李明

從定級(jí)方法上，云計(jì)算安全等級(jí)保護(hù)標(biāo)準(zhǔn)引入了基礎(chǔ)支撐類系統(tǒng)的定級(jí)方法。它適用于基礎(chǔ)信息網(wǎng)絡(luò)和云計(jì)算平臺(tái)等定級(jí)對(duì)象；根據(jù)其承載或?qū)⒁休d的等級(jí)保護(hù)對(duì)象的重要程度，確定其安全保護(hù)等級(jí)，原則上應(yīng)不低于其承載定級(jí)對(duì)象的安全保護(hù)等級(jí)；國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施（重要云計(jì)算平臺(tái)）的安全保護(hù)定級(jí)應(yīng)不低于第三級(jí)。

在談到云計(jì)算安全等級(jí)保護(hù)標(biāo)準(zhǔn)問(wèn)題時(shí)，首先要強(qiáng)調(diào)三點(diǎn)。

第一，云計(jì)算很復(fù)雜，集成了很多技術(shù)，但是云計(jì)算并不神秘，它是一步一步地展開的，不是一下子就跳到現(xiàn)在這種現(xiàn)狀。

第二，云計(jì)算非常大，它涉及到幾萬(wàn)臺(tái)設(shè)備，但是如果抽掉一些枝節(jié)，就會(huì)發(fā)現(xiàn)結(jié)構(gòu)是很清楚的，在云計(jì)算環(huán)境中要想找到等級(jí)保護(hù)的對(duì)象是比較容易的。

第三，云計(jì)算容易引起混亂。假若原先全部是自建、自己開發(fā)的，管理邊界就很清楚，即使現(xiàn)在引入了外包，但也沒(méi)有那么復(fù)雜，沒(méi)有大家想象的那么復(fù)雜。我們只要抓住一點(diǎn)：云租戶是最終計(jì)算和數(shù)據(jù)最終責(zé)任者，其他人都是幫你的，他們不能夠分擔(dān)你的安全管理責(zé)任。也就是說(shuō)，控制邊界和管理責(zé)任邊界是不等同的，控制邊界就在于落實(shí)的時(shí)候就是責(zé)任的展現(xiàn)形式，而落實(shí)的動(dòng)作形式是不一樣的。

復(fù)雜但不神秘：

信息技術(shù)發(fā)展與商業(yè)模式介乎的自然產(chǎn)物

為什么說(shuō)云計(jì)算并不那么神秘？從大型機(jī)開始到蘋果PC，再到互聯(lián)網(wǎng)的出現(xiàn)，直到網(wǎng)絡(luò)到IDC、云計(jì)算，這一切都是在變化中發(fā)展的。計(jì)算模式也在隨之而變化，從原先面向大型機(jī)模式到C/S模式，再到云計(jì)算，這一切也都是在變化。而在變化的過(guò)程中我們又會(huì)發(fā)現(xiàn)，在變化中既有變又有不變，其中所有權(quán)和使用權(quán)在搖擺，包括管理模式也在搖擺，這都是變的結(jié)果。但是，在所有這些變化的背后，還隱含了一個(gè)不變——我們要方便地獲取計(jì)算資源。而這種不變就體現(xiàn)在這種方便是通過(guò)什么來(lái)獲得的？原先都是通過(guò)特定的硬件、特定的軟件，把共用部分抽取出來(lái)，就出現(xiàn)了操作系統(tǒng)，操作系統(tǒng)屏蔽了底層的硬件和應(yīng)用，所以才有了方便的軟件。因?yàn)橛辛瞬僮飨到y(tǒng)，這是一種屏蔽性質(zhì)。到了云計(jì)算也是類似，只是屏蔽的層次更高了，可以把不同的硬件、網(wǎng)絡(luò)等存儲(chǔ)全部屏蔽在這一個(gè)地方。

由于這個(gè)原因，人們會(huì)發(fā)現(xiàn)這么多的變，若把歸結(jié)到不變上，人們自然會(huì)想到一件事情上，那就是信息化過(guò)程。從信息化過(guò)程中，反過(guò)來(lái)看安全沒(méi)有變化，安全的大目標(biāo)還是那兩個(gè)——保證處理敏感信息和保證服務(wù)的連續(xù)性。

如果從這個(gè)不變的安全目標(biāo)反過(guò)來(lái)看定級(jí)，那么定級(jí)就適用于等級(jí)保護(hù)，因?yàn)榈燃?jí)保護(hù)不需要做大改動(dòng)就可以滿足定級(jí)了。如圖所示模型，三個(gè)模型融在一起是一個(gè)云系統(tǒng)，展現(xiàn)的是云租戶和云服務(wù)方之間的關(guān)系。

多方但不混亂：

云租戶是網(wǎng)絡(luò)安全最終責(zé)任人

說(shuō)到責(zé)任的問(wèn)題，這個(gè)模型會(huì)有一些誤導(dǎo)。好像這種在IaaS模式下租戶控制不到底層，因?yàn)榭吹降闹皇翘摂M機(jī)之上的東西。但是，可以明確提出來(lái)，安全管理的責(zé)任不變，不要認(rèn)為我自己責(zé)任的都是我的，如果用云平臺(tái)責(zé)任就沒(méi)有我的了。只是變化的在于落實(shí)這個(gè)安全責(zé)任的時(shí)候的方式變了，原來(lái)是你自己來(lái)建，自己來(lái)管，現(xiàn)在是你要用別人的資源，但是你要提出來(lái)，我要用你資源安全達(dá)到什么樣的基礎(chǔ)。但一定要注意，不管怎么樣，在云環(huán)境下安全管理責(zé)任不變，這個(gè)可以解釋為最終責(zé)任或者第一責(zé)任。

巨大但不模糊：

云計(jì)算環(huán)境中具備清晰的等級(jí)保護(hù)對(duì)象

那么，怎么樣確定定級(jí)對(duì)象呢？在云計(jì)算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí)，云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí)。對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同定級(jí)對(duì)象。

具體而言，在確認(rèn)好安全責(zé)任制后，還是圍繞著這個(gè)模型，不僅要橫著看，也要縱著看，但是千萬(wàn)不要確定對(duì)象的時(shí)候放在一起看，這樣就出現(xiàn)“云里霧里”。若先橫著切一刀，下面的部分有機(jī)房之類的基礎(chǔ)設(shè)施，有云操作系統(tǒng)處理虛擬資源控制，這樣會(huì)符合一個(gè)系統(tǒng)的定義嗎？但是，在云計(jì)算環(huán)境中，按照兩側(cè)做切割，不要揉在一起看，云租戶側(cè)的等級(jí)保護(hù)對(duì)象即可單獨(dú)定級(jí)。

右側(cè)的輔助部分，對(duì)于大型計(jì)算平臺(tái)應(yīng)該是虛擬管理和輔助管理系統(tǒng)，比如說(shuō)運(yùn)維、運(yùn)營(yíng)、安全、集成、開發(fā)等部分，根據(jù)實(shí)際情況可以繼續(xù)切割。同樣，對(duì)于云計(jì)算基礎(chǔ)設(shè)施平臺(tái)而言，實(shí)際上也是一個(gè)分布系統(tǒng)，如果有必要的話，也可以繼續(xù)細(xì)致做切割劃分。所以這樣看過(guò)來(lái)之后，這樣切分完的對(duì)象非常清楚，責(zé)任邊界也很清楚，特征該有的都有了，這就是不變。

當(dāng)然，變與變是一個(gè)整體的，具體的地方也會(huì)有變化。比如說(shuō)，在引入虛擬控制層，引入了虛擬的對(duì)象后，標(biāo)準(zhǔn)拓展要求針對(duì)新技術(shù)帶來(lái)的新的安全威脅，要提供新的要求。需要強(qiáng)調(diào)幾點(diǎn)：第一，對(duì)于物理部分的要求，除了設(shè)備要選擇國(guó)內(nèi)產(chǎn)品之外，同時(shí)也要求它所在的IDC，必須具有相關(guān)部門頒發(fā)的資質(zhì)；第二，平臺(tái)拓展要求分為兩部分，第一部分是對(duì)平臺(tái)自身安全的要求，第二部分是對(duì)平臺(tái)支撐虛擬化服務(wù)的要求；第三，對(duì)于其它增強(qiáng)的部分，比如資源的隔離等，也是一個(gè)重點(diǎn)。

在擴(kuò)展要求定級(jí)對(duì)象時(shí)，作為一個(gè)整體來(lái)講，在做建設(shè)或者測(cè)評(píng)的時(shí)候，一定要兩個(gè)標(biāo)準(zhǔn)一起用，即通用要求和拓展要求同時(shí)對(duì)云平臺(tái)進(jìn)行測(cè)試。對(duì)于虛擬對(duì)象來(lái)講，先是等級(jí)保護(hù)1.0，再滿足等級(jí)保護(hù)2.0。

對(duì)云計(jì)算平臺(tái)的測(cè)試有兩個(gè)部分，第一是標(biāo)準(zhǔn)部分，第二是評(píng)測(cè)對(duì)象，這些問(wèn)題一定要納入到對(duì)安全平臺(tái)的保護(hù)當(dāng)中。

[摘自“2016首屆中國(guó)行業(yè)（私有）云安全技術(shù)論壇”上演講]