云上云下話等保

“419”，我們來談談“云上云下信息安全”這件事，應時應景。

2016年4月19日，網絡安全和信息化工作座談會召開。這是我國網絡安全和信息化領域具有重要歷史意義和戰略影響的大事件。

2017年6月1日，《中華人民共和國網絡安全法》開始施行。保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展成為一項最核心的工作。

2018年5月25日，號稱史上最嚴厲的數據保護條例——歐盟《一般數據保護條例》（GDPR）將正式施行，數據隱私保護、合規等問題再次被推向風口浪尖。

雖然大家都心知肚明，云安全并不完全是一個技術問題，更多的可能是“心理”問題，但不可否認，安全仍然是企業上云的一個重要挑戰，或者說是難點。

安全等級保護是一項國家制度

4月14日，國內首家案例式科技沙龍Q.Club的第一期活動，就將活動主題定為“走進云上云下信息安全時代”。雖然會議舉行當天是周六，仍然不能阻擋沙龍參與者的熱情。來自中國電子技術標準化研究院、阿里云團隊以及深信服的安全專家，從各自的角度詮釋了云上和云下的信息安全，其中給記者印象最深的一點是安全等級保護這個“老生常談”的話題。

說它是老生常談，因為“安全等級保護”這幾個字頻頻在各安全廠商的資料、演講中出現，但落地情況并不樂觀。究其原因，很多企業并沒有將“安全等級保護”當作一件份內的事，可能也有企業想做，但又不知該如何做。《中華人民共和國網絡安全法》第二十一條已經明確規定，國家實行網絡安全等級保護制度。安全等級保護已經是一種國家基本制度，作為企業，你要怎么辦？

首先，還是要了解一下安全等級保護的內涵是什么。對國家秘密信息、法人和其他組織及公司的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實現安全保護、分等級監管；對信息系統中使用的信息安全產品實行按等級管理；對信息系統中發生的信息安全事件分等級響應、處置。

中國電子技術標準化研究院測評部總監牟家劉在沙龍上表示，安全等級保護的重點在于落實，而且要從技術和管理兩個方面達標。安全等級保護有“五個規定動作”，包括信息系統定級、備案、安全建設整改、等級評測、監督檢查。企業或單位應該建立健全自己的安全管理制度，包括人員、管理機構等，其中最重要的是要有專門的網絡安全負責人。通常情況下，企業或單位應該每年委托專業的評估機構做一次安全等級評估。

牟家劉特別提到，安全等級保護要走在前面，即企業或單位在新建系統的同時，就要考慮安全等級保護的需求。另外，對于一些大型的系統，可以單獨做定級。

云也不例外

如今，我們已經進入云計算時代，云計算基礎設施成了很多企業實現數字化轉型的首選。那么，云計算平臺是不是也要做安全等級評定？云服務商呢？云平臺上的租戶呢？其實，這些問題都已經有了定論。

可以肯定地說，云服務商需要按照云計算平臺等級保護工作開展辦法開展等級保護工作，包括定級、備案、安全整改、等級測評等相關工作。云服務商定級對象為此單位的云計算平臺，大型云計算平臺也可以針對云平臺的輔助設備及環境進行單獨定級，評定的內容包括物理機房、網絡環境、網絡設備、安全設備、云計算平臺管理軟件、管理運維終端等。云租戶系統評測內容包括物理和環境安全、網絡和通信安全、設備和計算環境、應用和數據安全、安全策略和管理制度、安全管理機構和人員、安全建設管理、系統運維管理、云計算平臺擴展要求等。

牟家劉介紹說，在云租戶開展等級保護工作期間，云服務商需要配合以下工作：提供云安全產品的相關證書和文件，如銷售許可證等；提供云計算平臺的定級備案證明、安全測試報告相關內容；協助云租戶進行安全整改。

安全等級保護沒有例外，云上云下都要嚴格遵守。安全等級保護是一項強制性要求。就像人們買房時要注意審查開發商、中介的資格一樣，云租戶在選擇云平臺和云服務商時，也應該將安全等級保護作為一項必要的審查內容，這樣才是對自己業務負責的表現。

深信服從2015年開始深度參與安全等保工作，可以提供包含檢測、響應、預防、防御在內的完整的閉環安全方案。深信服的安全專家張樂建議，企業客戶應在滿足安全等保需求的基礎之上，再選擇其他的安全服務。

在云計算安全等保方面，深信服具有豐富的經驗。張樂表示，無論是公有云還是私有云，都要符合安全等保要求。云平臺所具有的安全等級標準必須等于或高于其上業務的安全等級標準，而云上的租戶，可以復用通過等保要求的云平臺的一些內容。

從一個安全方案和服務提供商的角度，深信服可以做的是，為企業客戶提供滿足合規性、等級保護要求的安全解決方案，支持云或非云（比如物理機）的環境。深信服還有等保一體機產品，可以實現一體化的交付，提供一站式的安全合規能力。針對不同的等保級別，深信服還可以提供相對應的方案“套餐”，包含所需的各類安全產品和設備。在云的安全保護方面，深信服已經有了很多成功案例，比如國內一些知名的政務云、電商云等都是深信服的客戶。

張樂提示說，通過不同安全等級評定的系統，應該按照本等級要求的周期（比如每年或每兩年）定期進行復測，特別是通過評定的系統如果有了比較大的改動，必須進行重新評測。

一提到安全，很多用戶都抱著一種“被動防御”的心態，購買大量安全設備，嚴陣以待。但現在的趨勢是，主動預測、主動分析，在安全威脅剛有了苗頭的時候就能及時發現，并將其“扼殺在搖籃里”。現在，很多企業都是被動地做等保。從被動到主動的轉變，需要政府、行業監管部門、安全廠商、企業用戶等多方的共同努力。另外，在實施安全等保時，也要避免一些誤區，比如一些用戶為了實施安全等保，投入大量資金，購買了各種各樣的安全設備，配置好安全策略后，就認為完成了任務，不再理會安全等保這回事兒了。其實，安全等保也要與時俱進，根據系統本身的變化、監管部門的要求等，隨著進行整改和復測，這樣安全等保才能真正發揮其作用。

現在，我們正面臨從等級保護1.0向2.0時代演進的轉折。據悉，國家等級保護2.0的標準即將發布，其中對于云計算的擴展，以及移動互聯、物聯網等的等級保護將有更明確的要求。

防在前面

按IDC的統計數據，阿里云是國內排名第一的IaaS公有云。阿里云具有一整套的安全防護措施，也通過了等保三級的評定。阿里云資深技術架構師吳朝毓用一張圖，深入淺出地詮釋了什么是互聯網架構，互聯網架構的安全保護是如何實現的。

“無論是什么系統，都要認真考慮高可用性和負載均衡。而這正是互聯網架構的優勢。”吳朝毓表示，一個互聯網架構，要從不同層次分別實施安全保護。阿里云建立了一個云立體安全防護體系，從移動安全、網絡安全、主機安全、數據安全、業務安全、態勢感知、威脅情報等多個層次提供了全面的保護解決方案，構筑了一座安全防護的高墻。

安全這件事也是“老生常談”，但為什么還是防不勝防，今天是勒索病毒，明天是數據隱私泄露。其實，從技術的角度看，只要是暴露出的安全問題，最終都能找到適合的解決方案。問題的關鍵是，不能總是被動地防御，而是應該多考慮采用什么樣的手段，可以把安全防御的工作做到前面，將可能產生的安全攻擊化解于無形。