这与等级保护的整体技术架构设计如出一辙只是这样的云计算体系安全架构需要在可信的条件下来进行。

等级保护技术设计要求主要包含安全计算环境安全区域边界安全宽带络安全管理中心四大部分的内容从技术、管理、运营等方面进行了规范。

云计算可由以下五个方面分析其主要安全风险及对策：

1应用方面。对于应用系统安全漏洞需要遵守应用安全开发规范和相关规章制度并定期执行代码级安全检查和系统安全测试。具体可依照等级保护技术设计要求中安全计算环境相关内容执行。

2数据方面。对于数据外泄最好的办法是采用技术措施对敏感数据进行隔离与加密。具体可依照等级保护技术设计要求中安全计算环境安全区域边界安全宽带络相关内容执行。

3系统方面。对于系统安全漏洞问题需要建立安全基线与防护机制实时监控系统安全事件。具体可依照等级保护技术设计要求中安全计算环境相关内容执行。

4络方面。对于用户所关心的络传输安全问题可以通过传输内容加密来解决。具体可依照等级保护技术设计要求中安全区域边界、安全宽带络相关内容执行。

5端点方面。对于可能在终端位置出现的恶意代码通过使用终端安全防护软件就可以解决。具体可依照等级保护技术设计要求中安全计算环境相关内容执行。