等保2.0时代：云等保的解读

等保2.0时代：云等保的解读

【前言】

随着一系列等级保护新标准的顺利发布，网络安全等级保护也进入到2.0时代。作为新增的等级保护对象，云计算平台/系统新增安全要求如何？有哪些地方值得重点关注？

一、云安全挑战

云计算平台作为信息化建设中的重要系统，具备开放型巨系统的特征，系统组成极为复杂。由此决定着云计算平台将面临着各个层面的网络安全挑战。

首先，是来自网络和通讯的安全挑战。这类攻击是借助网络、通讯特性如带宽、传输会话、数据包转发等实施的攻击。例如，直接通过网络实施DDOS 攻击，通过网络使用不安全接口实施注入、盗取秘钥、非法获取敏感数据、非法篡改数据攻击，通过网络实施账户劫持以及通过网络传输的APT类攻击等。

其次，是面向设备和计算的安全挑战。攻击者利用云计算设备和平台性能优势或固有特性实施直接或间接的攻击，如：身份验证和凭证被盗取、云计算存储资源数据残留、存在漏洞的基础服务资源被共享使用、云服务被滥用于其他网络攻击等。

第三，是面向应用和数据的安全挑战。应用的目的是处理数据，云计算软件漏洞、不安全接口、数据库存储不受控、黑客攻击、员工处理数据的异常操作、未被授权的访问等可造成数据泄露、数据异常销毁、数据永久丢失等重大损失。

第四，是来自管理、运维的安全挑战。在云计算管理层面，缺乏尽职调查、数据所有权缺乏保障体系；在运维层面，存在云使用方或云租户对云计算

服务方过度依赖，甚至被云计算服务方锁定、恶意越权访问、滥用职权以及误操作等，存在信息安全隐患的管理和运维，这些对云计算平台的安全稳定带来巨大风险和隐患。

二、云等保要求总览

在政府积极引导和企业战略布局等推动下，经过近十余年的发展，云计算已逐渐被市场认可和接受，政务、金融、运营商和工业等多个行业的信息系统已经运行在云端。相对于传统信息系统，云计算平台/系统如何进行等级保护非常受关注。新等级保护标准的发布，明确了云计算平台/系统作为等级保护对象的具体要求，指导云计算平台/系统的安全建设。

新标准中对于云计算平台/系统的等级保护，仍然根据“一个中心，三重防护”体系框架，提出了具体的技术要求，以及包含云服务商选择、供应链管理和云计算环境管理等方面的管理要求。云计算平台/系统的安全建设或安全整改，需同时根据安全通用要求和安全扩展要求，构建具有相应等级安全防护能力的安全防御体系。

注：安全管理制度、安全管理机构和安全管理人员，云计算平台/系统无单独安全扩展要求。