李明

從定級方法上，云計算安全等級保護(hù)標(biāo)準(zhǔn)引入了基礎(chǔ)支撐類系統(tǒng)的定級方法。它適用于基礎(chǔ)信息網(wǎng)絡(luò)和云計算平臺等定級對象；根據(jù)其承載或?qū)⒁休d的等級保護(hù)對象的重要程度，確定其安全保護(hù)等級，原則上應(yīng)不低于其承載定級對象的安全保護(hù)等級；國家關(guān)鍵信息基礎(chǔ)設(shè)施（重要云計算平臺）的安全保護(hù)定級應(yīng)不低于第三級。

在談到云計算安全等級保護(hù)標(biāo)準(zhǔn)問題時，首先要強調(diào)三點。

第一，云計算很復(fù)雜，集成了很多技術(shù)，但是云計算并不神秘，它是一步一步地展開的，不是一下子就跳到現(xiàn)在這種現(xiàn)狀。

第二，云計算非常大，它涉及到幾萬臺設(shè)備，但是如果抽掉一些枝節(jié)，就會發(fā)現(xiàn)結(jié)構(gòu)是很清楚的，在云計算環(huán)境中要想找到等級保護(hù)的對象是比較容易的。

第三，云計算容易引起混亂。假若原先全部是自建、自己開發(fā)的，管理邊界就很清楚，即使現(xiàn)在引入了外包，但也沒有那么復(fù)雜，沒有大家想象的那么復(fù)雜。我們只要抓住一點：云租戶是最終計算和數(shù)據(jù)最終責(zé)任者，其他人都是幫你的，他們不能夠分擔(dān)你的安全管理責(zé)任。也就是說，控制邊界和管理責(zé)任邊界是不等同的，控制邊界就在于落實的時候就是責(zé)任的展現(xiàn)形式，而落實的動作形式是不一樣的。

復(fù)雜但不神秘：

信息技術(shù)發(fā)展與商業(yè)模式介乎的自然產(chǎn)物

為什么說云計算并不那么神秘？從大型機開始到蘋果PC，再到互聯(lián)網(wǎng)的出現(xiàn)，直到網(wǎng)絡(luò)到IDC、云計算，這一切都是在變化中發(fā)展的。計算模式也在隨之而變化，從原先面向大型機模式到C/S模式，再到云計算，這一切也都是在變化。而在變化的過程中我們又會發(fā)現(xiàn)，在變化中既有變又有不變，其中所有權(quán)和使用權(quán)在搖擺，包括管理模式也在搖擺，這都是變的結(jié)果。但是，在所有這些變化的背后，還隱含了一個不變——我們要方便地獲取計算資源。而這種不變就體現(xiàn)在這種方便是通過什么來獲得的？原先都是通過特定的硬件、特定的軟件，把共用部分抽取出來，就出現(xiàn)了操作系統(tǒng)，操作系統(tǒng)屏蔽了底層的硬件和應(yīng)用，所以才有了方便的軟件。因為有了操作系統(tǒng)，這是一種屏蔽性質(zhì)。到了云計算也是類似，只是屏蔽的層次更高了，可以把不同的硬件、網(wǎng)絡(luò)等存儲全部屏蔽在這一個地方。

由于這個原因，人們會發(fā)現(xiàn)這么多的變，若把歸結(jié)到不變上，人們自然會想到一件事情上，那就是信息化過程。從信息化過程中，反過來看安全沒有變化，安全的大目標(biāo)還是那兩個——保證處理敏感信息和保證服務(wù)的連續(xù)性。

如果從這個不變的安全目標(biāo)反過來看定級，那么定級就適用于等級保護(hù)，因為等級保護(hù)不需要做大改動就可以滿足定級了。如圖所示模型，三個模型融在一起是一個云系統(tǒng)，展現(xiàn)的是云租戶和云服務(wù)方之間的關(guān)系。

多方但不混亂：

云租戶是網(wǎng)絡(luò)安全最終責(zé)任人

說到責(zé)任的問題，這個模型會有一些誤導(dǎo)。好像這種在IaaS模式下租戶控制不到底層，因為看到的只是虛擬機之上的東西。但是，可以明確提出來，安全管理的責(zé)任不變，不要認(rèn)為我自己責(zé)任的都是我的，如果用云平臺責(zé)任就沒有我的了。只是變化的在于落實這個安全責(zé)任的時候的方式變了，原來是你自己來建，自己來管，現(xiàn)在是你要用別人的資源，但是你要提出來，我要用你資源安全達(dá)到什么樣的基礎(chǔ)。但一定要注意，不管怎么樣，在云環(huán)境下安全管理責(zé)任不變，這個可以解釋為最終責(zé)任或者第一責(zé)任。

巨大但不模糊：

云計算環(huán)境中具備清晰的等級保護(hù)對象

那么，怎么樣確定定級對象呢？在云計算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計算平臺單獨作為定級對象定級，云租戶側(cè)的等級保護(hù)對象也應(yīng)作為單獨的定級對象定級。對于大型云計算平臺，應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同定級對象。

具體而言，在確認(rèn)好安全責(zé)任制后，還是圍繞著這個模型，不僅要橫著看，也要縱著看，但是千萬不要確定對象的時候放在一起看，這樣就出現(xiàn)“云里霧里”。若先橫著切一刀，下面的部分有機房之類的基礎(chǔ)設(shè)施，有云操作系統(tǒng)處理虛擬資源控制，這樣會符合一個系統(tǒng)的定義嗎？但是，在云計算環(huán)境中，按照兩側(cè)做切割，不要揉在一起看，云租戶側(cè)的等級保護(hù)對象即可單獨定級。

右側(cè)的輔助部分，對于大型計算平臺應(yīng)該是虛擬管理和輔助管理系統(tǒng)，比如說運維、運營、安全、集成、開發(fā)等部分，根據(jù)實際情況可以繼續(xù)切割。同樣，對于云計算基礎(chǔ)設(shè)施平臺而言，實際上也是一個分布系統(tǒng)，如果有必要的話，也可以繼續(xù)細(xì)致做切割劃分。所以這樣看過來之后，這樣切分完的對象非常清楚，責(zé)任邊界也很清楚，特征該有的都有了，這就是不變。

當(dāng)然，變與變是一個整體的，具體的地方也會有變化。比如說，在引入虛擬控制層，引入了虛擬的對象后，標(biāo)準(zhǔn)拓展要求針對新技術(shù)帶來的新的安全威脅，要提供新的要求。需要強調(diào)幾點：第一，對于物理部分的要求，除了設(shè)備要選擇國內(nèi)產(chǎn)品之外，同時也要求它所在的IDC，必須具有相關(guān)部門頒發(fā)的資質(zhì)；第二，平臺拓展要求分為兩部分，第一部分是對平臺自身安全的要求，第二部分是對平臺支撐虛擬化服務(wù)的要求；第三，對于其它增強的部分，比如資源的隔離等，也是一個重點。

在擴展要求定級對象時，作為一個整體來講，在做建設(shè)或者測評的時候，一定要兩個標(biāo)準(zhǔn)一起用，即通用要求和拓展要求同時對云平臺進(jìn)行測試。對于虛擬對象來講，先是等級保護(hù)1.0，再滿足等級保護(hù)2.0。

對云計算平臺的測試有兩個部分，第一是標(biāo)準(zhǔn)部分，第二是評測對象，這些問題一定要納入到對安全平臺的保護(hù)當(dāng)中。

[摘自“2016首屆中國行業(yè)（私有）云安全技術(shù)論壇”上演講]