云計算安全等級保護標準研讀

李明

從定級方法上，云計算安全等級保護標準引入了基礎支撐類系統的定級方法。它適用于基礎信息網絡和云計算平臺等定級對象；根據其承載或將要承載的等級保護對象的重要程度，確定其安全保護等級，原則上應不低于其承載定級對象的安全保護等級；國家關鍵信息基礎設施（重要云計算平臺）的安全保護定級應不低于第三級。

在談到云計算安全等級保護標準問題時，首先要強調三點。

第一，云計算很復雜，集成了很多技術，但是云計算并不神秘，它是一步一步地展開的，不是一下子就跳到現在這種現狀。

第二，云計算非常大，它涉及到幾萬臺設備，但是如果抽掉一些枝節，就會發現結構是很清楚的，在云計算環境中要想找到等級保護的對象是比較容易的。

第三，云計算容易引起混亂。假若原先全部是自建、自己開發的，管理邊界就很清楚，即使現在引入了外包，但也沒有那么復雜，沒有大家想象的那么復雜。我們只要抓住一點：云租戶是最終計算和數據最終責任者，其他人都是幫你的，他們不能夠分擔你的安全管理責任。也就是說，控制邊界和管理責任邊界是不等同的，控制邊界就在于落實的時候就是責任的展現形式，而落實的動作形式是不一樣的。

復雜但不神秘：

信息技術發展與商業模式介乎的自然產物

為什么說云計算并不那么神秘？從大型機開始到蘋果PC，再到互聯網的出現，直到網絡到IDC、云計算，這一切都是在變化中發展的。計算模式也在隨之而變化，從原先面向大型機模式到C/S模式，再到云計算，這一切也都是在變化。而在變化的過程中我們又會發現，在變化中既有變又有不變，其中所有權和使用權在搖擺，包括管理模式也在搖擺，這都是變的結果。但是，在所有這些變化的背后，還隱含了一個不變——我們要方便地獲取計算資源。而這種不變就體現在這種方便是通過什么來獲得的？原先都是通過特定的硬件、特定的軟件，把共用部分抽取出來，就出現了操作系統，操作系統屏蔽了底層的硬件和應用，所以才有了方便的軟件。因為有了操作系統，這是一種屏蔽性質。到了云計算也是類似，只是屏蔽的層次更高了，可以把不同的硬件、網絡等存儲全部屏蔽在這一個地方。

由于這個原因，人們會發現這么多的變，若把歸結到不變上，人們自然會想到一件事情上，那就是信息化過程。從信息化過程中，反過來看安全沒有變化，安全的大目標還是那兩個——保證處理敏感信息和保證服務的連續性。

如果從這個不變的安全目標反過來看定級，那么定級就適用于等級保護，因為等級保護不需要做大改動就可以滿足定級了。如圖所示模型，三個模型融在一起是一個云系統，展現的是云租戶和云服務方之間的關系。

多方但不混亂：

云租戶是網絡安全最終責任人

說到責任的問題，這個模型會有一些誤導。好像這種在IaaS模式下租戶控制不到底層，因為看到的只是虛擬機之上的東西。但是，可以明確提出來，安全管理的責任不變，不要認為我自己責任的都是我的，如果用云平臺責任就沒有我的了。只是變化的在于落實這個安全責任的時候的方式變了，原來是你自己來建，自己來管，現在是你要用別人的資源，但是你要提出來，我要用你資源安全達到什么樣的基礎。但一定要注意，不管怎么樣，在云環境下安全管理責任不變，這個可以解釋為最終責任或者第一責任。

巨大但不模糊：

云計算環境中具備清晰的等級保護對象

那么，怎么樣確定定級對象呢？在云計算環境中，應將云服務方側的云計算平臺單獨作為定級對象定級，云租戶側的等級保護對象也應作為單獨的定級對象定級。對于大型云計算平臺，應將云計算基礎設施和有關輔助服務系統劃分為不同定級對象。

具體而言，在確認好安全責任制后，還是圍繞著這個模型，不僅要橫著看，也要縱著看，但是千萬不要確定對象的時候放在一起看，這樣就出現“云里霧里”。若先橫著切一刀，下面的部分有機房之類的基礎設施，有云操作系統處理虛擬資源控制，這樣會符合一個系統的定義嗎？但是，在云計算環境中，按照兩側做切割，不要揉在一起看，云租戶側的等級保護對象即可單獨定級。

右側的輔助部分，對于大型計算平臺應該是虛擬管理和輔助管理系統，比如說運維、運營、安全、集成、開發等部分，根據實際情況可以繼續切割。同樣，對于云計算基礎設施平臺而言，實際上也是一個分布系統，如果有必要的話，也可以繼續細致做切割劃分。所以這樣看過來之后，這樣切分完的對象非常清楚，責任邊界也很清楚，特征該有的都有了，這就是不變。

當然，變與變是一個整體的，具體的地方也會有變化。比如說，在引入虛擬控制層，引入了虛擬的對象后，標準拓展要求針對新技術帶來的新的安全威脅，要提供新的要求。需要強調幾點：第一，對于物理部分的要求，除了設備要選擇國內產品之外，同時也要求它所在的IDC，必須具有相關部門頒發的資質；第二，平臺拓展要求分為兩部分，第一部分是對平臺自身安全的要求，第二部分是對平臺支撐虛擬化服務的要求；第三，對于其它增強的部分，比如資源的隔離等，也是一個重點。

在擴展要求定級對象時，作為一個整體來講，在做建設或者測評的時候，一定要兩個標準一起用，即通用要求和拓展要求同時對云平臺進行測試。對于虛擬對象來講，先是等級保護1.0，再滿足等級保護2.0。

對云計算平臺的測試有兩個部分，第一是標準部分，第二是評測對象，這些問題一定要納入到對安全平臺的保護當中。

[摘自“2016首屆中國行業（私有）云安全技術論壇”上演講]