云计算安全等级保护标准研读

李明

从定级方法上，云计算安全等级保护标准引入了基础支撑类系统的定级方法。它适用于基础信息网络和云计算平台等定级对象；根据其承载或将要承载的等级保护对象的重要程度，确定其安全保护等级，原则上应不低于其承载定级对象的安全保护等级；国家关键信息基础设施（重要云计算平台）的安全保护定级应不低于第三级。

在谈到云计算安全等级保护标准问题时，首先要强调三点。

第一，云计算很复杂，集成了很多技术，但是云计算并不神秘，它是一步一步地展开的，不是一下子就跳到现在这种现状。

第二，云计算非常大，它涉及到几万台设备，但是如果抽掉一些枝节，就会发现结构是很清楚的，在云计算环境中要想找到等级保护的对象是比较容易的。

第三，云计算容易引起混乱。假若原先全部是自建、自己开发的，管理边界就很清楚，即使现在引入了外包，但也没有那么复杂，没有大家想象的那么复杂。我们只要抓住一点：云租户是最终计算和数据最终责任者，其他人都是帮你的，他们不能够分担你的安全管理责任。也就是说，控制边界和管理责任边界是不等同的，控制边界就在于落实的时候就是责任的展现形式，而落实的动作形式是不一样的。

复杂但不神秘：

信息技术发展与商业模式介乎的自然产物

为什么说云计算并不那么神秘？从大型机开始到苹果PC，再到互联网的出现，直到网络到IDC、云计算，这一切都是在变化中发展的。计算模式也在随之而变化，从原先面向大型机模式到C/S模式，再到云计算，这一切也都是在变化。而在变化的过程中我们又会发现，在变化中既有变又有不变，其中所有权和使用权在摇摆，包括管理模式也在摇摆，这都是变的结果。但是，在所有这些变化的背后，还隐含了一个不变——我们要方便地获取计算资源。而这种不变就体现在这种方便是通过什么来获得的？原先都是通过特定的硬件、特定的软件，把共用部分抽取出来，就出现了操作系统，操作系统屏蔽了底层的硬件和应用，所以才有了方便的软件。因为有了操作系统，这是一种屏蔽性质。到了云计算也是类似，只是屏蔽的层次更高了，可以把不同的硬件、网络等存储全部屏蔽在这一个地方。

由于这个原因，人们会发现这么多的变，若把归结到不变上，人们自然会想到一件事情上，那就是信息化过程。从信息化过程中，反过来看安全没有变化，安全的大目标还是那两个——保证处理敏感信息和保证服务的连续性。

如果从这个不变的安全目标反过来看定级，那么定级就适用于等级保护，因为等级保护不需要做大改动就可以满足定级了。如图所示模型，三个模型融在一起是一个云系统，展现的是云租户和云服务方之间的关系。

多方但不混乱：

云租户是网络安全最终责任人

说到责任的问题，这个模型会有一些误导。好像这种在IaaS模式下租户控制不到底层，因为看到的只是虚拟机之上的东西。但是，可以明确提出来，安全管理的责任不变，不要认为我自己责任的都是我的，如果用云平台责任就没有我的了。只是变化的在于落实这个安全责任的时候的方式变了，原来是你自己来建，自己来管，现在是你要用别人的资源，但是你要提出来，我要用你资源安全达到什么样的基础。但一定要注意，不管怎么样，在云环境下安全管理责任不变，这个可以解释为最终责任或者第一责任。

巨大但不模糊：

云计算环境中具备清晰的等级保护对象

那么，怎么样确定定级对象呢？在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同定级对象。

具体而言，在确认好安全责任制后，还是围绕着这个模型，不仅要横着看，也要纵着看，但是千万不要确定对象的时候放在一起看，这样就出现“云里雾里”。若先横着切一刀，下面的部分有机房之类的基础设施，有云操作系统处理虚拟资源控制，这样会符合一个系统的定义吗？但是，在云计算环境中，按照两侧做切割，不要揉在一起看，云租户侧的等级保护对象即可单独定级。

右侧的辅助部分，对于大型计算平台应该是虚拟管理和辅助管理系统，比如说运维、运营、安全、集成、开发等部分，根据实际情况可以继续切割。同样，对于云计算基础设施平台而言，实际上也是一个分布系统，如果有必要的话，也可以继续细致做切割划分。所以这样看过来之后，这样切分完的对象非常清楚，责任边界也很清楚，特征该有的都有了，这就是不变。

当然，变与变是一个整体的，具体的地方也会有变化。比如说，在引入虚拟控制层，引入了虚拟的对象后，标准拓展要求针对新技术带来的新的安全威胁，要提供新的要求。需要强调几点：第一，对于物理部分的要求，除了设备要选择国内产品之外，同时也要求它所在的IDC，必须具有相关部门颁发的资质；第二，平台拓展要求分为两部分，第一部分是对平台自身安全的要求，第二部分是对平台支撑虚拟化服务的要求；第三，对于其它增强的部分，比如资源的隔离等，也是一个重点。

在扩展要求定级对象时，作为一个整体来讲，在做建设或者测评的时候，一定要两个标准一起用，即通用要求和拓展要求同时对云平台进行测试。对于虚拟对象来讲，先是等级保护1.0，再满足等级保护2.0。

对云计算平台的测试有两个部分，第一是标准部分，第二是评测对象，这些问题一定要纳入到对安全平台的保护当中。

[摘自“2016首届中国行业（私有）云安全技术论坛”上演讲]