云上云下話等保

“419”，我們來談?wù)劇霸粕显葡滦畔踩边@件事，應(yīng)時(shí)應(yīng)景。

2016年4月19日，網(wǎng)絡(luò)安全和信息化工作座談會(huì)召開。這是我國網(wǎng)絡(luò)安全和信息化領(lǐng)域具有重要?dú)v史意義和戰(zhàn)略影響的大事件。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》開始施行。保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展成為一項(xiàng)最核心的工作。

2018年5月25日，號(hào)稱史上最嚴(yán)厲的數(shù)據(jù)保護(hù)條例——?dú)W盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）將正式施行，數(shù)據(jù)隱私保護(hù)、合規(guī)等問題再次被推向風(fēng)口浪尖。

雖然大家都心知肚明，云安全并不完全是一個(gè)技術(shù)問題，更多的可能是“心理”問題，但不可否認(rèn)，安全仍然是企業(yè)上云的一個(gè)重要挑戰(zhàn)，或者說是難點(diǎn)。

安全等級(jí)保護(hù)是一項(xiàng)國家制度

4月14日，國內(nèi)首家案例式科技沙龍Q.Club的第一期活動(dòng)，就將活動(dòng)主題定為“走進(jìn)云上云下信息安全時(shí)代”。雖然會(huì)議舉行當(dāng)天是周六，仍然不能阻擋沙龍參與者的熱情。來自中國電子技術(shù)標(biāo)準(zhǔn)化研究院、阿里云團(tuán)隊(duì)以及深信服的安全專家，從各自的角度詮釋了云上和云下的信息安全，其中給記者印象最深的一點(diǎn)是安全等級(jí)保護(hù)這個(gè)“老生常談”的話題。

說它是老生常談，因?yàn)椤鞍踩燃?jí)保護(hù)”這幾個(gè)字頻頻在各安全廠商的資料、演講中出現(xiàn)，但落地情況并不樂觀。究其原因，很多企業(yè)并沒有將“安全等級(jí)保護(hù)”當(dāng)作一件份內(nèi)的事，可能也有企業(yè)想做，但又不知該如何做?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十一條已經(jīng)明確規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。安全等級(jí)保護(hù)已經(jīng)是一種國家基本制度，作為企業(yè)，你要怎么辦？

首先，還是要了解一下安全等級(jí)保護(hù)的內(nèi)涵是什么。對(duì)國家秘密信息、法人和其他組織及公司的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)現(xiàn)安全保護(hù)、分等級(jí)監(jiān)管；對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理；對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

中國電子技術(shù)標(biāo)準(zhǔn)化研究院測(cè)評(píng)部總監(jiān)牟家劉在沙龍上表示，安全等級(jí)保護(hù)的重點(diǎn)在于落實(shí)，而且要從技術(shù)和管理兩個(gè)方面達(dá)標(biāo)。安全等級(jí)保護(hù)有“五個(gè)規(guī)定動(dòng)作”，包括信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)評(píng)測(cè)、監(jiān)督檢查。企業(yè)或單位應(yīng)該建立健全自己的安全管理制度，包括人員、管理機(jī)構(gòu)等，其中最重要的是要有專門的網(wǎng)絡(luò)安全負(fù)責(zé)人。通常情況下，企業(yè)或單位應(yīng)該每年委托專業(yè)的評(píng)估機(jī)構(gòu)做一次安全等級(jí)評(píng)估。

牟家劉特別提到，安全等級(jí)保護(hù)要走在前面，即企業(yè)或單位在新建系統(tǒng)的同時(shí)，就要考慮安全等級(jí)保護(hù)的需求。另外，對(duì)于一些大型的系統(tǒng)，可以單獨(dú)做定級(jí)。

云也不例外

如今，我們已經(jīng)進(jìn)入云計(jì)算時(shí)代，云計(jì)算基礎(chǔ)設(shè)施成了很多企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的首選。那么，云計(jì)算平臺(tái)是不是也要做安全等級(jí)評(píng)定？云服務(wù)商呢？云平臺(tái)上的租戶呢？其實(shí)，這些問題都已經(jīng)有了定論。

可以肯定地說，云服務(wù)商需要按照云計(jì)算平臺(tái)等級(jí)保護(hù)工作開展辦法開展等級(jí)保護(hù)工作，包括定級(jí)、備案、安全整改、等級(jí)測(cè)評(píng)等相關(guān)工作。云服務(wù)商定級(jí)對(duì)象為此單位的云計(jì)算平臺(tái)，大型云計(jì)算平臺(tái)也可以針對(duì)云平臺(tái)的輔助設(shè)備及環(huán)境進(jìn)行單獨(dú)定級(jí)，評(píng)定的內(nèi)容包括物理機(jī)房、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、云計(jì)算平臺(tái)管理軟件、管理運(yùn)維終端等。云租戶系統(tǒng)評(píng)測(cè)內(nèi)容包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算環(huán)境、應(yīng)用和數(shù)據(jù)安全、安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、系統(tǒng)運(yùn)維管理、云計(jì)算平臺(tái)擴(kuò)展要求等。

牟家劉介紹說，在云租戶開展等級(jí)保護(hù)工作期間，云服務(wù)商需要配合以下工作：提供云安全產(chǎn)品的相關(guān)證書和文件，如銷售許可證等；提供云計(jì)算平臺(tái)的定級(jí)備案證明、安全測(cè)試報(bào)告相關(guān)內(nèi)容；協(xié)助云租戶進(jìn)行安全整改。

安全等級(jí)保護(hù)沒有例外，云上云下都要嚴(yán)格遵守。安全等級(jí)保護(hù)是一項(xiàng)強(qiáng)制性要求。就像人們買房時(shí)要注意審查開發(fā)商、中介的資格一樣，云租戶在選擇云平臺(tái)和云服務(wù)商時(shí)，也應(yīng)該將安全等級(jí)保護(hù)作為一項(xiàng)必要的審查內(nèi)容，這樣才是對(duì)自己業(yè)務(wù)負(fù)責(zé)的表現(xiàn)。

深信服從2015年開始深度參與安全等保工作，可以提供包含檢測(cè)、響應(yīng)、預(yù)防、防御在內(nèi)的完整的閉環(huán)安全方案。深信服的安全專家張樂建議，企業(yè)客戶應(yīng)在滿足安全等保需求的基礎(chǔ)之上，再選擇其他的安全服務(wù)。

在云計(jì)算安全等保方面，深信服具有豐富的經(jīng)驗(yàn)。張樂表示，無論是公有云還是私有云，都要符合安全等保要求。云平臺(tái)所具有的安全等級(jí)標(biāo)準(zhǔn)必須等于或高于其上業(yè)務(wù)的安全等級(jí)標(biāo)準(zhǔn)，而云上的租戶，可以復(fù)用通過等保要求的云平臺(tái)的一些內(nèi)容。

從一個(gè)安全方案和服務(wù)提供商的角度，深信服可以做的是，為企業(yè)客戶提供滿足合規(guī)性、等級(jí)保護(hù)要求的安全解決方案，支持云或非云（比如物理機(jī)）的環(huán)境。深信服還有等保一體機(jī)產(chǎn)品，可以實(shí)現(xiàn)一體化的交付，提供一站式的安全合規(guī)能力。針對(duì)不同的等保級(jí)別，深信服還可以提供相對(duì)應(yīng)的方案“套餐”，包含所需的各類安全產(chǎn)品和設(shè)備。在云的安全保護(hù)方面，深信服已經(jīng)有了很多成功案例，比如國內(nèi)一些知名的政務(wù)云、電商云等都是深信服的客戶。

張樂提示說，通過不同安全等級(jí)評(píng)定的系統(tǒng)，應(yīng)該按照本等級(jí)要求的周期（比如每年或每兩年）定期進(jìn)行復(fù)測(cè)，特別是通過評(píng)定的系統(tǒng)如果有了比較大的改動(dòng)，必須進(jìn)行重新評(píng)測(cè)。

一提到安全，很多用戶都抱著一種“被動(dòng)防御”的心態(tài)，購買大量安全設(shè)備，嚴(yán)陣以待。但現(xiàn)在的趨勢(shì)是，主動(dòng)預(yù)測(cè)、主動(dòng)分析，在安全威脅剛有了苗頭的時(shí)候就能及時(shí)發(fā)現(xiàn)，并將其“扼殺在搖籃里”?，F(xiàn)在，很多企業(yè)都是被動(dòng)地做等保。從被動(dòng)到主動(dòng)的轉(zhuǎn)變，需要政府、行業(yè)監(jiān)管部門、安全廠商、企業(yè)用戶等多方的共同努力。另外，在實(shí)施安全等保時(shí)，也要避免一些誤區(qū)，比如一些用戶為了實(shí)施安全等保，投入大量資金，購買了各種各樣的安全設(shè)備，配置好安全策略后，就認(rèn)為完成了任務(wù)，不再理會(huì)安全等保這回事兒了。其實(shí)，安全等保也要與時(shí)俱進(jìn)，根據(jù)系統(tǒng)本身的變化、監(jiān)管部門的要求等，隨著進(jìn)行整改和復(fù)測(cè)，這樣安全等保才能真正發(fā)揮其作用。

現(xiàn)在，我們正面臨從等級(jí)保護(hù)1.0向2.0時(shí)代演進(jìn)的轉(zhuǎn)折。據(jù)悉，國家等級(jí)保護(hù)2.0的標(biāo)準(zhǔn)即將發(fā)布，其中對(duì)于云計(jì)算的擴(kuò)展，以及移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等的等級(jí)保護(hù)將有更明確的要求。

防在前面

按IDC的統(tǒng)計(jì)數(shù)據(jù)，阿里云是國內(nèi)排名第一的IaaS公有云。阿里云具有一整套的安全防護(hù)措施，也通過了等保三級(jí)的評(píng)定。阿里云資深技術(shù)架構(gòu)師吳朝毓用一張圖，深入淺出地詮釋了什么是互聯(lián)網(wǎng)架構(gòu)，互聯(lián)網(wǎng)架構(gòu)的安全保護(hù)是如何實(shí)現(xiàn)的。

“無論是什么系統(tǒng)，都要認(rèn)真考慮高可用性和負(fù)載均衡。而這正是互聯(lián)網(wǎng)架構(gòu)的優(yōu)勢(shì)?！眳浅贡硎?，一個(gè)互聯(lián)網(wǎng)架構(gòu)，要從不同層次分別實(shí)施安全保護(hù)。阿里云建立了一個(gè)云立體安全防護(hù)體系，從移動(dòng)安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全、業(yè)務(wù)安全、態(tài)勢(shì)感知、威脅情報(bào)等多個(gè)層次提供了全面的保護(hù)解決方案，構(gòu)筑了一座安全防護(hù)的高墻。

安全這件事也是“老生常談”，但為什么還是防不勝防，今天是勒索病毒，明天是數(shù)據(jù)隱私泄露。其實(shí)，從技術(shù)的角度看，只要是暴露出的安全問題，最終都能找到適合的解決方案。問題的關(guān)鍵是，不能總是被動(dòng)地防御，而是應(yīng)該多考慮采用什么樣的手段，可以把安全防御的工作做到前面，將可能產(chǎn)生的安全攻擊化解于無形。