研究等级保护工作云平台建设

    虽然云计算本身，以及在云计算环境中开展等级保护工作面临着很多问题，但云计算的发展和等级保护工作的推进并不能因为其存在这样那样的问题而停滞，目前这两项工作已经不是停留在做与不做的层面了，而是到了要解决如何做的问题了，应以积极态度研究在云环境下如何开展等级保护工作方式、方法。

 

 

    1云应用的适合性

 

 

    对于等级保护工作保护的重点——重要系统和网络来说，虽然都可能定为3级或4级，但由于所承载业务对于计算、存储、安全等的需求不同，在安全整改过程中不应是千篇一律的，是否应用云平台也不能干篇一律。重要信息系统将自己的业务应用和数据保存到云平台上，什么都没考虑就突然应用云服务是一种轻率的选择，应对国家重要信息系统（3级以上含3级）进行适合性研究，对云应用符合性提出建议参考。

 

 

    如果一定要进行云计算化，建议重要信息系统以私有云建设为前期重点，从开销、运用程度、安全等方面考虑，将内部的系统分为几个领域，为以后的云迁移预先设计道路是最理想的方法。在运用云之前，必须对已有系统和业务进行整理，并对云化事物和非云化事物进行区分。

 

 

    2针对云环境安全保障政策、标准体系的研究

 

 

    目前由于国家在云计算方面无论应用架构、安全模型均没有明确的规范和标准，导致各地云平台的建设从基础设施到平台乃至业务软件结构、技术、通讯、认证、授权差异性极大，在安全保障措施方面也缺少指导，对于云计算环境的安全保障则是各自为战。

 

 

    各地云平台的建设者均赋予了比传统业务模式更为深刻的意义和作用，已成为本地、本行业的业务楔0点，因此需要完整清晰的标准族指导云平台安全保障。但如今无论是云平台还是云安全保障国内外标准均没有形成，这就给云计算产业的发展带来了瓶颈，极大地阻碍了各类云平台长期发展、软硬件通用性。目前，等级保护工作还缺乏对云环境安全建设的指导性文件和标准。在新形势下，应对云环境下带来的新的安全问题进行相关标准政策的研究并在标准和政策上提供支持。满足国内信息服务对云计算的安全需求，实现对整个链条的有效控制和管理。

 

 

    3云环境新安全问题测评方法开发

 

 

    云平台建设是否能够广泛开展，需要解决一个问题，即向使用云平台的各个单位提供安全信心。等级保护现已成为各类云平台安全建设参考的重要依据，很多平台要求按等级保护3级或更高级标准进行建设。

 

 

    但对现有的虚拟化防护产品，在云平台环境中的有效性还缺乏验证方法，这些虚拟化防护技术缺乏统一的规范指导，功能各异，判断是否能满足某等级系统安全需求更无从谈起，而且也为以后等级测评带来—定难度。

 

 

    因此虚拟化条件下如何开展等级保护测评已经成为一个比较紧迫的问题，新的形势要求应开展云条件下测评流程、测评用例、测评工具的研究和应用。

 

 

[page]    4等级保护工作云平台建设

 

 

    在研究虚拟化环境下如何实施等级保护工作，即如何对云平台进行安全保障的同时，还应基于云自身特有的服务特性，对如何利用云这种模式推进和完善等级保护各项工作进行探讨和实践。

 

 

    在等级保护现有政策体系、标准体系、测评体系、监管体系建设相对比较完备的情况下，应考虑建立等级保护相关工作的云平台，成为全国等级保护工作的监管、决策核心。利用这个平台不但将等级保护5项工作（定级、备案、整改、测评、整改）更好地集成起来，而且通过等级保护云平台行使监督、管理、指导、服务、培训等功能。如图1所示。

 

    等级保护工作云平台

 

    图1 等级保护工作云平台

 

 

    等级保护云平台不仅仅是个数据收集、分析的平台，还应实现如下业务职能：

 

 

    1）管理平台，对全国的等级保护实施工作进行指导、监督；2）分析平台，将各行业、各地区、各时期的等级保护工作情况、发现的安全问题进行分级汇总，发挥云平台计算能力，进行统一汇总分析，目标是一切数据结构化，形成全国等级保护工作的决策系统；3）展示平台，将分析结果按照各类需求进行灵活呈现，如各地区主要安全问题趋势、各行业等级保护实施状况、提供辅助决策分析等；4）服务平台，利用云平台集成的技术，对用户及测评机构提供各类安全服务，如网站测试和监控、漏洞扫描、配置检查等；5）培训平台，对定级单位及测评机构提供各类安全培训，如等级保护政策标准培训、攻防演练等。

 

 

    通过等级保护云平台建设，更好发挥主管机关、测评机构的职能，提供更为规范的监管和服务，等级保护工作的深度和广度得到加强，促进各方面能力的提升。