1業務可控性
等級保護工作的主要目的是提高國家重要信息系統、網絡的信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,強調可控,不同地區、單位或個人的系統安全建設需要符合所在國家和地區的法規,目前國家層面、行業層面要求IT部門應對單位關鍵信息實現自主可控。
但在雲計算環境下,依賴虛擬化技術提供服務,數據可能會在數據中心和物理主機之間移動,以確保負載均衡,用戶可能根本無法知道其數據存儲位置,甚至更不用說哪個國家或地區了。因此從實現可控目標,定位數據的精確位置對於公共雲的應用來說是一個值得考慮的問題。而且所有數據放在公共雲上,並且使用共享資源,就很難證明遵從了法規的要求,雲平臺的安全等級建設是否符合所服務業務和數據的安全等級要求也是要考慮的問題。
2 核心技術的自主可控
面對雲計算,雖然在我國建設了不少公有、私有云計算平臺,並不能保證我們就能夠控制雲平臺中的信息資源,也不能保證我們就是唯一的控制者。由於很多技術仍然控制在國外企業手中,大規模的雲計算平臺可能成為國外勢力控制中國的平臺,一些從國外購買獲得而不加以認真研究改良的所謂自主產品,更在很大程度麻痺了國人,這種自主知識產權的本質就是買下了推廣他人產品的權利,更為重要的是,互聯網是雲發揮作用的基礎,基於互聯網的雲計算本身就是巨大安全隱患。
如何在雲計算核心技術並不在我們掌控的條件下實現核心安全技術自主可控是需要重點考慮的問題。
3 虛擬化技術安全問題及測評
在雲平臺的安全保障中,僅僅採用傳統的網絡安全技術是不夠的,虛擬化所帶來新的安全問題應該得到重視,而且傳統的安全防護手段基本安裝在系統的內容環境中,易於檢查,而且,目前也有了完善的檢查技術。但對在系統之外的雲計算應用進行檢查的難度非常大,如何對虛擬化的安全防護和保障技術進行測評是等級保護中面臨的又一問題。
對於等級保護工作保護的重點——重要系統和網絡來說,雖然都可能定為3級或4級,但由於所承載業務對於計算、存儲、安全等的需求不同,在安全整改過程中不應是千篇一律的,是否應用雲平臺也不能幹篇一律。重要信息系統將自己的業務應用和數據保存到雲平臺上,什麼都沒考慮就突然應用雲服務是一種輕率的選擇,應對國家重要信息系統(3級以上含3級)進行適合性研究,對雲應用符合性提出建議參考。
如果一定要進行雲計算化,建議重要信息系統以私有云建設為前期重點,從開銷、運用程度、安全等方面考慮,將內部的系統分為幾個領域,為以後的雲遷移預先設計道路是最理想的方法。在運用雲之前,必須對已有系統和業務進行整理,並對雲化事物和非雲化事物進行區分。