又是一年419，云上云下话等保

“419”，我们来谈谈“云上云下信息安全”这件事，应时应景。2016年4月19日，网络安全和信息化工作座谈会召开。这是我国网络安全和信息化领域具有重要历史意

2016年4月19日，网络安全和信息化工作座谈会召开。这是我国网络安全和信息化领域具有重要历史意义和战略影响的大事件。

2017年6月1日，《中华人民共和国网络安全法》开始施行。保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展成为一项最核心的工作。

2018年5月25日，号称史上最严厉的数据保护条例——欧盟《一般数据保护条例》（GDPR）将正式施行，数据隐私保护、合规等问题再次被推向风口浪尖。

虽然大家都心知肚明，云安全并不完全是一个技术问题，更多可能是“心理”问题，但不可否认，安全仍然是企业上云的一个重要挑战，或者说是难点。

01安全等级保护是一项国家制度

4月14日，国内首家案例式科技沙龙Q.Club的第一期活动，就将活动主题定为“走进云上云下信息安全时代”。虽然会议举行当天是周六，而且有大风，但是仍然不能阻挡沙龙参与者的热情。来自中国电子技术标准化研究院、阿里云团队以及深信服的安全专家，从各自的角度诠释了云上和云下的信息安全，其中给记者印象最深的一点是安全等级保护这个“老生常谈”的话题。

说它是老生常谈，因为“安全等级保护”这几个字频频在各安全厂商的资料、演讲中出现，但就是这样一件司空见惯的事情，落地情况又如何呢？其实并不如想像中乐观。

究其原因，很多企业并没有将“安全等级保护”当作一件自己份内的事，可能也有企业想做，但又不知该如何做。《中华人民共和国网络安全法》第二十一条已经明确规定，国家实行网络安全等级保护制度。安全等级保护已经是一种国家基本制度，作为企业，你要怎么办？

首先，还是要了解一下安全等级保护的内涵是什么？对国家秘密信息、法人和其他组织及公司的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实现安全保护、分等级监管；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置。

中国电子技术标准化研究院测评部总监牟家刘在沙龙上表示，安全等级保护的重点在于落实，而且要从技术和管理两个方面达标。安全等级保护有“五个规定动作”，包括信息系统定级、备案、安全建设整改、等级评测、监督检查。企业或单位应该建立健全自己的安全管理制度，包括人员、管理机构等，其中最重要的是要有专门的网络安全负责人。通常情况下，企业或单位应该每年委托专业的评估机构做一次安全等级评估。这些在《中华人民共和国网络安全法》以及相关的文件中都有体现。

中国电子技术标准化研究院测评部总监牟家刘

牟家刘特别提到，安全等级保护要走在前面，即企业或单位在新建系统的同时，就要考虑安全等级保护的需求，而不是在系统建设后再考虑。另外，对于一些大型的系统，可以单独做定级。

02云也不例外

       如今，我们已经进入了云计算时代。云计算基础设施成了很多企业实现数字化转型的首选。那么，云计算平台是不是也要做安全等级评定？云服务商呢？云平台上的租户呢？其实，这些问题都已经有了定论。

      可以十分肯定地说，云服务商需要按照云计算平台等级保护工作开展办法开展等级保护工作，包括定级、备案、安全整改、等级测评等相关工作；云服务商定级对象为此单位的云计算平台，大型云计算平台也可以针对云平台的辅助设备及环境进行单独定级，评定的内容包括物理机房、网络环境、网络设备、安全设备、云计算平台管理软件、管理运维终端等；云租户系统评测内容包括物理和环境安全、网络和通信安全、设备和计算环境、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、系统运维管理、云计算平台扩展要求等。

       牟家刘介绍说，在云租户开展等级保护工作期间，云服务商需要进行以下配合工作：提供云安全产品的相关证书和文件，如销售许可证等；提供云计算平台的定级备案证明、安全测试报告相关内容；协助云租户进行安全整改。

       安全等级保护没有例外，云上云下都要严格遵守。安全等级保护是一项强制性要求。就像人们买房时要注意审查开发商、中介的资格一样，云租户在选择云平台和云服务商时，也应该将安全等级保护作为一项必要的审查内容，这样才是对自己业务负责的表现。

深信服从2015年开始深度参与安全等保工作，可以提供包含检测、响应、预防、防御在内的完整的闭环安全方案。深信服的安全专家张乐建议，企业客户应在满足安全等保需求的基础之上，再选择更多其他的安全服务。

       在云计算的安全等保方面，深信服具有丰富的经验。张乐表示，无论是公有云还是私有云，都要符合安全等保要求。云平台所具有的安全等级标准必须等于或者高于其上业务的安全等级标准，而云上的租户，可以复用通过等保要求的云平台的一些内容。

深信服安全专家张乐

       从一个安全方案和服务提供商的角度，深信服可以做的是，为企业客户提供满足合规性、等级保护要求的安全解决方案，支持云或非云（比如物理机）的环境。深信服还有等保一体机产品，可以实现一体化的交付，提供一站式的安全合规能力。针对不同的等保级别，比如二级或三级保护，深信服还可以提供相对应的方案“套餐”，包含所需的各类安全产品和设备。在云的安全保护方面，深信服已经有了很多成功案例，比如国内一些知名的政务云、电商云等都是深信服的客户。

       张乐提示说，通过不同安全等级评定的系统，应该按照本等级要求的周期（比如每年或每两年）定期进行复测，特别是通过评定的系统如果有了比较大的改动，必须进行重新评测。

        一提到安全，很多用户都抱着一种“被动防御”的心态，购买大量安全设备，严阵以待。但现在的趋势是，主动预测、主动分析，在安全威胁刚有了苗头的时候就能及时发现，并将其“扼杀在摇篮里”，而不是亡羊补牢。现在，很多企业都是被动地做等保。从被动到主动的转变，需要政府、行业监管部门、安全厂商、企业用户等多方的共同努力。企业安全意识的转变是一个关键因素。另外，在实施安全等保时，也要避免一些误区，比如一些用户为了实施安全等保，投入大量资金，购买了各种各样的安全设备，配置好安全策略后，就认为完成了任务，鸟尽弓藏，不再理会安全等保这回事儿了。其实，安全等保也要与时俱进，根据系统本身的变化、监管部门的要求等，随着进行整改和复测。这样安全等保才能真正发挥其作用，而不仅仅是应付差事的摆设。

现在，我们正面临从等级保护1.0向2.0时代演进的转折。据悉，国家等级保护2.0的标准即将发布，其中对于云计算的扩展，以及移动互联、物联网等的等级保护将有更明确的要求。

03防在前面

       按IDC的统计数据，阿里云是国内排名第一的IaaS公有云。阿里云本身具有一整套的安全防护措施，也通过了等保三级的评定。阿里云资深技术架构师吴朝毓用一张图，深入浅出地诠释了什么是互联网架构，互联网架构的安全保护是如何实现的。

阿里云资深技术架构师吴朝毓

    “无论是什么系统，都要认真考虑高可用性和负载均衡。而这正是互联网架构的优势。”吴朝毓表示，一个互联网架构，要从不同层次分别实施安全保护。阿里云建立了一个云立体安全防护体系，从移动安全、网络安全、主机安全、数据安全、业务安全、态势感知、威胁情报等多个层次提供了全面的保护解决方案，构筑了一座安全防护的高墙。

      安全这件事也是“老生常谈”，但为什么还是防不胜防，今天是勒索病毒，明天是数据隐私泄露。其实，从技术的角度看，只要是暴露出的安全问题，最终都能找到适合的解决方案。问题的关键是，不能总是被动地防御，等到出了事才去救火，而是应该多考虑采用什么样的手段，可以把安全防御的工作做到前面，将可能产生的安全攻击化解于无形