如何落实等保2.0云计算扩展要求，山石网科给出云安全建设合规方案

云计算概念于2006年被Google公司正式提出，云计算模式在世界范围内已经成为信息通信（ICT）行业的发展趋势。从本质上来说，云计算是一种以服务为特征的计算模式，它通过对各种计算资源进行抽象，以新的业务模式提供高性能、低成本的持续计算、存储空间及各种软件服务，支撑各类信息化应用，能够合理配置计算资源，提高计算资源的利用率，降低成本，促进节能减排，实现真正理想的“绿色”计算。

然而，云计算带来诸多便利与优势的同时也给信息安全带来了多个层面的冲击与挑战。云计算的服务计算模式、动态虚拟化管理方式以及多层服务模式等引发了新的信息安全问题；云服务级别协议所具有的动态性及多方参与的特点，对责任认定及现有的信息安全体系带来了新的冲击；云计算的强大计算与存储能力被非法利用时，将对现有的安全管理体系产生巨大影响等。为有效应对上述安全风险，我国相关部门积极推进云计算安全标准体系的建设工作，并在各有关单位的共同努力下取得了显著成果。

1.等保2.0云计算安全扩展要求分析

等级保护是我国在网络安全领域实施的重要制度之一，为使网络安全等级保护系列标准能够实现与时俱进，适应新技术、新应用的发展所提出的安全需求，《网络安全等级保护基本要求》2.0版本针对云计算、移动互联、物联网、工业控制系统和大数据共5个技术领域提出了安全扩展要求。云计算安全扩展要求章节针对云计算的特点提出特殊保护要求，对云计算环境主要增加的控制点包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“供应链管理”、“云计算环境管理”等方面。以最典型和最重要的第三级安全要求为例，该标准在7个层面（5个技术层面和2个管理层面）对16个控制点提出了共46条云计算安全扩展要求项。

图注：云计算安全扩展要求控制项目分布

此外，云计算安全扩展要求附录中针对应用场景进行了说明，明确指出：软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）是三种基本的云计算服务模式。

图注：云计算服务模式与控制范围关系

如上图所示，在不同的服务模式中，云服务商和云服务客户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界。在基础设施即服务模式下，云计算平台／系统由设施、硬件、资源抽象控制层组成；在平台即服务模式下，云计算平台／系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；在软件即服务模式下，云计算平台／系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。不同服务模式下云服务商和云服务客户的安全管理责任有所不同。当用户在本地建设自己的私有云平台，用户需要负责设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台全部的安全保障。

2.云计算安全建设需求分析

由于云环境下网络环境变得更加复杂、弹性和动态变化等特点，按照等保2.0标准要求云计算建设方案，云计算安全建设需要关注并且满足以下的需求：

2.1安全物理环境风险与需求分析

由于云计算平台的物理特性引起的网络、设备和线路的不可使用，将会造成云计算平台的不可使用，导致整个用户云上业务的瘫痪。物理和环境安全包括机房选址、机房建设、设备设施的防盗防破坏、防火、防水、电力供应、电磁防护等，需要在数据中心机房的建设过程中严格按照国家相关标准进行机房建设、综合布线、安防建设，并经过相关部门的检测和验收，同时需确保云计算平台所在位置位于中国境内。

2.2安全通信网络风险与需求分析

首先云计算平台不承载高于其安全保护等级的业务应用系统。云计算平台在安全建设中需要保障云服务客户虚拟网络之间的隔离，并且根据云服务客户需求提供通信传输、边界防护、入侵防范等安全机制的能力。云计算平台可以实现云服务客户根据业务需求自主设置安全策略的能力，同时实现云安全管理与云计算管理的深度集成，以提供更好的用户体验。

2.3安全区域边界风险及需求分析

（1）访问控制

云服务客户需要在虚拟化网络边界及不同的等级网络区域边界设置访问控制机制，并设置访问控制规则。

（2）入侵防范

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!